AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

¿Cómo configuro una conexión de Site-to-Site VPN con enrutamiento dinámico entre AWS y Azure?

8 minutos de lectura

Quiero configurar una conexión de AWS Site-to-Site VPN con el protocolo de puerta de enlace fronteriza (BGP) entre AWS y Azure.

Descripción corta

Para configurar el enrutamiento dinámico entre AWS y Azure, crea y configura las puertas de enlace de cliente, las puertas de enlace de VPN, las puertas de enlace de red local y las configuraciones de túneles tanto en AWS como en Azure. A continuación, configura una conmutación por error de BGP activa-activa y verifica el estado de la conexión VPN.

Resolución

Nota: Para obtener información sobre cómo optimizar el rendimiento, consulta AWS Site-to-Site VPN, choosing the right options to optimize performance (AWS Site-to-Site VPN: selección de las opciones adecuadas para optimizar el rendimiento).

Requisitos previos:

Comprueba que tienes un enrutamiento entre dominios sin clases (CIDR) de Amazon Virtual Private Cloud (Amazon VPC) asociado a una puerta de enlace privada virtual o una puerta de enlace de tránsito.
Asegúrate de que el CIDR de Amazon VPC y el CIDR de red de Azure no se superpongan.

Creación de una red virtual y una puerta de enlace de VPN en Azure

Sigue estos pasos:

Usa el portal de Azure para crear una red virtual. Para obtener más información, consulta Creación de una instancia de Azure Virtual Network en el sitio web de Microsoft.
Crea una puerta de enlace de VPN con una dirección IP pública. Para obtener más información, consulta Creación de una puerta de enlace de VPN en el sitio web de Microsoft. Haz lo siguiente:
En Región, elige la región en la que deseas desplegar la puerta de enlace de VPN.
En Tipo de puerta de enlace, elige VPN.
En Tipo de VPN, elige Basado en rutas.
En SKU, elige el SKU que cumpla tus requisitos de cargas de trabajo, rendimientos, características y SLA.
En Red virtual, selecciona la red virtual que está asociada a tu puerta de enlace de VPN (similar a una VPC en el entorno de AWS).
En Activar el modo activo-activo, selecciona Desactivado para crear una nueva dirección IP pública que se utilice como dirección IP de la puerta de enlace de cliente en la consola de administración de AWS.
En Configurar BGP, elige Activado.
En Dirección IP BGP de APIPA de Azure personalizada, selecciona 169.254.21.2.
Nota: El ASN que utilices para la puerta de enlace de VPN debe ser el mismo que el ASN de la puerta de enlace del cliente en la consola de administración de AWS (65000).

Creación de una puerta de enlace de cliente y una conexión de AWS Site-to-Site VPN en AWS

Sigue estos pasos:

Crea una puerta de enlace de cliente.
En ASN de BGP, puedes agregar el tuyo propio o usar la opción predeterminada (65000). Si eliges el valor predeterminado, AWS proporciona un número de sistema autónomo (ASN) para tu puerta de enlace de cliente.
En Dirección IP, introduce la dirección IP pública de Azure desde la que configuraste la puerta de enlace de VPN en el portal de Azure. Para obtener más información, consulta el paso 2 de la sección Configuración de Azure de este artículo.
Crea una conexión de AWS Site-to-Site VPN.
En Rango CIDR de IPv4 interno del túnel 1 de tu Site-to-Site VPN, elige una dirección del rango de direcciones IP privadas automáticas (APIPA) reservado de Azure. Las direcciones APIPA oscilan entre 169.254.21.0 y 169.254.22.255 para los túneles dentro de la dirección CIDR IPv4.
Ejemplo de dirección: 169.254.21.0/30
Ejemplo de dirección IP BGP (AWS): 169.254.21.1
Ejemplo de dirección IP de pares (Azure): 169.254.21.2
En Tipo de puerta de enlace de destino, selecciona la puerta de enlace privada virtual o la puerta de enlace de tránsito.
En Opciones de enrutamiento, elige Dinámico.
Descarga el archivo de configuración de AWS.

Creación de una puerta de enlace de red local en Azure

Sigue estos pasos:

Usa el portal de Azure para crear una puerta de enlace de red local. Para obtener más información, consulta Creación de una puerta de enlace de red local en el sitio web de Microsoft. Haz lo siguiente:
En Dirección IP, introduce la dirección IP pública del túnel 1 que recibiste al crear una Site-to-Site VPN. La encontrarás en la sección 3 del archivo de configuración que has descargado de la Consola de administración de AWS.
En Espacio de direcciones, introduce el bloque de CIDR de Amazon VPC.
En Número de sistema autónomo (ASN), introduce el ASN de AWS.
En Dirección IP de pares de BGP, introduce la dirección IP de BGP de AWS. Para obtener más información, consulta el paso 2 de la sección Configuración de AWS de este artículo.

Crea una conexión de Site-to-Site VPN con BGP activado en el portal de Azure. Para obtener más información, consulta Crear conexiones VPN en el sitio web de Microsoft.
Nota: Los algoritmos criptográficos y la clave compartida previamente (PSK) son los mismos en Azure y AWS.
Fase 1 (IKE):

Encryption: AES56      Authentication: SHA256      DH Group: 14

Fase 2 (IPSEC):

Encryption: AES256      Authentication: SHA256      DH Group: 14 _(PFS2048)_ Diffie-Hellmen Group used in Quick Mode or Phase 2 is the PFS Group specified in Azure.   
    Lifetime: 3600s (Default on Azure portal is set to 27000s. AWS supports maximum of 3600s for IPSEC lifetime)

Configuración de la conmutación por error de BGP activo-activo con una Site-to-Site VPN entre AWS y Azure

Sigue estos pasos:

En el portal de Azure, crea una puerta de enlace de VPN.
En Modo activo-activo, elige Activado. Esto proporciona dos direcciones IP públicas. Para obtener más información, consulta Creación de una puerta de enlace de VPN en el sitio web de Microsoft.
Abre la consola de Amazon VPC.
Elige Puertas de enlace de cliente.
Introduce las dos direcciones IP públicas proporcionadas en el portal de Azure en el paso 1 para crear dos puertas de enlace de cliente.
En ASN de BGP, introduce el ASN que configuraste en el portal de Azure.
En Tipo de enrutamiento, elige Dinámico.
Crea dos conexiones de Site-to-Site VPN que se conecten a una puerta de enlace privada virtual o a una puerta de enlace de tránsito. Utiliza los siguientes rangos de CIDR para los rangos de direcciones IP dentro del túnel en el túnel 1 de cada conexión VPN:
En Site-to-Site VPN 1, usa 169.254.21.0/30.
En Site-to-Site VPN 2, usa 169.254.22.0/30.
Nota: Las primeras direcciones IP (21.1 y 22.1) de este rango se asignan a los puntos de enlace de Site-to-Site VPN. Asegúrate de configurar correctamente las segundas direcciones IP en Azure (21.2 y 22.2).
Usa el portal de Azure para crear dos puertas de enlace de red local de Azure. Para las direcciones IP, utiliza las direcciones IP públicas del túnel 1 de tus túneles de AWS Site-to-Site VPN. Además, asegúrate de que el ASN coincida con la puerta de enlace privada virtual o la puerta de enlace de tránsito. Para obtener más información, consulta Creación de una puerta de enlace de VPN en el sitio web de Microsoft.
Usa el portal de Azure para crear dos conexiones de Site-to-Site VPN de Azure. Asegúrate de que cada conexión tenga una puerta de enlace de VPN de Azure que apunte a las puertas de enlace de red local que creaste en el paso anterior.

Nota: Para lograr el ECMP en una configuración activa-activa, debes activar la compatibilidad con ECMP de VPN en la puerta de enlace de tránsito.

Verificación del estado de la conexión VPN

Después de establecer la configuración de Site-to-Site VPN, confirma que el estado del túnel VPN es ACTIVO.

En el portal de Azure, comprueba que la conexión VPN tenga el estado Correcto. A continuación, asegúrate de que el estado cambie a Conectado cuando te conectes correctamente. Para obtener más información, consulta Comprobación de la conexión VPN.

A continuación, crea una instancia de Amazon Elastic Compute Cloud (Amazon EC2) en tu Amazon VPC para verificar la conectividad entre AWS y Azure. Conéctate a la dirección IP privada de la máquina virtual (VM) de Azure y, a continuación, confirma que has establecido la conexión de Site-to-Site VPN. Para obtener más información, consulta Creación de una conexión VPN de sitio a sitio en Azure Portal en el sitio web de Microsoft.

Para obtener más información, consulta Probar una conexión de AWS Site-to-Site VPN.

Nota: Para las conexiones VPN de puerta de enlace de tránsito, asegúrate de que existan las conexiones de puerta de enlace de tránsito adecuadas tanto para la VPC como para Site-to-Site VPN. A continuación, activa la propagación de rutas. Las rutas de CIDR de Azure Virtual Network se propagan solo después de establecer BGP.

Temas: Networking & Content Delivery
Etiquetas: AWS Virtual Private Network (VPN)
Idioma: Español

OFICIAL DE AWSActualizada hace 4 meses

Sin comentarios

Contenido relevante

Seguridad entre dos instancias de EC2
cesar_hernandez
preguntada hace 3 meses
Problema de Conexión entre MySQL Externo y AWS
Levi Hernandez
preguntada hace 10 meses
Comunicación mediante Direct Connect
Ana
preguntada hace 3 meses
conectividad falla
seba
preguntada hace un mes
Channel is Disconected AWS Agent Migration
SergioCerecer
preguntada hace 6 meses
¿Cómo utilizo un BGP dinámico para crear un túnel VPN entre AWS y Oracle Cloud Infrastructure?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo crear una VPN basada en el enrutamiento dinámico con un firewall de Palo-Alto y una VPN de AWS?
OFICIAL DE AWSActualizada hace 3 años
¿Cómo puedo permitir la comunicación entre varias VPC desde una única conexión VPN vinculada a mi puerta de enlace de tránsito, pero no permitir que las VPC accedan entre sí?
OFICIAL DE AWSActualizada hace un año
¿Cómo puedo configurar mi conexión de Site-to-Site VPN para que prefiera el túnel A al túnel B?
OFICIAL DE AWSActualizada hace 4 meses