¿Qué es Azure VPN Gateway?
Azure VPN Gateway es un servicio que usa un tipo específico de puerta de enlace de red virtual para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local por medio de la red pública de Internet. También puede usar VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. Se pueden crear varias conexiones a la misma puerta de enlace de VPN. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda de puerta de enlace disponible.
Información acerca de las puertas de enlace de VPN
Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Una puerta de enlace de red virtual está formada por dos o más máquinas virtuales administradas por Azure que se configuran e implementan automáticamente en la subred específica que cree, que se llama subred de puerta de enlace. Las máquinas virtuales de puerta de enlace contienen tablas de enrutamiento y ejecutan servicios de puerta de enlace específicos.
Una de las opciones de configuración que se especifican al crear una puerta de enlace de red virtual es el "tipo de puerta de enlace". El tipo de puerta de enlace especifica cómo se utilizará la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace. Una red virtual puede tener dos puertas de enlace de red virtual, una puerta de enlace de VPN y una puerta de enlace de ExpressRoute. El tipo de puerta de enlace "Vpn" especifica que el tipo de puerta de enlace de red virtual creado es una puerta de enlace de VPN. Esto lo distingue de una puerta de enlace de ExpressRoute, que usa un tipo de puerta de enlace diferente. Para más información, consulte Tipos de puerta de enlace.
Al crear una puerta de enlace de VPN, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace y se configuran con la configuración especificada. Este proceso puede tardar 45 minutos o más en completarse, dependiendo de la SKU de puerta de enlace que haya seleccionado. Una vez creada la puerta de enlace de VPN, podrá configurar las conexiones. Por ejemplo, puede crear una conexión de túnel de VPN de IPsec o IKE entre esa instancia y otra de VPN Gateway (de red virtual a red virtual) o una conexión de túnel de VPN de IPsec o IKE con implementaciones locales entre la instancia de VPN Gateway y un dispositivo VPN local (de sitio a sitio). También puede crear una conexión VPN de punto a sitio (VPN a través de OpenVPN, IKEv2 o SSTP) que le permite conectarse a la red virtual desde una ubicación remota como, por ejemplo, una sala de conferencias o desde su casa.
Configuración de VPN Gateway
Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. La mayoría de los recursos puede configurarse por separado, aunque en algunos casos es necesario seguir un orden determinado.
Conectividad
Como puede crear varias configuraciones de conexión con VPN Gateway, debe determinar qué configuración se adapta mejor a sus necesidades. Las conexiones de punto a sitio, de sitio a sitio y de ExpressRoute o de sitio a sitio coexistentes tienen instrucciones y requisitos de configuración diferentes. Para obtener diagramas de conexión y vínculos correspondientes a los pasos de configuración, vea Diseño de VPN Gateway.
Tabla de planeación
La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución. Tenga en cuenta que ExpressRoute no forma parte de VPN Gateway, sino que se incluye en la tabla.
| De punto a sitio | De sitio a sitio | ExpressRoute | |
|---|---|---|---|
| Servicios de Azure compatibles | Cloud Services y Virtual Machines | Cloud Services y Virtual Machines | Lista de servicios |
| Anchos de banda típicos | Se basa en la SKU de puerta de enlace | Agregación típica de < 10 Gbps | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps, 100 Gbps |
| Protocolos admitidos | Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec | IPsec | Conexión directa a través de redes VLAN y tecnologías VPN de NSP (MPLS, VPLS...) |
| Enrutamiento | RouteBased (dinámico) | Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico) | BGP |
| Resistencia de la conexión | activa-pasiva | activa-pasiva o activa-activa | activa-activa |
| Caso de uso típico | Acceso seguro a redes virtuales de Azure para usuarios remotos | Escenarios de laboratorio, pruebas o desarrollo y cargas de trabajo de producción a pequeña y mediana escala para Cloud Services y Virtual Machines | Acceso a todos los servicios de Azure (lista validada), cargas de trabajo críticas y empresariales, copias de seguridad, macrodatos, Azure como sitio de recuperación ante desastres |
| Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio | Acuerdo de Nivel de Servicio |
| Precios | Precios | Precios | Precios |
| Documentación técnica | VPN Gateway | VPN Gateway | ExpressRoute |
| P+F | Preguntas más frecuentes sobre VPN Gateway | Preguntas más frecuentes sobre VPN Gateway | Preguntas frecuentes sobre ExpressRoute |
Configuración
La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta. Para más información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway. El artículo contiene información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.
Herramientas de implementación
Puede empezar a crear y configurar recursos mediante una herramienta de configuración, como el portal de Azure. Más adelante puede decidir cambiar a otra herramienta, como PowerShell, para configurar recursos adicionales o para modificar los existentes cuando sea aplicable. Actualmente, no se pueden configurar todos los recursos ni establecer todas las configuraciones de recurso en Azure Portal. Las instrucciones de los artículos para cada topología de configuración indican cuándo se necesita una herramienta de configuración específica.
SKU de puerta de enlace
Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio.
- Para más información acerca de las SKU de puerta de enlace, incluidas las características admitidas, los pasos de producción, desarrollo-prueba y configuración, consulte el artículo Configuración de VPN Gateway: SKU de puerta de enlace.
- Para más información sobre las SKU heredadas, consulte Trabajo con SKU heredadas.
- La SKU básica no es compatible con IPv6.
SKU de puerta de enlace por túnel, conexión y rendimiento
| VPN Puerta de enlace Generación |
SKU | Túneles de S2S/VNet a VNet |
P2S P2S SSTP |
P2S P2S IKEv2/OpenVPN |
Agregado de rendimiento agregado |
BGP | Con redundancia de zona |
|---|---|---|---|---|---|---|---|
| Generación 1 | Basic | Máx. 10 | Máx. 128 | No compatible | 100 Mbps | No compatible | No |
| Generación 1 | VpnGw1 | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | No |
| Generación 1 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | No |
| Generación 1 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | No |
| Generación 1 | VpnGw1AZ | Máx. 30 | Máx. 128 | Máx. 250 | 650 Mbps | Compatible | Sí |
| Generación 1 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1 Gbps | Compatible | Sí |
| Generación 1 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw2 | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | No |
| Generación 2 | VpnGw3 | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | No |
| Generación 2 | VpnGw4 | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | No |
| Generación 2 | VpnGw5 | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | No |
| Generación 2 | VpnGw2AZ | Máx. 30 | Máx. 128 | Máx. 500 | 1,25 Gbps | Compatible | Sí |
| Generación 2 | VpnGw3AZ | Máx. 30 | Máx. 128 | Máx. 1000 | 2,5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw4AZ | Máx. 100* | Máx. 128 | Máx. 5000 | 5 Gbps | Compatible | Sí |
| Generación 2 | VpnGw5AZ | Máx. 100* | Máx. 128 | Máx. 10000 | 10 Gbps | Compatible | Sí |
(*) Use Virtual WAN si necesita más de 100 túneles VPN de S2S.
Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica. La SKU básica es una SKU heredada y tiene limitaciones de características. Para pasar de una SKU básica a otra SKU, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada (consulte Trabajar con SKU heredadas).
Estos límites de conexión son independientes. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.
Puede encontrar más información sobre los precios en la página de precios.
La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.
Si tiene muchas conexiones P2S, puede afectar negativamente a las conexiones S2S. Las pruebas comparativas de rendimiento agregado se realizaron maximizando una combinación de conexiones S2S y P2S. Una sola conexión P2S o S2S puede tener un rendimiento muy inferior.
Tenga en cuenta que no se garantizan todas las pruebas comparativas debido a las condiciones del tráfico en Internet y los comportamientos de la aplicación.
Para ayudar a nuestros clientes a conocer el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic, disponibles públicamente, para medir el rendimiento de las conexiones de sitio a sitio. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.
Un túnel VPN se conecta a una instancia de VPN Gateway. El rendimiento de cada instancia se menciona en la tabla de rendimiento anterior y está disponible de forma agregada en todos los túneles que se conectan a esa instancia.
En la tabla siguiente se muestra el ancho de banda observado y el rendimiento por túnel de los paquetes por segundo para las diferentes SKU de puerta de enlace. Todas las pruebas se han realizado entre puertas de enlace (puntos de conexión) dentro de Azure, en distintas regiones con 100 conexiones y con condiciones de carga estándar.
| Generación | SKU | Algoritmos usados |
Capacidad de proceso observado por túnel |
Paquetes por segundo por túnel observado |
|---|---|---|---|---|
| Generación 1 | VpnGw1 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62 000 47 000 12,000 |
| Generación 1 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
100 000 61,000 13 000 |
| Generación 1 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120 000 66 000 13 000 |
| Generación 1 | VpnGw1AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 130 Mbps |
62 000 47 000 12,000 |
| Generación 1 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,2 Gbps 650 Mbps 140 Mbps |
110 000 61,000 13 000 |
| Generación 1 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 700 Mbps 140 Mbps |
120 000 66 000 13 000 |
| Generación 2 | VpnGw2 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120 000 52 000 12,000 |
| Generación 2 | VpnGw3 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140 000 66 000 13 000 |
| Generación 2 | VpnGw4 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw5 | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw2AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,25 Gbps 550 Mbps 130 Mbps |
120 000 52 000 12,000 |
| Generación 2 | VpnGw3AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
1,5 Gbps 700 Mbps 140 Mbps |
140 000 66 000 13 000 |
| Generación 2 | VpnGw4AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
| Generación 2 | VpnGw5AZ | GCMAES256 AES256 & SHA256 DES3 & SHA256 |
2.3 Gbps 700 Mbps 140 Mbps |
220 000 66 000 13 000 |
Zonas de disponibilidad
Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.
Precios
Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. Puede encontrar más información sobre los precios en la página de precios. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.
Costos del proceso de puerta de enlace de red virtual
Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva.
Costos de la transferencia de datos
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.
- Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.
- Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
- Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.
Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.
Preguntas más frecuentes
Para conocer las preguntas más frecuentes acerca de VPN Gateway, consulte Preguntas más frecuentes sobre VPN Gateway.
Novedades
Suscríbase a la fuente RSS y vea las actualizaciones más recientes de las características de VPN Gateway en la página Actualizaciones de Azure.