Wat is VPN Gateway?What is VPN Gateway?

Een VPN-gateway is een speciaal soort virtueel-netwerkgateway die wordt gebruikt om versleuteld verkeer te verzenden tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet.A VPN gateway is a specific type of virtual network gateway that is used to send encrypted traffic between an Azure virtual network and an on-premises location over the public Internet. U kunt een VPN-gateway ook gebruiken om versleuteld verkeer tussen virtuele Azure-netwerken te verzenden via het Microsoft-netwerk.You can also use a VPN gateway to send encrypted traffic between Azure virtual networks over the Microsoft network. Elk virtueel netwerk kan slechts één VPN-gateway hebben.Each virtual network can have only one VPN gateway. U kunt echter meerdere verbindingen met dezelfde VPN-gateway maken.However, you can create multiple connections to the same VPN gateway. Wanneer u meerdere verbindingen naar dezelfde VPN-gateway hebt gemaakt, delen alle VPN-tunnels de bandbreedte die voor de gateway beschikbaar is.When you create multiple connections to the same VPN gateway, all VPN tunnels share the available gateway bandwidth.

VPN-gateways kunnen in Azure-beschikbaarheidszones worden geïmplementeerd.VPN gateways can be deployed in Azure Availability Zones. Dit zorgt voor tolerantie, schaalbaarheid en hogere beschikbaarheid voor virtuele netwerkgateways.This brings resiliency, scalability, and higher availability to virtual network gateways. Door gateways in Azure-beschikbaarheidszones te implementeren, worden gateways binnen een regio fysiek en logisch van elkaar gescheiden, terwijl uw on-premises netwerkconnectiviteit met Azure wordt beschermd tegen storingen op zoneniveau.Deploying gateways in Azure Availability Zones physically and logically separates gateways within a region, while protecting your on-premises network connectivity to Azure from zone-level failures. Zie Zone-redundante virtuele netwerkgateways in Azure-beschikbaarheidszones.see About zone-redundant virtual network gateways in Azure Availability Zones.

Wat is een virtuele netwerkgateway?What is a virtual network gateway?

Een virtuele netwerkgateway bestaat uit twee of meer virtuele machines die zijn geïmplementeerd voor een specifiek subnet dat u maakt, gatewaysubnet genaamd.A virtual network gateway is composed of two or more VMs that are deployed to a specific subnet you create called the gateway subnet. VM's voor virtuele netwerkgateways bevatten routeringstabellen en voeren specifieke gatewayservices uit.Virtual network gateway VMs contain routing tables and run specific gateway services. Deze VM's worden gemaakt wanneer u de virtuele netwerkgateway maakt.These VMs are created when you create the virtual network gateway. U kunt de VM's die deel uitmaken van de gateway van de virtuele netwerkgateway niet rechtstreeks configureren.You can't directly configure the VMs that are part of the virtual network gateway.

Wanneer u een virtuele netwerkgateway configureert, configureert u een instelling die het type gateway specificeert.When you configure a virtual network gateway, you configure a setting that specifies the gateway type. Het type gateway bepaalt hoe de virtuele netwerkgateway wordt gebruikt en welke acties worden uitgevoerd door de gateway.The gateway type determines how the virtual network gateway will be used and the actions that the gateway takes. Het gatewaytype 'Vpn' geeft aan dat het type van de gemaakte virtuele netwerkgateway, een 'VPN-gateway' is.The gateway type 'Vpn' specifies that the type of virtual network gateway created is a 'VPN gateway'. Dit onderscheidt het van een ExpressRoute-gateway, die gebruikmaakt van een ander type gateway.This distinguishes it from an ExpressRoute gateway, which uses a different gateway type. Een virtueel netwerk kan twee virtuele netwerkgateways hebben: één VPN-gateway en één ExpressRoute-gateway.A virtual network can have two virtual network gateways; one VPN gateway and one ExpressRoute gateway. Zie Soorten gateways voor meer informatie.For more information, see Gateway types.

Het maken van een gateway voor een virtueel netwerk kan tot 45 minuten duren.Creating a virtual network gateway can take up to 45 minutes to complete. Wanneer u een gateway voor een virtueel netwerk maakt, worden gateway-VM's in het gatewaysubnet geïmplementeerd en geconfigureerd met de instellingen die u opgeeft.When you create a virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the settings that you specify. Nadat u een VPN-gateway hebt gemaakt, kunt u een IPsec/IKE-VPN-tunnelverbinding maken tussen die VPN-gateway en een andere VPN-gateway (VNet-naar-VNet) of een cross-premises IPsec/IKE-VPN-tunnelverbinding maken tussen de VPN-gateway en een on-premises VPN-apparaat (site-naar-site).After you create a VPN gateway, you can create an IPsec/IKE VPN tunnel connection between that VPN gateway and another VPN gateway (VNet-to-VNet), or create a cross-premises IPsec/IKE VPN tunnel connection between the VPN gateway and an on-premises VPN device (Site-to-Site). U kunt ook een punt-naar-site-VPN-verbinding maken (VPN via OpenVPN, IKEv2 of SSTP), waarmee u verbinding maakt met het virtuele netwerk vanaf een externe locatie, zoals vanuit een conferentie of thuis.You can also create a Point-to-Site VPN connection (VPN over OpenVPN, IKEv2, or SSTP), which lets you connect to your virtual network from a remote location, such as from a conference or from home.

Een VPN-gateway configurerenConfiguring a VPN Gateway

Een VPN-gatewayverbinding is afhankelijk van meerdere resources die zijn geconfigureerd met specifieke instellingen.A VPN gateway connection relies on multiple resources that are configured with specific settings. De meeste resources kunnen afzonderlijk worden geconfigureerd, hoewel sommige resources in een bepaalde volgorde moeten worden geconfigureerd.Most of the resources can be configured separately, although some resources must be configured in a certain order.

Ontwerp: Diagrammen over de verbindingstopologieDesign: Connection topology diagrams

Het is belangrijk te weten dat er verschillende configuraties beschikbaar zijn voor VPN-gatewayverbindingen.It's important to know that there are different configurations available for VPN gateway connections. U moet bepalen welke configuratie het beste aansluit bij uw behoeften.You need to determine which configuration best fits your needs. Punt-naar-site-, site-naar-site-en naast elkaar bestaande ExpressRoute/site-naar-site-verbindingen hebben bijvoorbeeld allemaal verschillende instructies en configuratievereisten.For example, Point-to-Site, Site-to-Site, and coexisting ExpressRoute/Site-to-Site connections all have different instructions and configuration requirements. Zie Ontwerp voor meer informatie over diagrammen voor ontwerp- en verbindingstopologie.For information about design and connection topology diagrams, see Design.

InstellingenSettings

De instellingen die u voor elke resource hebt gekozen, zijn essentieel om een geslaagde verbinding te maken.The settings that you chose for each resource are critical to creating a successful connection. Zie voor meer informatie over afzonderlijke resources en de instellingen voor VPN Gateway Over VPN Gateway-instellingen.For information about individual resources and settings for VPN Gateway, see About VPN Gateway settings. Dit artikel bevat informatie over de gatewaytypen, gateway-SKU's, VPN-typen, typen verbindingen, gatewaysubnetten, lokale netwerkgateways en verschillende andere resource-instellingen die u misschien wilt gebruiken.The article contains information to help you understand gateway types, gateway SKUs, VPN types, connection types, gateway subnets, local network gateways, and various other resource settings that you may want to consider.

ImplementatiehulpmiddelenDeployment tools

U kunt beginnen met het maken en configureren van resources met een configuratiehulpprogramma, zoals Azure Portal.You can start out creating and configuring resources using one configuration tool, such as the Azure portal. U kunt later besluiten over te schakelen naar een ander hulpprogramma, zoals PowerShell, om aanvullende resources te configureren, of om desgewenst bestaande resources te wijzigen.You can later decide to switch to another tool, such as PowerShell, to configure additional resources, or modify existing resources when applicable. Op dit moment is het niet mogelijk om elke resource en resource-instelling in Azure Portal te configureren.Currently, you can't configure every resource and resource setting in the Azure portal. De instructies in de artikelen voor elke verbindingstopologie geven aan of een specifiek confihuratiehulpprogramma nodig is.The instructions in the articles for each connection topology specify when a specific configuration tool is needed.

Tabel plannenPlanning table

De volgende tabel kan u helpen bij het kiezen van de beste connectiviteitsoptie voor uw oplossing.The following table can help you decide the best connectivity option for your solution.

Punt-naar-sitePoint-to-Site Site-naar-siteSite-to-Site ExpressRouteExpressRoute
Door Azure ondersteunde servicesAzure Supported Services Cloudservices en virtuele machinesCloud Services and Virtual Machines Cloudservices en virtuele machinesCloud Services and Virtual Machines Lijst met servicesServices list
Typische bandbreedtenTypical Bandwidths Gebaseerd op de gateway-SKUBased on the gateway SKU Doorgaans < 1 Gbps gecombineerdTypically < 1 Gbps aggregate 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Ondersteunde protocollenProtocols Supported Secure Sockets Tunneling Protocol (SSTP), OpenVPN en IPsecSecure Sockets Tunneling Protocol (SSTP), OpenVPN and IPsec IPsecIPsec Directe verbinding via VLAN's, NSP’s VPN-technologieën (MPLS, VPLS,...)Direct connection over VLANs, NSP's VPN technologies (MPLS, VPLS,...)
RouteringRouting RouteBased (dynamisch)RouteBased (dynamic) We ondersteunen PolicyBased (statische routering) en RouteBased (dynamische routering via VPN)We support PolicyBased (static routing) and RouteBased (dynamic routing VPN) BGPBGP
VerbindingstolerantieConnection resiliency actief-passiefactive-passive actief-passief of actief-actiefactive-passive or active-active actief-actiefactive-active
Typische gebruiksscenario'sTypical use case Maken van een prototype, dev/testen/labscenario's voor cloudservices en virtuele machinesPrototyping, dev / test / lab scenarios for cloud services and virtual machines Dev/testen/labscenario's en kleinschalige productie-workloads voor cloudservices en virtuele machinesDev / test / lab scenarios and small scale production workloads for cloud services and virtual machines Toegang tot alle Azure-services (gevalideerde lijst), workloads op bedrijfsniveau en bedrijfskritieke taken, back-up, Big Data, Azure als een DR-siteAccess to all Azure services (validated list), Enterprise-class and mission critical workloads, Backup, Big Data, Azure as a DR site
SLASLA SLASLA SLASLA SLASLA
PrijzenPricing PrijzenPricing PrijzenPricing PrijzenPricing
Technische documentatieTechnical Documentation VPN Gateway-documentatieVPN Gateway Documentation VPN Gateway-documentatieVPN Gateway Documentation ExpressRoute-documentatieExpressRoute Documentation
Veelgestelde vragenFAQ Veelgestelde vragen VPN-gatewaysVPN Gateway FAQ Veelgestelde vragen VPN-gatewaysVPN Gateway FAQ Veelgestelde vragen ExpressRouteExpressRoute FAQ

Gateway-SKU'sGateway SKUs

Wanneer u een virtuele netwerkgateway maakt, geeft u de gewenste gateway-SKU op.When you create a virtual network gateway, you specify the gateway SKU that you want to use. Selecteer de SKU die aan uw vereisten voldoet op basis van de typen werkbelasting, doorvoer, functies en SLA's.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs.

Gateway-SKU's per tunnel, verbinding en doorvoerGateway SKUs by tunnel, connection, and throughput

VPN-
gateway
genereren
VPN
Gateway
Generation
SKUSKU S2S-/VNet-naar-VNet-
tunnels
S2S/VNet-to-VNet
Tunnels
P2S
SSTP-verbindingen
P2S
SSTP Connections
P2S
IKEv2/openvpn-verbindingen
P2S
IKEv2/OpenVPN Connections
Benchmark cumulatieve
doorvoer
Aggregate
Throughput Benchmark
BGPBGP Zone-redundantZone-redundant
Generation1Generation1 StandaardBasic Met maximaalMax. 1010 Met maximaalMax. 128128 Niet ondersteundNot Supported 100 Mbps100 Mbps Niet ondersteundNot Supported NoNo
Generation1Generation1 VpnGw1VpnGw1 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 250250 650 Mbps650 Mbps OndersteundSupported NoNo
Generation1Generation1 VpnGw2VpnGw2 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 500500 1 Gbps1 Gbps OndersteundSupported NoNo
Generation1Generation1 VpnGw3VpnGw3 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10001000 1,25 Gbps1.25 Gbps OndersteundSupported NoNo
Generation1Generation1 VpnGw1AZVpnGw1AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 250250 650 Mbps650 Mbps OndersteundSupported JaYes
Generation1Generation1 VpnGw2AZVpnGw2AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 500500 1 Gbps1 Gbps OndersteundSupported JaYes
Generation1Generation1 VpnGw3AZVpnGw3AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10001000 1,25 Gbps1.25 Gbps OndersteundSupported JaYes
Generation2Generation2 VpnGw2VpnGw2 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 500500 1,25 Gbps1.25 Gbps OndersteundSupported NoNo
Generation2Generation2 VpnGw3VpnGw3 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10001000 2,5 Gbps2.5 Gbps OndersteundSupported NoNo
Generation2Generation2 VpnGw4VpnGw4 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 50005000 5 Gbps5 Gbps OndersteundSupported NoNo
Generation2Generation2 VpnGw5VpnGw5 Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10.00010000 10 Gbps10 Gbps OndersteundSupported NoNo
Generation2Generation2 VpnGw2AZVpnGw2AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 500500 1,25 Gbps1.25 Gbps OndersteundSupported JaYes
Generation2Generation2 VpnGw3AZVpnGw3AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10001000 2,5 Gbps2.5 Gbps OndersteundSupported JaYes
Generation2Generation2 VpnGw4AZVpnGw4AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 50005000 5 Gbps5 Gbps OndersteundSupported JaYes
Generation2Generation2 VpnGw5AZVpnGw5AZ Met maximaalMax. 30*30* Met maximaalMax. 128128 Met maximaalMax. 10.00010000 10 Gbps10 Gbps OndersteundSupported JaYes

(*) Gebruik Virtual WAN als u meer dan 30 S2S VPN-tunnels nodig hebt.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • Het wijzigen van de grootte van VpnGw Sku's is toegestaan binnen dezelfde generatie, behalve het wijzigen van de grootte van de basis-SKU.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. De basis-SKU is een verouderde SKU waarvoor beperkingen gelden voor de functie.The Basic SKU is a legacy SKU and has feature limitations. Als u van de Basic-naar een andere VpnGw-SKU wilt gaan, moet u de basis-VPN-gateway van de Basic-SKU verwijderen en een nieuwe gateway maken met de gewenste combi natie van generatie en SKU.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Er gelden afzonderlijke verbindingslimieten.These connection limits are separate. U kunt bijvoorbeeld 128 SSTP-verbindingen en ook 250 IKEv2-verbindingen hebben in een SKU van het type VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • Prijsinformatie vindt u op de pagina Prijzen.Pricing information can be found on the Pricing page.

  • Gegevens over de SLA (Service Level Agreement) vindt u op de pagina SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Bij één tunnel kan een maximum van 1 Gbps door voer worden bereikt.On a single tunnel a maximum of 1 Gbps throughput can be achieved. De benchmark-door Voer in de bovenstaande tabel is gebaseerd op de metingen van meerdere tunnels die via één gateway worden geaggregeerd.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. De Benchmark cumulatieve doorvoer voor een VPN-gateway is gebaseerd op de combinatie S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Als u veel P2S-verbindingen gebruikt, kan dit in verband met doorvoerbeperkingen een negatieve invloed hebben op S2S-verbindingen.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. In verband met omstandigheden in het internetverkeer en het gedrag van uw toepassing geeft de Benchmark cumulatieve doorvoer geen gegarandeerde doorvoer aan.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Om onze klanten te helpen bij het begrijpen van de relatieve prestaties van Sku's die gebruikmaken van verschillende algoritmen, hebben we de open bare iPerf-en CTSTraffic-hulpprogram ma's gebruikt om prestaties te meten.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. De volgende tabel bevat de resultaten van prestatie tests voor generatie 1, VpnGw Sku's.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Zoals u kunt zien, worden de beste prestaties verkregen wanneer we het GCMAES256-algoritme voor zowel IPsec-versleuteling als-integriteit hebben gebruikt.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Er zijn gemiddelde prestaties bij het gebruik van AES256 voor IPsec-versleuteling en SHA256 voor integriteit.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Wanneer we DES3 gebruiken voor IPsec-versleuteling en SHA256 voor integriteit, hebben we de laagste prestaties ontvangen.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeneratieGeneration SKUSKU Gebruikte algoritmen
Algorithms
used
Waargenomen door Voer
Throughput
observed
Gemeten pakketten per seconde
Packets per second
observed
Generation1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50,00050,000
50,00050,000
Generation1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55.00055,000
Generation1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90,00090,000
60.00060,000
Generation1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58.00058,000
50,00050,000
50,00050,000
Generation1Generation1 VpnGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90,00090,000
80,00080,000
55.00055,000
Generation1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105.000105,000
90,00090,000
60.00060,000

PrijzenPricing

U betaalt voor twee dingen: het uurtarief voor het berekenen van de gateway van het virtuele netwerk en de overdracht van egress-gegevens van de gateway van het virtuele netwerk.You pay for two things: the hourly compute costs for the virtual network gateway, and the egress data transfer from the virtual network gateway. Prijsinformatie vindt u op de pagina Prijzen.Pricing information can be found on the Pricing page. Zie de pagina met prijzen voor ExpressRoute en schuif naar het gedeelte Virtual Network gateways voor de prijzen voor oudere Gateway-sku's.For legacy gateway SKU pricing, see the ExpressRoute pricing page and scroll to the Virtual Network Gateways section.

Berekeningskosten voor de virtuele netwerkgatewayVirtual network gateway compute costs
Voor de berekening van elke virtuele netwerkgateway wordt een uurtarief in rekening gebracht.Each virtual network gateway has an hourly compute cost. De prijs is gebaseerd op de gateway-SKU die u opgeeft wanneer u een virtuele netwerkgateway maakt.The price is based on the gateway SKU that you specify when you create a virtual network gateway. De kosten zijn voor de gateway zelf en komen boven op de kosten voor de gegevensoverdracht die via de gateway verloopt.The cost is for the gateway itself and is in addition to the data transfer that flows through the gateway. De kosten van een actief/actief-configuratie zijn hetzelfde als voor een actief/passief-configuratie.Cost of an active-active setup is the same as active-passive.

Kosten voor de gegevensoverdrachtData transfer costs
De kosten voor de gegevensoverdracht worden berekend op basis van uitgaand verkeer van de bron voor de gateway van het virtuele netwerk.Data transfer costs are calculated based on egress traffic from the source virtual network gateway.

  • Als u verkeer naar uw on-premises VPN-apparaat verzendt, wordt dit in rekening gebracht met de overdrachtssnelheid van egress-gegevens via het internet.If you are sending traffic to your on-premises VPN device, it will be charged with the Internet egress data transfer rate.
  • Als u verkeer tussen virtuele netwerken in verschillende gebieden verzendt, zijn de prijzen gebaseerd op de regio.If you are sending traffic between virtual networks in different regions, the pricing is based on the region.
  • Als u alleen verkeer verzendt tussen virtuele netwerken die zich in dezelfde regio bevinden, worden er geen gegevenskosten in rekening gebracht.If you are sending traffic only between virtual networks that are in the same region, there are no data costs. Verkeer tussen VNets in dezelfde regio is gratis.Traffic between VNets in the same region is free.

Zie Gateway-SKU's voor meer informatie over gateway-SKU's voor VPN Gateway.For more information about gateway SKUs for VPN Gateway, see Gateway SKUs.

Veelgestelde vragenFAQ

Zie Veelgestelde vragen VPN Gateway voor veelgestelde vragen over VPN Gateway.For frequently asked questions about VPN gateway, see the VPN Gateway FAQ.

Volgende stappenNext steps