Microsoft Azure Virtual WAN

Microsoft Azure Virtual WAN y Citrix SD-WAN™ ofrecen conectividad de red simplificada y administración centralizada en cargas de trabajo de nube híbrida. Puedes automatizar la configuración de los dispositivos de sucursal para conectarse a Azure WAN y configurar políticas de administración de tráfico de sucursal según tus requisitos empresariales. La interfaz de panel integrada ofrece información instantánea para la resolución de problemas que puede ahorrar tiempo y proporciona visibilidad para la conectividad de sitio a sitio a gran escala.

Microsoft Azure Virtual WAN te permite habilitar una conectividad simplificada a las cargas de trabajo de Azure Cloud y enrutar el tráfico a través de la red troncal de Azure y más allá. Azure ofrece más de 54 regiones y múltiples puntos de presencia en todo el mundo. Las regiones de Azure sirven como concentradores a los que puedes elegir conectar las sucursales. Una vez conectadas las sucursales, usa el servicio en la nube de Azure a través de la conectividad de concentrador a concentrador. Puedes simplificar la conectividad aplicando múltiples servicios de Azure, incluido el emparejamiento de concentradores con Azure VNET. Los concentradores sirven como puertas de enlace de tráfico para las sucursales.

Microsoft Azure Virtual WAN ofrece las siguientes ventajas:

• Soluciones de conectividad integradas en modelo de concentrador y radio: automatiza la conectividad y configuración de sitio a sitio entre las instalaciones locales y el concentrador de Azure desde varias fuentes, incluidas las soluciones de socios conectados.

• Configuración e instalación automatizadas: conecta tus redes virtuales al concentrador de Azure sin problemas.

• Resolución de problemas intuitiva: puedes ver el flujo de extremo a extremo dentro de Azure y usar esta información para tomar las acciones necesarias.

Comunicación de concentrador a concentrador

Con la versión 11.1.0, Azure Virtual WAN admite la comunicación de concentrador a concentrador mediante el método de tipo Estándar.

Los clientes de Azure Virtual WAN ahora pueden aprovechar la red troncal global de Microsoft para la comunicación de concentrador a concentrador entre regiones (arquitectura de red de tránsito global). Esto permite la comunicación de sucursal a Azure, de sucursal a sucursal a través de la red troncal de Azure y de sucursal a concentrador (en todas las regiones de Azure).

Puedes aprovechar la red troncal de Azure para la comunicación entre regiones solo cuando adquieres la SKU Estándar para Azure Virtual WAN. Para obtener detalles sobre los precios, consulta Precios de Virtual WAN. Con la SKU Básica, no puedes usar la red troncal de Azure para la comunicación de concentrador a concentrador entre regiones. Para obtener más detalles, consulta Arquitectura de red de tránsito global y Virtual WAN.

Todos los concentradores están conectados entre sí en una Virtual WAN. Esto implica que una sucursal, un usuario o una VNet conectados a un concentrador local pueden comunicarse con otra sucursal o VNet mediante la arquitectura de malla completa de los concentradores conectados.

También puedes conectar VNet dentro de un concentrador en tránsito a través del concentrador virtual, y VNet entre concentradores, mediante el marco conectado de concentrador a concentrador.

Hay dos tipos de Virtual WAN:

• Básico: Mediante el método Básico, las comunicaciones de concentrador a concentrador se producen dentro de una región. El tipo de WAN Básico ayuda a crear un concentrador básico (SKU = Básico). Los concentradores básicos se limitan a la funcionalidad VPN de sitio a sitio.

• Estándar: Mediante el método Estándar, las comunicaciones de concentrador a concentrador se producen entre diferentes regiones. Una WAN Estándar ayuda a crear un concentrador estándar (SKU = Estándar). Los concentradores Estándar contienen ExpressRoute, VPN de usuario (P2S), concentrador de malla completa y tránsito de VNet a VNet a través de los concentradores.

  

Crear el servicio Azure Virtual WAN en Microsoft Azure

Para crear el recurso Azure Virtual WAN, realiza los siguientes pasos:

1. Inicia sesión en el portal de Azure y haz clic en Crear un recurso.

   

2. Busca Virtual WAN y haz clic en Crear.

3. En Básico, proporciona los valores para los siguientes campos:

   • Suscripción: selecciona y proporciona los detalles de la suscripción en la lista desplegable.

   • Grupo de recursos: selecciona un grupo de recursos existente o crea uno nuevo.

     Nota: Al crear la entidad de servicio para permitir la comunicación de la API de Azure, asegúrate de usar el mismo grupo de recursos que contiene la Virtual WAN. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.

   • Ubicación del grupo de recursos: selecciona la región de Azure en la lista desplegable.

   • Nombre: proporciona el nombre para la nueva Virtual WAN.
   • Tipo: selecciona el tipo Estándar si quieres usar la comunicación de concentrador a concentrador entre diferentes regiones; de lo contrario, selecciona Básico.

   

4. Haz clic en Revisar y crear.
5. Revisa los detalles que introdujiste para crear la Virtual WAN y haz clic en Crear para finalizar la creación de la Virtual WAN.

La implementación del recurso tarda menos de un minuto.

Nota: Puedes actualizar de Básico a Estándar, pero no puedes revertir de Estándar a Básico. Para conocer los pasos para actualizar una Virtual WAN, consulta Actualizar una Virtual WAN de Básico a Estándar.

Crear un concentrador en Azure Virtual WAN

Realiza los siguientes pasos para crear un concentrador para habilitar la conectividad desde varios puntos de conexión diferentes (por ejemplo, dispositivos VPN locales o dispositivos SD-WAN):

1. Selecciona la Azure Virtual WAN creada anteriormente.

2. Selecciona Concentradores en la sección Conectividad y haz clic en + Nuevo concentrador.

   

3. En Básico, proporciona los valores para los siguientes campos:

   • Región: selecciona la región de Azure en la lista desplegable.
   • Nombre: introduce el nombre para el nuevo concentrador.
   • Espacio de direcciones privadas del concentrador: introduce el rango de direcciones en CIDR. Selecciona una red única dedicada solo al concentrador.

4. Haz clic en Siguiente: De sitio a sitio > y proporciona los valores para los siguientes campos:

   • ¿Quieres crear una puerta de enlace VPN de sitio a sitio?: selecciona Sí.
   • Unidades de escala de puerta de enlace: selecciona las unidades de escala en la lista desplegable según sea necesario.

   

5. Haz clic en Revisar y crear.
6. Revisa la configuración y haz clic en Crear para iniciar la creación del concentrador virtual.

La implementación del recurso puede tardar hasta 30 minutos.

Crear una entidad de servicio para Azure Virtual WAN e identificar los ID

Para que SD-WAN Orchestrator se autentique a través de las API de Azure Virtual WAN y habilite la conectividad automatizada, se debe crear e identificar una aplicación registrada con las siguientes credenciales de autenticación:

• ID de suscripción
• ID de cliente
• Secreto de cliente
• ID de inquilino

Nota: Al crear la entidad de servicio para permitir la comunicación de la API de Azure, asegúrate de usar el mismo grupo de recursos que contiene la Virtual WAN. De lo contrario, SD-WAN Orchestrator no tendrá permisos suficientes para autenticarse en las API de Azure Virtual WAN que habilitan la conectividad automatizada.

Realiza los siguientes pasos para crear un nuevo registro de aplicación:

1. En el portal de Azure, navega a Azure Active Directory.
2. En Administrar, selecciona Registros de aplicaciones.

3. Haz clic en + Nuevo registro.

   

4. Proporciona valores para los siguientes campos para registrar una aplicación:

   • Nombre: proporciona el nombre para el registro de la aplicación.
   • Tipos de cuenta admitidos: selecciona la opción Cuentas solo en este directorio organizativo (* - Inquilino único).
   • URI de redirección (opcional): selecciona Web en la lista desplegable e introduce una URL aleatoria y única (por ejemplo, https:// localhost:4980).
   • Haz clic en Registrar.

   

   Puedes copiar y almacenar el ID de aplicación (cliente) y el ID de directorio (inquilino) que se pueden usar en SD-WAN Orchestrator para la autenticación en la suscripción de Azure para el uso de la API.

   

   El siguiente paso para el registro de la aplicación es crear una clave de entidad de servicio para fines de autenticación.

   Para crear la clave de entidad de servicio, realiza los siguientes pasos:

   1. En el portal de Azure, navega a Azure Active Directory.
   2. En Administrar, navega a Registros de aplicaciones.
   3. Selecciona la aplicación registrada (creada anteriormente).
   4. En Administrar, selecciona Certificados y secretos.

   5. En Secretos de cliente, haz clic en + Nuevo secreto de cliente.

      

   6. Para agregar un secreto de cliente, proporciona valores para los siguientes campos:
      • Descripción: proporciona un nombre para la clave de entidad de servicio.
      • Caduca: selecciona la duración de la caducidad según sea necesario.

      

   7. Haz clic en Agregar.

   8. El secreto de cliente está deshabilitado en la columna Valor. Copia la clave en tu portapapeles. Este es el Secreto de cliente que debes introducir en SD-WAN Orchestrator.

      

      Nota: Debes copiar y almacenar el valor de la clave secreta antes de recargar la página, porque no se mostrará después.

Realiza los siguientes pasos para asignar los roles adecuados para fines de autenticación:

1. En el portal de Azure, navega al Grupo de recursos donde se creó la Virtual WAN.
2. Navega a Control de acceso (IAM).

3. Haz clic en + Agregar y selecciona Agregar asignación de roles.

   

4. Para agregar una asignación de roles, proporciona valores para los siguientes campos:

   • Rol: selecciona Propietario en la lista desplegable. Este rol permite la administración de todo, incluido el acceso a los recursos.
   • Asignar acceso a: selecciona Usuario, grupo o entidad de servicio de Azure AD.
   • Seleccionar: proporciona el nombre de la aplicación registrada creada anteriormente y selecciona la entrada correspondiente cuando aparezca.

5. Haz clic en Guardar.

   

Por último, debes obtener el ID de suscripción para la cuenta de Azure. Puedes identificar tu ID de suscripción buscando Suscripciones en el portal de Azure.

Una vez que hayas creado la Virtual WAN, inicia sesión en SD-WAN Center UI > Configuración > Azure > Virtual WAN.

Selecciona dos sitios diferentes e inicia la implementación. Una vez implementados los sitios, puedes asociar ambos sitios a dos concentradores diferentes.

NOTA: De forma predeterminada, la comunicación de sucursal a sucursal y BGP están deshabilitados. Puedes crear una ruta estática o habilitar BGP (en Configuración) y la conectividad de sucursal a sucursal.

Habilita la casilla de verificación BGP y de sucursal a sucursal e implementa los túneles. Una vez que los túneles se hayan implementado correctamente, puedes verificar el estado en Microsoft Azure > Grupos de recursos > selecciona el grupo de recursos que creaste y haz clic en Sitios VPN.