Sobre definições de configuração do Gateway de VPN

A arquitetura de conexão de gateway de VPN tem base na configuração de vários recursos, cada um deles contendo definições configuráveis. As seções deste artigo abordam os recursos e as configurações relacionadas a um gateway de VPN para uma rede virtual. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo Design e topologia de Gateway de VPN.

Os valores neste artigo se aplicam especificamente aos gateways de VPN (gateways de rede virtual que usam o -GatewayType Vpn). Se você estiver procurando informações sobre os seguintes tipos de gateways, consulte os seguintes artigos:

Gateways e tipos de gateway

Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure que são automaticamente configuradas e implantadas em uma sub-rede específica criada chamada sub-rede de gateway. As VMs de gateway são configuradas para conter tabelas de roteamento e executar serviços de gateway específicos. Quando você cria um gateway de rede virtual, as VMs do gateway são implantadas automaticamente na sub-rede do gateway (sempre chamada GatewaySubnet ) e configuradas com as configurações que você especificou. O processo pode levar 45 minutos ou mais para ser concluído, dependendo da SKU de gateway que você selecionou.

Umas das configurações especificadas ao criar um gateway de rede virtual é o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual é usado e as ações que ele realiza. Uma rede virtual pode ter dois gateways de rede virtual: um gateway de VPN e um gateway de ExpressRoute. O parâmetro -GatewayType 'Vpn' especifica que o tipo de gateway de rede virtual criado é um gateway de VPN. Isso o distingue de um gateway ExpressRoute.

Desempenho e SKUs de gateway

Confira o artigo sobre SKUs de Gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos com suporte.

Tipos de VPN

O Azure dá suporte a dois tipos diferentes de VPN para gateways de VPN: policy-based e route-based. Gateways de VPN baseados em rotas são criados em uma plataforma diferente dos gateways de VPN baseados em políticas. Isso resulta em especificações de gateway diferentes. A tabela a seguir mostra as SKUs de gateway que dão suporte a cada um dos tipos de VPN e as versões IKE com suporte associadas.

Tipo de VPN de gateway SKU de gateway Versões do IKE com suporte
Gateway baseado em políticas Básico IKEv1
Gateway baseado em rotas Básico IKEv2
Gateway baseado em rotas VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 e IKEv2
Gateway baseado em rotas VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 e IKEv2

Na maioria dos casos, você criará um gateway de VPN baseado em rotas. Anteriormente, os SKUs de gateway mais antigos não davam suporte ao IKEv1 para gateways baseados em rota. Agora, a maioria dos SKUs de gateway atuais dá suporte a IKEv1 e IKEv2.

  • A partir de 1º de outubro de 2023, os gateways baseados em políticas só podem ser configurados usando o PowerShell ou a CLI, e não estão disponíveis no portal do Azure. Para criar um gateway baseado em políticas, consulte Criar um gateway VPN de SKU Básico usando PowerShell.

  • Se você já tiver um gateway baseado em políticas, não será necessário alterar seu gateway para baseado em rota, a menos que você queira usar uma configuração que exija um gateway baseado em rota, como ponto a site.

  • Você não pode converter um gateway baseado em políticas em baseado em rota. Você deve excluir o gateway existente e criar um novo gateway como baseado em rota.

Gateways de modo ativo-ativo

Os gateways de VPN do Azure podem ser configurados como ativo-em espera ou ativo-ativo. Em uma configuração ativa-ativa, ambas as instâncias das VMs de gateway estabelecem túneis de VPN site a site para seu dispositivo de VPN local. Os gateways de modo ativo-ativo são uma parte fundamental do design de conectividade de gateway altamente disponível. Para obter mais informações, consulte os seguintes artigos:

IPs privados do gateway

A definição é usada para certas configurações de emparelhamento privado do ExpressRoute. Para ter mais informações, consulte Configurar conexão VPN site a site no emparelhamento privado do ExpressRoute.

Tipos de conexão

Cada conexão requer um tipo específico de conexão de gateway de rede virtual. Os valores do PowerShell disponíveis para New-AzVirtualNetworkGatewayConnection -Connection Type são: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Modos de conexão

A propriedade Modo de Conexão só se aplica a gateways de VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de iniciação da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento Padrão é aceitar e discar o que se conectar primeiro.

Sub-rede do gateway

Antes de criar um gateway de VPN, crie uma sub-rede de gateway. A sub-rede de gateway contém os endereços IP que as VMs do gateway de rede virtual e os serviços usam. Quando você cria o gateway de rede virtual, as VMs de gateway são implantadas na sub-rede de gateway e definidas com as configurações necessárias de gateway de VPN. Nunca implante outros itens (por exemplo, mais VMs) na sub-rede do gateway. A sub-rede do gateway deve ser nomeada como GatewaySubnet para funcionar corretamente. Nomear a sub-rede do gateway como ''GatewaySubnet'' permite que o Azure saiba que essa é a sub-rede na qual deve implantar as VMs e os serviços do gateway de rede virtual.

Quando você cria a sub-rede de gateway, pode especificar o número de endereços IP que contém a sub-rede. Os endereços IP na sub-rede do gateway são alocados para as VMs de gateway e para os serviços de gateway. Algumas configurações exigem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, confira a documentação da configuração que você planeja criar. Por exemplo, a configuração de gateway ExpressRoute/VPN coexistente requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável somente ao SKU Básico), todos os outros SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior ( /27, /26, /25 etc.). Talvez você queira criar uma sub-rede de Gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.

O exemplo do PowerShell a seguir mostra uma sub-rede de gateway denominada GatewaySubnet. Você pode ver que a notação CIDR especifica /27, que permite endereços IP suficientes para a maioria das configurações existentes no momento.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Considerações:

  • Não há suporte para rotas definidas pelo usuário com um destino 0.0.0.0/0 e NSGs no GatewaySubnet. Os gateways com essa configuração são bloqueados para não serem criados. Os gateways exigem acesso aos controladores de gerenciamento para funcionar corretamente. A propagação de rotas BGP deve ser definida como "Habilitada" no GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação de rotas BGP estiver definida como desabilitada, o gateway de rede não funcionará.

  • O diagnóstico, o caminho de dados e o caminho de controle podem ser afetados se uma rota definida pelo usuário se sobrepuser ao intervalo de sub-rede do gateway ou ao intervalo de IP público do gateway.

Gateways de rede local

Um gateway de rede local e diferente de um gateway de rede virtual. Quando você está trabalhando com uma arquitetura site a site do gateway de VPN, o gateway de rede local geralmente representa sua rede local e o dispositivo VPN correspondente.

Ao configurar um gateway de rede local, você especificará o nome, o endereço IP público ou o nome de domínio totalmente qualificado (FQDN) do dispositivo VPN local e os prefixos de endereço localizados no caminho local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração especificada para o gateway de rede local e roteia os pacotes adequadamente. Se usar o BGP (Border Gateway Protocol) em seu dispositivo VPN, você fornecerá o endereço IP do par BGP do seu dispositivo VPN e o número do sistema autônomo (ASN) da sua rede local. Você também especifica os gateways de rede para configurações de rede virtual para rede virtual que usam uma conexão de gateway de VPN.

O seguinte exemplo de PowerShell cria um novo gateway de rede local:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adicionar ou modificar o intervalo de endereços, ou se o endereço IP do dispositivo VPN mudar. Para obter mais informações, confira Modificar as configurações do gateway de rede local.

APIs REST, cmdlets do PowerShell e CLI

Para obter recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell ou a CLI do Azure para configurações do Gateway de VPN, veja as seguintes páginas:

Próximas etapas

Para saber mais sobre as configurações de conexão disponíveis, confira Sobre o Gateway de VPN.