Conexiones de red

Introducción

En este artículo se proporcionan detalles sobre varios casos de implementación cuando se usa una suscripción a Azure administrado por Citrix.

Al crear un catálogo, debe indicar si los usuarios acceden a las ubicaciones y los recursos de su red local corporativa desde sus escritorios y aplicaciones Citrix DaaS Standard para Azure (anteriormente Citrix Virtual Apps and Desktops Standard para Azure) y cómo lo hacen.

Al utilizar una suscripción de Azure administrado por Citrix, las opciones son las siguientes:

Al usar una de sus propias suscripciones de Azure administradas por el cliente, no es necesario crear una conexión a Citrix DaaS para Azure. Solo tiene que agregar la suscripción de Azure a Citrix DaaS para Azure.

El tipo de conexión de un catálogo no se puede cambiar después de crearlo.

Requisitos para todas las conexiones de red

  • Al crear una conexión, debe tener entradas de servidor DNS válidas.
  • Al usar DNS seguro o un proveedor de DNS de terceros, debe agregar el rango de direcciones asignado para que lo use Citrix DaaS para Azure a las direcciones IP del proveedor de DNS en la lista de permitidos. Ese intervalo de direcciones se especifica al crear una conexión.
  • Todos los recursos del servicio que utilizan la conexión (máquinas unidas a un dominio) deben poder llegar al servidor NTP para garantizar la sincronización horaria.

Sin conectividad

Cuando un catálogo se configura como Sin conectividad, los usuarios no pueden acceder a los recursos de sus redes locales o de otras redes. Esta es la única opción para crear un catálogo mediante creación rápida.

Sin conectividad a otras redes

Acerca de las conexiones de emparejamiento de redes virtuales de Azure

La interconexión de redes virtuales conecta sin problemas dos redes virtuales de Azure (VNet): la suya y la de Citrix DaaS para Azure VNet. El emparejamiento también permite a los usuarios acceder a archivos y otros elementos de las redes locales.

Como se muestra en el siguiente gráfico, se crea una conexión mediante el emparejamiento de redes virtuales de Azure desde la suscripción de Azure administrado por Citrix a la red virtual de la suscripción a Azure de su empresa.

Caso de implementación con red local del cliente

Esta es otra ilustración del emparejamiento de redes virtuales.

Diagrama de emparejamiento de redes virtuales

Los usuarios pueden acceder a sus recursos de red locales (como los servidores de archivos) uniéndose al dominio local al crear un catálogo. (Es decir, usted une al dominio de AD donde residen los recursos compartidos de archivos y otros recursos necesarios). Su suscripción a Azure se conecta a esos recursos (en los gráficos, mediante una VPN o Azure ExpressRoute). Al crear el catálogo, proporciona el dominio, la unidad organizativa y las credenciales de cuenta.

Importante:

  • Obtenga información sobre la interconexión de VNet antes de utilizarla en Citrix DaaS para Azure.
  • Cree una conexión de emparejamiento de redes virtuales antes de crear un catálogo que la utilice.

Rutas personalizadas de emparejamiento de redes virtuales de Azure

Las rutas personalizadas o definidas por el usuario invalidan las rutas de sistema predeterminadas de Azure para dirigir el tráfico entre máquinas virtuales en un emparejamiento de redes virtuales, redes locales e Internet. Puede usar rutas personalizadas si hay redes a las que se espera que accedan los recursos de Citrix DaaS para Azure, pero que no están conectadas directamente a través de la interconexión de VNet. Por ejemplo, podría crear una ruta personalizada que fuerce el tráfico a través de un dispositivo de red hacia Internet o hacia una subred de red local.

Para utilizar rutas personalizadas:

  • Debe tener una puerta de enlace de red virtual de Azure existente o un dispositivo de red como Citrix SD-WAN en su entorno de Citrix DaaS para Azure.
  • Cuando agrega rutas personalizadas, debe actualizar las tablas de rutas de su empresa con la información de la VNet de destino de Citrix DaaS para Azure para garantizar la conectividad de extremo a extremo.
  • Las rutas personalizadas se muestran en Citrix DaaS para Azure en el orden en que se introducen. Este orden de presentación no afecta al orden en que Azure selecciona las rutas.

Antes de utilizar rutas personalizadas, revise el artículo Enrutamiento del tráfico de redes virtuales de Microsoft para obtener información sobre el uso de rutas personalizadas, los tipos de próximo salto y cómo selecciona Azure las rutas para el tráfico de salida.

Puede agregar rutas personalizadas al crear una conexión de pares de Azure VNet o a las existentes en su entorno de Citrix DaaS para Azure. Cuando esté listo para utilizar rutas personalizadas con el emparejamiento de redes virtuales, consulte las siguientes secciones de este artículo:

Requisitos y preparación del emparejamiento de redes virtuales de Azure

  • Credenciales del propietario de una suscripción de Azure Resource Manager. Debe ser una cuenta de Azure Active Directory. Citrix DaaS para Azure no admite otros tipos de cuentas, como live.com o cuentas externas de Azure AD (en un arrendatario diferente).
  • Una suscripción de Azure, un grupo de recursos y una red virtual (VNet).
  • Configure las rutas de red de Azure para que los VDA de la suscripción a Azure administrado por Citrix puedan comunicar con sus ubicaciones de red.
  • Abra los grupos de seguridad de red de Azure desde su red virtual al intervalo de direcciones IP especificado.
  • Active Directory: Para los casos en que se haya unido a un dominio, se recomienda tener algún tipo de servicios de Active Directory activo en la red virtual interconectada. Esto aprovecha las funciones de baja latencia de la tecnología de emparejamiento de redes virtuales de Azure.

    Por ejemplo, la configuración podría incluir Azure Active Directory Domain Services (AADDS), una máquina virtual de controlador de dominio en la red virtual o Azure AD Connect a Active Directory local.

    Después de habilitar AADDS, no podrá mover el dominio administrado a otra red virtual sin eliminar el dominio administrado. Por lo tanto, es importante seleccionar la red virtual correcta para habilitar el dominio administrado. Antes de continuar, revise el artículo de Microsoft Networking considerations para Azure AD Domain Services.

  • Intervalo de direcciones IP de la red virtual: Al crear la conexión, debe proporcionar un espacio de direcciones CIDR disponible (dirección IP y prefijo de red) que sea exclusivo entre los recursos de red y las redes virtuales de Azure que se están conectando. Este es el rango de IP asignado a las máquinas virtuales dentro de la VNet pareada de Citrix DaaS para Azure.

    Asegúrese de especificar un intervalo de direcciones IP que no se superponga a ninguna dirección que utilice en redes de Azure y locales.

    • Por ejemplo, si la VNet de Azure tiene un espacio de direcciones de 10.0.0.0 /16, cree la conexión de pares de VNet en Citrix DaaS para Azure como 192.168.0.0 /24.

    • En este ejemplo, crear una conexión de emparejamiento con un intervalo de direcciones IP 10.0.0.0 /24 se consideraría un intervalo de direcciones superpuesto.

    Si las direcciones se superponen, es posible que la conexión de emparejamiento de redes virtuales no se cree correctamente. Tampoco funcionará correctamente para las tareas de administración del sitio.

Para obtener más información sobre el emparejamiento de redes virtuales, consulte los siguientes artículos de Microsoft.

Crear una conexión de emparejamiento de redes virtuales de Azure

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha. Si ya ha configurado conexiones, aparecerán en la lista.

    Lista de conexiones

  2. Haga clic en Agregar conexión.
  3. Haga clic en cualquier parte del cuadro Agregar emparejamiento de redes virtuales de Azure.

    Agregar conexión de emparejamiento de redes virtuales

  4. Haga clic en Autenticar cuenta Azure.

    Autenticar la suscripción de Azure

  5. Citrix DaaS para Azure lo lleva automáticamente a la página de inicio de sesión de Azure para autenticar sus suscripciones de Azure. Después de iniciar sesión en Azure (con las credenciales de la cuenta de administrador global) y aceptar los términos, volverá al cuadro de diálogo de detalles de creación de conexiones.

    Campos de creación de conexiones de emparejamiento de redes virtuales

  6. Escriba un nombre para el par de redes virtuales de Azure.
  7. Seleccione la suscripción de Azure, el grupo de recursos y la red virtual que quiere emparejar.
  8. Indique si la red virtual seleccionada utiliza Azure Virtual Network Gateway. Para obtener información, consulte el artículo de Microsoft Azure VPN Gateway.
  9. Si respondió en el paso anterior (la red virtual seleccionada utiliza una puerta de enlace de red virtual de Azure), indique si quiere habilitar la propagación de rutas de puerta de enlace de red virtual. Cuando está habilitada, Azure aprende (agrega) automáticamente todas las rutas a través de la puerta de enlace.

    Puede cambiar esta configuración más adelante en la página Detalles de la conexión. Sin embargo, cambiarlo puede provocar cambios en el patrón de redirección e interrupciones del tráfico del VDA. Además, si lo inhabilita más adelante, debe agregar manualmente las rutas a las redes que utilizarán los VDA.

  10. Escriba una dirección IP y seleccione una máscara de red. Se muestra el intervalo de direcciones que se va a utilizar y cuántas direcciones admite el intervalo. Asegúrese de que el intervalo IP no se superponga a ninguna dirección que utilice en las redes locales y de Azure.

    • Por ejemplo, si su red virtual de Azure tiene un espacio de direcciones de 10.0.0.0 /16, cree la conexión de emparejamiento de redes virtuales en Citrix Virtual Apps and Desktops Standard como algo como 192.168.0.0 /24.
    • En este ejemplo, crear una conexión de emparejamiento de redes virtuales con un intervalo de direcciones IP 10.0.0.0 /24 se consideraría un intervalo de direcciones superpuesto.

    Si las direcciones se superponen, es posible que la conexión de emparejamiento de redes virtuales no se cree correctamente. Tampoco funcionará correctamente para las tareas de administración del sitio.

  11. Indique si quiere agregar rutas personalizadas a la conexión de emparejamiento de redes virtuales. Si selecciona , introduzca la siguiente información:
    1. Escriba un nombre descriptivo para la ruta personalizada.
    2. Introduzca la dirección IP de destino y el prefijo de red. El prefijo de red debe estar entre 16 y 24.
    3. Seleccione un tipo de próximo salto para la ubicación a la que quiere que se redirija el tráfico. Si selecciona Dispositivo virtual, introduzca la dirección IP interna del dispositivo.

      Campos para creación de rutas personalizadas

      Para obtener más información sobre los tipos de salto siguiente, consulte Rutas personalizadas en el artículo de Microsoft Enrutamiento del tráfico de red virtual.

    4. Haga clic en Agregar ruta para crear otra ruta personalizada para la conexión.
  12. Haga clic en Agregar emparejamiento de red virtual.

Una vez creada la conexión, aparecerá en Conexiones de red > Pares de redes virtuales de Azure, en la parte derecha del panel de mandos Administrar > Distribución rápida de Azure. Al crear un catálogo, esta conexión se incluye en la lista de conexiones de red disponibles.

Ver detalles de la conexión de emparejamiento de redes virtuales de Azure

Detalles de la conexión de emparejamiento de redes virtuales

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. Seleccione la conexión de emparejamiento de redes virtuales de Azure que quiere mostrar.

Los detalles incluyen:

  • El número de catálogos, máquinas, imágenes y bastiones que utilizan esta conexión.
  • La región, el espacio de red asignado y las redes virtuales interconectadas.
  • Las rutas configuradas actualmente para la conexión de emparejamiento de redes virtuales.

Administrar rutas personalizadas para conexiones de pares de Azure vNet existentes

Puede agregar nuevas rutas personalizadas a una conexión o modificar las rutas personalizadas ya existentes, incluido inhabilitar o eliminar rutas personalizadas.

Importante:

Modificar, inhabilitar o eliminar rutas personalizadas cambia el flujo de tráfico de la conexión y podría interrumpir cualquier sesión de usuario que esté activa.

Para agregar una ruta personalizada:

  1. Desde los detalles de conexión de emparejamiento de redes virtuales, seleccione Rutas y, a continuación, haga clic en Agregar ruta.
  2. Introduzca un nombre descriptivo, la dirección IP de destino y el prefijo, y el tipo de próximo salto que quiere utilizar. Si selecciona Dispositivo virtual como tipo de próximo salto, introduzca la dirección IP interna del dispositivo.
  3. Indique si quiere habilitar la ruta personalizada. De forma predeterminada, la ruta personalizada está habilitada.
  4. Haga clic en Agregar ruta.

Para modificar o inhabilitar una ruta personalizada:

  1. En los detalles de la conexión de emparejamiento de redes virtuales, seleccione Rutas y, a continuación, busque la ruta personalizada que quiere administrar.
  2. En el menú de puntos suspensivos, seleccione Modificar.

    Ficha Rutas de la página de detalles de emparejamiento de redes virtuales

  3. Haga los cambios necesarios en el prefijo y la dirección IP de destino o en el tipo de próximo salto, según sea necesario.
  4. Para habilitar o inhabilitar una ruta personalizada, en ¿Habilitar esta ruta?, seleccione o No.
  5. Haz clic en Guardar.

Para eliminar una ruta personalizada:

  1. En los detalles de la conexión de emparejamiento de redes virtuales, seleccione Rutas y, a continuación, busque la ruta personalizada que quiere administrar.
  2. En el menú de puntos suspensivos, seleccione Eliminar.
  3. Seleccione El hecho de eliminar rutas puede interrumpir sesiones activas para aceptar el impacto que puede tener eliminar la ruta personalizada.
  4. Haga clic en Eliminar ruta.

Eliminar una conexión de emparejamiento de redes virtuales de Azure

Antes de poder eliminar un emparejamiento de redes virtuales de Azure, quite todos los catálogos asociados a él. Consulte Eliminar un catálogo.

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. Seleccione la conexión que quiere eliminar.
  3. Desde los detalles de la conexión, haga clic en Eliminar conexión.

Acerca de las conexiones SD-WAN

Importante:

Citrix SD-WAN ha quedado obsoleto y todo el contenido relacionado se eliminará de la documentación en una versión futura. Le recomendamos que cambie a soluciones de red alternativas para garantizar un acceso ininterrumpido a los servicios de Citrix.

Citrix SD-WAN optimiza todas las conexiones de red que necesita Citrix Virtual Apps and Desktops Standard para Azure. Trabajando en conjunto con las tecnologías HDX, Citrix SD-WAN proporciona calidad de servicio y fiabilidad de conexión para el tráfico ICA y fuera de banda de Citrix Virtual Apps and Desktops Standard. Citrix SD-WAN admite las siguientes conexiones de red:

  • Conexión ICA multisecuencia entre los usuarios y sus escritorios virtuales
  • Acceso a Internet desde el escritorio virtual a sitios web, aplicaciones SaaS y otras propiedades en la nube
  • Acceso desde el escritorio virtual a recursos locales como Active Directory, servidores de archivos y servidores de bases de datos
  • Tráfico interactivo o en tiempo real transferido por RTP desde el motor de medios de la aplicación Workspace a servicios de comunicación unificada alojados en la nube, como Microsoft Teams
  • Obtención del lado del cliente de vídeos de sitios como YouTube y Vimeo

Como se muestra en el siguiente gráfico, crea una conexión SD-WAN desde la suscripción de Azure administrado por Citrix a sus sitios. Durante la creación de la conexión, se crean dispositivos VPX SD-WAN en la suscripción de Azure administrado por Citrix. Desde la perspectiva de SD-WAN, esa ubicación se trata como una sucursal.

Conexiones SD-WAN

Requisitos de conexión SD-WAN y preparación

  • Si no se cumplen los siguientes requisitos, la opción de conexión de red SD-WAN no está disponible.

    • Derechos de Citrix Cloud: Citrix Virtual Apps and Desktops Standard para Azure y SD-WAN Orchestrator.
    • Implementación de SD-WAN instalada y configurada. La implementación debe incluir un nodo de control maestro (MCN), ya sea en la nube o local, y administrarse con SD-WAN Orchestrator.
  • Intervalo de direcciones IP de redes virtuales: Proporcione un espacio de direcciones CIDR disponible (dirección IP y prefijo de red) único entre los recursos de red que se conectan. Este es el intervalo de direcciones IP asignado a las máquinas virtuales dentro de la red virtual de Citrix Virtual Apps and Desktops Standard.

    Asegúrese de especificar un intervalo de IP que no se superponga a ninguna dirección que utilice en la nube y las redes locales.

    • Por ejemplo, si la red tiene un espacio de direcciones de 10.0.0.0 /16, cree la conexión en Citrix Virtual Apps and Desktops Standard como algo como 192.168.0.0 /24.
    • En este ejemplo, la creación de una conexión con un intervalo IP 10.0.0.0 /24 se consideraría un intervalo de direcciones superpuesto.

    Si las direcciones se superponen, es posible que la conexión no se cree correctamente. Tampoco funcionará correctamente para las tareas de administración del sitio.

  • El proceso de configuración de la conexión incluye tareas que usted (el administrador de Citrix DaaS para Azure) y el administrador de SD-WAN Orchestrator deben completar. Además, para completar sus tareas, necesita información proporcionada por el administrador de SD-WAN Orchestrator.

    Antes de crear una conexión real, se recomienda que ambos revisen las instrucciones indicadas en este documento, además de la documentación de SD-WAN.

Crear una conexión SD-WAN

Importante:

Para obtener más información sobre la configuración de SD-WAN, consulte Configuración de SD-WAN para la integración de Citrix Virtual Apps and Desktops Standard para Azure.

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. Haga clic en Agregar conexión.
  3. En la página Agregar una conexión de red, haga clic en cualquier parte del cuadro SD-WAN.
  4. En la página siguiente se resume lo que viene a continuación. Cuando termines de leer, haga clic en Iniciar configuración de SD-WAN.
  5. En la página Configurar SD-WAN, introduzca la información proporcionada por el administrador de SD-WAN Orchestrator.

    • Modo de implementación: Si selecciona Alta disponibilidad, se crean dos dispositivos VPX (recomendado para entornos de producción). Si selecciona Independiente, se crea un dispositivo. No se puede cambiar esta configuración más adelante. Para cambiar al modo de implementación, tendrá que eliminar y volver a crear la sucursal y todos los catálogos asociados.
    • Nombre: Escriba un nombre para el sitio de SD-WAN.
    • Rendimiento y cantidad de oficinas: Esta información la proporciona el administrador de SD-WAN Orchestrator.
    • Región: La región en la que se crearán los dispositivos VPX.
    • Subred VDA y subred SD-WAN: Esta información la proporciona el administrador de SD-WAN Orchestrator. Consulte Requisitos de conexión SD-WAN y preparación para obtener información sobre cómo evitar conflictos.
  6. Cuando haya terminado, haga clic en Crear sucursal.
  7. En la página siguiente se resume lo que debe buscar en el panel de mandos Administrar > Distribución rápida de Azure. Cuando termines de leer, haga clic en Entendido.
  8. En el panel de mandos Administrar > Distribución rápida de Azure, la nueva entrada SD-WAN en Conexiones de red muestra el progreso del proceso de configuración. Cuando la entrada se vuelve naranja con el mensaje Esperando la activación por parte del administrador de SD-WAN, notifíquelo al administradorde SD-WAN Orchestrator.
  9. Para las tareas del administrador de SD-WAN Orchestrator, consulte la documentación del productoSD-WAN Orchestrator.
  10. Cuando el administrador de SD-WAN Orchestrator finaliza, la entrada SD-WAN en Conexiones de red se vuelve verde, con el mensaje Puede crear catálogos con esta conexión.

Ver detalles de conexión SD-WAN

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. Seleccione SD-WAN si no es la única opción.
  3. Haga clic en la conexión que deseas mostrar.

La pantalla incluye:

  • Ficha Detalles: Información especificada al configurar la conexión.
  • Ficha Conectividad de sucursales: Nombre, conectividad en la nube, disponibilidad, nivel de ancho de banda, rol y ubicación para cada sucursal y MCN.

Eliminar una conexión de SD-WAN

Antes de poder eliminar una conexión de SD-WAN, elimine los catálogos asociados a ella. Consulte Eliminar un catálogo.

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. Seleccione SD-WAN si no es la única opción.
  3. Haga clic en la conexión que quiere eliminar para ampliar sus detalles.
  4. En la ficha Detalles, haga clic en Eliminar conexión.
  5. Confirme la eliminación.

Vista previa técnica de Azure VPN

La función Azure VPN está disponible para obtener una vista previa técnica.

Acerca de Azure conexiones de puerta de enlace

Una conexión de puerta de enlace de VPN de Azure proporciona un enlace de comunicación entre los VDA de Azure administrados por Citrix (escritorios y aplicaciones) y los recursos de su empresa, como redes locales o recursos en otras ubicaciones en la nube. Esto es similar a configurar y conectarse a una sucursal remota.

La conectividad segura utiliza los protocolos estándar de la industria Seguridad de protocolo de Internet (IPSec) e Intercambio de claves de Internet (IKE).

Durante el proceso de creación de la conexión:

  • Proporciona la información que Citrix usa para crear la puerta de enlace y la conexión.

  • Citrix crea una puerta de enlace VPN de Azure basada en rutas de sitio a sitio. La puerta de enlace de VPN forma un túnel de seguridad de protocolo de Internet (IPSec) directo entre la suscripción de Azure administrada por Citrix y el dispositivo host de la VPN.

  • Después de que Citrix cree la puerta de enlace y la conexión de Azure VPN, debe actualizar la configuración de la VPN, las reglas de firewall y las tablas de enrutamiento. Para este proceso, utilice una dirección IP pública que proporciona Citrix y una clave previamente compartida (PSK) que proporcionó para crear la conexión.

Un ejemplo de conexión se ilustra en Crear una conexión de puerta de enlace de VPN de Azure.

No necesita su propia suscripción de Azure para crear este tipo de conexión.

También puede utilizar rutas personalizadas con este tipo de conexión.

Rutas Azure de puerta de enlace de VPN

Las rutas personalizadas o definidas por el usuario anulan las rutas predeterminadas del sistema para dirigir el tráfico entre las máquinas virtuales de las redes e Internet. Puede usar rutas personalizadas si hay redes a las que se espera que accedan los recursos de Citrix Virtual Apps and Desktops Standard, pero no están conectadas directamente a través de una puerta de enlace de VPN de Azure. Por ejemplo, podría crear una ruta personalizada que fuerce el tráfico a través de un dispositivo de red hacia Internet o hacia una subred de red local.

Cuando agrega rutas personalizadas a una conexión, esas rutas se aplican a todas las máquinas que usan esa conexión.

Para utilizar rutas personalizadas:

  • Debe tener una puerta de enlace de red virtual existente o un dispositivo de red como Citrix SD-WAN en el entorno de Citrix Virtual Apps and Desktops Standard.
  • Cuando agrega rutas personalizadas, debe actualizar las tablas de rutas de su empresa con la información de la VPN de destino para garantizar la conectividad de extremo a extremo.
  • Las rutas personalizadas se muestran en la ficha Conexión > Rutas en el orden en que se introducen. Este orden de visualización no afecta al orden en que se seleccionan las rutas.

Antes de utilizar rutas personalizadas, revise el artículo Enrutamiento del tráfico de redes virtuales de Microsoft para obtener información sobre el uso de rutas personalizadas, los tipos de próximo salto y cómo selecciona Azure las rutas para el tráfico de salida.

Puede agregar rutas personalizadas al crear una conexión de puerta de enlace de VPN de Azure o a conexiones existentes en su entorno de servicio.

Requisitos y preparación de la conexión de Azure VPN Gateway

  • Para obtener más información sobre Azure VPN Gateway, consulte el artículo de Microsoft ¿Qué es VPN Gateway?

  • Revise los requisitos de todas las conexiones de red.

  • Debe tener una VPN configurada. La red virtual debe poder enviar y recibir tráfico a través de la puerta de enlace VPN. Una red virtual no se puede asociar a más de una puerta de enlace de red virtual.

  • Debe tener un dispositivo IPSec que tenga una dirección IP pública. Para obtener información sobre los dispositivos VPN validados, consulte el artículo de Microsoft Acerca de los dispositivos VPN.

  • Revise el procedimiento Crear una conexión de Azure VPN Gateway antes de iniciarlo, de modo que pueda recopilar la información que necesita. Por ejemplo, necesitará direcciones permitidas en su red, intervalos de IP para los VDA y la puerta de enlace, el nivel de rendimiento y rendimiento deseados y las direcciones del servidor DNS.

Crear una conexión de puerta de enlace de Azure

Asegúrese de revisar este procedimiento antes de iniciarlo.

El siguiente diagrama muestra un ejemplo de configuración de una conexión de puerta de enlace de VPN de Azure. En general, Citrix administra los recursos en el lado izquierdo del diagrama y usted administra los recursos en el lado derecho. Algunas descripciones del siguiente procedimiento incluyen referencias a los ejemplos del diagrama.

Diagrama de conexión de Azure VPN Gateway

  1. En el panel Administrar de Citrix DaaS para Azure, expanda Conexiones de red a la derecha.

  2. Haga clic en Agregar conexión.

  3. Haga clic en cualquier parte del cuadro Azure VPN Gateway.

  4. Revise la información en la página Agregar conexión VPN y, a continuación, haga clic en Iniciar configuración de VPN.

  5. En la página Agregar una conexión, proporcione la siguiente información.

    • Nombre: Un nombre para la conexión (en el diagrama, el nombre es TestVPNGW1).

    • Dirección IP de VPN: su dirección IP pública.

      En el diagrama, la dirección es 40.71.184.214.

    • Redes permitidas: uno o más rangos de direcciones a los que el servicio Citrix puede acceder en su red. Por lo general, este rango de direcciones contiene los recursos a los que los usuarios necesitan acceder, como los servidores de archivos.

      Para agregar más de un rango, haga clic en Agregar más direcciones IP e introduzca un valor. Repita según sea necesario.

      En el diagrama, el rango de direcciones es 192.168.3.0/24.

    • Clave previamente compartida: un valor que utilizan ambos extremos de la VPN para la autenticación (similar a una contraseña). Tú decides cuál es este valor. Asegúrese de anotar el valor. Lo necesitará más adelante cuando configure su VPN con la información de conexión.

    • Rendimiento y rendimiento: el nivel de ancho de banda que se debe utilizar cuando los usuarios acceden a los recursos de la red.

      Todas las opciones no son necesariamente compatibles con el Protocolo de puerta de enlace fronterizo (BGP). En esos casos, los campos de configuración de BCP no están disponibles.

    • Región: región de Azure en la que Citrix implementa máquinas que entregan escritorios y aplicaciones (VDA), al crear catálogos que usan esta conexión. No puede cambiar esta selección después de crear la conexión. Si más adelante decide usar una región diferente, debe crear o usar otra conexión que especifique la región deseada.

      En el diagrama, la región es EastUS.

    • Modo activo-activo (alta disponibilidad): indica si se crean dos puertas de enlace VPN para alta disponibilidad. Cuando este modo está habilitado, solo hay una puerta de enlace activa a la vez. Obtenga información sobre la puerta de enlace VPN de Azure activa-activa en el documento de Microsoft Conectividad entre instalaciones de alta disponibilidad.

    • Configuración de BGP: (Disponible solo si el rendimiento y el rendimiento seleccionados admiten BGP). Si se debe usar el Protocolo de puerta de enlace fronterizo (BGP). Obtenga más información sobre BGP en el documento de Microsoft: Acerca de BGP con Azure VPN Gateway. Si habilita BGP, proporcione la siguiente información:

      • Número de sistema autónomo (ASN): a las puertas de enlace de red virtual de Azure se les asigna un ASN predeterminado de 65515. Una conexión habilitada para BGP entre dos puertas de enlace de red requiere que sus ASN sean diferentes. Si es necesario, puede cambiar el ASN ahora o después de crear la puerta de enlace.

      • DirecciónIP de interconexión de IP BGP: Azure admite IP de BGP en el rango 169.254.21.x hasta 169.254.22.x.

    • Subred de VDA: rango de direcciones en el que residirán los VDA de Citrix (máquinas que entregan escritorios y aplicaciones) y Cloud Connectors cuando cree un catálogo que utilice esta conexión. Después de introducir una dirección IP y seleccionar una máscara de red, se muestra el rango de direcciones, además del número de direcciones que admite el rango.

      Si bien este rango de direcciones se mantiene en la suscripción de Azure administrada por Citrix, funciona como si fuera una extensión de la red.

      • El rango de IP no debe superponerse a ninguna dirección que utilice en sus redes locales u otras redes en la nube. Si las direcciones se superponen, es posible que la conexión no se cree correctamente. Además, una dirección superpuesta no funcionará correctamente para las tareas de administración del sitio.

      • El rango de subredes del VDA debe ser diferente de la dirección de subred de la puerta de enlace.

      • No puede cambiar este valor después de crear la conexión. Para usar un valor diferente, cree otra conexión.

      En el diagrama, la subred del VDA es 10.11.0.0/16.

    • Subred de puerta de enlace: el rango de direcciones en el que residirá la puerta de enlace de Azure VPN cuando cree un catálogo que use esta conexión.

      • El rango de IP no debe superponerse a ninguna dirección que utilice en sus redes locales u otras redes en la nube. Si las direcciones se superponen, es posible que la conexión no se cree correctamente. Además, una dirección superpuesta no funcionará correctamente para las tareas de administración del sitio.

      • El rango de subredes de la puerta de enlace debe ser diferente de la dirección de subred del VDA.

      • No puede cambiar este valor después de crear la conexión. Para usar un valor diferente, cree otra conexión.

      En el diagrama, la subred de puerta de enlace es 10.12.0.9/16.

    • Rutas: Indique si quiere agregar rutas personalizadas a la conexión. Si quiere agregar rutas personalizadas, proporcione la siguiente información:

      • Escriba un nombre descriptivo para la ruta personalizada.

      • Introduzca la dirección IP de destino y el prefijo de red. El prefijo de red debe estar entre 16 y 24.

      • Seleccione un tipo de próximo salto para la ubicación a la que quiere que se redirija el tráfico. Si selecciona Dispositivo **virtual, introduzca la dirección IP interna del dispositivo. Para obtener más información sobre los tipos de salto siguiente, consulte Rutas personalizadas en el artículo de Microsoft Enrutamiento del tráfico de red virtual.

    Para agregar más de una ruta, haga clic en Agregar ruta e introduzca la información solicitada.

    • Servidores DNS: introduzca las direcciones de sus servidores DNS e indique el servidor preferido. Aunque puede cambiar las entradas del servidor DNS más adelante, tenga en cuenta que cambiarlas puede provocar problemas de conectividad en las máquinas de los catálogos que usan esta conexión.

      Para agregar más de dos direcciones de servidor DNS, haga clic en Agregar DNS alternativo y, a continuación, introduzca la información solicitada.

  6. Haga clic en Crear conexión VPN.

Una vez que Citrix crea la conexión, aparece en Conexiones de red > Azure VPN Gateway en el panel Administrar de Citrix DaaS para Azure. La tarjeta de conexión contiene una dirección IP pública. (En el diagrama, la dirección es 131.1.1.1).

  • Use esta dirección (y la clave previamente compartida que especificó al crear la conexión) para configurar su VPN y sus firewalls. Si olvidó su clave previamente compartida, puede cambiarla en la página Detalles de la conexión. Necesitará la nueva clave para configurar su extremo de la puerta de enlace de VPN.

    Por ejemplo, permita excepciones en el firewall para los rangos de direcciones IP de subred de puerta de enlace y VDA que configuró.

  • Actualice las tablas de rutas de su empresa con la información de conexión de Azure VPN Gateway para garantizar una conectividad de extremo a extremo.

    En el diagrama, se requieren nuevas rutas para el tráfico que va de 192.168.3.0/24 a 10.11.0.0/16 y 10.12.0.9/16 (las subredes de VDA y puerta de enlace).

  • Si configuró rutas personalizadas, realice también las actualizaciones apropiadas para ellas.

Cuando ambos extremos de la conexión se configuran correctamente, la entrada de la conexión en Conexiones de red > Azure VPN Gateway indica Listo para usar.

Ver una conexión de gateway de VPN de Azure

  1. En el panel Administrar de Citrix DaaS para Azure, expanda Conexiones de red a la derecha.

  2. Seleccione la conexión que quiera mostrar.

    Pantallas:

  • La ficha Detalles muestra el número de catálogos, máquinas, imágenes y bastiones que utilizan esta conexión. También contiene la mayor parte de la información que configuró para esta conexión.

  • La ficha Rutas muestra información de ruta personalizada para la conexión.

Administrar rutas personalizadas para una conexión de puerta de enlace de VPN de Azure

En una conexión de puerta de enlace VPN de Azure existente, puede agregar, modificar, inhabilitar y eliminar rutas personalizadas.

Para obtener información sobre cómo agregar rutas personalizadas al crear una conexión, consulte Crear una conexión de puerta de enlace de Azure VPN.

Importante:

La modificación, desactivación o eliminación de rutas personalizadas cambia el flujo de tráfico de la conexión y puede interrumpir las sesiones activas de los usuarios.

  1. En el panel Administrar de Citrix DaaS para Azure, expanda Conexiones de red a la derecha.

  2. Seleccione la conexión que quiera mostrar.

    • Para agregar una ruta personalizada:

      1. En la ficha Rutas de la conexión, haga clic en Agregar ruta.

      2. Introduzca un nombre descriptivo, la dirección IP de destino y el prefijo, y el tipo de próximo salto que quiere utilizar. Si selecciona Dispositivo virtual como tipo de próximo salto, introduzca la dirección IP interna del dispositivo.

      3. Indique si quiere habilitar la ruta personalizada. De forma predeterminada, la ruta personalizada está habilitada.

      4. Haga clic en Agregar ruta.

    • Para modificar o habilitar/inhabilitar una ruta personalizada:

      1. En la ficha Rutas de la conexión, localice la ruta personalizada que quiere administrar.

      2. En el menú de puntos suspensivos, seleccione Modificar.

      3. Cambie la dirección IP y el prefijo de destino, o el tipo de salto siguiente, según sea necesario.

      4. Indique si quiere habilitar la ruta.

      5. Haz clic en Guardar.

    • Para eliminar una ruta personalizada:

      1. En la ficha Rutas de la conexión, localice la ruta personalizada que quiere administrar.

      2. En el menú de puntos suspensivos, seleccione Eliminar.

      3. Seleccione El hecho de eliminar rutas puede interrumpir sesiones activas para aceptar el impacto que puede tener eliminar la ruta personalizada.

      4. Haga clic en Eliminar ruta.

Restablecer o eliminar una conexión de puerta de enlace de Azure

Importante:

  • Al restablecer una conexión, se pierde la conexión actual y ambos extremos deben restablecerla. Un restablecimiento interrumpe las sesiones de los usuarios activos.

  • Antes de poder eliminar una conexión, elimine todos los catálogos que la utilizan. Consulte Eliminar un catálogo.

Para restablecer o eliminar una conexión:

  1. En el panel Administrar de Citrix DaaS para Azure, expanda Conexiones de red a la derecha.

  2. Seleccione la conexión que quiere restablecer o eliminar.

  3. En la ficha Detalles de la conexión:

    • Para restablecer la conexión, haga clic en Restablecer conexión.

    • Para eliminar la conexión, haga clic en Eliminar conexión.

  4. Si se le solicita, confirme la acción.

Crear una dirección IP estática pública

Si quiere que todas las máquinas VDA de una conexión usen una única dirección IP estática pública saliente (puerta de enlace) a Internet, habilite una puerta de enlace NAT. Puede habilitar una puerta de enlace NAT para las conexiones a catálogos que están unidos a un dominio o que no están unidos a un dominio.

Para habilitar una puerta de enlace NAT para una conexión:

  1. En el panel Administrar > Implementación rápida de Azure en Citrix DaaS para Azure, expanda Conexiones de red a la derecha.
  2. En Conexiones de red, seleccione una conexión en ADMINISTRADA POR CITRIX o EMPAREJAMIENTOS DE REDES VIRTUALES DE AZURE.
  3. En la tarjeta de detalles de conexión, haga clic en Habilitar gateway NAT.
  4. En la página Habilitar puerta de enlace NAT, mueva el control deslizante a y configure un tiempo de inactividad.
  5. Haga clic en Confirmar cambios.

Al habilitar una puerta de enlace NAT:

  • Azure asigna una dirección IP estática pública a la puerta de enlace de forma automática. (No puede especificar esta dirección). Todos los VDA de todos los catálogos que usen esta conexión usarán esa dirección para la conectividad saliente.

  • Puede especificar un valor de tiempo de espera por inactividad. Ese valor indica el número de minutos que una conexión saliente abierta a través de la puerta de enlace NAT puede permanecer inactiva antes de que se cierre la conexión.

  • Debe permitir la dirección IP estática pública en su firewall.

Puede volver a la tarjeta de detalles de conexión para habilitar o inhabilitar la puerta de enlace NAT y cambiar el valor del tiempo de espera.

Conexiones de red