Azure VPN Gateway es un servicio que se puede usar para enviar tráfico cifrado entre una red virtual de Azure y ubicaciones locales a través de la red pública de Internet. También puede usar VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft. VPN Gateway usa un tipo específico de puerta de enlace de red virtual de Azure denominada puerta de enlace de VPN. Se pueden crear varias conexiones a la misma puerta de enlace de VPN. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda de puerta de enlace disponible.
¿Por qué usar VPN Gateway?
Estos son algunos de los escenarios clave de VPN Gateway:
Envía tráfico cifrado entre una red virtual de Azure y una ubicación local a través de Internet público. Para hacerlo puede usar los siguientes tipos de conexiones:
Conexión de sitio a sitio:conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y un dispositivo VPN local.
Conexión de punto a sitio: VPN a través de OpenVPN, IKEv2 o SSTP. Este tipo de conexión le permite conectarse a una red virtual desde una ubicación remota, como desde una conferencia o desde casa.
Envíe tráfico cifrado entre redes virtuales. Para hacerlo puede usar los siguientes tipos de conexiones:
Red virtual a red virtual: una conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure que usa un tipo de conexión de red virtual a red virtual. Este tipo de conexión está diseñado específicamente para conexiones de red virtual a red virtual.
Conexión de sitio a sitio: una conexión de túnel VPN IPsec/IKE entre la puerta de enlace de VPN y otra puerta de enlace de VPN de Azure. Este tipo de conexión, cuando se usa en la arquitectura de red virtual a red virtual, usa el tipo de conexión de sitio a sitio (IPsec), que permite conexiones entre locales a la puerta de enlace, además de conexiones entre puertas de enlace de VPN.
Configure una VPN de sitio a sitio como una ruta de conmutación por error segura para ExpressRoute. Para hacerlo, use:
ExpressRoute + VPN Gateway: combinación de conexiones de ExpressRoute y VPN Gateway (conexiones coexistentes).
Use redes privadas virtuales de sitio a sitio para conectarse a los sitios que no estén conectados mediante ExpressRoute. Puede hacerlo con:
ExpressRoute + VPN Gateway: combinación de conexiones de ExpressRoute y VPN Gateway (conexiones coexistentes).
Planificación y diseño
Como puede crear varias configuraciones de conexión con VPN Gateway, debe determinar qué configuración se adapta mejor a sus necesidades. Las conexiones de punto a sitio, de sitio a sitio y en las que coexisten ExpressRoute y sitio a sitio tienen instrucciones y requisitos de configuración de recursos diferentes.
Consulte el artículo Topología y diseño de VPN Gateway para ver topologías de diseño y vínculos a las instrucciones de configuración. En las secciones siguientes del artículo se resaltan algunas de las topologías de diseño que se usan con más frecuencia.
La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.
De punto a sitio
De sitio a sitio
Servicios de Azure compatibles
Cloud Services y Virtual Machines
Cloud Services y Virtual Machines
Anchos de banda típicos
Se basa en la SKU de puerta de enlace
Agregación típica de < 10 Gbps
Protocolos admitidos
Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsec
IPsec
Enrutamiento
RouteBased (dinámico)
Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico)
Resistencia de la conexión
activa-pasiva o activa-activa
activa-pasiva o activa-activa
Caso de uso típico
Acceso seguro a redes virtuales de Azure para usuarios remotos
Escenarios de desarrollo, pruebas y laboratorio, y cargas de trabajo de producción a pequeña y mediana escala para servicios en la nube y máquinas virtuales
Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.
Configuración de VPN Gateway
Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica. En algunos casos, los recursos se deben configurar en un orden determinado. La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta.
Para obtener información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway y Acerca de las SKU de puerta de enlace. Estos artículos contienen información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.
Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio. Para obtener más información sobre las SKU de puerta de enlace, incluidas las características admitidas, las tablas de rendimiento, los pasos de configuración y las cargas de trabajo de producción frente a las pruebas de desarrollo, consulte Acerca de las SKU de puerta de enlace.
VPN Puerta de enlace Generación
SKU
Túneles de S2S/VNet a VNet
P2S P2S SSTP
P2S P2S IKEv2/OpenVPN
Agregado de rendimiento agregado
BGP
Con redundancia de zona
Número de máquinas virtuales admitidas en la red virtual
Generación 1
Basic
Máx. 10
Máx. 128
No compatible
100 Mbps
No compatible
No
200
Generación 1
VpnGw1
Máx. 30
Máx. 128
Máx. 250
650 Mbps
Compatible
No
450
Generación 1
VpnGw2
Máx. 30
Máx. 128
Máx. 500
1 Gbps
Compatible
No
1300
Generación 1
VpnGw3
Máx. 30
Máx. 128
Máx. 1000
1,25 Gbps
Compatible
No
4000
Generación 1
VpnGw1AZ
Máx. 30
Máx. 128
Máx. 250
650 Mbps
Compatible
Sí
1 000
Generación 1
VpnGw2AZ
Máx. 30
Máx. 128
Máx. 500
1 Gbps
Compatible
Sí
2000
Generación 1
VpnGw3AZ
Máx. 30
Máx. 128
Máx. 1000
1,25 Gbps
Compatible
Sí
5000
Generación 2
VpnGw2
Máx. 30
Máx. 128
Máx. 500
1,25 Gbps
Compatible
No
685
Generación 2
VpnGw3
Máx. 30
Máx. 128
Máx. 1000
2,5 Gbps
Compatible
No
2240
Generación 2
VpnGw4
Máx. 100*
Máx. 128
Máx. 5000
5 Gbps
Compatible
No
5300
Generación 2
VpnGw5
Máx. 100*
Máx. 128
Máx. 10000
10 Gbps
Compatible
No
6700
Generación 2
VpnGw2AZ
Máx. 30
Máx. 128
Máx. 500
1,25 Gbps
Compatible
Sí
2000
Generación 2
VpnGw3AZ
Máx. 30
Máx. 128
Máx. 1000
2,5 Gbps
Compatible
Sí
3300
Generación 2
VpnGw4AZ
Máx. 100*
Máx. 128
Máx. 5000
5 Gbps
Compatible
Sí
4400
Generación 2
VpnGw5AZ
Máx. 100*
Máx. 128
Máx. 10000
10 Gbps
Compatible
Sí
9000
(*) Si necesita más de 100 túneles VPN de S2S, use Virtual WAN en lugar de VPN Gateway.
Precios
Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta. Puede encontrar más información sobre los precios en la página de precios. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.
Costos del proceso de puerta de enlace de red virtual Cada puerta de enlace de red virtual tiene un costo de proceso por horas. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace. El costo de una configuración activa-activa es igual que el de activa-pasiva. Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.
Costos de la transferencia de datos Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.
Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.
Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.
Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos. El tráfico entre redes virtuales de la misma región es gratuito.
Novedades de VPN Gateway
Azure VPN Gateway se actualiza periódicamente. Para mantenerse al día con los anuncios más recientes, consulte el artículo Novedades. En el artículo se resaltan los siguientes puntos de interés:
Versiones recientes
Versiones preliminares en curso con limitaciones conocidas (si procede)
Problemas conocidos
Funcionalidad en desuso (si procede)
También se puede suscribir a la fuente RSS y ver las más recientes actualizaciones de las características de VPN Gateway en la página Actualizaciones de Azure.
Obtenga información sobre qué hace Azure VPN Gateway, cómo funciona y cuándo debe elegir usarlo como solución para satisfacer las necesidades de su organización.
Muestre el diseño, la implementación y el mantenimiento de la infraestructura de red de Azure, el tráfico de equilibrio de carga, el enrutamiento de red, etc.