Sobre as definições de configuração do Gateway VPNAbout VPN Gateway configuration settings

Um gateway VPN é um tipo de gateway de rede virtual que envia tráfego encriptado entre a sua rede virtual e a sua localização no local através de uma ligação pública.A VPN gateway is a type of virtual network gateway that sends encrypted traffic between your virtual network and your on-premises location across a public connection. Também pode usar uma porta de entrada VPN para enviar tráfego entre redes virtuais através da espinha dorsal do Azure.You can also use a VPN gateway to send traffic between virtual networks across the Azure backbone.

Uma ligação de gateway VPN baseia-se na configuração de múltiplos recursos, cada um dos quais contém configurações configuráveis.A VPN gateway connection relies on the configuration of multiple resources, each of which contains configurable settings. As secções deste artigo discutem os recursos e configurações que se relacionam com uma porta de entrada VPN para uma rede virtual criada no modelo de implementação do Gestor de Recursos.The sections in this article discuss the resources and settings that relate to a VPN gateway for a virtual network created in Resource Manager deployment model. Pode encontrar descrições e diagramas de topologia para cada solução de ligação no artigo sobre a VPN Gateway.You can find descriptions and topology diagrams for each connection solution in the About VPN Gateway article.

Os valores deste artigo aplicam gateways VPN (gateways de rede virtuais que usam o -GatewayType Vpn).The values in this article apply VPN gateways (virtual network gateways that use the -GatewayType Vpn). Este artigo não abrange todos os tipos de gateways ou portais redundantes de zona.This article does not cover all gateway types or zone-redundant gateways.

Tipos de gatewayGateway types

Cada rede virtual só pode ter uma porta de entrada de rede virtual de cada tipo.Each virtual network can only have one virtual network gateway of each type. Quando estiver a criar um gateway de rede virtual, deve certificar-se de que o tipo de gateway está correto para a sua configuração.When you are creating a virtual network gateway, you must make sure that the gateway type is correct for your configuration.

Os valores disponíveis para -GatewayType são:The available values for -GatewayType are:

  • VpnVpn
  • ExpressRouteExpressRoute

Um gateway VPN requer a -GatewayType Vpn.A VPN gateway requires the -GatewayType Vpn.

Exemplo:Example:

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig -GatewayType Vpn `
-VpnType RouteBased

SKUs de GatewayGateway SKUs

Quando cria um gateway de rede virtual, tem de especificar o SKU de gateway que pretende utilizar.When you create a virtual network gateway, you need to specify the gateway SKU that you want to use. Selecione o SKU que atende as suas necessidades com base nos tipos de cargas de trabalho, taxas de transferência, funcionalidades e SLA.Select the SKU that satisfies your requirements based on the types of workloads, throughputs, features, and SLAs. Para gateway de rede virtual SKUs em Zonas de Disponibilidade Azure, consulte Azure Availability Zones gateway SKUs.For virtual network gateway SKUs in Azure Availability Zones, see Azure Availability Zones gateway SKUs.

SKUs de Gateway por túnel, ligação e débitoGateway SKUs by tunnel, connection, and throughput

Geração VPN
Gateway
VPN
Gateway
Generation
SKUSKU S2S/VNet para VNet
Túneis
S2S/VNet-to-VNet
Tunnels
Ligações SSTP
P2S
P2S
SSTP Connections
Ligações P2S
IKEv2/OpenVPN
P2S
IKEv2/OpenVPN Connections
Referência de
Débito de Agregação
Aggregate
Throughput Benchmark
BGPBGP Zona redundanteZone-redundant
Geração1Generation1 BásicaBasic Um máximo deMax. 1010 Um máximo deMax. 128128 Não suportadoNot Supported 100 Mbps100 Mbps Não suportadoNot Supported NoNo
Geração1Generation1 VpnGw1VpnGw1 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 250250 650 Mbps650 Mbps SuportadoSupported NoNo
Geração1Generation1 VpnGw2VpnGw2 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1 Gbps1 Gbps SuportadoSupported NoNo
Geração1Generation1 VpnGw3VpnGw3 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 1,25 Gbps1.25 Gbps SuportadoSupported NoNo
Geração1Generation1 VpnGw1AZVpnGw1AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 250250 650 Mbps650 Mbps SuportadoSupported YesYes
Geração1Generation1 VPNGw2AZVpnGw2AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1 Gbps1 Gbps SuportadoSupported YesYes
Geração1Generation1 VpnGw3AZVpnGw3AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 1,25 Gbps1.25 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw2VpnGw2 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1,25 Gbps1.25 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw3VpnGw3 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 2,5 Gbps2.5 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw4VpnGw4 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 50005000 5 Gbps5 Gbps SuportadoSupported NoNo
Geração2Generation2 VpnGw5VpnGw5 Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 1000010000 10 Gbps10 Gbps SuportadoSupported NoNo
Geração2Generation2 VPNGw2AZVpnGw2AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 500500 1,25 Gbps1.25 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw3AZVpnGw3AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 10001000 2,5 Gbps2.5 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw4AZVpnGw4AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 50005000 5 Gbps5 Gbps SuportadoSupported YesYes
Geração2Generation2 VpnGw5AZVpnGw5AZ Um máximo deMax. 30*30* Um máximo deMax. 128128 Um máximo deMax. 1000010000 10 Gbps10 Gbps SuportadoSupported YesYes

(*) Utilize a WAN Virtual se precisar de mais de 30 túneis S2S VPN.(*) Use Virtual WAN if you need more than 30 S2S VPN tunnels.

  • A redimensionamento de SKUs VPNGw é permitida dentro da mesma geração, exceto a redimensionamento do SKU Básico.The resizing of VpnGw SKUs is allowed within the same generation, except resizing of the Basic SKU. O SKU Básico é um SKU legado e tem limitações de recursos.The Basic SKU is a legacy SKU and has feature limitations. Para passar de Basic para outro SKU VPNGw, você deve eliminar o gateway Basic SKU VPN e criar um novo gateway com a combinação de tamanhos de Geração e SKU desejado.In order to move from Basic to another VpnGw SKU, you must delete the Basic SKU VPN gateway and create a new gateway with the desired Generation and SKU size combination.

  • Esses limites de ligação são separados.These connection limits are separate. Por exemplo, pode ter 128 ligações SSTP e também 250 ligações IKEv2 num SKU VpnGw1.For example, you can have 128 SSTP connections and also 250 IKEv2 connections on a VpnGw1 SKU.

  • As informações sobre os preços estão disponíveis na página Preços.Pricing information can be found on the Pricing page.

  • Pode encontrar informações sobre SLA (contrato de nível de serviço) na página do SLA.SLA (Service Level Agreement) information can be found on the SLA page.

  • Num único túnel pode ser alcançado um máximo de 1 Gbps.On a single tunnel a maximum of 1 Gbps throughput can be achieved. O Índice de Produção Agregada na tabela acima baseia-se em medições de múltiplos túneis agregados através de um único gateway.Aggregate Throughput Benchmark in the above table is based on measurements of multiple tunnels aggregated through a single gateway. A Referência de Débito Agregado para um Gateway de VPN é uma combinação de S2S + P2S.The Aggregate Throughput Benchmark for a VPN Gateway is S2S + P2S combined. Se tiver muitas ligações P2S, isso pode afetar negativamente uma ligação S2S devido às limitações de débito.If you have a lot of P2S connections, it can negatively impact a S2S connection due to throughput limitations. O Índice de Produção Agregada não é um rendimento garantido devido às condições de tráfego da Internet e aos seus comportamentos de aplicação.The Aggregate Throughput Benchmark is not a guaranteed throughput due to Internet traffic conditions and your application behaviors.

Para ajudar os nossos clientes a compreender o desempenho relativo dos SKUs utilizando diferentes algoritmos, utilizamos ferramentas iPerf e CTSTraffic publicamente disponíveis para medir desempenhos.To help our customers understand the relative performance of SKUs using different algorithms, we used publicly available iPerf and CTSTraffic tools to measure performances. A tabela abaixo lista os resultados dos testes de desempenho para a Geração 1, SKUs VPNGw.The table below lists the results of performance tests for Generation 1, VpnGw SKUs. Como pode ver, o melhor desempenho é obtido quando usamos algoritmo GCMAES256 para encriptação e integridade do IPsec.As you can see, the best performance is obtained when we used GCMAES256 algorithm for both IPsec Encryption and Integrity. Obtivemos um desempenho médio ao usar o AES256 para encriptação IPsec e SHA256 para Integridade.We got average performance when using AES256 for IPsec Encryption and SHA256 for Integrity. Quando usamos DES3 para encriptação IPsec e SHA256 para Integridade, obtivemos o menor desempenho.When we used DES3 for IPsec Encryption and SHA256 for Integrity we got lowest performance.

GeraçãoGeneration SKUSKU Algoritmos
utilizados
Algorithms
used
Produção
observada
Throughput
observed
Pacotes por segundo
observados
Packets per second
observed
Geração1Generation1 VpnGw1VpnGw1 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58,00058,000
50 00050,000
50 00050,000
Geração1Generation1 VpnGw2VpnGw2 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55,00055,000
Geração1Generation1 VpnGw3VpnGw3 GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105,000105,000
90.00090,000
60 00060,000
Geração1Generation1 VpnGw1AZVpnGw1AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
650 Mbps650 Mbps
500 Mbps500 Mbps
120 Mbps120 Mbps
58,00058,000
50 00050,000
50 00050,000
Geração1Generation1 VPNGw2AZVpnGw2AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1 Gbps1 Gbps
500 Mbps500 Mbps
120 Mbps120 Mbps
90.00090,000
80.00080,000
55,00055,000
Geração1Generation1 VpnGw3AZVpnGw3AZ GCMAES256GCMAES256
AES256 & SHA256AES256 & SHA256
DES3 & SHA256DES3 & SHA256
1,25 Gbps1.25 Gbps
550 Mbps550 Mbps
120 Mbps120 Mbps
105,000105,000
90.00090,000
60 00060,000

Nota

VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5 e VpnGw5AZ) são apoiados apenas para a implementação do modelo de gestor de recursos.VpnGw SKUs (VpnGw1, VpnGw1AZ, VpnGw2, VpnGw2AZ, VpnGw3, VpnGw3AZ, VpnGw4, VpnGw4AZ, VpnGw5, and VpnGw5AZ) are supported for the Resource Manager deployment model only. As redes virtuais clássicas devem continuar a utilizar os antigos SKUs (legados).Classic virtual networks should continue to use the old (legacy) SKUs.

GATEWAY SKUs por conjunto de funcionalidadesGateway SKUs by feature set

O novo gateway VPN SKUs dinamiza os conjuntos de funcionalidades oferecidos nos gateways:The new VPN gateway SKUs streamline the feature sets offered on the gateways:

SKUSKU FuncionalidadesFeatures
Básico (**)Basic (**) VPN baseada em rotas: 10 túneis para as ligações S2S; nenhuma autenticação RADIUS para P2S; nenhum IKEv2 para P2SRoute-based VPN: 10 tunnels for S2S/connections; no RADIUS authentication for P2S; no IKEv2 for P2S
VPN baseado em políticas:(IKEv1): 1 Túnel S2S/ligação; sem P2SPolicy-based VPN: (IKEv1): 1 S2S/connection tunnel; no P2S
Todos os SKUs de Geração1 e Geração2, exceto BasicAll Generation1 and Generation2 SKUs except Basic VPN baseada em rotas: até 30 túneis (*), P2S, BGP, política IPsec/IKE personalizada ativa e personalizada, coexistência ExpressRoute/VPNRoute-based VPN: up to 30 tunnels (*), P2S, BGP, active-active, custom IPsec/IKE policy, ExpressRoute/VPN coexistence

(*) Pode configurar "PolicyBasedTrafficSelectors" para ligar uma porta de entrada VPN baseada em rotas a vários dispositivos de firewall baseados em políticas no local.(*) You can configure "PolicyBasedTrafficSelectors" to connect a route-based VPN gateway to multiple on-premises policy-based firewall devices. Consulte Gateways de ligação VPN para vários dispositivos VPN com base na política local com o PowerShell para obter detalhes.Refer to Connect VPN gateways to multiple on-premises policy-based VPN devices using PowerShell for details.

() * * O SKU Básico é considerado um legado SKU.(**) The Basic SKU is considered a legacy SKU. O SKU Básico tem determinadas limitações de características.The Basic SKU has certain feature limitations. Não é possível redimensionar um portal que utilize um SKU Básico para um dos novos SKUs de gateway, em vez disso, deve mudar para um novo SKU, que envolve apagar e recriar o seu gateway VPN.You can't resize a gateway that uses a Basic SKU to one of the new gateway SKUs, you must instead change to a new SKU, which involves deleting and recreating your VPN gateway.

Gateway SKUs - Produção vs. Dev-Test WorkloadsGateway SKUs - Production vs. Dev-Test Workloads

Devido a diferenças nos SLA e nos conjuntos de funcionalidades, é recomendável seguir os SKU para produção versus dev-test:Due to the differences in SLAs and feature sets, we recommend the following SKUs for production vs. dev-test:

Carga de trabalhoWorkload SKUsSKUs
Produção, cargas de trabalho críticasProduction, critical workloads Todos os SKUs de Geração1 e Geração2, exceto BasicAll Generation1 and Generation2 SKUs except Basic
Dev-test ou prova de conceitoDev-test or proof of concept Básico (**)Basic (**)

() * * O SKU Básico é considerado um SKU legado e tem limitações de recursos.(**) The Basic SKU is considered a legacy SKU and has feature limitations. Verifique se a funcionalidade de que necessita é suportada antes de utilizar o SKU Básico.Verify that the feature that you need is supported before you use the Basic SKU.

Se estiver a utilizar os antigos SKUs (legado), as recomendações da SKU de produção são Standard e HighPerformance.If you are using the old SKUs (legacy), the production SKU recommendations are Standard and HighPerformance. Para obter informações e instruções para os antigos SKUs, consulte gateway SKUs (legado).For information and instructions for old SKUs, see Gateway SKUs (legacy).

Configure um gateway SKUConfigure a gateway SKU

Portal do AzureAzure portal

Se utilizar o portal Azure para criar um gateway de rede virtual Do Gestor de Recursos, pode selecionar o gateway SKU utilizando o dropdown.If you use the Azure portal to create a Resource Manager virtual network gateway, you can select the gateway SKU by using the dropdown. As opções que lhe são apresentadas correspondem ao tipo Gateway e ao tipo VPN que seleciona.The options you are presented with correspond to the Gateway type and VPN type that you select.

PowerShellPowerShell

O exemplo powerShell seguinte especifica como -GatewaySku VpnGw1.The following PowerShell example specifies the -GatewaySku as VpnGw1. Ao utilizar o PowerShell para criar um gateway, primeiro tem de criar a configuração IP e, em seguida, utilizar uma variável para se referir a ela.When using PowerShell to create a gateway, you have to first create the IP configuration, then use a variable to refer to it. Neste exemplo, a variável de configuração é $gwipconfig.In this example, the configuration variable is $gwipconfig.

New-AzVirtualNetworkGateway -Name VNet1GW -ResourceGroupName TestRG1 `
-Location 'US East' -IpConfigurations $gwipconfig -GatewaySku VpnGw1 `
-GatewayType Vpn -VpnType RouteBased

CLI do AzureAzure CLI

az network vnet-gateway create --name VNet1GW --public-ip-address VNet1GWPIP --resource-group TestRG1 --vnet VNet1 --gateway-type Vpn --vpn-type RouteBased --sku VpnGw1 --no-wait

Redimensionamento ou alteração de um SKUResizing or changing a SKU

Se tiver uma porta de entrada VPN e quiser utilizar um SKU de gateway diferente, as suas opções são redimensionar o seu gateway SKU ou mudar para outro SKU.If you have a VPN gateway and you want to use a different gateway SKU, your options are to either resize your gateway SKU, or to change to another SKU. Quando muda para outro gateway SKU, apaga-se completamente o gateway existente e constrói-se um novo.When you change to another gateway SKU, you delete the existing gateway entirely and build a new one. Um portal pode levar até 45 minutos para construir.A gateway can take up to 45 minutes to build. Em comparação, quando se redimensiona um gateway SKU, não há muito tempo de inatividade porque não é preciso apagar e reconstruir o portal.In comparison, when you resize a gateway SKU, there is not much downtime because you do not have to delete and rebuild the gateway. Se tiver a opção de redimensionar o seu gateway SKU, em vez de alterá-lo, vai querer fazê-lo.If you have the option to resize your gateway SKU, rather than change it, you will want to do that. No entanto, existem regras relativas ao redimensionamento:However, there are rules regarding resizing:

  1. Com exceção do SKU Básico, pode redimensionar uma porta de entrada VPN SKU para outro SKU de gateway VPN dentro da mesma geração (Geração1 ou Geração2).With the exception of the Basic SKU, you can resize a VPN gateway SKU to another VPN gateway SKU within the same generation (Generation1 or Generation2). Por exemplo, VpnGw1 da Geração1 pode ser redimensionado para VpnGw2 da Geração1, mas não para VpnGw2 da Geração2.For example, VpnGw1 of Generation1 can be resized to VpnGw2 of Generation1 but not to VpnGw2 of Generation2.
  2. Ao trabalhar com os antigos SKU de gateway, pode redimensionar entre SKU Básicos, Standard e de alto desempenho.When working with the old gateway SKUs, you can resize between Basic, Standard, and HighPerformance SKUs.
  3. Não é possível redimensionar de SKUs básicos/standard/highperformance para SKUs VPNGw.You cannot resize from Basic/Standard/HighPerformance SKUs to VpnGw SKUs. Em vez disso, tens de mudar para os novos SKUs.You must instead, change to the new SKUs.

Para redimensionar uma porta de entradaTo resize a gateway

Portal do AzureAzure portal

  1. Aceda à página configuração para o seu gateway de rede virtual.Go to the Configuration page for your virtual network gateway.

  2. Selecione as setas para o dropdown.Select the arrows for the dropdown.

    Redimensionar o portal

  3. Selecione o SKU a partir do dropdown.Select the SKU from the dropdown.

    Selecione o SKU

PowerShellPowerShell

Pode utilizar o Resize-AzVirtualNetworkGateway cmdlet PowerShell para atualizar ou desclassificar um SKU De Geração1 ou Geração2 (todos os SKUs VpnGw podem ser redimensionados, exceto SKUs Básicos).You can use the Resize-AzVirtualNetworkGateway PowerShell cmdlet to upgrade or downgrade a Generation1 or Generation2 SKU (all VpnGw SKUs can be resized except Basic SKUs). Se estiver a utilizar o Gateway Basic SKU, utilize estas instruções para redimensionar o seu gateway.If you are using the Basic gateway SKU, use these instructions instead to resize your gateway.

O exemplo seguinte da PowerShell mostra um gateway SKU a ser redimensionado para VpnGw2.The following PowerShell example shows a gateway SKU being resized to VpnGw2.

$gw = Get-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg
Resize-AzVirtualNetworkGateway -VirtualNetworkGateway $gw -GatewaySku VpnGw2

Para mudar de um antigo (legado) SKU para um novo SKUTo change from an old (legacy) SKU to a new SKU

Se estiver a trabalhar com o modelo de implementação do Gestor de Recursos, pode alterar para o novo gateway SKUs.If you are working with the Resource Manager deployment model, you can change to the new gateway SKUs. Quando muda de um gateway antigo SKU para um novo SKU, você apaga o gateway VPN existente e cria um novo gateway VPN.When you change from a legacy gateway SKU to a new SKU, you delete the existing VPN gateway and create a new VPN gateway.

Fluxo de trabalho:Workflow:

  1. Remova várias ligações a um gateway de rede virtual.Remove any connections to the virtual network gateway.
  2. Elimine o gateway de VPN antigo.Delete the old VPN gateway.
  3. Crie o gateway de VPN novo.Create the new VPN gateway.
  4. Atualize os seus dispositivos VPN no local com o novo endereço IP do gateway do VPN (para ligações de rede).Update your on-premises VPN devices with the new VPN gateway IP address (for Site-to-Site connections).
  5. Atualize o valor do endereço IP do gateway para gateways de rede local VNet para VNet que se ligam a este gateway.Update the gateway IP address value for any VNet-to-VNet local network gateways that will connect to this gateway.
  6. Transfira novos pacotes de configuração do cliente VPN para clientes de P2S que se ligam à rede virtual por meio deste gateway VPN.Download new client VPN configuration packages for P2S clients connecting to the virtual network through this VPN gateway.
  7. Volte a criar as ligações a um gateway de rede virtual.Recreate the connections to the virtual network gateway.

Considerações:Considerations:

  • Para se mudar para os novos SKUs, o seu gateway VPN deve estar no modelo de implementação do Gestor de Recursos.To move to the new SKUs, your VPN gateway must be in the Resource Manager deployment model.
  • Se você tem uma porta VPN clássica, você deve continuar usando o legado antigo SKUs para esse gateway, no entanto, você pode redimensionar entre o legado SKUs.If you have a classic VPN gateway, you must continue using the older legacy SKUs for that gateway, however, you can resize between the legacy SKUs. Não pode mudar para os novos SKUs.You cannot change to the new SKUs.
  • Terá tempo de inatividade de conectividade quando mudar de um SKU legado para um novo SKU.You will have connectivity downtime when you change from a legacy SKU to a new SKU.
  • Ao mudar para um novo gateway SKU, o endereço IP público para o seu gateway VPN mudará.When changing to a new gateway SKU, the public IP address for your VPN gateway will change. Isto acontece mesmo que especifique o mesmo objeto de endereço IP público que usou anteriormente.This happens even if you specify the same public IP address object that you used previously.

Tipos de ligaçãoConnection types

No modelo de implementação do Gestor de Recursos, cada configuração requer um tipo específico de ligação de gateway de rede virtual.In the Resource Manager deployment model, each configuration requires a specific virtual network gateway connection type. Os valores disponíveis do PowerShell do Resource Manager para -ConnectionType são:The available Resource Manager PowerShell values for -ConnectionType are:

  • IPsecIPsec
  • Vnet2VnetVnet2Vnet
  • ExpressRouteExpressRoute
  • VPNClientVPNClient

No exemplo powerShell seguinte, criamos uma ligação S2S que requer o tipo de ligação IPsec.In the following PowerShell example, we create a S2S connection that requires the connection type IPsec.

New-AzVirtualNetworkGatewayConnection -Name localtovon -ResourceGroupName testrg `
-Location 'West US' -VirtualNetworkGateway1 $gateway1 -LocalNetworkGateway2 $local `
-ConnectionType IPsec -RoutingWeight 10 -SharedKey 'abc123'

Tipos de VPNVPN types

Quando criar o gateway de rede virtual para uma configuração de gateway VPN, deve especificar um tipo VPN.When you create the virtual network gateway for a VPN gateway configuration, you must specify a VPN type. O tipo VPN que escolhe depende da topologia de ligação que pretende criar.The VPN type that you choose depends on the connection topology that you want to create. Por exemplo, uma ligação P2S requer um tipo VPN RouteBased.For example, a P2S connection requires a RouteBased VPN type. Um tipo VPN também pode depender do hardware que está a usar.A VPN type can also depend on the hardware that you are using. As configurações S2S requerem um dispositivo VPN.S2S configurations require a VPN device. Alguns dispositivos VPN só suportam um determinado tipo VPN.Some VPN devices only support a certain VPN type.

O tipo VPN que seleciona deve satisfazer todos os requisitos de ligação para a solução que pretende criar.The VPN type you select must satisfy all the connection requirements for the solution you want to create. Por exemplo, se pretender criar uma ligação de gateway S2S VPN e uma ligação de gateway P2S VPN para a mesma rede virtual, utilizaria o tipo VPN RouteBased porque o P2S requer um tipo VPN RouteBased.For example, if you want to create a S2S VPN gateway connection and a P2S VPN gateway connection for the same virtual network, you would use VPN type RouteBased because P2S requires a RouteBased VPN type. Também terá de verificar se o seu dispositivo VPN suportava uma ligação VPN RouteBased.You would also need to verify that your VPN device supported a RouteBased VPN connection.

Uma vez criado um gateway de rede virtual, não é possível alterar o tipo VPN.Once a virtual network gateway has been created, you can't change the VPN type. Tem de apagar o portal de rede virtual e criar um novo.You have to delete the virtual network gateway and create a new one. Existem dois tipos de VPN:There are two VPN types:

  • Política Integrada: As VPNs de Política foram anteriormente chamadas de gateways de encaminhamento estático no modelo clássico de implantação.PolicyBased: PolicyBased VPNs were previously called static routing gateways in the classic deployment model. As VPNs baseadas em políticas encriptam e directizam pacotes através de túneis IPsec com base nas políticas IPsec configuradas com as combinações de prefixos de endereço entre a sua rede no local e o VNet Azure.Policy-based VPNs encrypt and direct packets through IPsec tunnels based on the IPsec policies configured with the combinations of address prefixes between your on-premises network and the Azure VNet. Normalmente, a política (ou o seletor de tráfego), é definido como uma lista de acesso na configuração do dispositivo VPN.The policy (or traffic selector) is usually defined as an access list in the VPN device configuration. O valor para um tipo VPN baseado em política é o PolicyBased.The value for a PolicyBased VPN type is PolicyBased. Ao utilizar uma VPN VPN de 400% de política, tenha em mente as seguintes limitações:When using a PolicyBased VPN, keep in mind the following limitations:

    • As VPNs baseadas em políticas podem ser utilizadas no Portal Básico SKU.PolicyBased VPNs can only be used on the Basic gateway SKU. Este tipo VPN não é compatível com outros SKUs de gateway.This VPN type is not compatible with other gateway SKUs.
    • Só pode ter um túnel quando utilizar uma VPN de VPN de sVPN.You can have only 1 tunnel when using a PolicyBased VPN.
    • Só pode utilizar VPNs baseados em Políticas para ligações S2S e apenas para determinadas configurações.You can only use PolicyBased VPNs for S2S connections, and only for certain configurations. A maioria das configurações do Gateway VPN requerem uma VPN RouteBased.Most VPN Gateway configurations require a RouteBased VPN.
  • RouteBased: RouteBased VPNs foram anteriormente chamados gateways dinâmicos de encaminhamento no modelo de implementação clássico.RouteBased: RouteBased VPNs were previously called dynamic routing gateways in the classic deployment model. As VPNs routebas utilizam "rotas" na tabela de encaminhamento ou encaminhamento IP para direcionar os pacotes para as respetivas interfaces de túneis.RouteBased VPNs use "routes" in the IP forwarding or routing table to direct packets into their corresponding tunnel interfaces. As interfaces de túnel, em seguida, encriptam ou desencriptam os pacotes dentro e fora dos túneis.The tunnel interfaces then encrypt or decrypt the packets in and out of the tunnels. A política (ou seletor de tráfego) para VPNs routebased são configuradas como qualquer qualquer -para-qualquer (ou cartões selvagens).The policy (or traffic selector) for RouteBased VPNs are configured as any-to-any (or wild cards). O valor para um tipo VPN RouteBased é RouteBased.The value for a RouteBased VPN type is RouteBased.

O exemplo powerShell seguinte especifica como -VpnType RouteBased.The following PowerShell example specifies the -VpnType as RouteBased. Quando estiver a criar um gateway, tem de confirmar se o -VpnType está correto para a sua configuração.When you are creating a gateway, you must make sure that the -VpnType is correct for your configuration.

New-AzVirtualNetworkGateway -Name vnetgw1 -ResourceGroupName testrg `
-Location 'West US' -IpConfigurations $gwipconfig `
-GatewayType Vpn -VpnType RouteBased

Requisitos do gatewayGateway requirements

A tabela que se segue lista os requisitos para as portas VPN de PolicyBased e RouteBased.The following table lists the requirements for PolicyBased and RouteBased VPN gateways. Esta tabela aplica-se aos modelos de implementação clássica e Resource Manager.This table applies to both the Resource Manager and classic deployment models. Para o modelo clássico, os gateways VPN de Base Política são os mesmos que os gateways estáticos, e os gateways baseados em rota são os mesmos que os gateways Dinâmicos.For the classic model, PolicyBased VPN gateways are the same as Static gateways, and Route-based gateways are the same as Dynamic gateways.

Gateway VPN Básico De BasesPolicyBased Basic VPN Gateway Gateway VPN Básico de RotaRouteBased Basic VPN Gateway RouteBased Standard VPN GatewayRouteBased Standard VPN Gateway RouteBased High Performance VPN GatewayRouteBased High Performance VPN Gateway
Conetividade Site a Site (S2S)Site-to-Site connectivity (S2S) Configuração VPN de VPN com 400 políticasPolicyBased VPN configuration Configuração VPN de RotaBasedRouteBased VPN configuration Configuração VPN de RotaBasedRouteBased VPN configuration Configuração VPN de RotaBasedRouteBased VPN configuration
Conetividade Site a Site (P2S)Point-to-Site connectivity (P2S) Não suportadoNot supported Suportado (pode coexistir com S2S)Supported (Can coexist with S2S) Suportado (pode coexistir com S2S)Supported (Can coexist with S2S) Suportado (pode coexistir com S2S)Supported (Can coexist with S2S)
Método de autenticaçãoAuthentication method Chave pré-partilhadaPre-shared key Chave pré-partilhada para a conetividade S2S, Certificados para a conetividade P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Chave pré-partilhada para a conetividade S2S, Certificados para a conetividade P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity Chave pré-partilhada para a conetividade S2S, Certificados para a conetividade P2SPre-shared key for S2S connectivity, Certificates for P2S connectivity
Número máximo de ligações S2SMaximum number of S2S connections 11 1010 1010 3030
Número máximo de ligações P2SMaximum number of P2S connections Não suportadoNot supported 128128 128128 128128
Suporte de encaminhamento ativo (BGP) (*)Active routing support (BGP) (*) Não suportadoNot supported Não suportadoNot supported SuportadoSupported SuportadoSupported

(*) O BGP não é suportado para o modelo clássico de implantação.(*) BGP is not supported for the classic deployment model.

Sub-rede de gatewayGateway subnet

Antes de criar uma porta VPN, tem de criar uma sub-rede de gateway.Before you create a VPN gateway, you must create a gateway subnet. A sub-rede gateway contém os endereços IP que os VMs e serviços de gateway de rede virtual utilizam.The gateway subnet contains the IP addresses that the virtual network gateway VMs and services use. Quando cria o seu gateway de rede virtual, os VMs de gateway são implantados na sub-rede gateway e configurados com as definições de gateway VPN necessárias.When you create your virtual network gateway, gateway VMs are deployed to the gateway subnet and configured with the required VPN gateway settings. Nunca coloque mais nada (por exemplo, VMs adicionais) na sub-rede gateway.Never deploy anything else (for example, additional VMs) to the gateway subnet. A sub-rede gateway deve ser denominada "GatewaySubnet" para funcionar corretamente.The gateway subnet must be named 'GatewaySubnet' to work properly. Nomear a sub-rede de gateway 'GatewaySubnet' permite ao Azure saber que esta é a sub-rede para implantar os VMs e serviços de gateway de rede virtual.Naming the gateway subnet 'GatewaySubnet' lets Azure know that this is the subnet to deploy the virtual network gateway VMs and services to.

Nota

As rotas definidas pelo utilizador com um destino 0.0.0.0/0 e NSGs no GatewaySubnet não são suportadas.User-defined routes with a 0.0.0.0/0 destination and NSGs on the GatewaySubnet are not supported. Gateways criados com esta configuração serão bloqueados da criação.Gateways created with this configuration will be blocked from creation. Gateways requerem acesso aos controladores de gestão para funcionar corretamente.Gateways require access to the management controllers in order to function properly. A propagação da rota BGP deve ser definida como "Ativada" na GatewaySubnet para garantir a disponibilidade do gateway.BGP Route Propagation should be set to "Enabled" on the GatewaySubnet to ensure availability of the gateway. Se for definida como Desativada, o gateway não funcionará.If this is set to disabled, the gateway will not function.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém.When you create the gateway subnet, you specify the number of IP addresses that the subnet contains. Os endereços IP na sub-rede gateway são atribuídos aos VMs de gateway e serviços de gateway.The IP addresses in the gateway subnet are allocated to the gateway VMs and gateway services. Algumas configurações requerem mais endereços IP do que outras.Some configurations require more IP addresses than others.

Quando estiver a planear o tamanho da sub-rede gateway, consulte a documentação para a configuração que está a planear criar.When you are planning your gateway subnet size, refer to the documentation for the configuration that you are planning to create. Por exemplo, a configuração coexistição ExpressRoute/VPN Gateway requer uma sub-rede de gateway maior do que a maioria das outras configurações.For example, the ExpressRoute/VPN Gateway coexist configuration requires a larger gateway subnet than most other configurations. Além disso, pode querer certificar-se de que a sub-rede gateway contém endereços IP suficientes para acomodar possíveis configurações adicionais futuras.Additionally, you may want to make sure your gateway subnet contains enough IP addresses to accommodate possible future additional configurations. Embora possa criar uma sub-rede de gateway tão pequena como /29, recomendamos que crie uma sub-rede de gateway de /27 ou maior (/27, /26 etc.) se tiver o espaço de endereço disponível para o fazer.While you can create a gateway subnet as small as /29, we recommend that you create a gateway subnet of /27 or larger (/27, /26 etc.) if you have the available address space to do so. Isto acomodará a maioria das configurações.This will accommodate most configurations.

O exemplo seguinte do Gestor de Recursos PowerShell mostra uma sub-rede de gateway chamada GatewaySubnet.The following Resource Manager PowerShell example shows a gateway subnet named GatewaySubnet. Pode ver que a notação CIDR especifica uma /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.You can see the CIDR notation specifies a /27, which allows for enough IP addresses for most configurations that currently exist.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Importante

Ao trabalhar com sub-redes de gateway, evite associar um grupo de segurança de rede (NSG) à sub-rede do gateway.When working with gateway subnets, avoid associating a network security group (NSG) to the gateway subnet. Associar um grupo de segurança de rede a esta sub-rede pode fazer com que o seu gateway de rede virtual (VPN, Gateway Da Rota Expresso) deixe de funcionar como esperado.Associating a network security group to this subnet may cause your Virtual Network gateway(VPN, Express Route gateway) to stop functioning as expected. Para obter mais informações sobre os grupos de segurança de rede, veja artigo O que é um grupo de segurança de rede?For more information about network security groups, see What is a network security group?

Gateways de rede localLocal network gateways

Um portal de rede local é diferente de um portal de rede virtual.A local network gateway is different than a virtual network gateway. Ao criar uma configuração de gateway VPN, o gateway de rede local geralmente representa a sua rede no local e o dispositivo VPN correspondente.When creating a VPN gateway configuration, the local network gateway usually represents your on-premises network and the corresponding VPN device. No modelo de implementação clássica, o gateway de rede local foi referido como Site Local.In the classic deployment model, the local network gateway was referred to as a Local Site.

Você dá ao portal de rede local um nome, o endereço IP público ou o nome de domínio totalmente qualificado (FQDN) do dispositivo VPN no local, e especifica os prefixos de endereço que estão localizados no local do local.You give the local network gateway a name, the public IP address or the fully qualified domain name (FQDN) of the on-premises VPN device, and specify the address prefixes that are located on the on-premises location. A Azure olha para os prefixos do endereço de destino para o tráfego de rede, consulta a configuração que especificou para o seu gateway de rede local, e pacotes de rotas em conformidade.Azure looks at the destination address prefixes for network traffic, consults the configuration that you have specified for your local network gateway, and routes packets accordingly. Se utilizar o Border Gateway Protocol (BGP) no seu dispositivo VPN, irá fornecer o endereço IP peer BGP do seu dispositivo VPN e o número de sistema autónomo (ASN) da sua rede de instalações.If you use Border Gateway Protocol (BGP) on your VPN device, you will provide the BGP peer IP address of your VPN device and the autonomous system number (ASN) of your on premises network. Também especifica os gateways de rede locais para configurações VNet-vNet que utilizam uma ligação de gateway VPN.You also specify local network gateways for VNet-to-VNet configurations that use a VPN gateway connection.

O exemplo powerShell a seguir cria um novo portal de rede local:The following PowerShell example creates a new local network gateway:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes é necessário modificar as definições de gateway de rede local.Sometimes you need to modify the local network gateway settings. Por exemplo, quando adiciona ou modifica o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar.For example, when you add or modify the address range, or if the IP address of the VPN device changes. Consulte modificar as definições de gateway de rede local utilizando o PowerShell.See Modify local network gateway settings using PowerShell.

REST APIs, PowerShell cmdlets e CLIREST APIs, PowerShell cmdlets, and CLI

Para obter recursos técnicos adicionais e requisitos específicos de sintaxe ao utilizar APIs de REST, cmdlets PowerShell ou Azure CLI para configurações de Gateway VPN, consulte as seguintes páginas:For additional technical resources and specific syntax requirements when using REST APIs, PowerShell cmdlets, or Azure CLI for VPN Gateway configurations, see the following pages:

ClássicoClassic Resource ManagerResource Manager
PowerShellPowerShell PowerShellPowerShell
API RESTREST API API RESTREST API
Não suportadoNot supported CLI do AzureAzure CLI

Passos seguintesNext steps

Para obter mais informações sobre as configurações de ligação disponíveis, consulte Sobre o Gateway VPN.For more information about available connection configurations, see About VPN Gateway.