À propos des paramètres de configuration de la passerelle VPN

Une passerelle VPN est un type de passerelle de réseau virtuel qui envoie le trafic chiffré entre votre réseau virtuel et votre emplacement local à travers une connexion publique. Vous pouvez également utiliser une passerelle VPN pour acheminer le trafic entre réseaux virtuels sur l’infrastructure Azure.

Une connexion de passerelle VPN s’appuie sur la configuration de plusieurs ressources, contenant chacune des paramètres configurables. Les sections de cet article présentent les ressources et les paramètres relatifs à une passerelle VPN pour un réseau virtuel créé dans le modèle de déploiement Resource Manager. Vous trouverez les descriptions et les diagrammes de topologie de chaque solution de connexion dans l’article À propos la passerelle VPN.

Les valeurs figurant dans cet article s’appliquent à des passerelles VPN (passerelles de réseau virtuel) qui utilisent le -GatewayType Vpn. Cet article ne couvre pas l’ensemble des types de passerelles, ni les passerelles redondantes interzone.

Types de passerelle

Chaque réseau virtuel ne peut posséder qu’une seule passerelle de réseau virtuel de chaque type. Lorsque vous créez une passerelle de réseau virtuel, vous devez vous assurer que le type de passerelle convient pour votre configuration.

Les valeurs disponibles pour -GatewayType sont :

  • Vpn
  • ExpressRoute

Une passerelle VPN nécessite le -GatewayType VPN.

Exemple :

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKU de passerelle

Lorsque vous créez une passerelle de réseau virtuel, vous devez spécifier la référence SKU de passerelle que vous voulez utiliser. Sélectionnez la référence SKU qui répond à vos besoins en fonction des types de charges de travail, des débits, des fonctionnalités et des contrats de niveau de service. Pour connaître les références SKU des passerelles de réseau virtuel dans les Zones de disponibilité Azure, voir Références SKU des passerelles pour les Zones de disponibilité Azure.

Références SKU de passerelle par tunnel, connexion et débit

Génération
de passerelle
VPN
Référence (SKU) S2S/VNet-to-VNet
Tunnels
P2S
connexions SSTP
P2S
connexions IKEv2/OpenVPN
Agrégat
Référence de débit
BGP Redondant interzone
Génération1 De base Bande passante 10 Bande passante 128 Non pris en charge 100 Mbits/s Non pris en charge Non
Génération1 VpnGw1 Bande passante 30* Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Non
Génération1 VpnGw2 Bande passante 30* Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Non
Génération1 VpnGw3 Bande passante 30* Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Non
Génération1 VpnGw1AZ Bande passante 30* Bande passante 128 Bande passante 250 650 Mbits/s Pris en charge Oui
Génération1 VpnGw2AZ Bande passante 30* Bande passante 128 Bande passante 500 1 Gbit/s Pris en charge Oui
Génération1 VpnGw3AZ Bande passante 30* Bande passante 128 Bande passante 1 000 1,25 Gbits/s Pris en charge Oui
Génération2 VpnGw2 Bande passante 30* Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Non
Génération2 VpnGw3 Bande passante 30* Bande passante 128 Bande passante 1 000 2,5 Gbits/s Pris en charge Non
Génération2 VpnGw4 Bande passante 30* Bande passante 128 Bande passante 5 000 5 Gbit/s Pris en charge Non
Génération2 VpnGw5 Bande passante 30* Bande passante 128 Bande passante 10000 10 Gbits/s Pris en charge Non
Génération2 VpnGw2AZ Bande passante 30* Bande passante 128 Bande passante 500 1,25 Gbits/s Pris en charge Oui
Génération2 VpnGw3AZ Bande passante 30* Bande passante 128 Bande passante 1 000 2,5 Gbits/s Pris en charge Oui
Génération2 VpnGw4AZ Bande passante 30* Bande passante 128 Bande passante 5 000 5 Gbit/s Pris en charge Oui
Génération2 VpnGw5AZ Bande passante 30* Bande passante 128 Bande passante 10000 10 Gbits/s Pris en charge Oui

(*) Utilisez le WAN virtuel si vous avez besoin de plus de 30 tunnels VPN S2S.

  • Le redimensionnement des références SKU VpnGw est autorisé dans la même génération, à l’exception du redimensionnement de la référence SKU De base. La référence SKU De base est une référence SKU héritée et présente des limitations en termes de fonctionnalités. Pour passer de la référence SKU De base à une autre référence SKU VpnGw, vous devez supprimer la passerelle VPN de la référence SKU De base et créer une passerelle avec la combinaison de taille de référence SKU et de génération souhaitée.

  • Ces limites de connexion sont séparées. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence SKU VpnGw1.

  • Pour des informations sur les prix, consultez la page Tarification .

  • Vous trouverez des informations relatives au contrat de niveau de service (SLA) sur la page SLA.

  • Dans un tunnel unique, un débit maximal de 1 Gbit/s peut être atteint. La référence de débit agrégée indiquée dans le tableau ci-dessus se base sur les mesures de plusieurs tunnels agrégés par le biais d’une passerelle unique. Le test d’évaluation du débit d’agrégat pour une passerelle VPN est S2S + P2S combinés. Si vous avez un grand nombre de connexions P2S, cela peut avoir un impact négatif sur la connexion S2S à cause des limites de débit. La référence de débit agrégée n’est pas garantie en raison des conditions de trafic Internet et des comportements de votre application.

Pour aider nos clients à comprendre les performances relatives des références SKU à l’aide de différents algorithmes, nous avons utilisé les outils disponibles publiquement iPerf et CTSTraffic pour mesurer les performances. Le tableau ci-dessous liste les résultats des tests de performances des références SKU VpnGw de génération 1. Comme vous pouvez le voir, les meilleures performances sont obtenues quand nous utilisons l’algorithme GCMAES256 pour le chiffrement IPsec et pour l’intégrité. Nous obtenons des performances moyennes lors de l’utilisation d’AES256 pour le chiffrement IPsec et de SHA256 pour l’intégrité. Quand nous utilisons DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous obtenons les performances les plus faibles.

Generation Référence (SKU) Algorithmes
utilisés
Débit
observé
Paquets par seconde et par tunnel
observés
Génération1 VpnGw1 GCMAES256
AES256 et SHA256
DES3 et SHA256
650 Mbits/s
500 Mbits/s
120 Mbits/s
58 000
50 000
50 000
Génération1 VpnGw2 GCMAES256
AES256 et SHA256
DES3 et SHA256
1 Gbit/s
500 Mbits/s
120 Mbits/s
90 000
80 000
55 000
Génération1 VpnGw3 GCMAES256
AES256 et SHA256
DES3 et SHA256
1,25 Gbits/s
550 Mbits/s
120 Mbits/s
105 000
90 000
60 000
Génération1 VpnGw1AZ GCMAES256
AES256 et SHA256
DES3 et SHA256
650 Mbits/s
500 Mbits/s
120 Mbits/s
58 000
50 000
50 000
Génération1 VpnGw2AZ GCMAES256
AES256 et SHA256
DES3 et SHA256
1 Gbit/s
500 Mbits/s
120 Mbits/s
90 000
80 000
55 000
Génération1 VpnGw3AZ GCMAES256
AES256 et SHA256
DES3 et SHA256
1,25 Gbits/s
550 Mbits/s
120 Mbits/s
105 000
90 000
60 000

Notes

Les références SKU VpnGw (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 et VpnGw5AZ) sont prises en charge uniquement pour le modèle de déploiement Resource Manager. Les réseaux virtuels classiques doivent continuer à utiliser les anciennes références SKU (héritées).

Références SKU de passerelle par ensemble de fonctionnalités

Les nouvelles références SKU de passerelle VPN rationalisent les ensembles de fonctionnalités proposés sur les passerelles :

Référence (SKU) Caractéristiques
De base (**) VPN basés sur un itinéraire : 10 tunnels avec S2S/connexions ; aucune authentification RADIUS pour P2S ; aucune IKEV2 pour P2S
VPN basés sur les stratégies : (IKEv1) : 1 tunnel S2S/connexion ; aucune S2S
Toutes les références SKU Génération1 et Génération2, sauf De base VPN basés sur le routage : jusqu’à 30 itinéraires (*), P2S, BGP, actif/passif, stratégie IPsec/IKE personnalisée, coexistence ExpressRoute/VPN

(*) Vous pouvez configurer « PolicyBasedTrafficSelectors » pour connecter une passerelle VPN basée sur la route à plusieurs pare-feu locaux basés sur des stratégies. Pour en savoir plus, consultez la section Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell (Connecter des passerelles VPN à plusieurs appareils VPN basés sur des stratégies via PowerShell).

(**) La référence SKU De base est considérée comme une référence SKU héritée. La référence SKU De base a certaines limitations en termes de fonctionnalités. Vous ne pouvez pas redimensionner une passerelle qui utilise une référence SKU De base vers l’une des nouvelles références SKU de passerelle. À la place, vous devez passer à une nouvelle référence SKU, ce qui implique la suppression et la recréation de votre passerelle VPN.

Références SKU de passerelle - Charges de travail de production et charges de travail de développement/de test

En raison de différences des contrats de niveau de service et des ensembles de fonctionnalités, nous vous recommandons les références SKU suivantes pour la production par rapport au développement et au test :

Charge de travail Références SKU
Production, charges de travail critiques Toutes les références SKU Génération1 et Génération2, sauf De base
Développement-Test ou preuve de concept De base (**)

(**) La référence SKU De base est considérée comme une référence SKU héritée et présente des limitations en termes de fonctionnalités. Vérifiez que la fonctionnalité dont vous avez besoin est prise en charge avant d’utiliser la référence SKU De base.

Si vous utilisez les anciennes références SKU (héritées), les recommandations en termes de références SKU de production sont Standard et HighPerformance. Pour obtenir plus d’informations et des instructions sur les anciennes références SKU, consultez Références SKU de passerelle (héritées).

Configurer une référence SKU de passerelle

Azure portal

Si vous utilisez le portail Azure pour créer une passerelle de réseau virtuel Resource Manager, vous pouvez sélectionner la référence SKU de la passerelle dans la liste déroulante. Les options qui vous sont présentées correspondent au type de passerelle et au type de VPN sélectionnés.

PowerShell

L’exemple PowerShell suivant spécifie la -GatewaySku en tant que VpnGw1. Lorsque vous utilisez PowerShell pour créer une passerelle, vous devez d’abord créer la configuration IP, puis utiliser une variable qui y fait référence. Dans cet exemple, la variable de configuration est $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

Azure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Redimensionnement ou modification d’une référence SKU

Si vous disposez d’une passerelle VPN et que vous souhaitez utiliser une autre référence SKU de passerelle, vous avez le choix entre redimensionner votre référence SKU de passerelle ou remplacer par une autre référence SKU. Lorsque vous remplacez par une autre référence SKU de passerelle, vous supprimez la passerelle existante dans son ensemble et en créez une nouvelle. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée. En comparaison, lorsque vous redimensionnez une référence SKU de passerelle, le temps d’arrêt sera faible, car vous n’aurez pas à supprimer et à recréer la passerelle. Si vous avez la possibilité de redimensionner votre référence SKU de passerelle plutôt que de la modifier, vous devez le faire. Toutefois, il existe des règles concernant le redimensionnement :

  1. À l’exception de la référence SKU de base, vous pouvez redimensionner une référence SKU de passerelle VPN vers une autre référence SKU de passerelle VPN au sein de la même génération (Generation1 ou Generation2). Par exemple, VpnGw1 de Generation1 peut être redimensionné en VpnGw2 de Generation1, mais pas en VpnGw2 de Generation2.
  2. Lors de l’utilisation des anciennes références SKU de passerelle, vous pouvez effectuer un redimensionnement entre les références SKU Basic, Standard et HighPerformance.
  3. Vous ne pouvez pas effectuer de redimensionnement pour passer des références SKU de base/standard/haute performance à des références SKU VpnGw. Au lieu de cela, vous devez effectuer la modification vers les nouvelles références SKU.

Pour redimensionner une passerelle

Azure portal

  1. Accédez à la page Configuration pour votre passerelle de réseau virtuel.

  2. Sélectionnez la flèche de la liste déroulante.

    Redimensionner la passerelle

  3. Sélectionnez la référence SKU dans la liste déroulante.

    Sélectionner la référence SKU

PowerShell

Vous pouvez utiliser l’applet de commande PowerShell Resize-AzVirtualNetworkGateway modifier le niveau d’une référence (SKU) Generation1 ou Generation2 (toutes les références SKU VpnGw peuvent être redimensionnées, à l’exception des références De base). Si vous utilisez la référence SKU de passerelle De base utilisez ces instructions à la place pour redimensionner votre passerelle.

L’exemple PowerShell suivant montre une référence SKU de passerelle redimensionnée sur VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Pour passer d’un ancienne référence SKU (héritée) à une nouvelle référence SKU

Si vous utilisez le modèle de déploiement du Gestionnaire des ressources, vous pouvez basculer vers les nouvelles références SKU de passerelle. Lorsque vous passez d’une ancienne référence SKU de passerelle vers une nouvelle référence SKU, vous supprimez la passerelle VPN existante et créez une nouvelle passerelle VPN.

Flux de travail :

  1. Supprimez toutes les connexions à la passerelle de réseau virtuel.
  2. Supprimez l’ancienne passerelle VPN.
  3. Créez la nouvelle passerelle VPN.
  4. Mettez à jour vos périphériques VPN locaux avec la nouvelle adresse IP de passerelle VPN (pour les connexions site à site, S2S).
  5. Mettez à jour la valeur de l’adresse IP de passerelle de toutes les passerelles de réseau local d’une connexion entre deux réseaux virtuels qui s’y connecteront.
  6. Téléchargez les nouveaux packages de configuration VPN pour les clients point à site (P2S) se connectant au réseau virtuel via cette passerelle VPN.
  7. Recréez les connexions à la passerelle de réseau virtuel.

Considérations :

  • Pour passer aux nouvelles références SKU, votre passerelle VPN doit être dans le modèle de déploiement du Gestionnaire des ressources.
  • Si vous avez une passerelle VPN classique, vous devez continuer à utiliser les anciennes références SKU pour cette passerelle, toutefois, vous pouvez redimensionner entre les anciennes références SKU. Vous ne pouvez pas basculer vers les nouvelles références SKU.
  • Un temps d’arrêt de connectivité se produit lorsque vous basculez d’une ancienne référence SKU vers une nouvelle référence SKU.
  • Lorsque vous basculez vers une nouvelle référence SKU de passerelle, l’adresse IP publique de votre passerelle VPN change. Cela se produit même si vous spécifiez le même objet d’adresse IP publique que vous utilisiez précédemment.

Types de connexion

Dans le modèle de déploiement Resource Manager, chaque configuration nécessite un type spécifique de connexion de passerelle de réseau virtuel. Les valeurs de PowerShell pour Resource Manager disponibles pour -ConnectionType sont :

  • IPsec
  • Vnet2Vnet
  • ExpressRoute
  • VPNClient

Dans l’exemple PowerShell suivant, nous créons une connexion S2S qui nécessite le type de connexion IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Types de VPN

Lorsque vous créez la passerelle de réseau virtuel d’une configuration de passerelle VPN, vous devez spécifier un type de VPN. Le type de VPN que vous choisissez dépend de la topologie de connexion que vous souhaitez créer. Par exemple, une connexion P2S nécessite un VPN de type basé sur un itinéraire. Un type VPN peut également dépendre du matériel utilisé. Les configurations S2S nécessitent un périphérique VPN. Certains périphériques VPN seront ne prennent en charge qu’un certain type de VPN.

Le type de VPN que vous choisissez doit satisfaire à toutes les exigences de connexion de la solution que vous souhaitez créer. Par exemple, si vous souhaitez créer une connexion de passerelle VPN S2S et une connexion de passerelle VPN P2S pour le même réseau virtuel, vous utiliserez un VPN de type basé sur un itinéraire car P2S requiert un VPN de type basé sur un itinéraire. Vous devez également vérifier que votre périphérique VPN prend en charge une connexion VPN basée sur un itinéraire.

Une fois qu’une passerelle de réseau virtuel a été créée, vous ne pouvez plus modifier le type de VPN. Vous devez supprimer la passerelle de réseau virtuel et en créer une nouvelle. Il existe deux types de VPN :

  • PolicyBased : les VPN basés sur des stratégies étaient auparavant connus sous le nom de passerelles de routage statique dans le modèle de déploiement Classic. Les VPN basés sur des stratégies chiffrent et acheminent les paquets par le biais des tunnels IPsec basés sur les stratégies IPsec configurées avec les combinaisons de préfixes d’adresses entre votre réseau local et le réseau virtuel Azure. La stratégie (ou le sélecteur de trafic) est généralement définie en tant que liste d’accès dans les configurations du périphérique VPN. Un VPN de type basé sur des stratégies a pour valeur PolicyBased. Lorsque vous utilisez un VPN basé sur les itinéraires (PolicyBased), gardez à l’esprit les limitations suivantes :

    • Les VPN basés sur les itinéraires peuvent uniquement être utilisés sur la référence SKU de passerelle de base. Ce type de VPN n’est pas compatible avec les autres références SKU de passerelle.
    • Vous pouvez avoir 1 seul tunnel lors de l’utilisation d’un VPN basé sur les stratégies.
    • Vous pouvez uniquement utiliser les VPN basés sur les stratégies pour les connexions S2S et uniquement pour certaines configurations. La plupart des configurations de passerelle VPN requièrent un VPN basé sur les itinéraires.
  • RouteBased: les VPN basés sur un itinéraire étaient auparavant connus sous le nom de passerelles de routage dynamique dans le modèle de déploiement Classic. Les VPN basés sur un itinéraire utilisent des « itinéraires » dans l’adresse IP de transfert ou la table de routage pour acheminer des paquets dans leurs interfaces de tunnel correspondantes. Les interfaces de tunnel chiffrent ou déchiffrent ensuite les paquets se trouvant dans et hors des tunnels. La stratégie (ou le sélecteur de trafic) des VPN basés sur un itinéraire est configurée comme universelle (ou en caractères génériques). Le VPN RouteBased a pour valeur RouteBased.

L’exemple PowerShell suivant spécifie la -VpnType en tant que RouteBased. Lorsque vous créez une passerelle, vous devez vous assurer que -VpnType convient pour votre configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Conditions requises de la passerelle

Le tableau suivant répertorie la configuration requise pour les passerelles VPN basées sur des stratégies ou des itinéraires. Cette table s’applique aux modèles de déploiement classique et Resource Manager. Pour le modèle classique, les passerelles VPN basées sur des stratégies sont identiques aux passerelles statiques et les passerelles basées sur des itinéraires sont identiques aux passerelles dynamiques.

Passerelle VPN basée sur des stratégies De base Passerelle VPN basée sur des itinéraires De base Passerelle VPN basée sur des itinéraires Standard Passerelle VPN à hautes performances basée sur des itinéraires
Connectivité de site à site (S2S) Configuration de VPN basé sur une stratégie Configuration de VPN basé sur les itinéraires Configuration de VPN basé sur les itinéraires Configuration de VPN basé sur les itinéraires
Connectivité de point à site (P2S) Non pris en charge Prise en charge (peut coexister avec S2S) Prise en charge (peut coexister avec S2S) Prise en charge (peut coexister avec S2S)
Méthode d'authentification Clé prépartagée Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à site Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à site Clé prépartagée pour la connectivité de site à site, certificats pour la connectivité de point à site
Nombre maximal de connexions de site à site 1 10 10 30
Nombre maximal de connexions de point à site Non pris en charge 128 128 128
Routage actif (BGP) (*) Non pris en charge Non pris en charge Prise en charge Prise en charge

(*) Le protocole BGP n’est pas pris en charge avec le modèle de déploiement Classic.

Sous-réseau de passerelle

Avant de créer votre passerelle VPN, vous devez d’abord créer un sous-réseau de passerelle. Le sous-réseau de passerelle contient les adresses IP utilisées par les machines virtuelles et les services de passerelle de réseau virtuel. Lors de la création de votre passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées dans le sous-réseau de passerelle et configurées avec les paramètres de passerelle VPN requis. Ne déployez jamais d’autres éléments (des machines virtuelles supplémentaires, par exemple) dans le sous-réseau de passerelle. Pour fonctionner correctement, le sous-réseau de passerelle doit être nommé ’GatewaySubnet’. En nommant le sous-réseau de passerelle « GatewaySubnet », Azure est informé qu'il s’agit du sous-réseau dans lequel déployer les machines virtuelles et les services de passerelle de réseau virtuel.

Notes

Les routes définies par l’utilisateur avec une destination 0.0.0.0/0 et les groupes de sécurité réseau sur le sous-réseau de passerelle ne sont pas pris en charge. La création de passerelles avec cette configuration est bloquée. Les passerelles nécessitent l’accès aux contrôleurs de gestion pour fonctionner correctement. Propagation de route BGP doit être défini sur « Activé » sur le sous-réseau de passerelle pour garantir la disponibilité de la passerelle. Si cette valeur est définie sur Désactivé, la passerelle ne fonctionne pas.

Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP que contient le sous-réseau. Les adresses IP dans le sous-réseau de passerelle sont allouées aux machines virtuelles et aux services de passerelle. Certaines configurations nécessitent plus d’adresses IP que d’autres.

Pour planifier la taille de votre sous-réseau de passerelle, consultez la documentation correspondant à la configuration que vous envisagez de créer. Par exemple, la configuration de coexistence ExpressRoute/passerelle VPN nécessite un sous-réseau de passerelle plus important que la plupart des autres configurations. De plus, assurez-vous que votre sous-réseau de passerelle contient suffisamment d’adresses IP pour pouvoir prendre en charge d’éventuelles nouvelles configurations. Même si vous pouvez créer un petit sous-réseau de passerelle (jusqu’à une taille /29), nous vous recommandons d’en créer un de taille /27 ou supérieure (/27, /26, etc.) si l’espace d’adressage disponible est suffisant. Ceci conviendra à la plupart des configurations.

L’exemple PowerShell Resource Manager suivant montre un sous-réseau de passerelle nommé GatewaySubnet. Vous pouvez voir que la notation CIDR spécifie une taille /27, ce qui permet d’avoir un nombre suffisamment élevé d’adresses IP pour la plupart des configurations actuelles.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Important

Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Présentation du groupe de sécurité réseau ?.

Passerelles de réseau local

Une passerelle de réseau local diffère d'une passerelle de réseau virtuel. Lorsque vous créez une configuration de passerelle VPN, la passerelle du réseau local représente généralement votre réseau et l’appareil VPN correspondant. Dans le modèle de déploiement classique, la passerelle de réseau local a été appelée Site local.

Vous donnez un nom ou nom de domaine complet à la passerelle de réseau local (l’adresse IP publique de l’appareil VPN local) et spécifiez les préfixes d’adresse qui se situent dans l’emplacement local. Azure examine les préfixes d’adresse de destination pour le trafic réseau, consulte la configuration que vous avez spécifiée pour votre passerelle de réseau local, et route les paquets en conséquence. Si vous utilisez Border Gateway Protocol (BGP) sur votre périphérique VPN, vous devez fournir l’adresse IP du pair BGP de votre périphérique VPN et le numéro de système autonome (ASN) de votre réseau local. Vous spécifiez également des passerelles de réseau local pour les configurations avec interconnexion de réseaux virtuels qui utilisent une connexion de passerelle VPN.

L’exemple PowerShell suivant crée une nouvelle passerelle de réseau local :

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Parfois, vous devez modifier les paramètres de passerelle de réseau local. C’est le cas, par exemple, lorsque vous ajoutez ou modifiez la plage d’adresses, ou lorsque l’adresse IP du périphérique VPN change. Voir Modification des paramètres de passerelle de réseau local à l’aide de PowerShell.

API REST, cmdlets PowerShell et CLI

Pour accéder à des ressources techniques supplémentaires et connaître les exigences spécifiques en matière de syntaxe lors de l’utilisation d’API REST, d’applets de commande PowerShell ou d’Azure CLI pour les configurations de passerelles VPN, consultez les pages suivantes :

Classique Resource Manager
PowerShell PowerShell
REST API REST API
Non pris en charge Azure CLI

Étapes suivantes

Pour plus d’informations sur les configurations de connexion disponible, consultez la rubrique À propos de la passerelle VPN.