Reti e instradamento nei tunnel

Questa pagina descrive le reti Virtual Private Cloud (VPC) supportate e le opzioni di routing.

Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Reti supportate

Cloud VPN supporta reti VPC in modalità personalizzata, reti VPC in modalità automatica e reti legacy. Tuttavia, ti consigliamo di prendere in considerazione le seguenti best practice:

Utilizza reti VPC anziché reti legacy. Le reti legacy non supportano le subnet; l'intera rete utilizza un singolo intervallo di indirizzi IP. Le reti legacy non possono essere convertite in reti VPC.
Utilizza una rete VPC in modalità personalizzata. Le reti VPC in modalità personalizzata ti offrono il controllo completo dell'intervallo di indirizzi IP utilizzati dalle rispettive subnet.
- Se utilizzi Cloud VPN per connettere due reti VPC, almeno una rete deve essere una rete VPC in modalità personalizzata. Le reti VPC in modalità automatica utilizzano lo stesso intervallo di indirizzi IP interni per le subnet.
- Esamina le considerazioni per le reti VPC in modalità automatica prima di utilizzarne una con Cloud VPN. Le reti VPC in modalità automatica creano automaticamente una subnet in ogni regione Google Cloud, inclusa la creazione automatica di nuove subnet in nuove regioni man mano che vengono aggiunte. Evita di utilizzare indirizzi IP interni dall'intervallo utilizzato dalle reti VPC in modalità automatica nella rete a cui si connettono i tunnel Cloud VPN.

Opzioni di routing per i tunnel VPN

La VPN classica supporta le opzioni di routing statico per i tunnel VPN, mentre la VPN ad alta disponibilità supporta l'opzione di routing dinamico. Puoi utilizzare i tunnel VPN classica che utilizzano il routing dinamico solo se il gateway VPN classica si connette al software gateway VPN in esecuzione all'interno di una VM di Compute Engine.

Il routing dinamico utilizza il BGP (Border Gateway Protocol).

Routing dinamico (BGP)

Il routing dinamico utilizza un router Cloud per gestire automaticamente lo scambio di route utilizzando BGP. Un'interfaccia BGP su un router Cloud nella stessa regione del tunnel Cloud VPN corrispondente gestisce questo scambio. Il router Cloud aggiunge e rimuove route senza che sia necessario eliminare e ricreare il tunnel.

La modalità di routing dinamico della rete VPC controlla il comportamento di tutti i relativi router Cloud. Questa modalità determina se le route apprese dalla rete peer vengono applicate alle risorse Google Cloud nella stessa regione del tunnel VPN o se vengono applicate in tutte le regioni. Puoi controllare le route annunciate dal router o dal gateway peer.

La modalità di routing dinamico determina anche se le route di subnet solo dalla regione del tunnel o da tutte le regioni sono condivise con il router o il gateway peer. Oltre a queste route di subnet, puoi configurare annunci di route personalizzate su un router Cloud.

Routing statico

I tunnel VPN classica supportano opzioni di routing statico basate su criteri e route. Prendi in considerazione un'opzione di routing statico solo se non puoi utilizzare il routing dinamico (BGP) o la VPN ad alta disponibilità.

Routing basato su criteri. Gli intervalli IP locali (lato sinistro) e remoti (lato destro) sono definiti come parte del processo di creazione del tunnel.
VPN basata su route. Quando utilizzi la console Google Cloud per creare una VPN basata su route, specifichi solo un elenco di intervalli IP remoti. Questi intervalli vengono utilizzati solo per creare route nella tua rete VPC verso risorse peer.

Per ulteriori informazioni su queste due opzioni di routing statico, consulta la prossima sezione.

Selettori di traffico

Un selettore di traffico definisce un insieme di intervalli di indirizzi IP o blocchi CIDR utilizzati per stabilire un tunnel VPN. Questi intervalli vengono utilizzati nell'ambito della negoziazione IKE per il tunnel. Alcuni documenti fanno riferimento ai selettori di traffico come domini di crittografia.

Esistono due tipi di selettori di traffico:

Il selettore del traffico locale definisce l'insieme di intervalli IP locali (blocchi CIDR) dal punto di vista del gateway VPN che emette il tunnel VPN. Per i tunnel Cloud VPN, il selettore del traffico locale definisce l'insieme di CIDR della subnet primarie e secondarie per le subnet nella rete VPC, che rappresentano il lato sinistro del tunnel.
Il selettore del traffico remoto definisce l'insieme di intervalli IP remoti (blocchi CIDR) dal punto di vista del gateway VPN che emette il tunnel VPN. Per i tunnel Cloud VPN, il selettore del traffico remoto è la rete a destra o peer.

I selettori di traffico sono una parte intrinseca di un tunnel VPN, utilizzati per stabilire l'handshake IKE. Se è necessario modificare i CIDR locali o remoti, è necessario eliminare e ricreare il tunnel Cloud VPN e il tunnel di controparte peer.

Opzioni di routing e selettori del traffico

I valori dell'intervallo IP (blocco CIDR) per i selettori di traffico locale e remoto dipendono dall'opzione di routing utilizzata dal tunnel Cloud VPN.

Tunnel VPN ad alta disponibilità
Opzione di routing del tunnel	Selettore del traffico locale	Selettore del traffico remoto	Route alla rete VPC	Instrada alla rete peer
Richiede il routing dinamico (BGP)	Sempre `0.0.0.0/0` per IPv4 o `0.0.0.0/0,::/0` per IPv4 e IPv6	Sempre `0.0.0.0/0` per IPv4 o `0.0.0.0/0,::/0` per IPv4 e IPv6	A meno che non vengano modificati da annunci personalizzati, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN condivide le route con le subnet nella rete VPC in base alla modalità di routing dinamico della rete e a quote e limiti per il router Cloud.	Soggetto alle limitazioni sulle route personalizzate e a quote e limiti per il router Cloud, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN apprende le route inviate dal gateway VPN peer e le aggiunge alla rete VPC come route dinamiche personalizzate.
Tunnel VPN classica
Opzione di routing del tunnel	Selettore del traffico locale	Selettore del traffico remoto	Route alla rete VPC	Instrada alla rete peer
Routing dinamico (BGP)	Sempre `0.0.0.0/0`	Sempre `0.0.0.0/0`	A meno che non venga modificato da pubblicità personalizzata, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN condivide le route con le subnet nella rete VPC in base alla modalità di routing dinamico della rete e alle quote e ai limiti per il router Cloud.	Soggetto alle restrizioni sulle route personalizzate e alle quote e ai limiti per il router Cloud, il router Cloud che gestisce l'interfaccia BGP per il tunnel Cloud VPN apprende le route inviate dal gateway VPN peer e le aggiunge alla rete VPC come route dinamiche personalizzate.
Routing basato su criteri	Configurabile. Vedi Tunnel basati su criteri e selettori di traffico.	Obbligatorio. Vedi Tunnel basati su criteri e selettori di traffico.	Devi creare e gestire manualmente le route alle subnet nella tua rete VPC sui router peer.	Se utilizzi la console Google Cloud per creare il tunnel VPN basato su criteri, le route statiche personalizzate vengono create automaticamente. Se utilizzi gcloud CLI per creare il tunnel, devi utilizzare altri comandi `gcloud` per creare le route. Per le istruzioni, consulta Creare una VPN classica utilizzando il routing statico.
VPN basata su route	Sempre `0.0.0.0/0`	Sempre `0.0.0.0/0`	Devi creare e gestire manualmente le route alle subnet nella tua rete VPC sui router peer.	Se utilizzi la console Google Cloud per creare il tunnel VPN basato su route, le route statiche personalizzate vengono create automaticamente. Se utilizzi gcloud CLI per creare il tunnel, devi utilizzare altri comandi `gcloud` per creare le route. Per le istruzioni, consulta Creare una VPN classica utilizzando il routing statico.

Tunnel basati su criteri e selettori di traffico

Questa sezione descrive considerazioni speciali per i selettori di traffico quando si creano tunnel VPN classica basati su criteri. Non si applica ad altri tipi di VPN classica o VPN ad alta disponibilità.

Puoi scegliere di specificare il selettore del traffico locale di un tunnel Cloud VPN basato su criteri quando lo crei:

Selettore del traffico locale personalizzato. Puoi definire il selettore di traffico locale come un insieme di subnet nella rete VPC o come un insieme di indirizzi IP interni che includono gli intervalli IP desiderati delle subnet nella rete VPC. IKEv1 limita i selettori di traffico locale a un singolo CIDR.
Reti VPC in modalità personalizzata. Specifica un selettore di traffico locale personalizzato costituito da un intervallo di indirizzi IP interni.
Reti VPC in modalità automatica. Se non specificato, il selettore del traffico locale è l'intervallo IP principale (blocco CIDR) della subnet creata automaticamente nella stessa regione del tunnel Cloud VPN. Le reti VPC in modalità automatica hanno una subnet per regione con intervalli IP ben definiti.
Reti legacy. Se non specificato, il selettore del traffico locale è definito come l'intero intervallo di indirizzi IP RFC 1918 della rete legacy.

Specifica il selettore del traffico remoto di un tunnel Cloud VPN basato su criteri quando lo crei. Se utilizzi la console Google Cloud per creare il tunnel Cloud VPN, vengono create automaticamente route statiche personalizzate le cui destinazioni corrispondono ai CIDR del selettore di traffico remoto. IKEv1 limita i selettori di traffico remoto a un singolo CIDR. Per le istruzioni, consulta Creare una VPN classica utilizzando il routing statico.

Considerazioni importanti sui selettori di traffico

Prima di creare un tunnel basato su criteri Cloud VPN, considera quanto segue:

La maggior parte dei gateway VPN passa il traffico attraverso un tunnel VPN solo se l'indirizzo IP di origine di un pacchetto rientra nel selettore del traffico locale del tunnel e se l'indirizzo IP di destinazione di un pacchetto rientra nel selettore del traffico remoto del tunnel. Alcuni dispositivi VPN non applicano questo requisito.
Cloud VPN supporta i CIDR del selettore di traffico di 0.0.0.0/0 (qualsiasi indirizzo IP). Per determinare se lo stesso vale per il gateway VPN peer, consulta la documentazione fornita con il gateway VPN peer. La creazione di un tunnel VPN basato su criteri con entrambi i selettori di traffico impostati su 0.0.0.0/0 è equivalente alla creazione di una VPN basata su route.
Esamina attentamente più CIDR per selettore di traffico per scoprire in che modo Cloud VPN implementa i protocolli IKEv1 e IKEv2.
Cloud VPN non consente di modificare i selettori di traffico dopo aver creato una VPN. Per modificare il selettore del traffico locale o remoto per un tunnel Cloud VPN, devi eliminare il tunnel e poi ricrearlo. Tuttavia, non è necessario eliminare il gateway Cloud VPN.
Se converti una rete VPC in modalità automatica in una rete VPC in modalità personalizzata, potrebbe essere necessario eliminare e ricreare il tunnel Cloud VPN (ma non il gateway). ad esempio se aggiungi subnet personalizzate, rimuovi eventuali subnet create automaticamente o modifichi gli intervalli IP secondari di qualsiasi subnet. Evita di cambiare la modalità di una rete VPC con tunnel Cloud VPN esistenti. Per suggerimenti, esamina le considerazioni per le reti VPC in modalità automatica.

Per un comportamento coerente e prevedibile della VPN:

Rendi i selettori del traffico locale e remoto il più specifici possibile.
Imposta il selettore del traffico locale di Cloud VPN sullo stesso selettore del traffico remoto configurato per il tunnel corrispondente sul gateway VPN peer.
Imposta il selettore di traffico remoto di Cloud VPN sullo stesso selettore del traffico locale configurato per il tunnel corrispondente sul gateway VPN on-premise.

Più CIDR per selettore di traffico

Quando crei un tunnel VPN classica basato su criteri, se utilizzi IKEv2, puoi specificare più CIDR per selettore di traffico. Cloud VPN utilizza sempre un'unica Child Security Association (SA), indipendentemente dalla versione IKE.

La tabella seguente riassume il supporto di Cloud VPN per più CIDR per selettore di traffico nei tunnel VPN basati su criteri.

Versione IKE	Più CIDR per selettore di traffico
IKEv1	No Il protocollo IKEv1 supporta solo un singolo CIDR per SA secondaria, come definito in RFC 2407 e RFC 2409. Poiché Cloud VPN richiede un singolo SA figlio per tunnel VPN, quando utilizzi IKEv1 puoi fornire solo un CIDR singolo per il selettore di traffico locale e un singolo CIDR per il selettore di traffico remoto. Cloud VPN non supporta la creazione di un tunnel VPN utilizzando IKEv1 con più SA figlio, ciascuna con un singolo CIDR.
IKEv2	Sì, se vengono soddisfatte le seguenti condizioni: Il gateway VPN peer utilizza un singolo SA secondaria. Tutti i CIDR per il selettore del traffico locale e tutti i CIDR per il selettore del traffico remoto devono essere in un singolo SA figlio. Il numero di CIDR configurati non fa sì che i pacchetti proposta IKE superino il valore MTU massimo di 1460 byte di Cloud VPN. Se le proposte IKE superano questa MTU, i tunnel Cloud VPN non vengono stabiliti. Non devi superare alcuna restrizione per il numero di CIDR supportati dal gateway on-premise. Per maggiori dettagli, consulta la documentazione del fornitore del gateway. Una best practice consiste nell'utilizzare al massimo 30 CIDR per selettore di traffico, in modo da non creare un pacchetto proposta IKE che superi il limite massimo di MTU.

Versione IKE

Più CIDR per selettore di traffico

IKEv1

Il protocollo IKEv1 supporta solo un singolo CIDR per SA secondaria, come definito in RFC 2407 e RFC 2409. Poiché Cloud VPN richiede un singolo SA figlio per tunnel VPN, quando utilizzi IKEv1 puoi fornire solo un CIDR singolo per il selettore di traffico locale e un singolo CIDR per il selettore di traffico remoto.

Cloud VPN non supporta la creazione di un tunnel VPN utilizzando IKEv1 con più SA figlio, ciascuna con un singolo CIDR.

IKEv2

Sì, se vengono soddisfatte le seguenti condizioni:

Il gateway VPN peer utilizza un singolo SA secondaria. Tutti i CIDR per il selettore del traffico locale e tutti i CIDR per il selettore del traffico remoto devono essere in un singolo SA figlio.
Il numero di CIDR configurati non fa sì che i pacchetti proposta IKE superino il valore MTU massimo di 1460 byte di Cloud VPN. Se le proposte IKE superano questa MTU, i tunnel Cloud VPN non vengono stabiliti.
Non devi superare alcuna restrizione per il numero di CIDR supportati dal gateway on-premise. Per maggiori dettagli, consulta la documentazione del fornitore del gateway.

Una best practice consiste nell'utilizzare al massimo 30 CIDR per selettore di traffico, in modo da non creare un pacchetto proposta IKE che superi il limite massimo di MTU.

Strategie di selezione del traffico

Considera le seguenti strategie se il gateway VPN on-premise crea più SA figlio per tunnel VPN o se più CIDR per selettore di traffico fanno sì che una proposta IKE per IKEv2 superi i 1460 byte (per maggiori dettagli, vedi Opzioni di routing e selettori di traffico):

Utilizza il routing dinamico per il tunnel VPN. Se il gateway VPN peer supporta BGP, configura i selettori del traffico locale e remoto per il tunnel VPN in modo da consentire qualsiasi indirizzo IP. Utilizza 0.0.0.0/0 solo per IPv4 o 0.0.0.0/0,::/0 per il traffico IPv4 e IPv6. Le route vengono scambiate automaticamente tra il gateway VPN peer e il router Cloud associato al tunnel Cloud VPN. Se puoi utilizzare il routing dinamico, prendi in considerazione la VPN ad alta disponibilità.
Utilizza selettori di traffico CIDR singoli generici e routing statico del tunnel:
- Usa una VPN basata su route. Entrambi i selettori di traffico sono 0.0.0.0/0 per definizione per le VPN basate su route. Puoi creare route più specifiche dei selettori di traffico.
- Utilizza il routing basato su criteri e configura i selettori di traffico locale e remoto in modo che siano il più ampi possibile. Per i tunnel Cloud VPN basati su criteri, puoi creare route alle reti on-premise nella rete VPC le cui destinazioni sono più specifiche dei blocchi CIDR specificati nei selettori del traffico remoto. Utilizza gcloud CLI per creare le route separatamente dai tunnel VPN seguendo la procedura descritta in Creare una VPN classica utilizzando il routing statico.
Utilizza il routing basato su criteri per creare più tunnel Cloud VPN, in modo che ogni tunnel abbia un solo blocco CIDR per il selettore di traffico locale e un blocco CIDR per il selettore di traffico remoto. Configura il tunnel di controparte on-premise in modo simile. Cloud VPN supporta più tunnel per gateway; tuttavia, l'utilizzo di più tunnel ha alcune implicazioni:
- Il gateway VPN peer deve offrire indirizzi IP esterni separati a cui può connettersi ogni tunnel Cloud VPN. I tunnel sullo stesso gateway VPN classica devono connettersi a indirizzi IP univoci del gateway peer. Il gateway VPN peer potrebbe anche richiedere che i tunnel connetti a indirizzi IP univoci. In alcuni casi, è necessario creare un gateway Cloud VPN separato per tunnel Cloud VPN.
- Quando utilizzi la console Google Cloud per creare tunnel Cloud VPN basati su route o criteri, oltre al tunnel vengono create automaticamente le route alla rete peer. Se le route vengono create automaticamente per più tunnel VPN che utilizzano ciascuno gli stessi selettori remoti di traffico, come nel caso delle VPN basate su route, puoi avere più route nella tua rete VPC, tutte con destinazioni identiche ma hop successivi diversi. Ciò può causare comportamenti imprevedibili o imprevisti poiché il traffico viene inviato a un tunnel VPN in base all'applicabilità e all'ordine delle route. Se non utilizzi il routing del tunnel dinamico (BGP), crea ed esamina le route statiche sia nella rete VPC che nella rete peer.

Passaggi successivi

Per informazioni sui concetti di base di Cloud VPN, consulta la panoramica di Cloud VPN.
Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo di Cloud VPN, consulta Risoluzione dei problemi.