Funcionamiento de Azure VPN Gateway
Solo se puede implementar una única instancia de puerta de enlace de Azure VPN Gateway en cada red virtual de Azure. Aunque tenga la limitación de una única puerta de enlace de Azure VPN Gateway, puede configurar esta puerta de enlace para conectarse a varias ubicaciones, incluidas otras redes virtuales de Azure o centros de datos locales.
Nota
Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales especiales que se implementan en una subred específica denominada subred de puerta de enlace. Las máquinas virtuales de puerta de enlace de red virtual hospedan tablas de enrutamiento y ejecutan servicios de puerta de enlace específicos. Estas máquinas virtuales que constituyen la puerta de enlace se crean con la puerta de enlace de red virtual. Azure las administra automáticamente y no requieren atención administrativa.
Tipos de puertas de enlace de VPN
Al configurar una puerta de enlace de red virtual, se selecciona una configuración que especifica el tipo de puerta de enlace. El tipo de puerta de enlace especifica cómo se utilizará la puerta de enlace de red virtual y las acciones que realizará la puerta de enlace. El tipo de puerta de enlace Vpn especifica que el tipo de puerta de enlace de red virtual creada es VPN gateway. Esto lo distingue de una puerta de enlace de ExpressRoute, que usa un tipo de puerta de enlace diferente. Una red virtual de Azure puede tener dos puertas de enlace de red virtual: una puerta de enlace de VPN y una puerta de enlace de ExpressRoute.
Hay dos tipos de puertas de enlace de Azure VPN Gateway:
- Puerta de enlace de VPN basada en directivas
- Puerta de enlace de VPN basada en rutas
Puertas de enlace de VPN basadas en directivas
Las puertas de enlace de VPN basadas en directivas requieren que especifique un conjunto fijo de paquetes de direcciones IP que se deben cifrar en cada túnel. Este tipo de dispositivo evalúa cada paquete de datos con esos conjuntos fijos de direcciones IP y, después, elige el túnel a través del que enviará ese tráfico.
Entre las características clave de las instancias de VPN Gateway basadas en directivas en Azure se incluyen:
- Compatibilidad solo con IKEv1.
- Usar el enrutamiento estático
El origen y destino de las redes de túnel se declaran en la directiva de VPN y no necesitan declararse en las tablas de enrutamiento. Use solo redes privadas virtuales basadas en directivas en escenarios específicos que las necesiten, por ejemplo, para ofrecer compatibilidad con dispositivos de red privada virtual locales heredados.
Puerta de enlace de VPN basada en rutas
Con las puertas de enlace de Azure VPN Gateway basadas en rutas, un túnel IPsec funciona como una interfaz de red o una interfaz de túnel virtual (VTI). El enrutamiento IP (rutas estáticas o protocolos de enrutamiento dinámico) determina qué interfaces de túnel transmitirán cada paquete. Las VPN basadas en rutas son el método de conexión preferido para los dispositivos locales, ya que son más resistentes a los cambios de la topología, como la creación de subredes. Una VPN basada en rutas es mucho más adecuada para Adatum, porque permitirá realizar conexiones a recursos de IaaS de Azure en redes virtuales si se agregan nuevas subredes sin tener que volver a configurar la puerta de enlace de Azure VPN Gateway.
Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway basada en rutas:
- Conexiones entre redes virtuales
- Conexiones de punto a sitio
- Conexiones de varios sitios
- Coexistencia con una puerta de enlace de Azure ExpressRoute
Entre las características clave de las instancias de VPN Gateway basadas en rutas en Azure se incluyen:
- Compatibilidad con IKEv2
- Uso de selectores de tráfico universales (comodín)
- Se pueden usar los protocolos de enrutamiento dinámico, donde las tablas de reenvío y enrutamiento dirigen el tráfico a distintos túneles IPsec
Cuando se configuran para usar el enrutamiento dinámico, las redes de origen y destino no se definen de forma estática, ya que se encuentran en VPN basadas en directivas o incluso en VPN basadas en rutas con un enrutamiento estático. En su lugar, los paquetes de datos se cifran en función de las tablas de enrutamiento de red que se crean de forma dinámica mediante protocolos de enrutamiento, como el Protocolo de puerta de enlace de borde (BGP).
Las puertas de enlace de VPN de Azure solo admiten el uso del método de autenticación de clave precompartida. Tanto los tipos basados en directivas como los basados en ruta dependen del intercambio de claves por red (IKE) en las versiones 1 o 2 y en el protocolo de seguridad de Internet (IPsec). El IKE se usa para establecer una asociación de seguridad (un contrato del cifrado) entre dos puntos de conexión. Esta asociación, después, se pasa al conjunto de IPsec, que cifra y descifra los paquetes de datos encapsulados en el túnel VPN.
Tamaños de puertas de enlace de Azure VPN Gateway
Al crear una puerta de enlace de red virtual, debe especificar una SKU de puerta de enlace. Debe seleccionar una SKU que satisfaga sus requisitos en función de los tipos de cargas de trabajo, rendimiento, características y contratos de nivel de servicio.
| SKU de puerta de enlace: generación 1 | Máximo de túneles VPN de sitio a sitio | Rendimiento agregado | Compatibilidad con BGP |
|---|---|---|---|
| Básico | 10 | 100 Mbps | No compatible |
| VpnGw1/Az | 30 | 650 Mbps | Compatible |
| VpnGw2/Az | 30 | 1 Gbps | Compatible |
| VpnGw3/Az | 30 | 1,25 Gbps | Compatible |
En esta tabla se muestran las SKU de generación 1. Al trabajar con SKU de generación 1, puede migrar entre las SKU VpnGw1, VpnGw2 y VpnGw3 según sea necesario. No se puede migrar desde la SKU básica sin quitar y volver a implementar la puerta de enlace de VPN. También puede crear puertas de enlace de VPN mediante SKU de generación 2. Para obtener la información más reciente sobre las SKU, el rendimiento y las características admitidas, consulte los vínculos de la sección Resumen al final de este módulo.
Requisitos de puerta de enlace de VPN
Los siguientes recursos de Azure deben estar presentes para poder implementar una puerta de enlace de VPN operativa:
- Red virtual: una red virtual de Azure que tenga suficiente espacio de direcciones para la subred adicional que necesitará para la instancia de VPN Gateway. El espacio de direcciones para esta red virtual no se debe superponer con la red local que se va a conectar.
- GatewaySubnet: una subred denominada GatewaySubnet para la puerta de enlace de VPN. Requiere, al menos, una máscara de dirección /27. Esta subred no se puede usar para ningún otro servicio.
- Dirección IP pública: una dirección IP pública dinámica de SKU básico si usa una puerta de enlace que no tenga en cuenta la zona horaria. Esta dirección proporciona una dirección IP pública enrutable como destino para el dispositivo VPN local. Aunque esta dirección IP es dinámica, no se cambiará, a menos que elimine y vuelva a crear la instancia de VPN Gateway.
- Puerta de enlace de red local: cree una puerta de enlace de red local para definir la configuración de la red local: dónde y a qué se conectará la instancia de VPN Gateway. Esta configuración incluye la dirección IPv4 pública del dispositivo VPN local y las redes de enrutamiento locales. La puerta de enlace de VPN usa esta información con el fin de enrutar paquetes destinados para las redes locales a través del túnel IPsec.
Cuando estén presentes los componentes necesarios, podrá crear la puerta de enlace de red virtual para enrutar el tráfico entre la red virtual y el centro de datos local u otras redes virtuales. Después de implementar la puerta de enlace de red virtual, puede crear un recurso de conexión para crear una conexión lógica entre la puerta de enlace de VPN y la puerta de enlace de red local:
- La conexión se realiza a las direcciones IPv4 del dispositivo VPN local, tal como define la puerta de enlace de red local.
- La conexión se realiza desde la puerta de enlace de red virtual y la dirección IP pública asociada.
Puede configurar varias conexiones, hasta el límite definido por la SKU, para cada puerta de enlace de Azure VPN Gateway.
Alta disponibilidad
Aunque solo vea un recurso de puerta de enlace de Azure VPN Gateway, las puertas de enlace de VPN se implementan como dos instancias de máquinas virtuales administradas en una configuración de activo/en espera. Cuando el mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la instancia en espera asume de forma automática la responsabilidad de las conexiones sin ninguna intervención del usuario o administrador. Durante esta conmutación por error, las conexiones se interrumpen, pero por lo general se restauran en cuestión de segundos si se trata del mantenimiento planeado y en un plazo de 90 segundos en el caso de las interrupciones imprevistas.
Las puertas de enlace de Azure VPN Gateway admiten el protocolo de enrutamiento BGP, que también permite implementar puertas de enlace de VPN en una configuración de activo/activo. En esta configuración, se asigna una IP pública única a cada instancia. Después, se crean túneles independientes desde el dispositivo local a cada dirección IP. Se puede ampliar la alta disponibilidad mediante la implementación de más dispositivos VPN locales.
Nota:
Muchas organizaciones que tienen conexiones ExpressRoute también han implementado conexiones VPN de sitio a sitio para obtener una capa adicional de redundancia.