- Autor
Christian Espinoza
christian.espinoza@eigocorp.com
Introducción.
Finalmente, una vez implementada la solución de conexión Site-to-Site entre nuestros dispositivos on-premises y la Virtual Network en Azure, sólo nos queda verificar la operatividad de la solución. Para ello en este último artículo de la serie Conexión Site-to-Site de Alta Disponibilidad, introduciremos algunas de las tareas básicas para la verificación de la operatividad de la solución implementada.
Tareas de Verificación – Infraestructura Azure.
Las tareas del lado de los recursos definidos en Azure para la conexión Site-to-Site, inician por la verificación de las conexiones y las rutas. Las tareas que vamos a introducir son las siguientes:
- Verificar el estado de las conexiones.
- Verificar las rutas publicadas por la Virtual Network Gateway.
- Verificar las rutas aprendidas por la Virtual Network Gateway.
- Verificar el estado de los BGP Peers.
Verificar Estado de las Conexiones.
El primer paso es verificar el estado de las conexiones, es decir, el vínculo entre la Virtual Network Gateway y cada una de los Local Network Gateways. Para ello, una de las vías es navegar hacia el listado de las conexiones, en las propiedades de la Virtual Network Gateway, tal como se muestra en la Figura 1.
Figura 1.- Conexiones
Otra manera de verificar esto es con el cmdlet Get-AzVirtualNetworkGatewayConnection, donde debemos especificar el nombre de la conexión y el Grupo de Recursos al que pertenece, para obtener así sus características y el estado en el que se encuentra. Un ejemplo de la sintaxis básica se muestra a continuación:
Get-AzVirtualNetworkGatewayConnection -Name Conn01
-ResourceGroupName AZ-Ifraesrtuctura_RG
Por supuesto, su estado debe aparecer como
Connected en cualquiera de los dos métodos. En caso de no ser así, pasaremos a las recomendaciones de la sección de Troubleshooting.
Verificación de las Rutas publicadas por la Virtual Network Gateway.
Para esta labor utilizamos el cmdlet PowerShell
Get-AzVirtualNetworkGatewayAdvertisedRoute. Este cmdlet utiliza como parámetros el nombre de la Virtual Network Gateway, el Grupo de Recursos al que pertenece, y la dirección BGP Peer del dispositivo VPN. A continuación, un ejemplo de la sintaxis básica de este cmdlet:
Get-AzVirtualNetworkGatewayAdvertisedRoute -VirtualNetworkGatewayName VPN-Gateway
-ResourceGroupName AZ_Infraestructura_RG
-Peer 200.51.X.Z
Verificación de las Rutas recibidas por la Virtual Network Gateway.
Ahora bien, las rutas aprendidas por la Virtual Network Gateway se pueden visualizar ejecutando el cmdlet
Get-AzVirtualNetworkGatewayLearnedRoute. La sintaxis básica es la siguiente:Get-AzVirtualNetworkGatewayLearnedRoute -VirtualNetworkGatewayName VPN-Gateway
-ResourceGroupName AZ_Infraestructura_RG
Verificación del Estatus de los BGP Peers de la Virtual Network Gateway.
Otro comando útil para la verificación de las operaciones es el cmdlet de PowerShell
Get-AzureRmVirtualNetworkGatewayBGPPeerStatus. Este cmdlet lista los BGP Peers conocidos por la Virtual Network Gateway, así como su estatus. A continuación, un ejemplo de su sintaxis.
Get-AzVirtualNetworkGatewayBgpPeerStatus -VirtualNetworkGatewayName VPN-Gateway
-ResourceGroupName AZ_Infraestructura_RG
Tareas de Verificación – Dispositivos On-Premises.
Del lado on-premises, la verificación del estado de las conexiones, en este caso de los túneles VPN, dependerá por supuesto del fabricante del dispositivo, así como de las herramientas e interfaces particulares. Aún así, las tareas de verificación siguen siendo las mismas y para muestra, en la Figura 2 se presenta la interfaz web de administración de un dispositivo FortiGate. En este ejemplo, se muestra la página
IPSec Monitor donde se listan los túneles VPN configurados en el dispositivo. Acá podríamos ver el estatus de las conexiones y levantarlas en caso de ser necesario.
Figura 2.- Ejemplo interfaz de conexiones en el dispositivo on-premises.
Otro paso involucrado en la verificación de los dispositivos VPN on-premises, es la inspección de las tablas de enrutamiento, de manera de revisar si las rutas publicadas por la Virtual Network Gateway a través de las conexiones definidas, están siendo aprendidas por el dispositivo VPN on-premises. En el ejemplo del dispositivo FortiGate, se muestra la interfaz web de administración, en el área
Routing Monitor, donde podemos ver una muestra de las rutas conocidas por el dispositivo.
Siguiendo con el empleo del dispositivo FortiGate, en caso de requerirse la verificación de eventos relacionados con los túneles VPN, como en todo proceso de troubleshooting, los logs de eventos son el punto de partida. En la Figura 3 podemos ver la interfaz web de administración del dispositivo FortiGate, con un ejmeplo de los eventos para una conexión VPN en la opción Log & Report -> VPN Events.
Figura 3.- Ejemplo de interfaz para visualizar rutas en dispositivo on-premises.
Tareas de Troubleshooting.
En caso que encontremos algún evento que indique que las cosas no están funcionando como esperamos, algunas de las tareas que podemos ejecutar son las siguientes:
- Verificar que el tipo de VPN seleccionado al momento de crear la Virtual Network Gateway es Route-Based.
- Verificar que el dispositivo VPN on-premises, así como el sistema operativo que utiliza, han sido validados por Microsoft. De no ser así, será necesario contactar al fabricante para requerir soporte. De hecho, este es uno de los prerrequisitos que se discutieron en la Parte 3 de esta serie.
- Verificar las Claves Compartidas tanto en las Conexiones definidas en Azure, como en los túneles definidos en los dispositivos on-premises.
- Verificar que las Direcciones IP Públicas de los dispositivos VPN on-site correspondan con las configuradas en las Local Netwrok Gateways.
Estas y otras tareas de verificación las podemos detallar en el siguiente enlace:
Conclusión.
De esta manera, hemos descrito a lo largo de esta serie las actividades involucradas en la creación de una Conexión Site-to-Site entre una Virtual Network Gateway en modo Active-Active y dispositivos VPN on-premises.
Espero que esta serie de artículos les haya sido de utilidad. Si quieres aprender más sobre Infraestructura como Servicio (IaaS) en Microsoft Azure o estás interesado en desarrollos y/o implementaciones en cualquier de sus ofertas de servicios por favor visita nuestros web sites para obtener información de nuestro portafolio de servicios y de nuestras propuestas de capacitación.
_____________________________________________________________________________________________________________________________________