Topología y diseño de VPN Gateway
Hay muchas opciones de configuración diferentes disponibles para las conexiones de VPN Gateway. Use los diagramas y las descripciones de las secciones siguientes para ayudarle a seleccionar la topología de conexión que cumpla sus requisitos. Los diagramas muestran las principales topologías de referencia, pero también se pueden crear configuraciones más complejas con los diagramas como guía.
VPN de sitio a sitio
Una conexión de puerta de enlace de VPN de sitio a sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv1 o IKEv2). Se pueden utilizar conexiones de sitio a sitio para las configuraciones híbridas y entre locales. Una conexión de sitio a sitio requiere un dispositivo VPN local que tenga una dirección IP pública asignada.
Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales. Al trabajar con varias conexiones, debe usar un tipo de VPN RouteBased. Como cada red virtual solo puede tener una puerta de enlace de red virtual, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible. Este tipo de diseño de conectividad se conoce a veces como multisitio.
Si desea crear un diseño para la conectividad de puerta de enlace de alta disponibilidad, puede configurar la puerta de enlace para que esté en modo activo-activo. Este modo le permite configurar dos túneles activos (uno de cada instancia de máquina virtual de puerta de enlace) en el mismo dispositivo VPN para crear conectividad de alta disponibilidad. Además de ser un diseño de conectividad de alta disponibilidad, otra ventaja del modo activo-activo es que los clientes experimentan mayores rendimientos.
- Para más información acerca de cómo seleccionar un dispositivo VPN, consulte la sección de preguntas frecuentes sobre VPN Gateway para dispositivos VPN.
- Para obtener información sobre las conexiones de alta disponibilidad, consulte Diseño de conexiones de alta disponibilidad.
- Para obtener información sobre el modo activo-activo, consulte Acerca de las puertas de enlace en modo activo-activo.
Métodos y modelos de implementación para S2S
| Modelo de implementación | Azure Portal | PowerShell | CLI de Azure |
|---|---|---|---|
| Resource Manager | Tutorial | Tutorial | Tutorial |
VPN de punto a sitio
Una conexión de puerta de enlace VPN de punto a sitio (P2S) le permite crear una conexión segura con la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a instancias de Azure Virtual Network desde una ubicación remota; por ejemplo, desde casa o un congreso. Una VPN de punto a sitio también es una solución útil en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes que necesitan conectarse a una red virtual.
A diferencia de las conexiones de sitio a sitio, las conexiones de punto a sitio no necesitan una dirección IP pública local ni dispositivos VPN. Se pueden usar conexiones de punto a sitio con conexiones de sitio a sitio a través de la misma instancia de VPN Gateway, siempre que todos los requisitos de configuración para ambas conexiones sean compatibles. Para más información sobre las conexiones de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.
Métodos y modelos de implementación para P2S
| Método de autenticación | Artículo |
|---|---|
| Certificate | Tutorial Instrucciones |
| Microsoft Entra ID | Instrucciones |
| RADIUS | Instrucciones |
Configuración de cliente de VPN P2S
| Autenticación | Tipo de túnel | Sistema operativo del cliente | Cliente de VPN |
|---|---|---|---|
| Certificate | |||
| IKEv2, SSTP | Windows | Cliente VPN nativo | |
| IKEv2 | macOS | Cliente VPN nativo | |
| IKEv2 | Linux | strongSwan | |
| OpenVPN | Windows | Cliente VPN de Azure Versión 2.x del cliente OpenVPN Versión 3.x del cliente OpenVPN |
|
| OpenVPN | macOS | Cliente OpenVPN | |
| OpenVPN | iOS | Cliente OpenVPN | |
| OpenVPN | Linux | Cliente VPN de Azure Cliente OpenVPN |
|
| Microsoft Entra ID | |||
| OpenVPN | Windows | Cliente VPN de Azure | |
| OpenVPN | macOS | Cliente VPN de Azure | |
| OpenVPN | Linux | Cliente VPN de Azure |
Conexiones de red virtual a red virtual (túnel VPN de IPsec/IKE)
La conexión de una red virtual a otra (de red virtual a red virtual) es parecida a la conexión de una red virtual a la ubicación de un sitio local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro con IPsec/IKE. Incluso puede combinar la comunicación de red virtual a red virtual con configuraciones de conexión multisitio. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.
Las redes virtuales que se conectan pueden ser:
- estar en la misma región o en distintas;
- pertenecer a la misma suscripción o a distintas;
- usar el mismo modelo de implementación o diferentes.
Modelos de implementación y métodos para conexiones de red virtual a red virtual
| Modelo de implementación | Azure Portal | PowerShell | CLI de Azure |
|---|---|---|---|
| Resource Manager | Tutorial+ | Tutorial | Tutorial |
(+) indica que este método de implementación solo se encuentra disponible para redes virtuales de la misma suscripción.
En algunos casos, es posible que quiera usar el emparejamiento de red virtual en lugar de "red virtual a red virtual" para conectar las redes virtuales. El emparejamiento de red virtual no utiliza una puerta de enlace de red virtual. Para más información, consulte Emparejamiento de redes virtuales.
Conexiones de sitio a sitio y de ExpressRoute coexistentes
ExpressRoute es una conexión directa y privada desde su WAN (no a través de la red Internet pública) a los servicios Microsoft, incluido Azure. El tráfico VPN de sitio a sitio viaja cifrado a través de la red pública de Internet. Poder configurar las conexiones VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.
Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar la VPN de sitio a sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute. Tenga en cuenta que esta configuración requiere dos puertas de enlace de red virtual en la misma red virtual, una con el tipo de puerta de enlace Vpn y otra con el tipo de puerta de enlace ExpressRoute.
Métodos y modelos de implementación de conexiones coexistentes S2S y ExpressRoute
| Modelo de implementación | Azure Portal | PowerShell |
|---|---|---|
| Resource Manager | Tutorial | Tutorial |
Conexiones de alta disponibilidad
Para planear y diseñar conexiones de alta disponibilidad, incluidas las configuraciones en modo activo-activo, consulte Diseño de la conectividad de puerta de enlace de alta disponibilidad para conexiones entre locales y de red virtual a red virtual.
Pasos siguientes
Consulte las Preguntas más frecuentes sobre VPN Gateway para más información.
Obtenga más información sobre la configuración de VPN Gateway.
Para obtener consideraciones sobre BGP de VPN Gateway, consulte Acerca de BGP.
Consulte Límites del servicio y la suscripción.
Obtenga información sobre las demás funcionalidades de red clave de Azure.