¿Qué es VPN Gateway?What is VPN Gateway?

VPN Gateway es un tipo específico de puerta de enlace de red virtual que se usa para enviar tráfico cifrado entre una red virtual de Azure y una ubicación local a través de la red pública de Internet.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. También puede usar una instancia de VPN Gateway para enviar tráfico cifrado entre las redes virtuales de Azure a través de la red de Microsoft.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Cada red virtual solo puede tener una instancia de VPN Gateway.Each virtual network can have only one VPN gateway. Sin embargo, puede crear varias conexiones a la misma instancia.However, you can create multiple connections to the same VPN gateway. Al crear varias conexiones a la misma instancia de VPN Gateway, todos los túneles VPN comparten el ancho de banda disponible de la puerta de enlace.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

¿Qué es una puerta de enlace de red virtual?What is a virtual network gateway?

Una puerta de enlace de red virtual se compone de dos o más máquinas virtuales que se implementan en una subred específica llamada subred de la puerta de enlace.A virtual network gateway is composed of two or more VMs that are deployed to a specific subnet you create called the gateway subnet. Las máquinas virtuales de puerta de enlace de red virtual contienen tablas de enrutamiento y ejecutan servicios específicos de puerta de enlace.Virtual network gateway VMs contain routing tables and run specific gateway services. Estas máquinas virtuales se crean al generar la puerta de enlace de red virtual.These VMs are created when you create the virtual network gateway. No se pueden configurar directamente las máquinas virtuales que forman parte de la puerta de enlace de red virtual.You can't directly configure the VMs that are part of the virtual network gateway.

Un valor que se configura para una puerta de enlace de red virtual es el tipo de puerta de enlace.One setting that you configure for a virtual network gateway is the gateway type. El tipo de puerta de enlace especifica cómo se utilizará la puerta de enlace de red virtual y las acciones que realiza la puerta de enlace.Gateway type specifies how the virtual network gateway will be used and the actions that the gateway takes. El tipo de puerta de enlace "Vpn" especifica que el tipo de puerta de enlace de red virtual creado es una "puerta de enlace de VPN" en lugar de una puerta de enlace de ExpressRoute.The gateway type 'Vpn' specifies that the type of virtual network gateway created is a 'VPN gateway', rather than an ExpressRoute gateway. Una red virtual puede tener dos puertas de enlace de red virtual. una puerta de enlace de VPN y una puerta de enlace de ExpressRoute, como es el caso de las configuraciones de conexión coexistentes.A virtual network can have two virtual network gateways; one VPN gateway and one ExpressRoute gateway - as is the case with coexisting connection configurations. Para más información, consulte Tipos de puerta de enlace.For more information, see Gateway types.

Las puertas de enlace de VPN se pueden implementar en Azure Availability Zones.VPN gateways can be deployed in Azure Availability Zones. Esto aporta una mayor disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual.This brings resiliency, scalability, and higher availability to virtual network gateways. Implementar puertas de enlace en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, y protege la conectividad de red local en Azure de errores de nivel de zona.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. Consulte Acerca de las puertas de enlace de red virtual con redundancia de zona en Azure Availability Zones.see About zone-redundant virtual network gateways in Azure Availability Zones

La creación de una puerta de enlace de red virtual puede tardar en completarse hasta 45 minutos.Creating a virtual network gateway can take up to 45 minutes to complete. Al crear una puerta de enlace de red virtual, las máquinas virtuales de puerta de enlace se implementan en la subred de puerta de enlace y se configuran con las opciones que especifique.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Después de crear una instancia de VPN Gateway, puede crear una conexión de túnel de VPN de IPsec o IKE entre esa instancia y otra instancia de VPN Gateway (de red virtual a red virtual), o crear una conexión de túnel de VPN de IPsec o IKE con implementaciones locales entre la instancia de VPN Gateway y un dispositivo VPN local (de sitio a sitio).After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). También puede crear una conexión VPN de punto a sitio (VPN a través de OpenVPN, IKEv2 o SSTP) que le permite conectarse a la red virtual desde una ubicación remota como, por ejemplo, una sala de conferencias o desde su casa.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2, or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Configuración de una instancia de VPN GatewayConfiguring a VPN Gateway

Una conexión de puerta de enlace de VPN se basa en varios recursos con una configuración específica.A VPN gateway connection relies on multiple resources that are configured with specific settings. La mayoría de los recursos puede configurarse por separado, aunque en algunos casos es necesario seguir un orden determinado.Most of the resources can be configured separately, although some resources must be configured in a certain order.

ConfiguraciónSettings

La configuración que ha elegido para cada recurso es fundamental para crear una conexión correcta.The settings that you chose for each resource are critical to creating a successful connection. Para más información sobre los recursos individuales y la configuración de VPN Gateway, consulte Acerca de la configuración de VPN Gateway.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. El artículo contiene información que le ayudará a entender los tipos de puerta de enlace, de SKU de puerta de enlace, de VPN y de conexión, así como las subredes de puerta de enlace, las puertas de enlace de red local y otras configuraciones de recursos que pueden interesarle.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

Herramientas de implementaciónDeployment tools

Puede empezar a crear y configurar recursos mediante una herramienta de configuración, como el portal de Azure.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. Más adelante puede decidir cambiar a otra herramienta, como PowerShell, para configurar recursos adicionales o para modificar los existentes cuando sea aplicable.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. Actualmente, no se pueden configurar todos los recursos ni establecer todas las configuraciones de recurso en Azure Portal.Currently, you can't configure every resource and resource setting in the Azure portal. Las instrucciones de los artículos para cada topología de configuración indican cuándo se necesita una herramienta de configuración específica.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Modelo de implementaciónDeployment model

Actualmente hay dos modelos de implementación de Azure.There are currently two deployment models for Azure. Cuando configure una instancia de VPN Gateway, los pasos que realice dependen del modelo de implementación que ha utilizado para crear la red virtual.When you configure a VPN gateway, the steps you take depend on the deployment model that you used to create your virtual network. Por ejemplo, si creó la red virtual con el modelo de implementación clásica, use las instrucciones y directrices del modelo de implementación clásica para crear y configurar la puerta de enlace de VPN.For example, if you created your VNet using the classic deployment model, you use the guidelines and instructions for the classic deployment model to create and configure your VPN gateway settings. Para más información sobre los modelos de implementación, consulte Descripción de los modelos de implementación clásica y de Resource Manager.For more information about deployment models, see Understanding Resource Manager and classic deployment models.

Tabla de planeaciónPlanning table

La tabla siguiente puede ayudarle a decidir la mejor opción de conectividad para su solución.The following table can help you decide the best connectivity option for your solution.

De punto a sitioPoint-to-Site De sitio a sitioSite-to-Site ExpressRouteExpressRoute
Servicios de Azure compatiblesAzure Supported Services Cloud Services y Virtual MachinesCloud Services and Virtual Machines Cloud Services y Virtual MachinesCloud Services and Virtual Machines Lista de serviciosServices list
Anchos de banda típicosTypical Bandwidths Se basa en la SKU de puerta de enlaceBased on the gateway SKU Agregación típica de < 1 GbpsTypically < 1 Gbps aggregate 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocolos admitidosProtocols Supported Protocolo de túnel de sockets seguros (SSTP), OpenVPN e IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec IPsecIPsec Conexión directa a través de redes VLAN y tecnologías VPN de NSP (MPLS, VPLS...)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
EnrutamientoRouting RouteBased (dinámico)RouteBased (dynamic) Admitimos elementos basados en directivas (enrutamiento estático) y basados en enrutamiento (VPN de enrutamiento dinámico)We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
Resistencia de la conexiónConnection resiliency activa-pasivaactive-passive activa-pasiva o activa-activaactive-passive or active-active activa-activaactive-active
Caso de uso típicoTypical use case Creación de prototipos, escenarios de laboratorio, pruebas o desarrollo para Cloud Services y Virtual MachinesPrototyping, dev / test / lab scenarios for cloud services and virtual machines Escenarios de laboratorio, pruebas o desarrollo y cargas de trabajo de producción a pequeña escala para Cloud Services y Virtual MachinesDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Acceso a todos los servicios de Azure (lista validada), cargas de trabajo críticas y empresariales, copias de seguridad, macrodatos, Azure como sitio de recuperación ante desastresAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
CONTRATO DE NIVEL DE SERVICIOSLA Acuerdo de Nivel de ServicioSLA Acuerdo de Nivel de ServicioSLA Acuerdo de Nivel de ServicioSLA
PreciosPricing PreciosPricing PreciosPricing PreciosPricing
Documentación técnicaTechnical Documentation Documentación de VPN GatewayVPN Gateway Documentation Documentación de VPN GatewayVPN Gateway Documentation Documentación de ExpressRouteExpressRoute Documentation
P+FFAQ Preguntas más frecuentes sobre VPN GatewayVPN Gateway FAQ Preguntas más frecuentes sobre VPN GatewayVPN Gateway FAQ Preguntas más frecuentes sobre ExpressRouteExpressRoute FAQ

SKU de puerta de enlaceGateway SKUs

Al crear una puerta de enlace de red virtual, hay que especificar la SKU de la puerta de enlace que desea usar.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Seleccione las SKU que cumplan sus requisitos en función de los tipos de cargas de trabajo, rendimientos, características y Acuerdos de Nivel de Servicio.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Para más información acerca de las SKU de puerta de enlace, incluidas las características admitidas, los pasos de producción, desarrollo-prueba y configuración, consulte el artículo Configuración de VPN Gateway: SKU de puerta de enlace.For more information about gateway SKUs, including supported features, production and dev-test, and configuration steps, see the VPN Gateway Settings - Gateway SKUs article. Para más información sobre las SKU heredadas, consulte Trabajo con SKU heredadas.For Legacy SKU information, see Working with Legacy SKUs.

SKU de puerta de enlace por túnel, conexión y rendimientoGateway SKUs by tunnel, connection, and throughput

Generación
de
VPN Gateway
VPN
Gateway
Generation
SKUSKU Túneles
S2S/entre redes virtuales
S2S/VNet-to-VNet
Tunnels
Conexiones P2S
SSTP
P2S
SSTP Connections
Conexiones P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Pruebas comparativas de rendimiento
agregado
Aggregate
Throughput Benchmark
BGPBGP Con redundancia de zonaZone-redundant
Generation1Generation1 BásicoBasic Máx.Max. 1010 Máx.Max. 128128 No compatibleNot Supported 100 Mbps100 Mbps No compatibleNot Supported SinNo
Generation1Generation1 VpnGw1VpnGw1 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 MBps650 Mbps CompatibleSupported SinNo
Generation1Generation1 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported SinNo
Generation1Generation1 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported SinNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 250250 650 MBps650 Mbps CompatibleSupported Yes
Generation1Generation1 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1 Gbps1 Gbps CompatibleSupported Yes
Generación 1Generation1 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw2VpnGw2 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw3VpnGw3 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw4VpnGw4 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 5 Gbps5 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw5VpnGw5 Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 10 Gbps10 Gbps CompatibleSupported SinNo
Generación 2Generation2 VpnGw2AZVpnGw2AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 500500 1,25 Gbps1.25 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw3AZVpnGw3AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 2,5 Gbps2.5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw4AZVpnGw4AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 5 Gbps5 Gbps CompatibleSupported Yes
Generación 2Generation2 VpnGw5AZVpnGw5AZ Máx.Max. 30*30* Máx.Max. 128128 Máx.Max. 10001000 10 Gbps10 Gbps CompatibleSupported Yes

(*) Use una red WAN virtual si necesita más de 30 túneles VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Se permite el cambio de tamaño de las SKU de VpnGw en la misma generación, excepto el cambio de tamaño de la SKU básica.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. La SKU básica es una SKU heredada y tiene limitaciones de características.The Basic SKU is a legacy SKU and has feature limitations. Para pasar de una SKU básica a otra SKU de VpnGw, debe eliminar la instancia de VPN Gateway de la SKU básica y crear una nueva puerta de enlace con la combinación de generación y tamaño de SKU deseada.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Estos límites de conexión son independientes.These connection limits are separate. Por ejemplo, en una SKU de VpnGw1 puede tener 128 conexiones SSTP, además de 250 conexiones IKEv2.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Puede encontrar más información sobre los precios en la página de precios.Pricing information can be found on the Pricing page.

  • La información del SLA (contrato de nivel de servicio) puede encontrarse en la página SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • En un único túnel, se puede lograr un rendimiento máximo de 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. Las pruebas comparativas de rendimiento agregado de la tabla anterior se basan en las mediciones de varios túneles agregados a través de una sola puerta de enlace.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. El banco de pruebas de rendimiento agregado para una puerta de enlace de VPN es la combinación de S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si tiene una gran cantidad de conexiones P2S, puede afectar negativamente a una conexión S2S debido a las limitaciones del rendimiento.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. Las pruebas comparativas de rendimiento agregado no es un rendimiento garantizado debido a las condiciones del tráfico de Internet y a los comportamientos de las aplicaciones.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Para ayudar a nuestros clientes a comprender el rendimiento relativo de las SKU mediante distintos algoritmos, usamos las herramientas iPerf y CTSTraffic disponibles públicamente para medir los rendimientos.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. En la tabla siguiente se enumeran los resultados de las pruebas de rendimiento de las SKU de VpnGw de la generación 1.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Como puede ver, el mejor rendimiento se obtiene cuando usamos el algoritmo GCMAES256 para el cifrado y la integridad IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Obtuvimos un rendimiento medio al usar AES256 para el cifrado IPsec y SHA256 para la integridad.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Cuando usamos DES3 para el cifrado IPsec y SHA256 para la integridad, obtuvimos el rendimiento más bajo.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeneraciónGeneration SKUSKU Algoritmos
usados
Algorithms
used
Rendimiento
observado
Throughput
observed
Paquetes por segundo
observados
Packets per second
observed
Generación 1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
650 MBps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90 00090,000
60 00060,000
Generación 1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
650 MBps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58 00058,000
50.00050,000
50.00050,000
Generación 1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90 00090,000
80 00080,000
55 00055,000
Generación 1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 y SHA256AES256 & SHA256
DES3 y SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105 000105,000
90 00090,000
60 00060,000

Diagramas de la topología de conexiónConnection topology diagrams

Es importante saber que hay distintas configuraciones disponibles para las conexiones de VPN Gateway.It's important to know that there are different configurations available for VPN gateway connections. Es preciso determinar qué configuración es la que mejor se adapta a sus necesidades.You need to determine which configuration best fits your needs. En las secciones a continuación puede ver diagramas de topología e información sobre las siguientes conexiones de puerta de enlace de VPN: Las siguientes secciones contienen tablas que muestran lo siguiente:In the sections below, you can view information and topology diagrams about the following VPN gateway connections: The following sections contain tables which list:

  • Modelo de implementación disponibleAvailable deployment model
  • Herramientas de configuración disponiblesAvailable configuration tools
  • Vínculos que llevan directamente a un artículo, si lo hayLinks that take you directly to an article, if available

Use los gráficos y las descripciones como ayuda para seleccionar la topología de conexión que mejor se ajuste a sus requisitos.Use the diagrams and descriptions to help select the connection topology to match your requirements. Los diagramas muestran las principales topologías de referencia, pero también se pueden crear configuraciones más complejas con los diagramas como guía.The diagrams show the main baseline topologies, but it's possible to build more complex configurations using the diagrams as a guideline.

Sitio a sitio y multisitio (túnel VPN de IPsec/IKE)Site-to-Site and Multi-Site (IPsec/IKE VPN tunnel)

De sitio a sitioSite-to-Site

Una conexión de puerta de enlace de VPN de sitio a sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv1 o IKEv2).A Site-to-Site (S2S) VPN gateway connection is a connection over IPsec/IKE (IKEv1 or IKEv2) VPN tunnel. Se pueden usar conexiones S2S para las configuraciones híbridas y entre locales.S2S connections can be used for cross-premises and hybrid configurations. Una conexión S2S requiere un dispositivo VPN local que tenga una dirección IP pública asignada y que no se encuentre detrás de una NAT.A S2S connection requires a VPN device located on-premises that has a public IP address assigned to it and is not located behind a NAT. Para más información acerca de cómo seleccionar un dispositivo VPN, consulte la sección de preguntas frecuentes sobre VPN Gateway para dispositivos VPN.For information about selecting a VPN device, see the VPN Gateway FAQ - VPN devices.

Ejemplo de conexión de sitio a sitio de Azure VPN Gateway

MultisitioMulti-Site

Este tipo de conexión es una variación de la conexión de sitio a sitio.This type of connection is a variation of the Site-to-Site connection. Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales.You create more than one VPN connection from your virtual network gateway, typically connecting to multiple on-premises sites. Cuando trabaje con varias conexiones, debe usar una VPN de tipo RouteBased (conocida como puerta de enlace dinámica al trabajar con redes virtuales clásicas).When working with multiple connections, you must use a RouteBased VPN type (known as a dynamic gateway when working with classic VNets). Como cada red virtual solo puede tener una puerta de enlace de red virtual, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible.Because each virtual network can only have one VPN gateway, all connections through the gateway share the available bandwidth. Este tipo de conexión se denomina con frecuencia, conexión "multisitio".This type of connection is often called a "multi-site" connection.

Ejemplo de conexión multisitio de Azure VPN Gateway

Modelos de implementación y métodos para conexiones de sitio a sitio y multisitioDeployment models and methods for Site-to-Site and Multi-Site

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell CLI de AzureAzure CLI
Resource ManagerResource Manager TutorialTutorial
Tutorial+Tutorial+
TutorialTutorial TutorialTutorial
ClásicoClassic Tutorial**Tutorial** Tutorial+Tutorial+ No compatibleNot Supported

( ** ) indica que este método contiene pasos que requieren PowerShell.(**) denotes that this method contains steps that require PowerShell.

(+) indica que este artículo se escribió para conexiones multisitio.(+) denotes that this article is written for multi-site connections.

VPN de punto a sitioPoint-to-Site VPN

Una conexión de puerta de enlace de VPN de punto a sitio (P2S) permite crear una conexión segura a la red virtual desde un equipo cliente individual.A Point-to-Site (P2S) VPN gateway connection lets you create a secure connection to your virtual network from an individual client computer. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente.A P2S connection is established by starting it from the client computer. Esta solución resulta útil para los teletrabajadores que deseen conectarse a redes virtuales de Azure desde una ubicación remota, por ejemplo, desde casa o un congreso.This solution is useful for telecommuters who want to connect to Azure VNets from a remote location, such as from home or a conference. La conexión VPN de punto a sitio también es una solución útil en comparación con la conexión VPN de sitio a sitio cuando solo necesitan conectarse a la red virtual algunos clientes.P2S VPN is also a useful solution to use instead of S2S VPN when you have only a few clients that need to connect to a VNet.

A diferencia de las conexiones S2S, las conexiones P2S no necesitan una dirección IP pública local ni dispositivos VPN.Unlike S2S connections, P2S connections do not require an on-premises public-facing IP address or a VPN device. Se pueden usar conexiones P2S con conexiones S2S a través de la misma instancia de VPN Gateway, siempre que todos los requisitos de configuración para ambas conexiones sean compatibles.P2S connections can be used with S2S connections through the same VPN gateway, as long as all the configuration requirements for both connections are compatible. Para más información sobre las conexiones de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.For more information about Point-to-Site connections, see About Point-to-Site VPN.

Ejemplo de conexión de punto a sitio de Azure VPN Gateway

Métodos y modelos de implementación para P2SDeployment models and methods for P2S

Autenticación mediante certificados nativos de AzureAzure native certificate authentication

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager TutorialTutorial TutorialTutorial
ClásicoClassic TutorialTutorial CompatibleSupported

Autenticación RADIUSRADIUS authentication

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager CompatibleSupported TutorialTutorial
ClásicoClassic No compatibleNot Supported No compatibleNot Supported

Conexiones de red virtual a red virtual (túnel VPN de IPsec/IKE)VNet-to-VNet connections (IPsec/IKE VPN tunnel)

La conexión de una red virtual a otra es muy parecida a la conexión de una red virtual a una ubicación de un sitio local.Connecting a virtual network to another virtual network (VNet-to-VNet) is similar to connecting a VNet to an on-premises site location. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro con IPsec/IKE.Both connectivity types use a VPN gateway to provide a secure tunnel using IPsec/IKE. Incluso puede combinar la comunicación de red virtual a red virtual con configuraciones de conexión multisitio.You can even combine VNet-to-VNet communication with multi-site connection configurations. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.This lets you establish network topologies that combine cross-premises connectivity with inter-virtual network connectivity.

Las redes virtuales que conecta pueden:The VNets you connect can be:

  • estar en la misma región o en distintas;in the same or different regions
  • pertenecer a la misma suscripción o a distintas;in the same or different subscriptions
  • usar el mismo modelo de implementación o diferentes.in the same or different deployment models

Ejemplo de conexión de red virtual a red virtual de Azure VPN Gateway

Conexiones entre modelos de implementaciónConnections between deployment models

Actualmente, Azure tiene dos modelos de implementación: el clásico y el de Resource Manager.Azure currently has two deployment models: classic and Resource Manager. Si lleva un tiempo usando Azure, es probable que tenga máquinas virtuales de Azure y roles de instancia que se ejecuten en una red virtual clásica.If you have been using Azure for some time, you probably have Azure VMs and instance roles running in a classic VNet. Es posible que sus máquinas virtuales e instancias de roles más recientes se estén ejecutando en una red virtual creada en Resource Manager.Your newer VMs and role instances may be running in a VNet created in Resource Manager. Puede crear una conexión entre las redes virtuales para permitir que los recursos de una red virtual se comuniquen directamente con los recursos de otra.You can create a connection between the VNets to allow the resources in one VNet to communicate directly with resources in another.

Emparejamiento de VNETVNet peering

Es posible que pueda usar el emparejamiento de VNET para crear la conexión, siempre que la red virtual cumpla determinados requisitos.You may be able to use VNet peering to create your connection, as long as your virtual network meets certain requirements. El emparejamiento de VNET no utiliza una puerta de enlace de red virtual.VNet peering does not use a virtual network gateway. Para más información, consulte Emparejamiento de VNET.For more information, see VNet peering.

Modelos de implementación y métodos para conexiones de red virtual a red virtualDeployment models and methods for VNet-to-VNet

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell CLI de AzureAzure CLI
ClásicoClassic Tutorial*Tutorial* CompatibleSupported No compatibleNot Supported
Resource ManagerResource Manager Tutorial+Tutorial+ TutorialTutorial TutorialTutorial
Conexiones entre distintos modelos de implementaciónConnections between different deployment models Tutorial*Tutorial* TutorialTutorial No compatibleNot Supported

(+) indica que este método de implementación solo se encuentra disponible para redes virtuales de la misma suscripción.(+) denotes this deployment method is available only for VNets in the same subscription.
( * ) indica que este método de implementación también requiere PowerShell.(*) denotes that this deployment method also requires PowerShell.

ExpressRoute (conexión privada)ExpressRoute (private connection)

ExpressRoute le permite ampliar sus redes locales en la nube de Microsoft a través de una conexión privada que facilita un proveedor de conectividad.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de Microsoft, como Microsoft Azure, Office 365 y CRM Online.With ExpressRoute, you can establish connections to Microsoft cloud services, such as Microsoft Azure, Office 365, and CRM Online. La conectividad puede ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto a punto, o una conexión cruzada virtual a través de un proveedor de conectividad en una instalación de ubicación compartida.Connectivity can be from an any-to-any (IP VPN) network, a point-to-point Ethernet network, or a virtual cross-connection through a connectivity provider at a co-location facility.

Las conexiones ExpressRoute no pasan por la red pública de Internet.ExpressRoute connections do not go over the public Internet. Esto permite a las conexiones de ExpressRoute ofrecer más confiabilidad, más velocidad, menor latencia y mayor seguridad que las conexiones normales a través de Internet.This allows ExpressRoute connections to offer more reliability, faster speeds, lower latencies, and higher security than typical connections over the Internet.

Una conexión de ExpressRoute usa una puerta de enlace de red virtual como parte de su configuración obligatoria.An ExpressRoute connection uses a virtual network gateway as part of its required configuration. En una conexión de ExpressRoute, se configura una puerta de enlace de red virtual con el tipo de puerta de enlace "ExpressRoute", en lugar de "Vpn".In an ExpressRoute connection, the virtual network gateway is configured with the gateway type 'ExpressRoute', rather than 'Vpn'. Aunque el tráfico que pasa por un circuito de ExpressRoute no está cifrado de forma predeterminada, es posible crear una solución que le permita enviar tráfico cifrado a través de este.While traffic that travels over an ExpressRoute circuit is not encrypted by default, it is possible create a solution that allows you to send encrypted traffic over an ExpressRoute circuit. Para más información sobre ExpressRoute, vea la Información técnica de ExpressRoute.For more information about ExpressRoute, see the ExpressRoute technical overview.

Conexiones de sitio a sitio y de ExpressRoute coexistentesSite-to-Site and ExpressRoute coexisting connections

ExpressRoute es una conexión privada directa desde la WAN (no a través de Internet) a servicios Microsoft, incluido Azure.ExpressRoute is a direct, private connection from your WAN (not over the public Internet) to Microsoft Services, including Azure. El tráfico VPN de sitio a sitio viaja cifrado a través de la red pública de Internet.Site-to-Site VPN traffic travels encrypted over the public Internet. Poder configurar las conexiones VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.Being able to configure Site-to-Site VPN and ExpressRoute connections for the same virtual network has several advantages.

Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar la VPN de sitio a sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute.You can configure a Site-to-Site VPN as a secure failover path for ExpressRoute, or use Site-to-Site VPNs to connect to sites that are not part of your network, but that are connected through ExpressRoute. Tenga en cuenta que esta configuración requiere dos puertas de enlace de red virtual en la misma red virtual, una con el tipo de puerta de enlace "Vpn" y otra con -el tipo de puerta de enlace "ExpressRoute".Notice that this configuration requires two virtual network gateways for the same virtual network, one using the gateway type 'Vpn', and the other using the gateway type 'ExpressRoute'.

Ejemplo de conexiones coexistentes en ExpressRoute y VPN Gateway

Coexisten diversos métodos y modelos de implementación de conexiones S2S y ExpressRouteDeployment models and methods for S2S and ExpressRoute coexist

Método o modelo de implementaciónDeployment model/method Azure PortalAzure portal PowerShellPowerShell
Resource ManagerResource Manager CompatibleSupported TutorialTutorial
ClásicoClassic No admitidoNot Supported TutorialTutorial

PreciosPricing

Se paga por dos cosas: los costos de proceso por horas de la puerta de enlace de red virtual y la transferencia de datos de salida de esta.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Puede encontrar más información sobre los precios en la página de precios.Pricing information can be found on the Pricing page. Para los precios de SKU de puerta de enlace heredada, consulte la página de precios de ExpressRoute y vaya a la sección Puertas de enlace de red virtual.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Costos del proceso de puerta de enlace de red virtualVirtual network gateway compute costs
Cada puerta de enlace de red virtual tiene un costo de proceso por horas.Each virtual network gateway has an hourly compute cost. El precio se basa en la SKU de la puerta de enlace que especifique al crear una puerta de enlace de red virtual.The price is based on the gateway SKU that you specify when you create a virtual network gateway. El costo es para la puerta de enlace en sí y se agrega a la transferencia de datos que pasa a través de la puerta de enlace.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. El costo de una configuración activa-activa es igual que el de activa-pasiva.Cost of an active-active setup is the same as active-passive.

Costos de la transferencia de datosData transfer costs
Los costos de transferencia de datos se calculan en función del tráfico de salida de la puerta de enlace de red virtual de origen.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Si va a enviar tráfico al dispositivo VPN local, se le cobrará por la tasa de transferencia de datos de salida de Internet.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • Si va a enviar tráfico entre redes virtuales que se encuentren en diferentes regiones, el precio dependerá de la región.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • Si va a enviar tráfico solo entre redes virtuales que están en la misma región, no habrá ningún costo por datos.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. El tráfico entre redes virtuales de la misma región es gratuito.Traffic between VNets in the same region is free.

Para más información acerca de las SKU de puerta de enlace para VPN Gateway, consulte SKU de puerta de enlace.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

P+FFAQ

Para conocer las preguntas más frecuentes acerca de VPN Gateway, consulte Preguntas más frecuentes sobre VPN Gateway.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

Pasos siguientesNext steps