Wat is VPN Gateway?

Een VPN-gateway is een speciaal soort virtueel-netwerkgateway die wordt gebruikt om versleuteld verkeer te verzenden tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet. U kunt een VPN-gateway ook gebruiken om versleuteld verkeer tussen virtuele Azure-netwerken te verzenden via het Microsoft-netwerk. Elk virtueel netwerk kan slechts één VPN-gateway hebben. U kunt echter meerdere verbindingen met dezelfde VPN-gateway maken. Wanneer u meerdere verbindingen naar dezelfde VPN-gateway hebt gemaakt, delen alle VPN-tunnels de bandbreedte die voor de gateway beschikbaar is.

Wat is een virtuele netwerkgateway?

Een virtuele netwerkgateway bestaat uit twee of meer virtuele machines die zijn geïmplementeerd voor een specifiek subnet dat u maakt, gatewaysubnet genaamd. VM's voor virtuele netwerkgateways bevatten routeringstabellen en voeren specifieke gatewayservices uit. Deze VM's worden gemaakt wanneer u de virtuele netwerkgateway maakt. U kunt de VM's die deel uitmaken van de gateway van de virtuele netwerkgateway niet rechtstreeks configureren.

Wanneer u een virtuele netwerkgateway configureert, configureert u een instelling die het type gateway specificeert. Het type gateway bepaalt hoe de virtuele netwerkgateway wordt gebruikt en welke acties worden uitgevoerd door de gateway. Het gatewaytype 'Vpn' geeft aan dat het type van de gemaakte virtuele netwerkgateway, een 'VPN-gateway' is. Dit onderscheidt het van een ExpressRoute-gateway, die gebruikmaakt van een ander type gateway. Een virtueel netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway. Zie Soorten gateways voor meer informatie.

Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. Wanneer u een gateway voor een virtueel netwerk maakt, worden gateway-VM's in het gatewaysubnet geïmplementeerd en geconfigureerd met de instellingen die u opgeeft. Nadat u een VPN-gateway hebt gemaakt, kunt u een IPsec/IKE-VPN-tunnelverbinding maken tussen die VPN-gateway en een andere VPN-gateway (VNet-naar-VNet) of een cross-premises IPsec/IKE-VPN-tunnelverbinding maken tussen de VPN-gateway en een on-premises VPN-apparaat (site-naar-site). U kunt ook een punt-naar-site-VPN-verbinding maken (VPN via OpenVPN, IKEv2 of SSTP), waarmee u verbinding maakt met het virtuele netwerk vanaf een externe locatie, zoals vanuit een conferentie of thuis.

Een VPN-gateway configureren

Een VPN-gatewayverbinding is afhankelijk van meerdere resources die zijn geconfigureerd met specifieke instellingen. De meeste resources kunnen afzonderlijk worden geconfigureerd, hoewel sommige resources in een bepaalde volgorde moeten worden geconfigureerd.

Ontwerp

Het is belangrijk te weten dat er verschillende configuraties beschikbaar zijn voor VPN-gatewayverbindingen. U moet bepalen welke configuratie het beste aansluit bij uw behoeften. Punt-naar-site-, site-naar-site-en naast elkaar bestaande ExpressRoute/site-naar-site-verbindingen hebben bijvoorbeeld allemaal verschillende instructies en configuratievereisten. Zie Ontwerp voor meer informatie over het ontwerpen en weergeven van verbindingstopologiediagrammen.

Tabel plannen

De volgende tabel kan u helpen bij het kiezen van de beste connectiviteitsoptie voor uw oplossing.

Point-to-Site Site-to-Site ExpressRoute
Door Azure ondersteunde services Cloudservices en virtuele machines Cloudservices en virtuele machines Lijst met services
Typische bandbreedten Gebaseerd op de gateway-SKU Doorgaans < 1 Gbps gecombineerd 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Ondersteunde protocollen Secure Sockets Tunneling Protocol (SSTP), OpenVPN en IPsec IPsec Directe verbinding via VLAN's, NSP’s VPN-technologieën (MPLS, VPLS,...)
Routering RouteBased (dynamisch) We ondersteunen PolicyBased (statische routering) en RouteBased (dynamische routering via VPN) BGP
Verbindingstolerantie actief-passief actief-passief of actief-actief actief-actief
Typische gebruiksscenario's Toegang tot virtuele Azure-netwerken beveiligen voor externe gebruikers Dev-/test-/labscenario's en kleinschalige tot middelgrote productieworkloads voor cloudservices en virtuele machines Toegang tot alle Azure-services (gevalideerde lijst), workloads op bedrijfsniveau en bedrijfskritieke taken, back-up, Big Data, Azure als een DR-site
SLA SLA SLA SLA
Prijzen Prijzen Prijzen Prijzen
Technische documentatie VPN Gateway-documentatie VPN Gateway-documentatie Documentatie voor ExpressRoute
Veelgestelde vragen Veelgestelde vragen VPN-gateways Veelgestelde vragen VPN-gateways Veelgestelde vragen ExpressRoute

Instellingen

De instellingen die u voor elke resource hebt gekozen, zijn essentieel om een geslaagde verbinding te maken. Zie voor meer informatie over afzonderlijke resources en de instellingen voor VPN Gateway Over VPN Gateway-instellingen. Dit artikel bevat informatie over de gatewaytypen, gateway-SKU's, VPN-typen, typen verbindingen, gatewaysubnetten, lokale netwerkgateways en verschillende andere resource-instellingen die u misschien wilt gebruiken.

Implementatiehulpmiddelen

U kunt beginnen met het maken en configureren van resources met een configuratiehulpprogramma, zoals Azure Portal. U kunt later besluiten over te schakelen naar een ander hulpprogramma, zoals PowerShell, om aanvullende resources te configureren, of om desgewenst bestaande resources te wijzigen. Op dit moment is het niet mogelijk om elke resource en resource-instelling in Azure Portal te configureren. De instructies in de artikelen voor elke verbindingstopologie geven aan of een specifiek confihuratiehulpprogramma nodig is.

Gateway-SKU's

Wanneer u een virtuele netwerkgateway maakt, geeft u de gewenste gateway-SKU op. Selecteer de SKU die aan uw vereisten voldoet op basis van de typen werkbelasting, doorvoer, functies en SLA's.

Gateway-SKU's per tunnel, verbinding en doorvoer

VPN-
gateway-
generatie
SKU S2S-/VNet-naar-VNet-
tunnels
P2S
SSTP-verbindingen
P2S
IKEv2/OpenVPN-verbindingen
Benchmark cumulatieve
doorvoer
BGP Zone-redundant
Generatie1 Basic Met maximaal 10 Met maximaal 128 Niet ondersteund 100 Mbps Niet ondersteund Nee
Generatie1 VpnGw1 Met maximaal 30* Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Nee
Generatie1 VpnGw2 Met maximaal 30* Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Nee
Generatie1 VpnGw3 Met maximaal 30* Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Nee
Generatie1 VpnGw1AZ Met maximaal 30* Met maximaal 128 Met maximaal 250 650 Mbps Ondersteund Ja
Generatie1 VpnGw2AZ Met maximaal 30* Met maximaal 128 Met maximaal 500 1 Gbps Ondersteund Ja
Generatie1 VpnGw3AZ Met maximaal 30* Met maximaal 128 Met maximaal 1000 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw2 Met maximaal 30* Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Nee
Generatie2 VpnGw3 Met maximaal 30* Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Nee
Generatie2 VpnGw4 Met maximaal 30* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Nee
Generatie2 VpnGw5 Met maximaal 30* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Nee
Generatie2 VpnGw2AZ Met maximaal 30* Met maximaal 128 Met maximaal 500 1,25 Gbps Ondersteund Ja
Generatie2 VpnGw3AZ Met maximaal 30* Met maximaal 128 Met maximaal 1000 2,5 Gbps Ondersteund Ja
Generatie2 VpnGw4AZ Met maximaal 30* Met maximaal 128 Met maximaal 5000 5 Gbps Ondersteund Ja
Generatie2 VpnGw5AZ Met maximaal 30* Met maximaal 128 Met maximaal 10.000 10 Gbps Ondersteund Ja

(*) Gebruik Virtual WAN als u meer dan 30 S2S VPN-tunnels nodig hebt.

  • Het wijzigen van de grootte van VpnGw-SKU's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de Basic-SKU. De Basic-SKU is een verouderde SKU waarvoor beperkingen in de functionaliteit gelden. Als u van de Basic-SKU wilt overstappen op een andere VpnGw-SKU, moet u de VPN-gateway van de Basic-SKU verwijderen en een nieuwe gateway maken met de gewenste combinatie van generatie en SKU-grootte.

  • Er gelden afzonderlijke verbindingslimieten. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.

  • Prijsinformatie vindt u op de pagina Prijzen.

  • Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.

  • In één tunnel kan een maximale doorvoer van 1 Gbps worden bereikt. De benchmark voor cumulatieve doorvoer in de bovenstaande tabel is gebaseerd op metingen van meerdere tunnels die via één gateway worden gecombineerd. De Benchmark cumulatieve doorvoer voor een VPN-gateway is gebaseerd op de combinatie S2S + P2S. Als u veel P2S-verbindingen gebruikt, kan dit in verband met doorvoerbeperkingen een negatieve invloed hebben op S2S-verbindingen. In verband met omstandigheden in het internetverkeer en het gedrag van uw toepassing geeft de Benchmark cumulatieve doorvoer geen gegarandeerde doorvoer aan.

We willen onze klanten graag helpen om inzicht te krijgen in de relatieve prestaties van SKU's die gebruikmaken van verschillende algoritmen. Daarom hebben we de prestaties gemeten met de openbaar beschikbare hulpprogramma's iPerf en CTSTraffic. De volgende tabel toont de resultaten van de prestatietests voor de VpnGw-SKU's van generatie 1. Zoals u kunt zien, worden de beste prestaties gerealiseerd bij gebruik van het GCMAES256-algoritme voor zowel IPsec-versleuteling als integriteit. Gemiddelde prestaties worden gerealiseerd bij gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit. De minst goede prestaties worden gerealiseerd bij gebruik van DES3 voor IPsec-versleuteling en SHA256 voor integriteit.

Generatie SKU Gebruikte
algoritmen
Waargenomen
doorvoer
Waargenomen pakketten per seconde per
tunnel
Generatie1 VpnGw1 GCMAES256
AES256 en SHA256
DES3 en SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50,000
50,000
Generatie1 VpnGw2 GCMAES256
AES256 en SHA256
DES3 en SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55.000
Generatie1 VpnGw3 GCMAES256
AES256 en SHA256
DES3 en SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90,000
60.000
Generatie1 VpnGw1AZ GCMAES256
AES256 en SHA256
DES3 en SHA256
650 Mbps
500 Mbps
120 Mbps
58.000
50,000
50,000
Generatie1 VpnGw2AZ GCMAES256
AES256 en SHA256
DES3 en SHA256
1 Gbps
500 Mbps
120 Mbps
90,000
80,000
55.000
Generatie1 VpnGw3AZ GCMAES256
AES256 en SHA256
DES3 en SHA256
1,25 Gbps
550 Mbps
120 Mbps
105.000
90,000
60.000

Beschikbaarheidszones

VPN-gateways kunnen in Azure-beschikbaarheidszones worden geïmplementeerd. Dit zorgt voor tolerantie, schaalbaarheid en hogere beschikbaarheid voor virtuele netwerkgateways. Door gateways in Azure-beschikbaarheidszones te implementeren, worden gateways binnen een regio fysiek en logisch van elkaar gescheiden, terwijl uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen storingen op zoneniveau. Zie Zone-redundante virtuele netwerkgateways in Azure-beschikbaarheidszones.

Prijzen

U betaalt voor twee dingen: het uurtarief voor het berekenen van de gateway van het virtuele netwerk en de overdracht van egress-gegevens van de gateway van het virtuele netwerk. Prijsinformatie vindt u op de pagina Prijzen. Raadpleeg de pagina ExpressRoute-prijzen en scrol naar het gedeelte Virtual Network-gateways om prijzen van verouderde gateway-SKU's te bekijken.

Berekeningskosten voor de virtuele netwerkgateway
Voor de berekening van elke virtuele netwerkgateway wordt een uurtarief in rekening gebracht. De prijs is gebaseerd op de gateway-SKU die u opgeeft wanneer u een virtuele netwerkgateway maakt. De kosten zijn voor de gateway zelf en komen boven op de kosten voor de gegevensoverdracht die via de gateway verloopt. De kosten van een actief/actief-configuratie zijn hetzelfde als voor een actief/passief-configuratie.

Kosten voor de gegevensoverdracht
De kosten voor de gegevensoverdracht worden berekend op basis van uitgaand verkeer van de bron voor de gateway van het virtuele netwerk.

  • Als u verkeer naar uw on-premises VPN-apparaat verzendt, wordt dit in rekening gebracht met de overdrachtssnelheid van egress-gegevens via het internet.
  • Als u verkeer tussen virtuele netwerken in verschillende gebieden verzendt, zijn de prijzen gebaseerd op de regio.
  • Als u alleen verkeer verzendt tussen virtuele netwerken die zich in dezelfde regio bevinden, worden er geen gegevenskosten in rekening gebracht. Verkeer tussen VNets in dezelfde regio is gratis.

Zie Gateway-SKU's voor meer informatie over gateway-SKU's voor VPN Gateway.

Veelgestelde vragen

Zie Veelgestelde vragen VPN Gateway voor veelgestelde vragen over VPN Gateway.

Wat is er nieuw?

Abonneer u op de RSS-feed en bekijk de nieuwste updates voor VPN Gateway-functies op de pagina Azure-updates.

Volgende stappen