Compartir vía


Topología y diseño de VPN Gateway

Hay muchas opciones diferentes disponibles para las conexiones de red virtual. Para ayudarle a seleccionar una topología de conexión de VPN Gateway que cumpla los requisitos, use los diagramas y las descripciones de las secciones siguientes. Los diagramas muestran las principales topologías de referencia, pero también se pueden crear configuraciones más complejas con los diagramas como guía.

VPN de sitio a sitio

Una conexión de puerta de enlace de VPN de sitio a sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv1 o IKEv2). Se pueden utilizar conexiones de sitio a sitio para las configuraciones híbridas y entre locales. Una conexión de sitio a sitio requiere un dispositivo VPN local que tenga una dirección IP pública asignada.

Diagrama de las conexiones entre entornos de VPN Gateway de sitio a sitio.

Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales. Al trabajar con varias conexiones, debe usar un tipo de VPN RouteBased. Como cada red virtual solo puede tener una puerta de enlace de red virtual, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible. Este tipo de diseño de conectividad se conoce a veces como multisitio.

Diagrama de las conexiones entre locales de VPN Gateway de sitio a sitio con varios sitios.

Si desea crear un diseño para la conectividad de puerta de enlace de alta disponibilidad, puede configurar la puerta de enlace para que esté en modo activo-activo. Este modo le permite configurar dos túneles activos (uno de cada instancia de máquina virtual de puerta de enlace) en el mismo dispositivo VPN para crear conectividad de alta disponibilidad. Además de ser un diseño de conectividad de alta disponibilidad, otra ventaja del modo activo-activo es que los clientes experimentan mayores rendimientos.

Métodos y modelos de implementación para S2S

Modelo de implementación Azure Portal PowerShell CLI de Azure
Resource Manager Tutorial Tutorial Tutorial

VPN de punto a sitio

Una conexión de puerta de enlace VPN de punto a sitio (P2S) le permite crear una conexión segura con la red virtual desde un equipo cliente individual. Se establece una conexión de punto a sitio al iniciarla desde el equipo cliente. Esta solución resulta útil para los teletrabajadores que deseen conectarse a instancias de Azure Virtual Network desde una ubicación remota; por ejemplo, desde casa o un congreso. Una VPN de punto a sitio también es una solución útil en lugar de una VPN de sitio a sitio cuando hay solo unos pocos clientes que necesitan conectarse a una red virtual.

A diferencia de las conexiones de sitio a sitio, las conexiones de punto a sitio no necesitan una dirección IP pública local ni dispositivos VPN. Se pueden usar conexiones de punto a sitio con conexiones de sitio a sitio a través de la misma instancia de VPN Gateway, siempre que todos los requisitos de configuración para ambas conexiones sean compatibles. Para más información sobre las conexiones de punto a sitio, consulte Acerca de las conexiones VPN de punto a sitio.

Diagrama de conexiones de punto a sitio.

Métodos y modelos de implementación para P2S

Método de autenticación Artículo
Certificate Tutorial
Instrucciones
Microsoft Entra ID Instrucciones
RADIUS Instrucciones

Configuración de cliente de VPN P2S

Autenticación Tipo de túnel Sistema operativo del cliente Cliente de VPN
Certificate
IKEv2, SSTP Windows Cliente VPN nativo
IKEv2 macOS Cliente VPN nativo
IKEv2 Linux strongSwan
OpenVPN Windows Cliente VPN de Azure
Versión 2.x del cliente de OpenVPN
Versión 3.x del cliente de OpenVPN
OpenVPN macOS Cliente OpenVPN
OpenVPN iOS Cliente OpenVPN
OpenVPN Linux Cliente VPN de Azure
Cliente OpenVPN
Microsoft Entra ID
OpenVPN Windows Cliente VPN de Azure
OpenVPN macOS Cliente VPN de Azure
OpenVPN Linux Cliente VPN de Azure

Conexiones de red virtual a red virtual (túnel VPN de IPsec/IKE)

La conexión de una red virtual a otra (de red virtual a red virtual) es parecida a la conexión de una red virtual a la ubicación de un sitio local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro con IPsec/IKE. Incluso puede combinar la comunicación de red virtual a red virtual con configuraciones de conexión multisitio. Esto permite establecer topologías de red que combinen la conectividad entre entornos con la conectividad entre redes virtuales.

Las redes virtuales que se conectan pueden ser:

  • estar en la misma región o en distintas;
  • pertenecer a la misma suscripción o a distintas;
  • usar el mismo modelo de implementación o diferentes.

Diagrama de conexión de red virtual a red virtual.

Modelos de implementación y métodos para conexiones de red virtual a red virtual

Modelo de implementación Azure Portal PowerShell CLI de Azure
Resource Manager Tutorial+ Tutorial Tutorial

(+) indica que este método de implementación solo se encuentra disponible para redes virtuales de la misma suscripción.

En algunos casos, es posible que quiera usar el emparejamiento de red virtual en lugar de "red virtual a red virtual" para conectar las redes virtuales. El emparejamiento de red virtual no utiliza una puerta de enlace de red virtual. Para más información, consulte Emparejamiento de redes virtuales.

Conexiones de sitio a sitio y de ExpressRoute coexistentes

ExpressRoute es una conexión directa y privada desde su WAN (no a través de la red Internet pública) a los servicios Microsoft, incluido Azure. El tráfico VPN de sitio a sitio viaja cifrado a través de la red pública de Internet. Poder configurar las conexiones VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.

Puede configurar una VPN de sitio a sitio como una ruta de acceso seguro de conmutación por error para ExpressRoute, o bien usar la VPN de sitio a sitio para conectarse a sitios que no forman parte de su red, pero que están conectados a través de ExpressRoute. Tenga en cuenta que esta configuración requiere dos puertas de enlace de red virtual en la misma red virtual, una con el tipo de puerta de enlace Vpn y otra con el tipo de puerta de enlace ExpressRoute.

Diagrama de conexiones coexistentes en ExpressRoute y VPN Gateway.

Métodos y modelos de implementación de conexiones coexistentes S2S y ExpressRoute

Modelo de implementación Azure Portal PowerShell
Resource Manager Tutorial Tutorial

Conexiones de alta disponibilidad

Para planear y diseñar conexiones de alta disponibilidad, incluidas las configuraciones en modo activo-activo, consulte Diseño de la conectividad de puerta de enlace de alta disponibilidad para conexiones entre locales y de red virtual a red virtual.

Pasos siguientes