Acerca de las SKU de puerta de enlace
Al crear una puerta de enlace de red virtual de VPN Gateway, hay que especificar la SKU de la puerta de enlace que desea usar. En este artículo se describen los factores que debe tener en cuenta al seleccionar una SKU de puerta de enlace. Si busca información sobre las SKU de puerta de enlace de ExpressRoute, consulte Puertas de enlace de red virtual para ExpressRoute. Para las puertas de enlace de Virtual WAN, consulte Configuración de puerta de enlace de Virtual WAN.
Cuando configure una SKU de puerta de enlace de red virtual, seleccione la SKU que cumpla sus requisitos en función de los tipos de cargas de trabajo, rendimiento, características y SLA. En las secciones siguientes se muestra la información pertinente que debe usar al decidir.
SKU de puerta de enlace por túnel, conexión y rendimiento
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona | Número de máquinas virtuales admitidas en la red virtual |
|---|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No | 200 |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No | 450 |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No | 1300 |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No | 4000 |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí | 1 000 |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí | 2000 |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí | 5000 |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No | 685 |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No | 2240 |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No | 5300 |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No | 6700 |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí | 2000 |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí | 3300 |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí | 4400 |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí | 9000 |
(*) Si necesita más de 100 túneles VPN de S2S, use Virtual WAN en lugar de VPN Gateway.
Información adicional
Dado que se anunció que las direcciones IP públicas del SKU básico se retirarán el 30 de septiembre de 2025, ya no permitiremos que se creen nuevas puertas de enlace mediante direcciones IP públicas del SKU básico. A partir del 1 de diciembre de 2023, al crear una nueva puerta de enlace de VPN, debe usar una dirección IP pública del SKU estándar. Esta limitación no se aplica a las nuevas puertas de enlace que se crean mediante el SKU básico de puerta de enlace de VPN Gateway. Todavía puede crear una puerta de enlace de VPN de SKU básico que use una dirección IP pública de SKU básico.
El SKU básico no admite IPv6 y solo se puede configurar mediante PowerShell o la CLI de Azure. Además, el SKU básico de puerta de enlace no admite la autenticación de RADIUS.
Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.
Si tiene muchas conexiones P2S, puede afectar negativamente a las conexiones S2S. Las pruebas comparativas de rendimiento agregado se realizaron maximizando una combinación de conexiones S2S y P2S. Una sola conexión P2S o S2S puede tener un rendimiento muy inferior.
Consulte la página de Precios para obtener información sobre los precios.
Consulte la página SLA para obtener información sobre el SLA (Acuerdo de Nivel de Servicio).
No se garantizan todas las pruebas comparativas debido a las condiciones del tráfico en Internet y los comportamientos de la aplicación.
SKU de puerta de enlace por rendimiento
En la tabla de esta sección, se enumeran los resultados de las pruebas de rendimiento de los SKU de VpnGw. Un túnel VPN se conecta a una instancia de VPN Gateway. El rendimiento de cada instancia se menciona en la tabla de rendimiento de la sección anterior y está disponible de forma agregada en todos los túneles que se conectan a esa instancia. En la tabla se muestra el ancho de banda observado y el rendimiento por túnel de los paquetes por segundo para las diferentes SKU de puerta de enlace. Todas las pruebas se han realizado entre puertas de enlace (puntos de conexión) dentro de Azure, en distintas regiones con 100 conexiones y con condiciones de carga estándar. Usamos herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos de las conexiones de sitio a sitio
- El mejor rendimiento se obtuvo cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec.
- Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad.
- El rendimiento más bajo se obtuvo cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad.
| Generación | SKU | Algoritmos usados |
Capacidad de proceso observado por túnel |
Paquetes por segundo por túnel observado |
|---|---|---|---|---|
| Generación 1 | VpnGw1 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62 000 47 000 12,000 |
| Generación 1 | VpnGw2 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
100 000 61,000 13 000 |
| Generación 1 | VpnGw3 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120 000 66 000 13 000 |
| Generación 1 | VpnGw1AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62 000 47 000 12,000 |
| Generación 1 | VpnGw2AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
110 000 61,000 13 000 |
| Generación 1 | VpnGw3AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120 000 66 000 13 000 |
| Generación 2 | VpnGw2 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120 000 52 000 12,000 |
| Generación 2 | VpnGw3 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140 000 66 000 13 000 |
| Generación 2 | VpnGw4 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw5 | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw2AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120 000 52 000 12,000 |
| Generación 2 | VpnGw3AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140 000 66 000 13 000 |
| Generación 2 | VpnGw4AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw5AZ | GCMAES256 AES256 y SHA256 DES3 y SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
SKU de puerta de enlace por conjunto de características
| SKU | Características |
|---|---|
| Basic (\*\*) | VPN basada en ruta: 10 túneles para conexiones o S2S, sin autenticación RADIUS para P2S, sin IKEv2 para P2S VPN basada en directivas: (IKEv1) 1 túnel de S2S o conexión, sin P2S |
| Todas las SKU de Generation1 y Generation2, excepto Basic | VPN basada en ruta: hasta 100 túneles (\*), P2S, BGP, activo-activo, directiva de IPsec/IKE personalizada, coexistencia de VPN y ExpressRoute |
(*) Se puede configurar "PolicyBasedTrafficSelectors" para conectar una instancia de VPN Gateway basada en la ruta a varios dispositivos de firewall locales basados en directivas. Consulte Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Conexión de puertas de enlace VPN Gateway a varios dispositivos de VPN locales basados en directivas con PowerShell) para más información.
(\*\*) La SKU Basic se considera una SKU heredada. La SKU básica tiene ciertas limitaciones de características y rendimiento, por lo que no debe usarse para producción. Compruebe que se admite la característica que necesita antes de usar la SKU Basic. La SKU básica no admite IPv6 y solo se puede configurar mediante PowerShell o la CLI de Azure. Además, la SKU básica no admite la autenticación de RADIUS.
SKU de puerta de enlace: producción frente a Cargas de trabajo de desarrollo/pruebas
Dadas las diferencias en los Acuerdos de Nivel de Servicio y los conjuntos de características, se recomiendan las siguientes SKU para la producción, en comparación el desarrollo y las pruebas:
| Carga de trabajo | SKU |
|---|---|
| Cargas de trabajo de producción, críticas | Todas las SKU de Generation1 y Generation2, excepto Básica |
| Desarrollo y pruebas o prueba de concepto | Basic (\*\*) |
(\*\*) La SKU Basic se considera una SKU heredada. La SKU básica tiene ciertas limitaciones de características y rendimiento, por lo que no debe usarse para producción. Compruebe que se admite la característica que necesita antes de usar la SKU Basic. La SKU básica no admite IPv6 y solo se puede configurar mediante PowerShell o la CLI de Azure. Además, la SKU básica no admite la autenticación de RADIUS.
Si continúa utilizando las SKU antiguas (heredadas), las recomendaciones de SKU de producción son Standard y HighPerformance. Para obtener información e instrucciones para las SKU antiguas, consulte Trabajo con SKU de puerta de enlace de red virtual (SKU antiguas).
Acerca de las SKU heredadas
Para obtener información sobre cómo trabajar con las SKU de puerta de enlace heredadas (Básico, Estándar y Alto rendimiento), incluida la entrada en desuso de las SKU, consulte Administración de SKU de puerta de enlace heredadas.
Especificación de una SKU
Especifique la SKU de la puerta de enlace al crear la instancia de VPN Gateway. Consulte el siguiente artículo para conocer los pasos:
Cambio o cambio de tamaño de una SKU
Nota:
Si está trabajando con una SKU de puerta de enlace heredada (Básico, Estándar y Alto rendimiento), consulte Administración de SKU de puerta de enlace heredadas.
Cuando quiera pasar a otra SKU, hay varios métodos entre los que elegir. El método que elija depende de la SKU de puerta de enlace de partida.
Cambar el tamaño de una SKU: al cambiar el tamaño de una SKU, se produce un tiempo de inactividad muy pequeño. No es necesario seguir un flujo de trabajo para cambiar el tamaño de una SKU. Puede cambiar el tamaño de una SKU de forma rápida y sencilla en Azure Portal. También puede usar PowerShell o la CLI de Azure. No es necesario volver a configurar el dispositivo VPN ni los clientes P2S.
Cambiar una SKU: si no puede cambiar el tamaño de la SKU, puede cambiar la SKU mediante un flujo de trabajo específico. El cambio de una SKU conlleva más tiempo de inactividad que el cambio de tamaño. Además, hay varios recursos que deben volver a configurarse al usar este método.
Consideraciones
Hay muchas cosas que se deben tener en cuenta al pasar a una nueva SKU de puerta de enlace. En esta sección se describen los elementos principales y también se proporciona una tabla que le ayuda a seleccionar el mejor método para usar.
- No se puede cambiar el tamaño para cambiar una SKU a una versión anterior.
- No se puede cambiar el tamaño de una SKU heredada por una de las SKU de Azure más recientes (VpnGw1, VpnGw2AZ, etc.). Las SKU heredadas del modelo de implementación de Resource Manager son: básica, estándar y de alto rendimiento. En su lugar, debe cambiar la SKU.
- Puede cambiar el tamaño de una SKU de puerta de enlace siempre que esté en la misma generación, excepto para la SKU básica.
- Puede cambiar una SKU básica por otra SKU.
- Cuando cambie de una SKU heredada a una nueva, tendrá un tiempo de inactividad de conectividad.
- Al cambiar a una nueva SKU de puerta de enlace, cambia la dirección IP pública de la puerta de enlace de VPN. Esto sucede incluso si especificó el mismo objeto de dirección IP pública que usó anteriormente.
- Si tiene una puerta de enlace de VPN clásica, debe seguir utilizando las SKU heredadas más antiguas para esa puerta de enlace. Sin embargo, puede cambiar el tamaño entre las SKU heredadas disponibles para las puertas de enlace clásicas. No se puede cambiar a las nuevas SKU.
- Las SKU heredadas estándar y de alto rendimiento están en desuso. Consulte desuso de las SKU heredadas para la migración y los plazos de actualización de la SKU.
La tabla siguiente le ayuda a comprender el método necesario para pasar de una SKU a otra.
| SKU de partida | SKU de destino | Cambiar de tamaño | Change |
|---|---|---|---|
| SKU Básico | Cualquier otra SKU | No | Sí |
| SKU Estándar | Nuevas SKU de Azure | No | Sí |
| SKU Estándar | SKU HighPerformance | No | No se requiere |
| HighPerformance | Nuevas SKU de Azure | No | Sí |
| SKU de generación 1 | SKU de generación 1 | Sí | No se requiere |
| SKU de generación 1 | SKU de AZ de generación 1 | No | Sí |
| SKU de AZ de generación 1 | SKU de AZ de generación 1 | Sí | No se requiere |
| SKU de AZ de generación 1 | SKU de AZ de generación 2 | No | Sí |
| SKU de generación 2 | SKU de generación 2 | Sí | No se requiere |
| SKU de generación 2 | SKU de AZ de generación 2 | No | Sí |
| SKU de AZ de generación 2 | SKU de AZ de generación 2 | Sí | No se requiere |
Pasos siguientes
Para más información sobre las configuraciones de conexión disponibles, vea About VPN Gateway (Acerca de VPN Gateway).