Configurar definições de gateway VPN para Azure Stack HubConfigure VPN gateway settings for Azure Stack Hub

Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego encriptado entre a sua rede virtual no Azure Stack Hub e um gateway VPN remoto.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network in Azure Stack Hub and a remote VPN gateway. O gateway VPN remoto pode estar em Azure, um dispositivo no seu datacenter ou um dispositivo em outro site.The remote VPN gateway can be in Azure, a device in your datacenter, or a device on another site. Se houver conectividade de rede entre os dois pontos finais, pode estabelecer uma ligação VPN VPN local-a-local segura entre as duas redes.If there is network connectivity between the two endpoints, you can establish a secure Site-to-Site (S2S) VPN connection between the two networks.

Uma ligação de gateway VPN baseia-se na configuração de múltiplos recursos, cada um dos quais contém configurações configuráveis.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. Este artigo descreve os recursos e configurações que se relacionam com uma porta de entrada VPN para uma rede virtual que cria no modelo de implementação do Gestor de Recursos.This article describes the resources and settings that relate to a VPN gateway for a virtual network that you create in the Resource Manager deployment model. Pode encontrar descrições e diagramas de topologia para cada solução de conexão em About VPN Gateway for Azure Stack Hub.You can find descriptions and topology diagrams for each connection solution in About VPN Gateway for Azure Stack Hub.

Definições de gateway VPNVPN gateway settings

Tipos de gatewayGateway types

Cada rede virtual Azure Stack Hub suporta um único gateway de rede virtual, que deve ser do tipo Vpn.Each Azure Stack Hub virtual network supports a single virtual network gateway, which must be of the type Vpn. Este suporte é diferente do Azure, que suporta tipos adicionais.This support is different from Azure, which supports additional types.

Quando criar um gateway de rede virtual, deve certificar-se de que o tipo de gateway está correto para a sua configuração.When you create a virtual network gateway, you must make sure that the gateway type is correct for your configuration. Um gateway VPN requer a -GatewayType Vpn bandeira; por exemplo:A VPN gateway requires the -GatewayType Vpn flag; for example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKUs de GatewayGateway SKUs

Quando criar um gateway de rede virtual, tem de especificar o gateway SKU que pretende utilizar.When you create a virtual network gateway, you must specify the gateway SKU that you want to use. Selecione os SKU que atendem as suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, funcionalidades e SLA.Select the SKUs that satisfy your requirements based on the types of workloads, throughputs, features, and SLAs.

O Azure Stack Hub oferece o gateway SKUs VPN mostrado na tabela seguinte:Azure Stack Hub offers the VPN gateway SKUs shown in the following table:

Produção de gateway VPNVPN gateway throughput Túneis máximos de IPsec de gateway VPNVPN gateway maximum IPsec tunnels
SKU BásicoBasic SKU 100 Mbps100 Mbps 2020
SKU StandardStandard SKU 100 Mbps100 Mbps 2020
SKU de Elevado DesempenhoHigh Performance SKU 200 Mbps200 Mbps 1010

Redimensionar dos SKU de gatewayResizing gateway SKUs

O Azure Stack Hub não suporta um redimensionamento de SKUs entre os SKUs legados suportados.Azure Stack Hub does not support a resize of SKUs between the supported legacy SKUs.

Da mesma forma, o Azure Stack Hub não suporta um redimensionamento de um legado suportado SKU (Basic, Standard , e HighPerformance ) para um SKU mais recente apoiado por Azure ( VpnGw1 , VpnGw2 , e VpnGw3).Similarly, Azure Stack Hub does not support a resize from a supported legacy SKU ( Basic , Standard , and HighPerformance ) to a newer SKU supported by Azure ( VpnGw1 , VpnGw2 , and VpnGw3 ).

Configure o gateway SKUConfigure the gateway SKU

Portal Azure Stack HubAzure Stack Hub portal

Se utilizar o portal Azure Stack Hub para criar um gateway de rede virtual do Resource Manager, pode selecionar o gateway SKU utilizando a lista de dropdown.If you use the Azure Stack Hub portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown list. As opções correspondem ao tipo de gateway e ao tipo VPN que seleciona.The options correspond to the gateway type and VPN type that you select.

PowerShellPowerShell

O exemplo powerShell a seguir especifica o -GatewaySku parâmetro como Norma:The following PowerShell example specifies the -GatewaySku parameter as Standard :

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewaySku Standard `
-GatewayType Vpn -VpnType RouteBased

Tipos de ligaçãoConnection types

No modelo de implementação do Gestor de Recursos, cada configuração requer um tipo específico de ligação de gateway de rede virtual.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Os valores disponíveis do Gestor de Recursos PowerShell -ConnectionType são IPsec.The available Resource Manager PowerShell values for -ConnectionType are IPsec.

No exemplo powerShell, é criada uma ligação S2S que requer o tipo de ligação IPsec:In the following PowerShell example, a S2S connection is created that requires the IPsec connection type:

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipos de VPNVPN types

Quando criar o gateway de rede virtual para uma configuração de gateway VPN, deve especificar um tipo VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. O tipo VPN que escolhe depende da topologia de ligação que pretende criar.The VPN type that you choose depends on the connection topology that you want to create. Um tipo VPN também pode depender do hardware que está a usar.A VPN type can also depend on the hardware that you're using. As configurações S2S requerem um dispositivo VPN.S2S configurations require a VPN device. Alguns dispositivos VPN só suportam um determinado tipo VPN.Some VPN devices only support a certain VPN type.

Importante

Atualmente, o Azure Stack Hub apenas suporta o tipo VPN baseado em rotas.Currently, Azure Stack Hub only supports the route-based VPN type. Se o seu dispositivo apenas suporta VPNs baseados em políticas, então as ligações a esses dispositivos a partir do Azure Stack Hub não são suportadas.If your device only supports policy-based VPNs, then connections to those devices from Azure Stack Hub are not supported.

Além disso, o Azure Stack Hub não suporta a utilização de seletores de tráfego baseados em políticas para gateways baseados em rotas neste momento, porque as configurações de política IPSec/IKE personalizadas não são suportadas.In addition, Azure Stack Hub does not support using policy-based traffic selectors for route-based gateways at this time, because custom IPSec/IKE policy configurations are not supported.

  • PolicyBased : As VPNs baseadas em políticas encriptam e directizam pacotes através de túneis IPsec baseados nas políticas IPsec que são configuradas com as combinações de prefixos de endereço entre a sua rede no local e o Azure Stack Hub VNet.PolicyBased : Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies that are configured with the combinations of address prefixes between your on-premises network and the Azure Stack Hub VNet. A política, ou seletor de tráfego, é geralmente uma lista de acesso na configuração do dispositivo VPN.The policy, or traffic selector, is usually an access list in the VPN device configuration.

    Nota

    PolicyBased é suportado em Azure, mas não em Azure Stack Hub.PolicyBased is supported in Azure, but not in Azure Stack Hub.

  • RouteBased : As VPNs baseadas em rotas utilizam rotas configuradas na tabela de encaminhamento ou encaminhamento IP para pacotes diretos para as respetivas interfaces de túneis.RouteBased : Route-based VPNs use routes that are configured in the IP forwarding or routing table to direct packets to their corresponding tunnel interfaces. As interfaces de túnel, em seguida, encriptam ou desencriptam os pacotes dentro e fora dos túneis.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. A política, ou seletor de tráfego, para VPNs routebased são configuradas como qualquer-para-qualquer (ou usar cartões selvagens).The policy, or traffic selector, for RouteBased VPNs are configured as any-to-any (or use wild cards). Por defeito, não podem ser alterados.By default, they cannot be changed. O valor para um tipo VPN RouteBased é RouteBased.The value for a RouteBased VPN type is RouteBased.

O exemplo powerShell seguinte especifica como -VpnType RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Quando criar um gateway, deve certificar-se de que o -VpnType correto está correto para a sua configuração.When you create a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Requisitos do gatewayGateway requirements

A tabela que se segue lista os requisitos para gateways VPN.The following table lists the requirements for VPN gateways.

VPN Gateway Básico baseado em políticasPolicy-based Basic VPN Gateway VPN Gateway Básico baseado na rotaRoute-based Basic VPN Gateway VPN Gateway Standard baseado na rotaRoute-based Standard VPN Gateway VPN Gateway de Elevado Desempenho baseado na rotaRoute-based High Performance VPN Gateway
Conectividade local-local (conectividade S2S)Site-to-Site connectivity (S2S connectivity) Não suportadoNot Supported Configuração de VPN baseada na rotaRoute-based VPN configuration Configuração de VPN baseada na rotaRoute-based VPN configuration Configuração de VPN baseada na rotaRoute-based VPN configuration
Método de autenticaçãoAuthentication method Não suportadoNot Supported Chave pré-partilhada para conectividade S2SPre-shared key for S2S connectivity Chave pré-partilhada para conectividade S2SPre-shared key for S2S connectivity Chave pré-partilhada para conectividade S2SPre-shared key for S2S connectivity
Número máximo de ligações S2SMaximum number of S2S connections Não suportadoNot Supported 2020 2020 1010
Suporte de encaminhamento ativo (BGP)Active routing support (BGP) Não suportadoNot supported Não suportadoNot supported SuportadoSupported SuportadoSupported

Sub-rede de gatewayGateway subnet

Antes de criar uma porta VPN, tem de criar uma sub-rede de gateway.Before you create a VPN gateway, you must create a gateway subnet. A sub-rede gateway tem os endereços IP que os VMs e serviços de gateway de rede virtual utilizam.The gateway subnet has the IP addresses that the virtual network gateway VMs and services use. Quando cria o seu gateway de rede virtual, os VMs de gateway são implantados na sub-rede gateway e configurados com as definições de gateway VPN necessárias.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Não coloque mais nada (por exemplo, VMs adicionais) na sub-rede gateway.Don't deploy anything else (for example, additional VMs) to the gateway subnet.

Importante

Para funcionar corretamente, a sub-rede do gateway tem de ter o nome GatewaySubnet.The gateway subnet must be named GatewaySubnet to work properly. O Azure Stack Hub utiliza este nome para identificar a sub-rede para implantar os VMs e serviços de gateway de rede virtual.Azure Stack Hub uses this name to identify the subnet to which to deploy the virtual network gateway VMs and services.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Os endereços IP na sub-rede gateway são atribuídos aos VMs de gateway e serviços de gateway.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Algumas configurações requerem mais endereços IP do que outras.Some configurations require more IP addresses than others. Veja as instruções para a configuração que pretende criar e verifique se a sub-rede gateway que pretende criar satisfaz esses requisitos.Look at the instructions for the configuration that you want to create and verify that the gateway subnet you want to create meets those requirements.

Além disso, deve certificar-se de que a sub-rede gateway tem endereços IP suficientes para lidar com configurações futuras adicionais.Additionally, you should make sure your gateway subnet has enough IP addresses to handle additional future configurations. Embora possa criar uma sub-rede de gateway tão pequena como /29, recomendamos que crie uma sub-rede de gateway de /28 ou maior (/28, /27, /26, e assim por diante.) Desta forma, se adicionar funcionalidade no futuro, não terá de demolir o seu gateway, em seguida, apagar e recriar a sub-rede gateway para permitir mais endereços IP.Although you can create a gateway subnet as small as /29, we recommend you create a gateway subnet of /28 or larger (/28, /27, /26, and so on.) That way, if you add functionality in the future, you do not have to tear down your gateway, then delete and recreate the gateway subnet to allow for more IP addresses.

O exemplo seguinte do Gestor de Recursos PowerShell mostra uma sub-rede de gateway chamada GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Pode ver que a notação CIDR especifica uma /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que a sua porta de entrada VPN deixe de funcionar como esperado.Associating a network security group to this subnet can cause your VPN gateway to stop functioning as expected. Para obter mais informações sobre grupos de segurança de rede, veja o que é um grupo de segurança de rede?For more information about network security groups, see What is a network security group?.

Gateways de rede localLocal network gateways

Ao criar uma configuração de gateway VPN em Azure, o gateway de rede local representa frequentemente a sua localização no local.When creating a VPN gateway configuration in Azure, the local network gateway often represents your on-premises location. No Azure Stack Hub, representa qualquer dispositivo VPN remoto que se encontra fora do Azure Stack Hub.In Azure Stack Hub, it represents any remote VPN device that sits outside Azure Stack Hub. Este dispositivo pode ser um dispositivo VPN no seu datacenter (ou um centro de dados remoto) ou um gateway VPN em Azure.This device could be a VPN device in your datacenter (or a remote datacenter), or a VPN gateway in Azure.

Você dá ao portal de rede local um nome, o endereço IP público do dispositivo VPN, e especifica os prefixos de endereço que estão no local do local.You give the local network gateway a name, the public IP address of the VPN device, and specify the address prefixes that are on the on-premises location. A Azure olha para os prefixos do endereço de destino para o tráfego de rede, consulta a configuração que especificou para o seu gateway de rede local, e pacotes de rotas em conformidade.Azure looks at the destination address prefixes for network traffic, consults the configuration that you've specified for your local network gateway, and routes packets accordingly.

Este exemplo powerShell cria um novo portal de rede local:This PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Por vezes é necessário modificar as definições de gateway de rede local; por exemplo, quando adiciona ou modifica o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar.Sometimes you need to modify the local network gateway settings; for example, when you add or modify the address range, or if the IP address of the VPN device changes. Para obter mais informações, consulte modificar as definições de gateway de rede local utilizando o PowerShell.For more info, see Modify local network gateway settings using PowerShell.

Parâmetros de IPsec/IKEIPsec/IKE parameters

Quando configurar uma ligação VPN no Azure Stack Hub, deve configurar a ligação em ambas as extremidades.When you set up a VPN connection in Azure Stack Hub, you must configure the connection at both ends. Se estiver a configurar uma ligação VPN entre o Azure Stack Hub e um dispositivo de hardware, como um interruptor ou router que está a funcionar como um gateway VPN, esse dispositivo pode pedir-lhe definições adicionais.If you're configuring a VPN connection between Azure Stack Hub and a hardware device such as a switch or router that is acting as a VPN gateway, that device might ask you for additional settings.

Ao contrário do Azure, que suporta múltiplas ofertas como iniciador e um socorrista, o Azure Stack Hub suporta apenas uma oferta por padrão.Unlike Azure, which supports multiple offers as both an initiator and a responder, Azure Stack Hub supports only one offer by default. Se precisar de utilizar diferentes definições IPSec/IKE para trabalhar com o seu dispositivo VPN, existem mais definições disponíveis para configurar a sua ligação manualmente.If you need to use different IPSec/IKE settings to work with your VPN device, there are more settings available to you to configure your connection manually. Para obter mais informações, consulte a política Configure IPsec/IKE para ligações VPN site-to-site.For more information, see Configure IPsec/IKE policy for site-to-site VPN connections.

Importante

Ao utilizar o túnel S2S, os pacotes são ainda encapsulados com cabeçalhos adicionais que aumentam o tamanho total do pacote.When using the S2S tunnel, packets are further encapsulated with additional headers which increases the overall size of the packet. Nestes cenários, deve fixar o MSS TCP às 1350.In these scenarios, you must clamp TCP MSS at 1350. Ou, se os seus dispositivos VPN não suportam o aperto de MSS, pode, em alternativa, definir a MTU na interface do túnel para 1400 bytes.Or, if your VPN devices do not support MSS clamping, you can alternatively set the MTU on the tunnel interface to 1400 bytes instead. Para obter mais informações, consulte a afinação de desempenho da Rede Virutal TCPIP.For more information, see Virutal Network TCPIP performance tuning.

Parâmetros de IKE Fase 1 (Modo Principal)IKE Phase 1 (Main Mode) parameters

PropriedadeProperty ValorValue
Versão do IKEIKE Version IKEv2IKEv2
Grupo Diffie-Hellman*Diffie-Hellman Group* ECP384ECP384
Método de autenticaçãoAuthentication Method Chave Pré-partilhadaPre-Shared Key
Encriptação & algoritmos de hashing*Encryption & Hashing Algorithms* AES256, SHA384AES256, SHA384
Duração de SA (Tempo)SA Lifetime (Time) 28 800 segundos28,800 seconds

Parâmetros de IKE Fase 2 (Modo Rápido)IKE Phase 2 (Quick Mode) parameters

PropriedadeProperty ValorValue
Versão do IKEIKE Version IKEv2IKEv2
Encriptação & algoritmos de hashing (encriptação)Encryption & Hashing Algorithms (Encryption) GCMAES256GCMAES256
Encriptação & algoritmos de hashing (autenticação)Encryption & Hashing Algorithms (Authentication) GCMAES256GCMAES256
Duração de SA (Tempo)SA Lifetime (Time) 27,000 segundos27,000 seconds
SA Lifetime (Kilobytes)SA Lifetime (Kilobytes) 33,553,40833,553,408
Segredo avançado perfeito (PFS)*Perfect Forward Secrecy (PFS)* ECP384ECP384
Deteção de Elemento InutilizadoDead Peer Detection SuportadoSupported

Nota

Os valores padrão para Diffie-Hellman Group, Hashing Algorithm e Perfect Forward Secrecy foram alterados para construções de 1910 ou acima.The default values for Diffie-Hellman Group, Hashing Algorithm and Perfect Forward Secrecy have been changed for builds 1910 and above. Se o seu Azure Stack Hub estiver numa versão de construção abaixo de 1910, utilize os seguintes valores para os parâmetros acima indicados:If your Azure Stack Hub is on a build version below 1910, please use the following values for the above parameters:

PropriedadeProperty ValorValue
Grupo Diffie-HellmanDiffie-Hellman Group DHGroup2DHGroup2
Algoritmos de hashingHashing Algorithms SHA256SHA256
Perfect Forward Secrecy (PFS)Perfect Forward Secrecy (PFS) NenhumNone

* Novo ou alterado parâmetro.* New or changed parameter.

Passos seguintesNext steps