Cerca de Gateway de VPN configurações de configuração

Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego encriptado entre a sua rede virtual e a sua localização no local através de uma ligação pública. Também pode usar uma porta de entrada VPN para enviar tráfego entre redes virtuais através da espinha dorsal do Azure.

Uma ligação de gateway VPN baseia-se na configuração de múltiplos recursos, cada um dos quais contém configurações configuráveis. As secções deste artigo discutem os recursos e configurações que se relacionam com uma porta de entrada VPN para uma rede virtual criada em Resource Manager modelo. Pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo sobre Gateway de VPN.

Os valores deste artigo aplicam gateways VPN (gateways de rede virtuais que usam o -GatewayType Vpn). Este artigo não abrange todos os tipos de gateways ou portais redundantes de zona.

Tipos de gateway

Cada rede virtual só pode ter uma porta de entrada de rede virtual de cada tipo. Quando estiver a criar um gateway de rede virtual, deve certificar-se de que o tipo de gateway está correto para a sua configuração.

Os valores disponíveis para -GatewayType são:

  • Vpn
  • ExpressRoute

Um portal VPN requer a -GatewayTypeVpn.

Exemplo:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKUs de Gateway

Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar. Selecione o SKU que satisfaz os seus requisitos com base nos tipos de cargas de trabalho, produção, funcionalidades e SLAs. Para ver SKUs de gateway de rede virtual em Azure Zonas de Disponibilidade, consulte Azure Zonas de Disponibilidade gateway SKUs.

SKUs de Gateway por túnel, ligação e débito

VPN
Gateway
Geração
SKU S2S/VNet-to-VNet
Túneis
P2S
Conexões SSTP
P2S
Ligações IKEv2/OpenVPN
Agregado
Referência de produção
BGP Zona redundante
Geração1 Básica Um máximo de 10 Um máximo de 128 Não suportado 100 Mbps Não suportado No
Geração1 VpnGw1 Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado No
Geração1 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado No
Geração1 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado No
Geração1 VpnGw1AZ Um máximo de 30 Um máximo de 128 Um máximo de 250 650 Mbps Suportado Yes
Geração1 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1 Gbps Suportado Yes
Geração1 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 1,25 Gbps Suportado Yes
Geração2 VpnGw2 Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado No
Geração2 VpnGw3 Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado No
Geração2 VpnGw4 Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado No
Geração2 VpnGw5 Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado No
Geração2 VPNGw2AZ Um máximo de 30 Um máximo de 128 Um máximo de 500 1,25 Gbps Suportado Yes
Geração2 VpnGw3AZ Um máximo de 30 Um máximo de 128 Um máximo de 1000 2,5 Gbps Suportado Yes
Geração2 VpnGw4AZ Um máximo de 100* Um máximo de 128 Um máximo de 5000 5 Gbps Suportado Yes
Geração2 VpnGw5AZ Um máximo de 100* Um máximo de 128 Um máximo de 10000 10 Gbps Suportado Yes

(*) Utilize WAN Virtual se precisar de mais de 100 túneis VPN S2S.

  • A redimensionamento de SKUs VPNGw é permitida dentro da mesma geração, exceto a redimensionamento do SKU Básico. O SKU Básico é um SKU legado e tem limitações de recursos. Para passar de Basic para outro SKU, você deve eliminar o gateway Basic SKU VPN e criar uma nova porta de entrada com a combinação de tamanhos de Geração e SKU desejado. (ver Trabalhar com SKUs legado).

  • Esses limites de ligação são separados. Por exemplo, pode ter 128 ligações SSTP e também 250 ligações IKEv2 num SKU VpnGw1.

  • As informações sobre os preços estão disponíveis na página Preços.

  • Pode encontrar informações sobre SLA (contrato de nível de serviço) na página do SLA.

  • Se tiver muitas ligações P2S, pode ter um impacto negativo nas suas ligações S2S. Os Índices de Referência de Produção Agregada foram testados maximizando uma combinação de ligações S2S e P2S. Uma única ligação P2S ou S2S pode ter uma produção muito mais baixa.

  • Note que todos os critérios de referência não estão garantidos devido às condições de tráfego da Internet e aos seus comportamentos de aplicação

Para ajudar os nossos clientes a compreender o desempenho relativo dos SKUs utilizando diferentes algoritmos, utilizamos ferramentas iPerf e CTSTraffic publicamente disponíveis para medir desempenhos para ligações site-to-site. A tabela abaixo lista os resultados dos testes de desempenho para SKUs VPNGw. Como pode ver, o melhor desempenho é obtido quando usamos algoritmo GCMAES256 para encriptação e integridade do IPsec. Obtivemos um desempenho médio quando usamos AES256 para encriptação IPsec e SHA256 para Integridade. Quando usamos DES3 para encriptação IPsec e SHA256 para Integridade, obtivemos o menor desempenho.

Um túnel VPN liga-se a uma instância de gateway VPN. Cada produção de instância é mencionada no quadro de produção acima e está disponível agregada em todos os túneis que se ligam a esse caso.

A tabela abaixo mostra a largura de banda observada e os pacotes por segundo de produção por túnel para os diferentes SKUs de gateway. Todos os testes foram realizados entre gateways (pontos finais) em Azure em diferentes regiões com 100 ligações e em condições de carga padrão.

Geração SKU Algoritmos
usado
Débito
observado por túnel
Pacotes por segundo por túnel
observado
Geração1 VpnGw1 GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
100.000
61,000
13,000
Geração1 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração1 VpnGw1AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
650 Mbps
500 Mbps
130 Mbps
62,000
47,000
12.000
Geração1 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,2 Gbps
650 Mbps
140 Mbps
110,000
61,000
13,000
Geração1 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
700 Mbps
140 Mbps
120,000
66,000
13,000
Geração2 VpnGw2 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3 GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5 GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VPNGw2AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,25 Gbps
550 Mbps
130 Mbps
120,000
52,000
12.000
Geração2 VpnGw3AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
1,5 Gbps
700 Mbps
140 Mbps
140,000
66,000
13,000
Geração2 VpnGw4AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000
Geração2 VpnGw5AZ GCMAES256
AES256 & SHA256
DES3 & SHA256
2.3 Gbps
700 Mbps
140 Mbps
220,000
66,000
13,000

Nota

VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 e VpnGw5AZ) são apoiados apenas para a Resource Manager modelo. As redes virtuais clássicas devem continuar a utilizar os antigos SKUs (legados).

GATEWAY SKUs por conjunto de funcionalidades

O novo gateway VPN SKUs dinamiza os conjuntos de funcionalidades oferecidos nos gateways:

SKU Funcionalidades
Básico (**) VPN baseada em rotas: 10 túneis para as ligações S2S; não há autenticação RADIUS para P2S; nenhum IKEv2 para P2S
VPN baseada em políticas: (IKEv1): 1 Túnel S2S/ligação; sem P2S
Todos os SKUs de Geração1 e Geração2, exceto Basic VPN baseada em rotas: até 100 túneis (*), P2S, BGP, política ativa e personalizada IPsec/IKE, coexistência ExpressRoute/VPN

(*) Pode configurar "PolicyBasedTrafficSelectors" para ligar uma porta de entrada VPN baseada em rotas a vários dispositivos de firewall baseados em políticas no local. Consulte Gateways de ligação VPN para vários dispositivos VPN com base na política local com o PowerShell para obter detalhes.

(**) O SKU Básico é considerado um legado SKU. O SKU Básico tem determinadas limitações de características. Não é possível redimensionar um portal que use um SKU Básico para outro SKU, em vez disso, deve mudar para um novo SKU, que envolve eliminar e recriar o seu gateway VPN.

Gateway SKUs - Produção vs. Dev-Test Workloads

Devido a diferenças nos SLA e nos conjuntos de funcionalidades, é recomendável seguir os SKU para produção versus dev-test:

Carga de trabalho SKUs
Produção, cargas de trabalho críticas Todos os SKUs de Geração1 e Geração2, exceto Basic
Dev-test ou prova de conceito Básico (**)

(**) O SKU Básico é considerado um legado SKU e tem limitações de recursos. Verifique se a funcionalidade de que necessita é suportada antes de utilizar o SKU Básico.

Se estiver a utilizar os antigos SKUs (legado), as recomendações da SKU de produção são Standard e HighPerformance. Para obter informações e instruções para skus antigos, consulte Gateway SKUs (legado).

Configure um gateway SKU

Portal do Azure

Se utilizar o portal do Azure para criar um gateway de rede virtual Resource Manager, pode selecionar o gateway SKU utilizando o dropdown. As opções que lhe são apresentadas correspondem ao tipo Gateway e ao tipo VPN que seleciona.

PowerShell

O exemplo powerShell seguinte especifica como -GatewaySku VpnGw1. Ao utilizar o PowerShell para criar um gateway, primeiro tem de criar a configuração IP e, em seguida, utilizar uma variável para se referir a ela. Neste exemplo, a variável de configuração é $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

CLI do Azure

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Redimensionar ou mudar um SKU

Se tiver uma porta de entrada VPN e quiser utilizar um SKU de gateway diferente, as suas opções são redimensionar o seu gateway SKU ou mudar para outro SKU. Quando mudar para outro gateway SKU, você apaga completamente o gateway existente e constrói um novo. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Em comparação, quando se redimensiona um gateway SKU, não há muito tempo de inatividade porque não é preciso apagar e reconstruir o portal. Se tiver a opção de redimensionar o seu gateway SKU, em vez de alterá-lo, vai querer fazê-lo. No entanto, existem regras relativas à redimensionamento:

  1. Com exceção do SKU Básico, pode redimensionar uma porta de entrada VPN SKU para outra SKU de gateway VPN dentro da mesma geração (Geração1 ou Geração2). Por exemplo, VpnGw1 da Geração1 pode ser redimensionado para VpnGw2 da Geração1, mas não para VpnGw2 da Geração2.
  2. Ao trabalhar com os SKUs de gateway antigos, você pode redimensionar entre SKUs Standard e HighPerformance.
  3. Não é possível redimensionar de SKUs básicos/standard/highperformance para SKUs VPNGw. Em vez disso, tens de mudar para os novos SKUs.

Para redimensionar uma porta de entrada

Portal do Azure

  1. Aceda à página de Configuração para o seu gateway de rede virtual.

  2. No lado direito da página, clique na seta dropdown para mostrar os SKUs de gateway disponíveis.

    Screenshot showing how to resize the gateway.

  3. Selecione o SKU a partir do dropdown.

PowerShell

Pode utilizar o Resize-AzVirtualNetworkGateway cmdlet PowerShell para atualizar ou desclassificar um SKU Geração1 ou Geração2 (todos os SKUs VpnGw podem ser redimensionados exceto SKUs Básicos). Se estiver a utilizar o Gateway Basic SKU, utilize estas instruções para redimensionar o seu gateway.

O exemplo seguinte da PowerShell mostra um gateway SKU a ser redimensionado para VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Para mudar de um antigo (legado) SKU para um novo SKU

Se estiver a trabalhar com a Resource Manager modelo de implantação, pode mudar para o novo GATEWAY SKUs. Quando muda de um gateway antigo SKU para um novo SKU, você apaga o gateway VPN existente e cria um novo gateway VPN.

Fluxo de trabalho:

  1. Remova várias ligações a um gateway de rede virtual.
  2. Elimine o gateway de VPN antigo.
  3. Crie o gateway de VPN novo.
  4. Atualize os seus dispositivos VPN no local com o novo endereço IP do gateway do VPN (para ligações de rede).
  5. Atualize o valor do endereço IP do gateway para gateways de rede local VNet para VNet que se ligam a este gateway.
  6. Transfira novos pacotes de configuração do cliente VPN para clientes de P2S que se ligam à rede virtual por meio deste gateway VPN.
  7. Volte a criar as ligações a um gateway de rede virtual.

Considerações:

  • Para se mudar para os novos SKUs, o seu gateway VPN deve estar na Resource Manager modelo.
  • Se você tem uma porta VPN clássica, você deve continuar usando o legado antigo SKUs para essa porta, no entanto, você pode redimensionar entre o legado SKUs. Não pode mudar para os novos SKUs.
  • Terá tempo de inatividade de conectividade quando mudar de um SKU legado para um novo SKU.
  • Ao mudar para um novo gateway SKU, o endereço IP público para o seu gateway VPN mudará. Isto acontece mesmo que especifique o mesmo objeto de endereço IP público que usou anteriormente.

Tipos de ligação

Na Resource Manager modelo de implantação, cada configuração requer um tipo específico de ligação de gateway de rede virtual. Os valores disponíveis do PowerShell do Resource Manager para -ConnectionType são:

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

No exemplo seguinte do PowerShell, criamos uma ligação S2S que requer o tipo de ligação IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipos de VPN

Quando criar o gateway de rede virtual para uma configuração de gateway VPN, deve especificar um tipo VPN. O tipo VPN que escolhe depende da topologia de ligação que pretende criar. Por exemplo, uma ligação P2S requer um tipo VPN RouteBased. Um tipo VPN também pode depender do hardware que está a usar. As configurações S2S requerem um dispositivo VPN. Alguns dispositivos VPN suportam apenas um determinado tipo VPN.

O tipo VPN que seleciona deve satisfazer todos os requisitos de ligação para a solução que pretende criar. Por exemplo, se pretender criar uma ligação de gateway S2S VPN e uma ligação de gateway P2S VPN para a mesma rede virtual, utilizaria o tipo VPN RouteBased porque o P2S requer um tipo VPN RouteBased. Também terá de verificar se o seu dispositivo VPN suportava uma ligação VPN RouteBased.

Uma vez criado um gateway de rede virtual, não é possível alterar o tipo VPN. Tem de apagar o gateway de rede virtual e criar um novo. Existem dois tipos de VPN:

  • Política: As VPNs de Política foram anteriormente chamadas de gateways de encaminhamento estático na modelo de implantação clássica. As VPNs baseadas em políticas encriptam e directizam pacotes através de túneis IPsec baseados nas políticas IPsec configuradas com as combinações de prefixos de endereços entre a sua rede no local e o VNet Azure. Normalmente, a política (ou o seletor de tráfego), é definido como uma lista de acesso na configuração do dispositivo VPN. O valor para um tipo VPN baseado em política é o PolicyBased. Ao utilizar uma VPN VPN de 400% de política, tenha em mente as seguintes limitações:

    • As VPNs baseadas em políticas podem ser utilizadas no Gateway Basic SKU. Este tipo VPN não é compatível com outros SKUs de gateway.
    • Só pode ter 1 túnel quando utilizar uma VPN de VPN de Fórmula.
    • Só pode utilizar VPNs baseados em Políticas para ligações S2S e apenas para determinadas configurações. A maioria das configurações Gateway de VPN requerem uma VPN RouteBased.
  • RouteBased: RouteBased VPNs foram anteriormente chamados gateways de encaminhamento dinâmicos na modelo de implantação clássica. As VPNs de rotadessar "rotas" na tabela de encaminhamento ou encaminhamento IP para direcionar os pacotes para as suas interfaces de túneis correspondentes. As interfaces de túnel, em seguida, encriptam ou desencriptam os pacotes dentro e fora dos túneis. A política (ou seletor de tráfego) para VPNs routebased são configuradas como qualquer -para-qualquer (ou cartões selvagens). O valor para um tipo VPN RouteBased é RouteBased.

O exemplo powerShell a seguir especifica o -VpnType como RouteBased. Quando estiver a criar um gateway, tem de se certificar de que o -VpnType está correto para a sua configuração.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Sub-rede de gateway

Antes de criar uma porta VPN, tem de criar uma sub-rede de gateway. A sub-rede gateway contém os endereços IP que os VMs e serviços de gateway de rede virtuais utilizam. Quando cria o seu gateway de rede virtual, os VMs de gateway são implantados na sub-rede gateway e configurados com as definições de gateway VPN necessárias. Nunca trans coloque nada mais (por exemplo, VMs adicionais) na sub-rede gateway. A sub-rede gateway deve ser denominada "GatewaySubnet" para funcionar corretamente. Nomear a sub-rede de gateway 'GatewaySubnet' permite ao Azure saber que esta é a sub-rede para implantar os VMs e serviços de gateway de rede virtual.

Nota

As rotas definidas pelo utilizador com um destino 0.0.0.0/0 e NSGs no GatewaySubnet não são suportadas. Gateways criados com esta configuração serão bloqueados da criação. Gateways requerem acesso aos controladores de gestão para funcionar corretamente. A propagação da rota BGP deve ser definida como "Ativada" na GatewaySubnet para garantir a disponibilidade do gateway. Se for definida como Desativada, o gateway não funcionará.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede gateway são atribuídos aos VMs de gateway e serviços de gateway. Algumas configurações requerem mais endereços IP do que outras.

Quando estiver a planear o tamanho da sub-rede gateway, consulte a documentação para a configuração que está a planear criar. Por exemplo, a configuração de coexistência ExpressRoute/Gateway de VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Além disso, pode querer certificar-se de que a sub-rede gateway contém endereços IP suficientes para acomodar possíveis configurações adicionais futuras. Embora possa criar uma sub-rede de gateway tão pequena como /29, recomendamos que crie uma sub-rede de gateway de /27 ou maior (/27, /26 etc.) se tiver o espaço de endereço disponível para o fazer. Isto acomodará a maioria das configurações.

O exemplo Resource Manager PowerShell mostra uma sub-rede de gateway chamada GatewaySubnet. Pode ver que a notação CIDR especifica uma /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o seu gateway de rede virtual (gateways VPN e Rota Expresso) deixe de funcionar como esperado. Para obter mais informações sobre grupos de segurança de rede, veja o que é um grupo de segurança de rede?.

Gateways de rede local

Um portal de rede local é diferente de um portal de rede virtual. Ao criar uma configuração de gateway VPN, o gateway de rede local geralmente representa a sua rede no local e o dispositivo VPN correspondente. No modelo de implementação clássica, o gateway de rede local foi referido como Site Local.

Você dá ao portal de rede local um nome, o endereço IP público ou o nome de domínio totalmente qualificado (FQDN) do dispositivo VPN no local, e especifica os prefixos de endereço que estão localizados no local. A Azure olha para os prefixos do endereço de destino para o tráfego de rede, consulta a configuração que especificou para o seu gateway de rede local, e pacotes de rotas em conformidade. Se utilizar o Border Gateway Protocol (BGP) no seu dispositivo VPN, irá fornecer o endereço IP peer BGP do seu dispositivo VPN e o número de sistema autónomo (ASN) da sua rede no local. Também especifica os gateways de rede locais para configurações VNet-vNet que utilizam uma ligação de gateway VPN.

O exemplo powerShell a seguir cria um novo gateway de rede local:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes é necessário modificar as definições de gateway de rede local. Por exemplo, quando adiciona ou modifica o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar. Consulte as definições de gateway de rede locais utilizando o PowerShell.

REST APIs, PowerShell cmdlets e CLI

Para obter recursos técnicos adicionais e requisitos específicos de sintaxe ao utilizar APIs de REST, cmdlets PowerShell ou CLI Azure para configurações Gateway de VPN, consulte as seguintes páginas:

Clássico Resource Manager
PowerShell PowerShell
API REST API REST
Não suportado CLI do Azure

Passos seguintes

Para obter mais informações sobre as configurações de ligação disponíveis, consulte Cerca de Gateway de VPN.