Topología y diseño de VPN Gateway
Hay muchas opciones de configuración diferentes disponibles para las conexiones de VPN Gateway. Use los diagramas y las descripciones de las secciones siguientes para ayudarle a seleccionar la topología de conexión que cumple los requisitos. Los diagramas muestran las principales topologías de referencia, pero también se pueden crear configuraciones más complejas con los diagramas como guía.
VPN de sitio a sitio
Una conexión de puerta de enlace de VPN de sitio a sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv1 o IKEv2). Se pueden utilizar conexiones de sitio a sitio para las configuraciones híbridas y entre locales. Una conexión de sitio a sitio requiere un dispositivo VPN local que tenga una dirección IP pública asignada. Para más información acerca de cómo seleccionar un dispositivo VPN, consulte la sección de preguntas frecuentes sobre VPN Gateway para dispositivos VPN.
VPN Gateway se puede configurar en modo activo-espera mediante una dirección IP pública o en modo activo-activo con dos direcciones IP públicas. En modo activo-espera, hay un túnel IPsec activo y el otro túnel está en espera. En esta configuración, el tráfico fluye a través del túnel activo y, si se produce algún problema con este túnel, el tráfico cambia al túnel en espera. Se recomienda la configuración de VPN Gateway en modo activo-activo, porque ambos túneles de IPsec están activos simultáneamente, con datos que fluyen a través de los dos al mismo tiempo. Otra ventaja del modo activo-activo es que los clientes experimentan un mayor rendimiento.
Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales. Cuando trabaje con varias conexiones, debe usar una VPN de tipo RouteBased (conocida como puerta de enlace dinámica al trabajar con redes virtuales clásicas). Como cada red virtual solo puede tener una puerta de enlace de red virtual, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible. Este tipo de conexión se denomina con frecuencia "conexión multisitio".
Métodos y modelos de implementación para S2S
| Método o modelo de implementación | Azure Portal | PowerShell | CLI de Azure |
|---|---|---|---|
| Resource Manager | Tutorial | Tutorial | Tutorial |
| Clásico (modelo de implementación heredado) | Tutorial** | Tutorial | No compatible |
( ** ) indica que este método contiene pasos que requieren PowerShell.
VPN de punto a sitio
Una conexión de puerta de enlace VPN de punto a sitio (P2S) le permite crear una conexión segura con la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a instancias de Azure Virtual Network desde una ubicación remota; por ejemplo, desde casa o un congreso. Una VPN de punto a sitio también es una solución útil en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes que necesitan conectarse a una red virtual.
A diferencia de las conexiones de sitio a sitio, las conexiones de punto a sitio no necesitan una dirección IP pública local ni dispositivos VPN. Se pueden usar conexiones de punto a sitio con conexiones de sitio a sitio a través de la misma instancia de VPN Gateway, siempre que todos los requisitos de configuración para ambas conexiones sean compatibles. Para más información sobre las conexiones de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.
Métodos y modelos de implementación para P2S
| Autenticación mediante certificados nativos de Azure | Método o modelo de implementación | Azure Portal | PowerShell |
|---|---|---|---|
| Resource Manager | Tutorial | Tutorial | |
| Clásico (modelo de implementación heredado) | Tutorial | Compatible |
| Autenticación de Microsoft Entra | Método o modelo de implementación | Artículo |
|---|---|---|
| Resource Manager | Crear inquilino | |
| Resource Manager | Configuración del acceso: usuarios y grupos |
| Autenticación RADIUS | Método o modelo de implementación | Azure Portal | PowerShell |
|---|---|---|---|
| Resource Manager | Compatible | Tutorial | |
| Clásico (modelo de implementación heredado) | No compatible | No compatible |
Configuración de cliente de VPN P2S
| Autenticación | Tipo de túnel | Generación de archivos de configuración | Configuración de cliente VPN |
|---|---|---|---|
| Certificado de Azure | IKEv2, SSTP | Windows | Cliente VPN nativo |
| Certificado de Azure | OpenVPN | Windows | - Cliente OpenVPN - Cliente VPN de Azure |
| Certificado de Azure | IKEv2, OpenVPN | macOS-iOS | macOS-iOS |
| Certificado de Azure | IKEv2, OpenVPN | Linux | Linux |
| Microsoft Entra ID | OpenVPN (SSL) | Windows | Windows |
| Microsoft Entra ID | OpenVPN (SSL) | macOS | macOS |
| RADIUS: certificado | - | Artículo | Artículo |
| RADIUS: contraseña | - | Artículo | Artículo |
| RADIUS: otros métodos | - | Artículo | Artículo |
Conexiones de red virtual a red virtual (túnel VPN de IPsec/IKE)
La conexión de una red virtual a otra (de red virtual a red virtual) es parecida a la conexión de una red virtual a la ubicación de un sitio local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro con IPsec/IKE. Incluso puede combinar la comunicación de red virtual a red virtual con configuraciones de conexión multisitio. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.
Las redes virtuales que se conectan pueden ser:
- estar en la misma región o en distintas;
- pertenecer a la misma suscripción o a distintas;
- usar el mismo modelo de implementación o diferentes.
Modelos de implementación y métodos para conexiones de red virtual a red virtual
| Método o modelo de implementación | Azure Portal | PowerShell | CLI de Azure |
|---|---|---|---|
| Resource Manager | Tutorial+ | Tutorial | Tutorial |
| Clásico (modelo de implementación heredado) | Tutorial* | Compatible | No compatible |
| Conexiones entre redes virtuales entre Resource Manager y modelos de implementación clásicos (heredados) | Tutorial* | Tutorial | No compatible |
(+) indica que este método de implementación solo se encuentra disponible para redes virtuales de la misma suscripción.
( * ) indica que este método de implementación también requiere PowerShell.
En algunos casos, es posible que quiera usar el emparejamiento de red virtual en lugar de "red virtual a red virtual" para conectar las redes virtuales. El emparejamiento de red virtual no utiliza una puerta de enlace de red virtual. Para más información, consulte Emparejamiento de redes virtuales.
Conexiones de sitio a sitio y de ExpressRoute coexistentes
ExpressRoute es una conexión directa y privada desde su WAN (no a través de la red Internet pública) a los servicios Microsoft, incluido Azure. El tráfico VPN de sitio a sitio viaja cifrado a través de la red pública de Internet. Poder configurar las conexiones VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.
Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar la VPN de sitio a sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute. Tenga en cuenta que esta configuración requiere dos puertas de enlace de red virtual en la misma red virtual, una con el tipo de puerta de enlace Vpn y otra con el tipo de puerta de enlace ExpressRoute.
Métodos y modelos de implementación de conexiones coexistentes S2S y ExpressRoute
| Método o modelo de implementación | Azure Portal | PowerShell |
|---|---|---|
| Resource Manager | Compatible | Tutorial |
| Clásico (modelo de implementación heredado) | No compatible | Tutorial |
Conexiones de alta disponibilidad
Para planear y diseñar conexiones de alta disponibilidad, consulte Conexiones de alta disponibilidad.
Pasos siguientes
Consulte las Preguntas más frecuentes sobre VPN Gateway para más información.
Obtenga más información sobre la configuración de VPN Gateway.
Para obtener consideraciones sobre BGP de VPN Gateway, consulte Acerca de BGP.
Consulte Límites del servicio y la suscripción.
Obtenga información sobre las demás funcionalidades de red clave de Azure.