Leer en inglés

Protección de la conectividad VPN, incluido el punto a sitio y el sitio a sitio

  • 7 minutos

Es importante saber que hay diferentes configuraciones disponibles para las conexiones de VPN Gateway. Debe determinar qué configuración se adapta mejor a sus necesidades. En las secciones siguientes, puede ver los diagramas de información de diseño y topología sobre las siguientes conexiones de VPN Gateway. Use los diagramas y descripciones para ayudar a seleccionar la topología de conexión para que coincida con sus requisitos. Los diagramas muestran las topologías de línea base principales, pero es posible crear configuraciones más complejas con los diagramas como directrices.

VPN de sitio a sitio

Una conexión VPN Gateway de Sitio a Sitio (S2S) es una conexión a través de un túnel VPN IPsec/IKE (IKEv1 o IKEv2). Las conexiones S2S se pueden usar para configuraciones híbridas y entre locales. Una conexión S2S requiere un dispositivo VPN ubicado en el entorno local que tenga asignada una dirección IP pública.

Diagrama que muestra un ejemplo de una conexión de puerta de enlace de red privada virtual de sitio a sitio a través de un túnel seguro de protocolo de Internet.

VPN Gateway se puede configurar en modo activo-en espera mediante una dirección IP pública o en modo activo-activo mediante dos direcciones IP públicas. En modo activo-en espera, un túnel IPsec está activo y el otro túnel está en espera. En esta configuración, el tráfico fluye a través del túnel activo y, si se produce algún problema con este túnel, el tráfico pasa al túnel en espera. Se recomienda configurar VPN Gateway en modo activo-activo en el que ambos túneles IPsec están activos simultáneamente, con datos que fluyen a través de ambos túneles al mismo tiempo. Una ventaja adicional del modo activo-activo es que los clientes experimentan mayores rendimientos.

Puede crear más de una conexión VPN desde la puerta de enlace de red virtual, normalmente conectándose a varios sitios locales. Al trabajar con varias conexiones, debe usar un tipo de VPN de tipo RouteBased (conocido como puerta de enlace dinámica al trabajar con VNets clásicas). Dado que cada red virtual solo puede tener una puerta de enlace de VPN, todas las conexiones a través de la puerta de enlace comparten el ancho de banda disponible. Este tipo de conexión se conoce a veces como una conexión "multisitio".

Diagrama que muestra un ejemplo de una conexión de red privada virtual de punto a múltiples sitios.

Red privada virtual de punto a sitio

Una conexión vpn Gateway de punto a sitio (P2S) le permite crear una conexión segura a la red virtual desde un equipo cliente individual. Se establece una conexión P2S iniciando desde el equipo cliente. Esta solución es útil para los teletrabajos que quieren conectarse a redes virtuales de Azure desde una ubicación remota, como desde casa o una conferencia. La VPN de P2S también es una solución útil para usar en lugar de vpn de S2S cuando solo tiene algunos clientes que necesitan conectarse a una red virtual.

A diferencia de las conexiones S2S, las conexiones P2S no requieren una dirección IP local orientada al público ni un dispositivo VPN. Las conexiones P2S se pueden usar con conexiones S2S a través de la misma puerta de enlace de VPN, siempre que todos los requisitos de configuración de ambas conexiones sean compatibles.

Diagrama que muestra un ejemplo de una conexión de red privada virtual de punto a sitio.

Conexiones de red virtual a red virtual (seguro de protocolo de Internet/Intercambio de claves de Internet túnel de red privada virtual)

La conexión de una red virtual a otra red virtual (VNet a VNet) es similar a la conexión de una red virtual a un sitio local. Ambos tipos de conectividad usan una puerta de enlace de VPN para proporcionar un túnel seguro mediante IPsec/IKE. Incluso puede combinar la comunicación entre redes virtuales con configuraciones de conexión multisitio. Esto le permite establecer topologías de red que combinan la conectividad entre locales con conectividad entre redes virtuales.

Las redes virtuales que conectas pueden ser:

  • en las mismas regiones o diferentes
  • en las mismas suscripciones o diferentes
  • en los mismos modelos de implementación o diferentes

Diagrama que muestra cómo conectar una red virtual a otra red virtual es similar a conectar una red virtual a una ubicación de sitio local.

Conexiones entre modelos de implementación

Azure tiene actualmente dos modelos de implementación: clásico y Resource Manager. Si ha estado usando Azure durante algún tiempo, es probable que tenga máquinas virtuales de Azure y roles de instancia que se ejecutan en una red virtual clásica. Es posible que las máquinas virtuales y las instancias de rol más recientes se ejecuten en una red virtual creada en Resource Manager. Puede crear una conexión entre las redes virtuales para permitir que los recursos de una red virtual se comuniquen directamente con los recursos de otro.

Emparejamiento de VNet

Es posible que puedas usar el emparejamiento de red virtual para crear tu conexión, siempre y cuando la red virtual cumpla ciertos requisitos. El emparejamiento de VNet no usa una puerta de enlace de red virtual.

Conexiones coexistentes de sitio a sitio y ExpressRoute

ExpressRoute es una conexión directa y privada desde la WAN (no a través de la red pública de Internet) a los servicios de Microsoft, incluido Azure. El tráfico VPN de sitio a sitio viaja cifrado a través de la red pública de Internet. La capacidad de configurar conexiones VPN de sitio a sitio y ExpressRoute para la misma red virtual tiene varias ventajas.

Puede configurar una VPN de sitio a sitio como una ruta de acceso de conmutación por error segura para ExpressRoute o usar VPN de sitio a sitio para conectarse a sitios que no forman parte de la red, pero que están conectados a través de ExpressRoute. Tenga en cuenta que esta configuración requiere dos puertas de enlace de red virtual para la misma red virtual, una con el tipo de puerta de enlace "Vpn" y la otra con el tipo de puerta de enlace ExpressRoute.