Sobre as definições de configuração do Gateway VPN

A arquitetura de conexão do gateway VPN depende da configuração de vários recursos, cada um dos quais contém configurações configuráveis. As seções deste artigo discutem os recursos e as configurações relacionados a um gateway VPN para uma rede virtual. Você pode encontrar descrições e diagramas de topologia para cada solução de conexão no artigo de topologia e design do Gateway VPN.

Os valores neste artigo aplicam-se especificamente a gateways VPN (gateways de rede virtual que usam o -GatewayType Vpn). Se você estiver procurando informações sobre os seguintes tipos de gateways, consulte os seguintes artigos:

Gateways e tipos de gateway

Um gateway de rede virtual é composto por duas ou mais VMs gerenciadas pelo Azure que são configuradas e implantadas automaticamente em uma sub-rede específica que você cria chamada sub-rede de gateway. As VMs de gateway contêm tabelas de roteamento e executam serviços de gateway específicos. Quando você cria um gateway de rede virtual, as VMs de gateway são implantadas automaticamente na sub-rede do gateway (sempre chamada GatewaySubnet) e configuradas com as configurações especificadas. O processo pode levar 45 minutos ou mais para ser concluído, dependendo da SKU do gateway selecionada.

Uma das configurações especificadas ao criar um gateway de rede virtual é o tipo de gateway. O tipo de gateway determina como o gateway de rede virtual é usado e as ações que o gateway executa. Uma rede virtual pode ter dois gateways de rede virtual; um gateway VPN e um gateway ExpressRoute. O -GatewayType 'Vpn' especifica que o tipo de gateway de rede virtual criado é um gateway VPN. Isso o distingue de um gateway de Rota Expressa.

SKUs de gateway e desempenho

Consulte o artigo Sobre SKUs de gateway para obter as informações mais recentes sobre SKUs de gateway, desempenho e recursos suportados.

Tipos de VPN

O Azure dá suporte a dois tipos diferentes de VPN para gateways de VPN: baseada em política e baseada em rota. Os gateways VPN baseados em rota são criados em uma plataforma diferente dos gateways VPN baseados em políticas. Isso resulta em diferentes especificações de gateway. A tabela a seguir mostra as SKUs de gateway que suportam cada um dos tipos de VPN e as versões IKE suportadas associadas.

Tipo de VPN de gateway SKU do Gateway Versões IKE suportadas
Gateway baseado em políticas Básica IKEv1
Gateway baseado em rota Básica IKEv2
Gateway baseado em rota VpnGw1, VpnGw2, VpnGw3, VpnGw4, VpnGw5 IKEv1 e IKEv2
Gateway baseado em rota VpnGw1AZ, VpnGw2AZ, VpnGw3AZ, VpnGw4AZ, VpnGw5AZ IKEv1 e IKEv2

Na maioria dos casos, você criará um gateway VPN baseado em rota. Anteriormente, os SKUs de gateway mais antigos não suportavam IKEv1 para gateways baseados em rota. Agora, a maioria das SKUs de gateway atuais suporta IKEv1 e IKEv2.

  • A partir de 1º de outubro de 2023, os gateways baseados em políticas só podem ser configurados usando PowerShell ou CLI e não estão disponíveis no portal do Azure. Para criar um gateway baseado em políticas, consulte Criar um gateway VPN SKU básico usando o PowerShell.

  • Se você já tiver um gateway baseado em política, não será necessário alterar seu gateway para baseado em rota, a menos que queira usar uma configuração que exija um gateway baseado em rota, como ponto a site.

  • Não é possível converter um gateway baseado em política em baseado em rota. Você deve excluir o gateway existente e, em seguida, criar um novo gateway como baseado em rota.

Gateways de modo ativo-ativo

Os gateways de VPN do Azure podem ser configurados como active-standby ou active-active. Em uma configuração ativa-ativa, ambas as instâncias das VMs de gateway estabelecem túneis VPN site a site para seu dispositivo VPN local. Os gateways de modo ativo-ativo são uma parte fundamental do design de conectividade de gateway altamente disponível. Para obter mais informações, consulte os seguintes artigos:

IPs privados de gateway

Essa configuração é usada para determinadas configurações de emparelhamento privado da Rota Expressa. Para obter mais informações, consulte Configurar uma conexão VPN site a site sobre emparelhamento privado da Rota Expressa.

Tipos de ligação

Cada conexão requer um tipo de conexão de gateway de rede virtual específico. Os valores do PowerShell disponíveis para New-AzVirtualNetworkGatewayConnection -Connection Type são: IPsec, Vnet2Vnet, ExpressRoute, VPNClient.

Modos de conexão

A propriedade Modo de Conexão só se aplica a gateways VPN baseados em rota que usam conexões IKEv2. Os modos de conexão definem a direção de início da conexão e se aplicam somente ao estabelecimento de conexão IKE inicial. Qualquer parte pode iniciar rechaves e outras mensagens. InitiatorOnly significa que a conexão precisa ser iniciada pelo Azure. ResponderOnly significa que a conexão precisa ser iniciada pelo dispositivo local. O comportamento padrão é aceitar e discar o que se conectar primeiro.

Sub-rede de gateway

Antes de criar um gateway VPN, você deve criar uma sub-rede de gateway. A sub-rede do gateway contém os endereços IP que as VMs e os serviços do gateway de rede virtual usam. Quando você cria seu gateway de rede virtual, as VMs de gateway são implantadas na sub-rede do gateway e configuradas com as configurações de gateway VPN necessárias. Nunca implante mais nada (por exemplo, mais VMs) na sub-rede do gateway. A sub-rede do gateway deve ser denominada 'GatewaySubnet' para funcionar corretamente. Nomear a sub-rede do gateway como 'GatewaySubnet' permite que o Azure saiba que essa é a sub-rede na qual ele deve implantar as VMs e os serviços do gateway de rede virtual.

Quando cria a sub-rede do gateway, especifica o número de endereços IP que a sub-rede contém. Os endereços IP na sub-rede do gateway são alocados para as VMs e serviços de gateway do gateway. Algumas configurações requerem mais endereços IP do que outras.

Ao planejar o tamanho da sub-rede do gateway, consulte a documentação da configuração que você planeja criar. Por exemplo, a configuração de coexistência de Rota Expressa/Gateway VPN requer uma sub-rede de gateway maior do que a maioria das outras configurações. Embora seja possível criar uma sub-rede de gateway tão pequena quanto /29 (aplicável apenas à SKU básica), todas as outras SKUs exigem uma sub-rede de gateway de tamanho /27 ou maior (/27, /26, /25 etc.). Talvez você queira criar uma sub-rede de gateway maior que /27 para que a sub-rede tenha endereços IP suficientes para acomodar possíveis configurações futuras.

O exemplo do PowerShell a seguir mostra uma sub-rede de gateway chamada GatewaySubnet. Você pode ver que a notação CIDR especifica um /27, que permite endereços IP suficientes para a maioria das configurações que existem atualmente.

Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27

Considerações:

  • Não há suporte para rotas definidas pelo usuário com destino 0.0.0.0/0 e NSGs na GatewaySubnet. Os gateways com esta configuração são impedidos de serem criados. Os gateways exigem acesso aos controladores de gestão de modo a funcionarem corretamente. A propagação da rota BGP deve ser definida como "Enabled" na GatewaySubnet para garantir a disponibilidade do gateway. Se a propagação da rota BGP estiver definida como desativada, o gateway não irá funcionar.

  • O diagnóstico, o caminho de dados e o caminho de controlo podem ser afetados se uma rota definida pelo utilizador se sobrepuser ao intervalo da sub-rede do Gateway ou ao intervalo de IP público do gateway.

Gateways de rede local

Um gateway de rede local é diferente de um gateway de rede virtual. Quando você está trabalhando com uma arquitetura site a site de gateway VPN, o gateway de rede local geralmente representa sua rede local e o dispositivo VPN correspondente.

Ao configurar um gateway de rede local, você especifica o nome, o endereço IP público ou o FQDN (nome de domínio totalmente qualificado) do dispositivo VPN local e os prefixos de endereço localizados no local local. O Azure examina os prefixos de endereço de destino para o tráfego de rede, consulta a configuração que você especificou para seu gateway de rede local e roteia os pacotes de acordo. Se você usar o protocolo BGP (Border Gateway Protocol) em seu dispositivo VPN, fornecerá o endereço IP de mesmo nível BGP do dispositivo VPN e o número de sistema autônomo (ASN) da rede local. Você também especifica gateways de rede local para configurações de rede virtual para rede virtual que usam uma conexão de gateway VPN.

O exemplo do PowerShell a seguir cria um novo gateway de rede local:

New-AzLocalNetworkGateway -Name LocalSite -ResourceGroupName testrg `
-Location 'West US' -GatewayIpAddress '23.99.221.164' -AddressPrefix '10.5.51.0/24'

Às vezes, você precisa modificar as configurações do gateway de rede local. Por exemplo, quando você adiciona ou modifica o intervalo de endereços ou se o endereço IP do dispositivo VPN é alterado. Para obter mais informações, consulte Modificar configurações de gateway de rede local.

APIs REST, cmdlets do PowerShell e CLI

Para obter recursos técnicos e requisitos de sintaxe específicos ao usar APIs REST, cmdlets do PowerShell ou CLI do Azure para configurações de Gateway VPN, consulte as seguintes páginas:

Próximos passos

Para obter mais informações sobre as configurações de conexão disponíveis, consulte Sobre o gateway VPN.