Acerca de la configuración de VPN GatewayAbout VPN Gateway configuration settings

Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual que envía tráfico cifrado entre la red virtual y la ubicación local a través de una conexión pública.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. También puede utilizar una puerta de enlace de VPN para enviar tráfico entre redes virtuales a través de la red troncal de Azure.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Una conexión de puerta de enlace de VPN se basa en la configuración de varios recursos, cada uno de los cuales contiene valores configurables.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Las secciones de este artículo tratan los recursos y la configuración relacionados con una puerta de enlace de VPN para una red virtual creada en el modelo de implementación de Resource Manager.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Puede encontrar las descripciones y los diagramas de topología de cada solución de conexión en el artículo Acerca de VPN Gateway.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Los valores de este artículo se aplican a las puertas de enlace de VPN (puertas de enlace de red virtual que usan -GatewayType Vpn).The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). En este artículo no se cubren todos los tipos de puerta de enlace ni puertas de enlace con redundancia de zona.This article does not cover all gateway types or zone-redundant gateways.

Nota

Este artículo se ha actualizado para usar el nuevo módulo Az de Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Aún puede usar el módulo de AzureRM que continuará recibiendo correcciones de errores hasta diciembre de 2020 como mínimo.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para más información acerca del nuevo módulo Az y la compatibilidad con AzureRM, consulte Introducing the new Azure PowerShell Az module (Presentación del nuevo módulo Az de Azure PowerShell).To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obtener instrucciones sobre la instalación del módulo Az, consulte Instalación de Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Tipos de puerta de enlaceGateway types

Cada red virtual solo puede tener una puerta de enlace de red de cada tipo.Each virtual network can only have one virtual network gateway of each type. Al crear una puerta de enlace de red virtual, debe asegurarse de que el tipo de puerta de enlace es el correcto para su configuración.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

Los valores disponibles para -GatewayType son:The available values for -GatewayType are:

  • VPNVpn
  • ExpressRouteExpressRoute

Una puerta de enlace de VPN requiere -GatewayType Vpn.A VPN gateway requires the -GatewayType Vpn.

Ejemplo:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU de puerta de enlaceGateway SKUs

Al crear una puerta de enlace de red virtual, debe especificar la SKU de la puerta de enlace que desea usar.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. En relación con las SKU de puerta de enlace de red virtual en Azure Availability Zones, vea la información sobre las SKU de puerta de enlace de Azure Availability Zones.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones gateway SKUs.

SKU de puerta de enlace por túnel, conexión y rendimientoGateway SKUs by tunnel, connection, and throughput

Generación
de
VPN Gateway
VPN
Gateway
Generation
SKUSKU Túneles
S2S/entre redes virtuales
S2S/VNet-to-VNet
Tunnels
Conexiones P2S
SSTP
P2S
SSTP Connections
Conexiones P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Pruebas comparativas de rendimiento
agregado
Aggregate
Throughput Benchmark
BGPBGP Con redundancia de zonaZone-redundant
Generation1Generation1 BásicoBasic Máx.Max. 1010 Máx.Max. 128128 No compatibleNot Supported 100 Mbps100 Mbps No compatibleNot Supported SinNo
Generation1Generation1 VpnGw1VpnGw1 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 MBps650 Mbps CompatibleSupported SinNo
Generation1Generation1 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported SinNo
Generation1Generation1 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported SinNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 MBps650 Mbps CompatibleSupported Yes
Generation1Generation1 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported Yes
Generación 1Generation1 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw4VpnGw4 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 50005000 5 Gbps5 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw5VpnGw5 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 1000010000 10 Gbps10 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw4AZVpnGw4AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 50005000 5 Gbps5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw5AZVpnGw5AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 1000010000 10 Gbps10 Gbps CompatibleSupported Yes

(*) Use una red WAN virtual si necesita más de 30 túneles VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La SKU básica es una SKU heredada y tiene limitaciones de características.The Basic SKU is a legacy SKU and has feature limitations. Para pasar de una SKU básica a otra SKU de VpnGw, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Estos límites de conexión son independientes.These connection limits are separate. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Puede encontrar más información sobre los precios en la página de precios.Pricing information can be found on the Pricing page.

  • La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • En un único túnel, se puede lograr un rendimiento máximo de 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Las pruebas comparativas de rendimiento agregado de la tabla anterior se basan en las mediciones de varios túneles agregados a través de una sola puerta de enlace.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. El banco de pruebas de rendimiento agregado para una puerta de enlace de VPN es la combinación de S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si tiene una gran cantidad de conexiones P2S, puede afectar negativamente a una conexión S2S debido a las limitaciones del rendimiento.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Las pruebas comparativas de rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y a los comportamientos de las aplicaciones.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Para ayudar a nuestros clientes a comprender el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeneraciónGeneration SKUSKU Algoritmos
usados
Algorithms
used
Rendimiento
observado
Throughput
observed
Paquetes por segundo
observados
Packets per second
observed
Generación 1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
650 MBps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90 00090,000
60 00060,000
Generación 1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
650 MBps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90 00090,000
60 00060,000

Nota

Las SKU de VpnGw (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 y VpnGw5AZ) se admiten para el modelo de implementación de Resource Manager únicamente.VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5, and VpnGw5AZ) are supported for the Resource Manager deployment model only. Las redes virtuales clásicas deben seguir utilizando las SKU antiguas (heredadas).Classic virtual networks should continue to use the old (legacy) SKUs.

SKU de puerta de enlace por conjunto de característicasGateway SKUs by feature set

Las nueva SKU de puerta de enlace de VPN simplifican los conjuntos de características que se ofrecen en las puertas de enlace:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU CaracterísticasFeatures
Basic (**)Basic (**) VPN basada en rutas: 10 túneles para conexiones o S2S, sin autenticación RADIUS para P2S, sin IKEv2 para P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
VPN basada en directivas: (IKEv1): 1 túnel S2S o conexión; sin P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
Todas las SKU de Generation1 y Generation2, excepto BasicAll Generation1 and Generation2 SKUs except Basic VPN basada en ruta: hasta 30 túneles (*), P2S, BGP, activo-activo, directiva de IPsec/IKE personalizada, coexistencia de VPN y ExpressRouteRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

(*) Se puede configurar "PolicyBasedTrafficSelectors" para conectar una instancia de VPN Gateway basada en la ruta a varios dispositivos de firewall locales basados en directivas.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway to multiple on-premises policy-based firewall devices. Consulte Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Conexión de puertas de enlace VPN Gateway a varios dispositivos de VPN locales basados en directivas con PowerShell) para más información.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) La SKU Basic se considera una SKU heredada.(**) The Basic SKU is considered a legacy SKU. La SKU Basic tiene ciertas limitaciones de características.The Basic SKU has certain feature limitations. No se puede cambiar el tamaño de una puerta de enlace que utiliza una SKU Basic a una de las SKU de puerta de enlace nuevas, sino que debe cambiar a una SKU nueva, lo que implica eliminar y volver a crear la puerta de enlace VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

SKU de puerta de enlace: producción frente a cargas de desarrollo y pruebasGateway SKUs - Production vs. Dev-Test Workloads

Dadas las diferencias en los Acuerdos de Nivel de Servicio y los conjuntos de características, se recomiendan las siguientes SKU para la producción, en comparación el desarrollo y las pruebas:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

Carga de trabajoWorkload SKUSKUs
Cargas de trabajo de producción, críticasProduction, critical workloads Todas las SKU de Generation1 y Generation2, excepto BasicAll Generation1 and Generation2 SKUs except Basic
Desarrollo y pruebas o prueba de conceptoDev-test or proof of concept Basic (**)Basic (**)

(**) La SKU Basic se considera una SKU heredada y tiene limitaciones de características.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Compruebe que se admite la característica que necesita antes de usar la SKU Basic.Verify that the feature that you need is supported before you use the Basic SKU.

Si continúa utilizando las SKU antiguas (heredadas), las recomendaciones de SKU de producción son Standard y HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Para obtener información e instrucciones para las SKU antiguas, consulte Trabajo con SKU de puerta de enlace de red virtual (SKU antiguas).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Configuración de una SKU de puerta de enlaceConfigure a gateway SKU

Portal de AzureAzure portal

Si usa Azure Portal para crear una puerta de enlace de red virtual de Resource Manager, puede seleccionar la SKU de la puerta de enlace con el menú desplegable.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. Las opciones que se presentan corresponden con el tipo de puerta de enlace y tipo de VPN que seleccione.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

En el siguiente ejemplo de PowerShell se especifica -GatewaySku como VpnGw1.The following PowerShell example specifies the -GatewaySku as VpnGw1. Al usar PowerShell para crear una puerta de enlace, antes debe crear la configuración de IP y, después, usar una variable para hacer referencia a ella.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. En este ejemplo, la variable de configuración es $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

CLI de AzureAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Cambio de tamaño o de SKUResizing or changing a SKU

Si tiene una puerta de enlace VPN y desea usar una SKU de puerta de enlace distinta, las opciones son o cambiar el tamaño de la SKU de puerta de enlace o cambiar a otra SKU.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Al cambiar a otra SKU de puerta de enlace, se elimina completamente la puerta de enlace existente y se crea otra.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. La creación de una puerta de enlace puede tardar hasta 45 minutos.A gateway can take up to 45 minutes to build. En cambio, al cambiar el tamaño de la SKU de puerta de enlace, el tiempo de inactividad será corto, ya que no tiene que eliminar y volver crear la puerta de enlace.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Si tiene la opción de cambiar el tamaño de la SKU de puerta de enlace, en lugar de cambiarla, aprovéchela.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Sin embargo, hay reglas en relación con el cambio de tamaño:However, there are rules regarding resizing:

  1. A excepción de la SKU básica, puede cambiar el tamaño de una SKU de VPN Gateway a otra SKU de VPN Gateway dentro de la misma generación (Generation1 o Generation2).With the exception of the Basic SKU, you can resize a VPN gateway SKU to another VPN gateway SKU within the same generation (Generation1 or Generation2). Por ejemplo, se puede cambiar el tamaño de VpnGw1 de Generation1 a VpnGw2 de Generation1, pero no a VpnGw2 de Generation2.For example, VpnGw1 of Generation1 can be resized to VpnGw2 of Generation1 but not to VpnGw2 of Generation2.
  2. Si trabaja con las SKU de puerta de enlace antiguas, puede cambiar el tamaño entre las SKU Básica, Estándar y HighPerformance.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Sin embargo, no puede cambiar el tamaño de las SKU de Básica/Estándar/HighPerformance a las SKU de VpnGw.You cannot resize from Basic/Standard/HighPerformance SKUs to VpnGw SKUs. En su lugar, debe cambiar a las SKU nuevas.You must instead, change to the new SKUs.

Cambiar el tamaño de una puerta de enlaceTo resize a gateway

Puede usar el cmdlet de PowerShell Resize-AzVirtualNetworkGateway para actualizar o cambiar a una versión anterior una SKU de Generation1 o Generation2 (se puede cambiar el tamaño de todas las SKU de VpnGw excepto las SKU básicas).You can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet to upgrade or downgrade a Generation1 or Generation2 SKU (all VpnGw SKUs can be resized except Basic SKUs). Si usa la SKU de puerta de enlace Basic, siga estas instrucciones para cambiar el tamaño de la puerta de enlace.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

En el siguiente ejemplo de PowerShell se muestra una SKU de puerta de enlace cuyo tamaño se ha cambiado a VpnGw2.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

También se puede cambiar el tamaño de una puerta de enlace en Azure Portal desde la página Configuración para la puerta de enlace de red virtual. Para hacerlo, seleccione otra SKU en la lista desplegable.You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

Cambiar de una SKU anterior (heredada) anterior a una nuevaTo change from an old (legacy) SKU to a new SKU

Si está trabajando con el modelo de implementación de Resource Manager, puede cambiar a las nuevas SKU de puerta de enlace.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Al cambiar de una SKU de puerta de enlace heredada a una nueva SKU, se elimina la puerta de enlace de la red virtual existente y se crea una nueva.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

Flujo de trabajo:Workflow:

  1. Elimine las conexiones a la puerta de enlace de la red virtual.Remove any connections to the virtual network gateway.
  2. Elimine la puerta de enlace VPN Gateway antigua.Delete the old VPN gateway.
  3. Cree la puerta de enlace VPN Gateway nueva.Create the new VPN gateway.
  4. Actualice los dispositivos VPN locales con la nueva dirección IP de la puerta de enlace VPN Gateway (para las conexiones de sitio a sitio).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Actualice el valor de la dirección IP de puerta de enlace para las puertas de enlace de red local de red virtual a red virtual que se conectarán a esta puerta de enlace.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Descargue los nuevos paquetes de configuración de VPN de cliente para los clientes de P2S que se vayan a conectar a la red virtual a través de esta puerta de enlace VPN Gateway.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Vuelva a crear las conexiones a la puerta de enlace de la red virtual.Recreate the connections to the virtual network gateway.

Consideraciones:Considerations:

  • Para pasar a las nuevas SKU, la puerta de enlace de la red virtual debe estar en el modelo de implementación de Resource Manager.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Si tiene una puerta de enlace VPN clásica, debe seguir utilizando las SKU heredadas más antiguas para esa puerta de enlace; sin embargo, puede cambiar el tamaño entre las SKU heredadas.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. No se puede cambiar as las nuevas SKU.You cannot change to the new SKUs.
  • Tendrá un tiempo de inactividad de conectividad cuando cambie de una SKU heredada a una nueva.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Al cambiar a una nueva SKU de puerta de enlace, cambiará la dirección IP pública de la puerta de enlace de la red virtual.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. Esto sucede incluso si especifica el mismo objeto de dirección IP pública que usó anteriormente.This happens even if you specify the same public IP address object that you used previously.

Tipos de conexiónConnection types

En el modelo de implementación de Resource Manager, cada configuración requiere un tipo de conexión de puerta de enlace de red virtual específico.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Los valores de PowerShell de Resource Manager para -ConnectionType son:The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

En el siguiente ejemplo de PowerShell, vamos a crear una conexión de S2S que requiere el tipo de conexión IPsec.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipos de VPNVPN types

Al crear la puerta de enlace de red virtual para una configuración de puerta de enlace de VPN, debe especificar un tipo de VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. El tipo de VPN que elija dependerá de la topología de conexión que desee crear.The VPN type that you choose depends on the connection topology that you want to create. Por ejemplo, una conexión de P2S requiere un tipo de VPN RouteBased.For example, a P2S connection requires a RouteBased VPN type. Un tipo de VPN también puede depender del hardware que se esté usando.A VPN type can also depend on the hardware that you are using. Las configuraciones de S2S requieren un dispositivo VPN.S2S configurations require a VPN device. Algunos dispositivos VPN solo serán compatibles con un determinado tipo de VPN.Some VPN devices only support a certain VPN type.

El tipo de VPN que seleccione debe cumplir todos los requisitos de conexión de la solución que desea crear.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Por ejemplo, si desea crear una conexión de puerta de enlace de VPN de S2S y una conexión de puerta de enlace de VPN de P2S para la misma red virtual, debería usar el tipo de VPN RouteBased , dado que P2S requiere un tipo de VPN RouteBased.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. También necesitaría comprobar que el dispositivo VPN admite una conexión de VPN RouteBased.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Una vez que se ha creado una puerta de enlace de red virtual, no puede cambiar el tipo de VPN.Once a virtual network gateway has been created, you can't change the VPN type. Tendrá que eliminar la puerta de enlace de red virtual y crear una nueva.You have to delete the virtual network gateway and create a new one. Hay dos tipos de VPN:There are two VPN types:

  • PolicyBased: en el modelo de implementación clásica, las VPN basadas en directivas se llamaban puertas de enlace de enrutamiento estático.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. Las VPN basadas en directivas cifran y dirigen los paquetes a través de túneles de IPsec basados en las directivas de IPsec configuradas con las combinaciones de prefijos de dirección entre su red local y la red virtual de Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. La directiva (o el selector de tráfico) se define normalmente como una lista de acceso en la configuración del dispositivo VPN.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. El valor de un tipo de VPN basada en directivas es PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Cuando use una VPN basada en directivas, tenga en cuenta las siguientes limitaciones:When using a PolicyBased VPN, keep in mind the following limitations:

    • Las VPN basadas en directivas solo se utilizan en la SKU de puerta de enlace Básica.PolicyBased VPNs can only be used on the Basic gateway SKU. Este tipo de VPN no es compatible con otras SKU de puerta de enlace.This VPN type is not compatible with other gateway SKUs.
    • Solo puede tener 1 túnel cuando se usa una VPN basada en directivas.You can have only 1 tunnel when using a PolicyBased VPN.
    • Las VPN basadas en directivas solo se pueden usar para las conexiones S2S, y solo para determinadas configuraciones.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. La mayoría de las configuraciones de VPN Gateway requieren una VPN basada en enrutamiento.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: en el modelo de implementación clásica, las VPN basadas en enrutamiento se llamaban puertas de enlace de enrutamiento dinámico.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. Las VPN basadas en enrutamiento utilizan "rutas" en la dirección IP de reenvío o en la tabla de enrutamiento para dirigir los paquetes a sus correspondientes interfaces de túnel.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. A continuación, las interfaces de túnel cifran o descifran los paquetes dentro y fuera de los túneles.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. La directiva o el selector de tráfico para las VPN basadas en enrutamiento se configura como una conectividad del tipo de cualquiera a cualquiera (o caracteres comodín).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). El valor de un tipo de VPN basada en enrutamiento es RouteBased.The value for a RouteBased VPN type is RouteBased.

En el siguiente ejemplo de PowerShell se especifica -VpnType como RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Al crear una puerta de enlace, debe asegurarse de que el tipo de VPN es el correcto para su configuración.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Requisitos de la puerta de enlaceGateway requirements

La tabla siguiente enumera los requisitos para las puertas de enlace VPN basadas en enrutamientos y directivas.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Esta tabla se aplica a los modelos de implementación del Administrador de recursos y clásico.This table applies to both the Resource Manager and classic deployment models. Para el modelo clásico, las puertas de enlace de VPN basadas en directivas son las mismas que las puertas de enlace estáticas y las basadas en enrutamientos son las mismas que las dinámicas.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

VPN Gateway básica basada en directivasPolicyBased Basic VPN Gateway VPN Gateway básica basada en enrutamientosRouteBased Basic VPN Gateway VPN Gateway estándar basada en enrutamientosRouteBased Standard VPN Gateway VPN Gateway de alto rendimiento basada en enrutamientosRouteBased High Performance VPN Gateway
Conectividad de sitio a sitio...(S2S)Site-to-Site connectivity (S2S) Configuración de VPN de PolicyBasedPolicyBased VPN configuration Configuración de VPN de RouteBasedRouteBased VPN configuration Configuración de VPN de RouteBasedRouteBased VPN configuration Configuración de VPN de RouteBasedRouteBased VPN configuration
Conectividad de punto a sitio (P2S)Point-to-Site connectivity (P2S) No compatibleNot supported Compatible (puede coexistir con S2S)Supported (Can coexist with S2S) Compatible (puede coexistir con S2S)Supported (Can coexist with S2S) Compatible (puede coexistir con S2S)Supported (Can coexist with S2S)
Método de autenticaciónAuthentication method Clave precompartidaPre-shared key Clave precompartida para la conectividad de S2S, Certificados para la conectividad de P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Clave precompartida para la conectividad de S2S, Certificados para la conectividad de P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Clave precompartida para la conectividad de S2S, Certificados para la conectividad de P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity
Número máximo de conexiones S2SMaximum number of S2S connections 11 1010 1010 3030
Número máximo de conexiones P2SMaximum number of P2S connections No compatibleNot supported 128128 128128 128128
Compatibilidad con enrutamiento activo (BGP) (*)Active routing support (BGP) (*) No compatibleNot supported No compatibleNot supported CompatibleSupported CompatibleSupported

(*) BGP no es compatible con el modelo de implementación clásica.(*) BGP is not supported for the classic deployment model.

Subred de puerta de enlaceGateway subnet

Antes de crear una puerta de enlace de VPN, debe crear una subred de puerta de enlace.Before you create a VPN gateway, you must create a gateway subnet. La subred de puerta de enlace contiene las direcciones IP que usan los servicios y las máquinas virtuales de la puerta de enlace de red virtual.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Al crear la puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace, y se configuran con las opciones de puerta de enlace de VPN necesarias.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Nunca implemente nada más (por ejemplo, máquinas virtuales adicionales) en la subred de puerta de enlace.Never deploy anything else (for example, additional VMs) to the gateway subnet. Para que la subred de puerta de enlace funcione correctamente, su nombre tiene que ser “GatewaySubnet2”.The gateway subnet must be named 'GatewaySubnet' to work properly. La asignación del nombre "GatewaySubnet" a la subred de puerta de enlace permite a Azure saber que se trata de la subred donde se implementarán las máquinas virtuales y los servicios de la puerta de enlace de red virtual.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Nota

Las rutas definidas por el usuario con un destino 0.0.0.0/0 y NSG en GatewaySubnet are no se admiten.User defined routes with a 0.0.0.0/0 destination and NSGs on the GatewaySubnet are not supported. Se bloqueará la creación de puertas de enlace creadas con esta configuración.Gateways created with this configuration will be blocked from creation. Las puertas de enlace requieren acceso a los controladores de administración para que funcionen correctamente.Gateways require access to the management controllers in order to function properly.

Al crear la subred de puerta de enlace, especifique el número de direcciones IP que contiene la subred.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Las direcciones IP de la subred de puerta de enlace se asignan a las máquinas virtuales y los servicios de puerta de enlace.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Algunas configuraciones requieren más direcciones IP que otras.Some configurations require more IP addresses than others.

Cuando planee el tamaño de la subred de puerta de enlace, consulte la documentación de la configuración que piensa crear.When you are planning your gateway subnet size, refer to the documentation for the configuration that you are planning to create. Por ejemplo, la configuración de coexistencia de ExpressRoute/VPN Gateway requiere una subred de puerta de enlace mayor que la mayoría de las restantes.For example, the ExpressRoute/VPN Gateway coexist configuration requires a larger gateway subnet than most other configurations. Debe asegurarse también de que la subred de puerta de enlace contenga suficientes direcciones IP para acomodar posibles configuraciones adicionales.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. Aunque es posible crear una subred de puerta de enlace solo de /29, se recomienda que sea de /27, o incluso mayor, (/27, /26, etc.), siempre que se disponga de espacio para hacerlo,While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26 etc.) if you have the available address space to do so. ya que puede albergar más configuraciones.This will accommodate most configurations.

En el ejemplo de PowerShell de Resource Manager siguiente, se muestra una subred de puerta de enlace con el nombre GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Puede ver que la notación CIDR especifica /27, que permite suficientes direcciones IP para la mayoría de las configuraciones que existen.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Cuando trabaje con subredes de la puerta de enlace, evite asociar un grupo de seguridad de red (NSG) a la subred de la puerta de enlace.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. La asociación de un grupo de seguridad de red a esta subred puede causar que la puerta de enlace de la red virtual (VPN, puerta de enlace de Express Route) deje de funcionar como cabría esperar.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Para más información acerca de los grupos de seguridad de red, consulte ¿Qué es un grupo de seguridad de red?For more information about network security groups, see What is a network security group?

Puertas de enlace de red localLocal network gateways

Una puerta de enlace de red local es diferente a una puerta de enlace de red virtual.A local network gateway is different than a virtual network gateway. Al crear una configuración de puerta de enlace de VPN, la puerta de enlace de red local suele representar la ubicación local.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. En el modelo de implementación clásica, la puerta de enlace de red local se conoce como un sitio local.In the classic deployment model, the local network gateway was referred to as a Local Site.

Debe asignar un nombre a la puerta de enlace de red local, así como la dirección IP pública del dispositivo VPN local, y especificar los prefijos de dirección que se encuentran en la ubicación local.You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure examina los prefijos de dirección de destino para el tráfico de red, consulta la configuración que especificó para la puerta de enlace de red local y enruta los paquetes según corresponda.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. También debe especificar puertas de enlace de red local para configuraciones de red virtual a red virtual local que usan una conexión de puerta de enlace de VPN.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

En el ejemplo siguiente de PowerShell, se crea una nueva puerta de enlace de red local:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

A veces es necesario modificar la configuración de la puerta de enlace de red local.Sometimes you need to modify the local network gateway settings. Por ejemplo, al agregar o modificar el intervalo de direcciones, o si cambia la dirección IP del dispositivo VPN.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Vea Modificación de la configuración de la puerta de enlace de red local mediante PowerShell.See Modify local network gateway settings using PowerShell.

API de REST, cmdlets de PowerShell y CLIREST APIs, PowerShell cmdlets, and CLI

Para más información sobre los recursos técnicos y los requisitos de sintaxis específicos para usar las API de REST y los cmdlets de PowerShell para configuraciones de VPN Gateway, consulte las páginas siguientes:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

ClásicoClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
API DE RESTREST API API DE RESTREST API
No compatibleNot supported CLI de AzureAzure CLI

Pasos siguientesNext steps

Para más información sobre las configuraciones de conexión disponibles, vea About VPN Gateway (Acerca de VPN Gateway).For more information about available connection configurations, see About VPN Gateway.