À propos des paramètres de configuration de la passerelle VPNAbout VPN Gateway configuration settings

Une passerelle VPN est un type de passerelle de réseau virtuel qui envoie le trafic chiffré entre votre réseau virtuel et votre emplacement local à travers une connexion publique.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. Vous pouvez également utiliser une passerelle VPN pour acheminer le trafic entre réseaux virtuels sur l’infrastructure Azure.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Une connexion de passerelle VPN s’appuie sur la configuration de plusieurs ressources, contenant chacune des paramètres configurables.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Les sections de cet article présentent les ressources et les paramètres relatifs à une passerelle VPN pour un réseau virtuel créé dans le modèle de déploiement Resource Manager.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Vous trouverez les descriptions et les diagrammes de topologie de chaque solution de connexion dans l’article À propos la passerelle VPN.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Les valeurs figurant dans cet article s’appliquent à des passerelles VPN (passerelles de réseau virtuel) qui utilisent le -GatewayType Vpn.The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Cet article ne couvre pas l’ensemble des types de passerelles, ni les passerelles redondantes interzone.This article does not cover all gateway types or zone-redundant gateways.

Notes

Cet article a été mis à jour pour tenir compte de l’utilisation du nouveau module Az d’Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Vous pouvez toujours utiliser le module AzureRM, qui continue à recevoir des correctifs de bogues jusqu’à au moins décembre 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Pour en savoir plus sur le nouveau module Az et la compatibilité avec AzureRM, consultez Présentation du nouveau module Az d’Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Pour des instructions d’installation du module Az, consultez Installer Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Types de passerelleGateway types

Chaque réseau virtuel ne peut posséder qu’une seule passerelle de réseau virtuel de chaque type.Each virtual network can only have one virtual network gateway of each type. Lorsque vous créez une passerelle de réseau virtuel, vous devez vous assurer que le type de passerelle convient pour votre configuration.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

Les valeurs disponibles pour -GatewayType sont :The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

Une passerelle VPN nécessite le -GatewayType VPN.A VPN gateway requires the -GatewayType Vpn.

Exemple :Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU de passerelleGateway SKUs

Lorsque vous créez une passerelle de réseau virtuel, vous devez spécifier la référence SKU de passerelle que vous voulez utiliser.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Pour les références SKU de passerelle réseau virtuel dans des zones de disponibilité Azure, consultez Références SKU de passerelle pour les zones de disponibilité Azure.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones Gateway SKUs.

Références SKU de passerelle par tunnel, connexion et débitGateway SKUs by tunnel, connection, and throughput

Référence (SKU)SKU S2S/VNet-to-VNet
Tunnels
S2S/VNet-to-VNet
Tunnels
P2S
connexions SSTP
P2S
SSTP Connections
P2S
connexions IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Agrégat
Référence de débit
Aggregate
Throughput Benchmark
BGPBGP Redondant interzoneZone-redundant
De baseBasic Bande passanteMax. 1010 Bande passanteMax. 128128 Non pris en chargeNot Supported 100 Mbits/s100 Mbps Non pris en chargeNot Supported NonNo
VpnGw1VpnGw1 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Pris en chargeSupported NonNo
VpnGw2VpnGw2 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Pris en chargeSupported NonNo
VpnGw3VpnGw3 Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Pris en chargeSupported NonNo
VpnGw1AZVpnGw1AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 250250 650 Mbits/s650 Mbps Pris en chargeSupported OUIYes
VpnGw2AZVpnGw2AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 500500 1 Gbit/s1 Gbps Pris en chargeSupported OUIYes
VpnGw3AZVpnGw3AZ Bande passanteMax. 30*30* Bande passanteMax. 128128 Bande passanteMax. 1 0001000 1,25 Gbits/s1.25 Gbps Pris en chargeSupported OUIYes

(*) Utilisez le WAN virtuel si vous avez besoin de plus de 30 tunnels VPN S2S.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • La référence de débit agrégée est basée sur les mesures de plusieurs tunnels agrégés via une passerelle unique.Aggregate Throughput Benchmark is based on measurements of multiple tunnels aggregated through a single gateway. Le test d’évaluation du débit d’agrégat pour une passerelle VPN est S2S + P2S combinés.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Si vous avez un grand nombre de connexions P2S, cela peut avoir impact négatif sur la connexion S2S à cause des limites de débit.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. La référence de débit agrégée n’est pas garantie en raison des conditions de trafic Internet et des comportements de votre application.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

  • Ces limites de connexion sont séparées.These connection limits are separate. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Pour des informations sur les prix, consultez la page Tarification .Pricing information can be found on the Pricing page.

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • VpnGw1, VpnGw2 et VpnGw3 sont compatibles avec les passerelles VPN qui utilisent le modèle de déploiement du Gestionnaire des ressources uniquement.VpnGw1, VpnGw2, and VpnGw3 are supported for VPN gateways using the Resource Manager deployment model only.

  • La référence SKU de base est considérée comme une référence SKU héritée.The Basic SKU is considered a legacy SKU. La référence SKU De base a certaines limitations en termes de fonctionnalités.The Basic SKU has certain feature limitations. Vous ne pouvez pas redimensionner une passerelle qui utilise une référence SKU De base vers l’une des nouvelles références SKU de passerelle. À la place, vous devez passer à une nouvelle référence SKU, ce qui implique la suppression et la recréation de votre passerelle VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway. Vérifiez que la fonctionnalité dont vous avez besoin est prise en charge avant d’utiliser la référence SKU De base.Verify that the feature that you need is supported before you use the Basic SKU.

Notes

Les nouvelles références SKU de passerelle VPN (VpnGw1, VpnGw2 et VpnGw3) sont compatibles avec le modèle de déploiement du Gestionnaire de ressources uniquement.The new VPN gateway SKUs (VpnGw1, VpnGw2, and VpnGw3) are supported for the Resource Manager deployment model only. Les réseaux virtuels classiques doivent continuer à utiliser les anciennes références SKU (héritées).Classic virtual networks should continue to use the old (legacy) SKUs.

Références SKU de passerelle par ensemble de fonctionnalitésGateway SKUs by feature set

Les nouvelles références SKU de passerelle VPN rationalisent les ensembles de fonctionnalités proposés sur les passerelles :The new VPN gateway SKUs streamline the feature sets offered on the gateways:

Référence (SKU)SKU CaractéristiquesFeatures
De base (**)Basic (**) VPN basé sur le routage : 10 tunnels avec S2S/connexions ; aucune authentification RADIUS pour P2S ; aucune IKEV2 pour P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
VPN basé sur des stratégies : (IKEv1) : 1 tunnel avec S2S/connexion ; aucun P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
VpnGw1, VpnGw2 et VpnGw3VpnGw1, VpnGw2, and VpnGw3 VPN basés sur le routage : jusqu’à 30 itinéraires (*), P2S, BGP, actif/passif, stratégie IPsec/IKE personnalisée, coexistence ExpressRoute/VPNRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

( * ) Vous pouvez configurer « PolicyBasedTrafficSelectors » pour connecter une passerelle VPN basée sur l’itinéraire (VpnGw1, VpnGw2, VpnGw3) à plusieurs pare-feu locaux basés sur des stratégies.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway (VpnGw1, VpnGw2, VpnGw3) to multiple on-premises policy-based firewall devices. Pour en savoir plus, consultez la section Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Connecter des passerelles VPN à plusieurs appareils VPN basés sur des stratégies via PowerShell).Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

(**) La référence SKU De base est considérée comme une référence SKU héritée.(**) The Basic SKU is considered a legacy SKU. La référence SKU De base a certaines limitations en termes de fonctionnalités.The Basic SKU has certain feature limitations. Vous ne pouvez pas redimensionner une passerelle qui utilise une référence SKU De base vers l’une des nouvelles références SKU de passerelle. À la place, vous devez passer à une nouvelle référence SKU, ce qui implique la suppression et la recréation de votre passerelle VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

Références SKU de passerelle - Charges de travail de production ou charges de travail de développement et de testGateway SKUs - Production vs. Dev-Test Workloads

En raison de différences des contrats de niveau de service et des ensembles de fonctionnalités, nous vous recommandons les références SKU suivantes pour la production par rapport au développement et au test :Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

Charge de travailWorkload Références SKUSKUs
Production, charges de travail critiquesProduction, critical workloads VpnGw1, VpnGw2, VpnGw3VpnGw1, VpnGw2, VpnGw3
Développement-Test ou preuve de conceptDev-test or proof of concept De base (**)Basic (**)

(**) La référence SKU De base est considérée comme une référence SKU héritée et présente des limitations en termes de fonctionnalités.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Vérifiez que la fonctionnalité dont vous avez besoin est prise en charge avant d’utiliser la référence SKU De base.Verify that the feature that you need is supported before you use the Basic SKU.

Si vous utilisez les anciennes références SKU (héritées), les recommandations en termes de références SKU de production sont Standard et HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Pour obtenir plus d’informations et des instructions sur les anciennes références SKU, consultez Références SKU de passerelle (héritées).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Configurer une référence SKU de passerelleConfigure a gateway SKU

Portail AzureAzure portal

Si vous utilisez le portail Azure pour créer une passerelle de réseau virtuel Resource Manager, vous pouvez sélectionner la référence SKU de la passerelle dans la liste déroulante.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. Les options qui vous sont présentées correspondent au type de passerelle et au type de VPN sélectionnés.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

L’exemple PowerShell suivant spécifie la -GatewaySku en tant que VpnGw1.The following PowerShell example specifies the -GatewaySku as VpnGw1. Lorsque vous utilisez PowerShell pour créer une passerelle, vous devez d’abord créer la configuration IP, puis utiliser une variable qui y fait référence.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. Dans cet exemple, la variable de configuration est $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

D’Azure CLIAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Redimensionnement ou modification d’une référence SKUResizing or changing a SKU

Si vous disposez d’une passerelle VPN et que vous souhaitez utiliser une autre référence SKU de passerelle, vous avez le choix entre redimensionner votre référence SKU de passerelle ou remplacer par une autre référence SKU.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Lorsque vous remplacez par une autre référence SKU de passerelle, vous supprimez la passerelle existante dans son ensemble et en créez une nouvelle.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. La création d’une passerelle peut prendre jusqu’à 45 minutes.A gateway can take up to 45 minutes to build. En comparaison, lorsque vous redimensionnez une référence SKU de passerelle, le temps d’arrêt sera faible, car vous n’aurez pas à supprimer et à recréer la passerelle.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Si vous avez la possibilité de redimensionner votre référence SKU de passerelle plutôt que de la modifier, vous devez le faire.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. Toutefois, il existe des règles concernant le redimensionnement :However, there are rules regarding resizing:

  1. Vous pouvez effectuer un redimensionnement entre les références SKU VpnGw1, VpnGw2 et VpnGw3.You can resize between VpnGw1, VpnGw2, and VpnGw3 SKUs.
  2. Lors de l’utilisation des anciennes références SKU de passerelle, vous pouvez effectuer un redimensionnement entre les références SKU Basic, Standard et HighPerformance.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Vous ne pouvez pas effectuer de redimensionnement pour passer de références SKU Basic/Standard/HighPerformance à de nouvelles références SKU VpnGw1/VpnGw2/VpnGw3.You cannot resize from Basic/Standard/HighPerformance SKUs to the new VpnGw1/VpnGw2/VpnGw3 SKUs. Au lieu de cela, vous devez effectuer la modification vers les nouvelles références SKU.You must instead, change to the new SKUs.

Pour redimensionner une passerelleTo resize a gateway

Pour les références SKU en cours (VpnGw1, VpnGw2 et VPNGW3) pour lesquelles vous souhaitez redimensionner la référence SKU de votre passerelle en vue d’une mise à niveau vers une référence SKU plus puissante, vous pouvez utiliser la cmdlet PowerShell Resize-AzVirtualNetworkGateway.For the current SKUs (VpnGw1, VpnGw2, and VPNGW3) you want to resize your gateway SKU to upgrade to a more powerful one, you can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet. Vous pouvez également réduire la taille de référence SKU à l’aide de cet applet de commande.You can also downgrade the gateway SKU size using this cmdlet. Si vous utilisez la référence SKU de passerelle De base utilisez ces instructions à la place pour redimensionner votre passerelle.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

L’exemple PowerShell suivant montre une référence SKU de passerelle redimensionnée sur VpnGw2.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Vous pouvez également redimensionner une passerelle dans le portail Azure en accédant à la page Configuration de la passerelle de votre réseau virtuel, puis en sélectionnant une autre référence SKU dans la liste déroulante.You can also resize a gateway in the Azure portal by going to the Configuration page for your virtual network gateway and selecting a different SKU from the dropdown.

Pour passer d’un ancienne référence SKU (héritée) à une nouvelle référence SKUTo change from an old (legacy) SKU to a new SKU

Si vous utilisez le modèle de déploiement du Gestionnaire des ressources, vous pouvez basculer vers les nouvelles références SKU de passerelle.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Lorsque vous passez d’une ancienne référence SKU de passerelle vers une nouvelle référence SKU, vous supprimez la passerelle VPN existante et créez une nouvelle passerelle VPN.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

Flux de travail :Workflow:

  1. Supprimez toutes les connexions à la passerelle de réseau virtuel.Remove any connections to the virtual network gateway.
  2. Supprimez l’ancienne passerelle VPN.Delete the old VPN gateway.
  3. Créez la nouvelle passerelle VPN.Create the new VPN gateway.
  4. Mettez à jour vos périphériques VPN locaux avec la nouvelle adresse IP de passerelle VPN (pour les connexions site à site, S2S).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Mettez à jour la valeur de l’adresse IP de passerelle de toutes les passerelles de réseau local d’une connexion entre deux réseaux virtuels qui s’y connecteront.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Téléchargez les nouveaux packages de configuration VPN pour les clients point à site (P2S) se connectant au réseau virtuel via cette passerelle VPN.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Recréez les connexions à la passerelle de réseau virtuel.Recreate the connections to the virtual network gateway.

Considérations :Considerations:

  • Pour passer aux nouvelles références SKU, votre passerelle VPN doit être dans le modèle de déploiement du Gestionnaire des ressources.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Si vous avez une passerelle VPN classique, vous devez continuer à utiliser les anciennes références SKU pour cette passerelle, toutefois, vous pouvez redimensionner entre les anciennes références SKU.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Vous ne pouvez pas basculer vers les nouvelles références SKU.You cannot change to the new SKUs.
  • Un temps d’arrêt de connectivité se produit lorsque vous basculez d’une ancienne référence SKU vers une nouvelle référence SKU.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Lorsque vous basculez vers une nouvelle référence SKU de passerelle, l’adresse IP publique de votre passerelle VPN change.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. Cela se produit même si vous spécifiez le même objet d’adresse IP publique que vous utilisiez précédemment.This happens even if you specify the same public IP address object that you used previously.

Types de connexionConnection types

Dans le modèle de déploiement de Resource Manager, chaque configuration nécessite un type spécifique de connexion de passerelle de réseau virtuel.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Les valeurs de PowerShell pour Resource Manager disponibles pour -ConnectionType sont :The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

Dans l’exemple PowerShell suivant, nous créons une connexion S2S qui nécessite le type de connexion IPsec.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Types de VPNVPN types

Lorsque vous créez la passerelle de réseau virtuel d’une configuration de passerelle VPN, vous devez spécifier un type de VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. Le type de VPN que vous choisissez dépend de la topologie de connexion que vous souhaitez créer.The VPN type that you choose depends on the connection topology that you want to create. Par exemple, une connexion P2S nécessite un VPN de type basé sur un itinéraire.For example, a P2S connection requires a RouteBased VPN type. Un type VPN peut également dépendre du matériel utilisé.A VPN type can also depend on the hardware that you are using. Les configurations S2S nécessitent un périphérique VPN.S2S configurations require a VPN device. Certains périphériques VPN seront ne prennent en charge qu’un certain type de VPN.Some VPN devices only support a certain VPN type.

Le type de VPN que vous choisissez doit satisfaire à toutes les exigences de connexion de la solution que vous souhaitez créer.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Par exemple, si vous souhaitez créer une connexion de passerelle VPN S2S et une connexion de passerelle VPN P2S pour le même réseau virtuel, vous utiliserez un VPN de type basé sur un itinéraire car P2S requiert un VPN de type basé sur un itinéraire.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Vous devez également vérifier que votre périphérique VPN prend en charge une connexion VPN basée sur un itinéraire.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Une fois qu’une passerelle de réseau virtuel a été créée, vous ne pouvez plus modifier le type de VPN.Once a virtual network gateway has been created, you can't change the VPN type. Vous devez supprimer la passerelle de réseau virtuel et en créer une nouvelle.You have to delete the virtual network gateway and create a new one. Il existe deux types de VPN :There are two VPN types:

  • PolicyBased : les VPN basés sur des stratégies étaient auparavant connus sous le nom de passerelles de routage statique dans le modèle de déploiement Classic.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. Les VPN basés sur des stratégies chiffrent et acheminent les paquets par le biais des tunnels IPsec basés sur les stratégies IPsec configurées avec les combinaisons de préfixes d’adresses entre votre réseau local et le réseau virtuel Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. La stratégie (ou le sélecteur de trafic) est généralement définie en tant que liste d’accès dans les configurations du périphérique VPN.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. Un VPN de type basé sur des stratégies a pour valeur PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Lorsque vous utilisez un VPN basé sur les itinéraires (PolicyBased), gardez à l’esprit les limitations suivantes :When using a PolicyBased VPN, keep in mind the following limitations:

    • Les VPN basés sur les itinéraires peuvent uniquement être utilisés sur la référence SKU de passerelle de base.PolicyBased VPNs can only be used on the Basic gateway SKU. Ce type de VPN n’est pas compatible avec les autres références SKU de passerelle.This VPN type is not compatible with other gateway SKUs.
    • Vous pouvez avoir 1 seul tunnel lors de l’utilisation d’un VPN basé sur les stratégies.You can have only 1 tunnel when using a PolicyBased VPN.
    • Vous pouvez uniquement utiliser les VPN basés sur les stratégies pour les connexions S2S et uniquement pour certaines configurations.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. La plupart des configurations de passerelle VPN requièrent un VPN basé sur les itinéraires.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased : les VPN basés sur le routage étaient auparavant connus sous le nom de passerelles de routage dynamique dans le modèle de déploiement Classic.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. Les VPN basés sur un itinéraire utilisent des « itinéraires » dans l’adresse IP de transfert ou la table de routage pour acheminer des paquets dans leurs interfaces de tunnel correspondantes.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. Les interfaces de tunnel chiffrent ou déchiffrent ensuite les paquets se trouvant dans et hors des tunnels.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. La stratégie (ou le sélecteur de trafic) des VPN basés sur un itinéraire est configurée comme universelle (ou en caractères génériques).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). Le VPN de type basé sur un itinéraire a pour valeur RouteBased.The value for a RouteBased VPN type is RouteBased.

L’exemple PowerShell suivant spécifie la -VpnType en tant que RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Lorsque vous créez une passerelle, vous devez vous assurer que -VpnType convient pour votre configuration.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Conditions requises de la passerelleGateway requirements

Le tableau suivant répertorie la configuration requise pour les passerelles VPN basées sur des stratégies ou des itinéraires.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Cette table s’applique aux modèles de déploiement classique et Resource Manager.This table applies to both the Resource Manager and classic deployment models. Pour le modèle classique, les passerelles VPN basées sur des stratégies sont identiques aux passerelles statiques et les passerelles basées sur des itinéraires sont identiques aux passerelles dynamiques.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

Passerelle VPN basée sur des stratégies De basePolicyBased Basic VPN Gateway Passerelle VPN basée sur des itinéraires De baseRouteBased Basic VPN Gateway Passerelle VPN basée sur des itinéraires StandardRouteBased Standard VPN Gateway Passerelle VPN à hautes performances basée sur des itinérairesRouteBased High Performance VPN Gateway
Connectivité de site à site (S2S)Site-to-Site connectivity (S2S) Configuration de VPN basé sur une stratégiePolicyBased VPN configuration Configuration de VPN basé sur les itinérairesRouteBased VPN configuration Configuration de VPN basé sur les itinérairesRouteBased VPN configuration Configuration de VPN basé sur les itinérairesRouteBased VPN configuration
Connectivité de point à site (P2S)Point-to-Site connectivity (P2S) Non pris en chargeNot supported Prise en charge (peut coexister avec S2S)Supported (Can coexist with S2S) Prise en charge (peut coexister avec S2S)Supported (Can coexist with S2S) Prise en charge (peut coexister avec S2S)Supported (Can coexist with S2S)
Méthode d’authentificationAuthentication method Clé prépartagéePre-shared key Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à sitePre-shared key for S2S connectivity, Certificates for P2S connectivity Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à sitePre-shared key for S2S connectivity, Certificates for P2S connectivity Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à sitePre-shared key for S2S connectivity, Certificates for P2S connectivity
Nombre maximal de connexions de site à siteMaximum number of S2S connections 11 1010 1010 3030
Nombre maximal de connexions de point à siteMaximum number of P2S connections Non pris en chargeNot supported 128128 128128 128128
Routage actif (BGP) (*)Active routing support (BGP) (*) Non pris en chargeNot supported Non pris en chargeNot supported Pris en chargeSupported Pris en chargeSupported

(*) Le protocole BGP n’est pas pris en charge avec le modèle de déploiement Classic.(*) BGP is not supported for the classic deployment model.

Sous-réseau de passerelleGateway subnet

Avant de créer votre passerelle VPN, vous devez d’abord créer un sous-réseau de passerelle.Before you create a VPN gateway, you must create a gateway subnet. Le sous-réseau de passerelle contient les adresses IP utilisées par les machines virtuelles et les services de passerelle de réseau virtuel.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Lors de la création de votre passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées dans le sous-réseau de passerelle et configurées avec les paramètres de passerelle VPN requis.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Ne déployez jamais d’autres éléments (des machines virtuelles supplémentaires, par exemple) dans le sous-réseau de passerelle.Never deploy anything else (for example, additional VMs) to the gateway subnet. Pour fonctionner correctement, le sous-réseau de passerelle doit être nommé ’GatewaySubnet’.The gateway subnet must be named 'GatewaySubnet' to work properly. En nommant le sous-réseau de passerelle « GatewaySubnet », Azure est informé qu'il s’agit du sous-réseau dans lequel déployer les machines virtuelles et les services de passerelle de réseau virtuel.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Notes

N’associez pas une table de routage comprenant un itinéraire avec une destination 0.0.0.0/0 au sous-réseau de passerelle.Do not associate a route table that includes a route with a destination of 0.0.0.0/0 to the gateway subnet. Le fonctionnement correct de la passerelle s’en trouve empêché.Doing so prevents the gateway from functioning properly.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Les adresses IP dans le sous-réseau de passerelle sont allouées aux machines virtuelles et aux services de passerelle.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Certaines configurations nécessitent plus d’adresses IP que d’autres.Some configurations require more IP addresses than others. Prenez connaissance des instructions relatives à la configuration que vous souhaitez créer et vérifier que le sous-réseau de passerelle que vous souhaitez créer respecte ces instructions.Look at the instructions for the configuration that you want to create and verify that the gateway subnet you want to create meets those requirements. De plus, assurez-vous que votre sous-réseau de passerelle contient suffisamment d’adresses IP pour pouvoir prendre en charge d’éventuelles nouvelles configurations.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. Bien qu’il soit possible de créer un sous-réseau de passerelle aussi petit que /29, nous vous recommandons de créer un sous-réseau de passerelle de taille /28 ou supérieure (/28, /27, /26, etc.).While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /28 or larger (/28, /27, /26 etc.). Ainsi, si vous ajoutez des fonctionnalités, vous n’aurez pas à détruire votre passerelle puis à supprimer et à recréer le sous-réseau de la passerelle pour autoriser plusieurs adresses IP.That way, if you add functionality in the future, you won't have to tear your gateway, then delete and recreate the gateway subnet to allow for more IP addresses.

L’exemple PowerShell Resource Manager suivant montre un sous-réseau de passerelle nommé GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Vous pouvez voir que la notation CIDR spécifie une taille /27, ce qui permet d’avoir un nombre suffisamment élevé d’adresses IP pour la plupart des configurations actuelles.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Si vous associez un groupe de sécurité réseau à ce sous-réseau, votre passerelle VPN cessera peut-être de fonctionner normalement.Associating a network security group to this subnet may cause your VPN gateway to stop functioning as expected. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseauFor more information about network security groups, see What is a network security group?

Passerelles de réseau localLocal network gateways

Une passerelle de réseau local diffère d'une passerelle de réseau virtuel.A local network gateway is different than a virtual network gateway. Lorsque vous créez une configuration de passerelle VPN, la passerelle du réseau local représente généralement votre emplacement local.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises location. Dans le modèle de déploiement classique, la passerelle de réseau local a été appelée Site local.In the classic deployment model, the local network gateway was referred to as a Local Site.

Vous donnez un nom à la passerelle de réseau local (l’adresse IP publique du périphérique VPN local) et spécifiez les préfixes d’adresse qui se situent dans l’emplacement local.You give the local network gateway a name, the public IP address of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. Azure examine les préfixes d’adresse de destination pour le trafic réseau, consulte la configuration que vous avez spécifiée pour votre passerelle de réseau local, et route les paquets en conséquence.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Vous spécifiez également des passerelles de réseau local pour les configurations avec interconnexion de réseaux virtuels qui utilisent une connexion de passerelle VPN.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

L’exemple PowerShell suivant crée une nouvelle passerelle de réseau local :The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Parfois, vous devez modifier les paramètres de passerelle de réseau local.Sometimes you need to modify the local network gateway settings. C’est le cas, par exemple, lorsque vous ajoutez ou modifiez la plage d’adresses, ou lorsque l’adresse IP du périphérique VPN change.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Voir Modification des paramètres de passerelle de réseau local à l’aide de PowerShell.See Modify local network gateway settings using PowerShell.

API REST, cmdlets PowerShell et CLIREST APIs, PowerShell cmdlets, and CLI

Pour accéder à des ressources techniques supplémentaires et connaître les exigences spécifiques en matière de syntaxe lors de l’utilisation d’API REST, d’applets de commande PowerShell ou d’Azure CLI pour les configurations de passerelles VPN, consultez les pages suivantes :For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

ClassiqueClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
API RESTREST API API RESTREST API
Non pris en chargeNot supported Interface de ligne de commande AzureAzure CLI

Étapes suivantesNext steps

Pour plus d’informations sur les configurations de connexion disponible, consultez la rubrique À propos de la passerelle VPN.For more information about available connection configurations, see About VPN Gateway.