Redes y enrutamiento de túneles

En esta página se describen las redes de nube privada virtual (VPC) y las opciones de enrutamiento compatibles.

Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Redes admitidas

VPN de Cloud admite redes de VPC en modo personalizado, redes de VPC en modo automático y redes antiguas. Sin embargo, debes tener en cuenta las siguientes prácticas recomendadas:

• Usa redes de VPC en lugar de redes antiguas. Las redes antiguas no admiten subredes, por lo que toda la red utiliza un único intervalo de direcciones IP. Las redes antiguas no se pueden convertir en redes de VPC.

• Usa una red de VPC en modo personalizado. Las redes de VPC en modo personalizado te permiten controlar por completo el intervalo de direcciones IP que usan sus subredes.

  • Si usas Cloud VPN para conectar dos redes de VPC, al menos una de ellas debe ser una red de VPC en modo personalizado. Las redes VPC en modo automático usan el mismo intervalo de direcciones IP internas para sus subredes.

  • Consulta las consideraciones sobre las redes de VPC en modo automático antes de usar una con Cloud VPN. Las redes de VPC en modo automático crean automáticamente una subred en cada Google Cloud región, incluidas las subredes nuevas que se creen en las regiones que se vayan añadiendo. No uses las direcciones IP internas del intervalo que usan las redes de VPC en modo automático en la red a la que se conectan los túneles de Cloud VPN.

Opciones de enrutamiento de túneles VPN

La VPN clásica admite opciones de enrutamiento estático para túneles de VPN, mientras que la VPN de alta disponibilidad admite la opción de enrutamiento dinámico. Solo puedes usar túneles de VPN clásica que utilicen el enrutamiento dinámico si la pasarela de VPN clásica se conecta a software de pasarela de VPN que se ejecute en una máquina virtual de Compute Engine.

El enrutamiento dinámico usa el protocolo de pasarela fronteriza (BGP).

Enrutamiento dinámico (BGP)

El enrutamiento dinámico usa un Cloud Router para gestionar automáticamente el intercambio de rutas mediante BGP. Una interfaz BGP en un router de Cloud Router de la misma región que el túnel de Cloud VPN correspondiente gestiona este intercambio. Cloud Router añade y elimina rutas sin necesidad de que se elimine y se vuelva a crear el túnel.

El modo de enrutamiento dinámico de tu red de VPC controla el comportamiento de todos sus routers de Cloud Router. Este modo determina si las rutas aprendidas de tu red peer se aplican a los recursos de Google Cloud en la misma región que el túnel VPN o si se aplican en todas las regiones. Usted controla las rutas anunciadas por su router o gateway peer.

El modo de enrutamiento dinámico también determina si las rutas de subred de la región del túnel o de todas las regiones se comparten con tu router o pasarela peer. Además de estas rutas de subred, puedes configurar anuncios de rutas personalizadas en un router de Cloud Router.

Enrutamiento estático

Los túneles de VPN clásica admiten opciones de enrutamiento estático basadas en políticas y en rutas. Solo debes considerar la opción de enrutamiento estático si no puedes usar el enrutamiento dinámico (BGP) o la VPN de alta disponibilidad.

• Enrutamiento basado en políticas. Los intervalos de IPs locales (lado izquierdo) y los intervalos de IPs remotas (lado derecho) se definen como parte del proceso de creación del túnel.

• VPN basada en rutas. Cuando usas la Google Cloud consola para crear una VPN basada en rutas, solo especificas una lista de intervalos de IPs remotas. Esos intervalos se usan solo para crear rutas en tu red de VPC a los recursos de la otra red.

Puedes consultar más información sobre estas dos opciones de enrutamiento estático en la sección siguiente.

Selectores de tráfico

Un selector de tráfico define un conjunto de intervalos de direcciones IP o bloques CIDR que se utilizan para establecer un túnel VPN. Estos intervalos se usan como parte de la negociación de IKE para el túnel. En algunos documentos se hace referencia a los selectores de tráfico como dominios de cifrado.

Hay dos tipos de selectores de tráfico:

• El selector de tráfico local define el conjunto de intervalos de IPs locales (bloques CIDR) desde la perspectiva de la pasarela VPN que emite el túnel VPN. En el caso de los túneles de Cloud VPN, el selector de tráfico local define el conjunto de CIDRs de subredes principales y secundarias de las subredes de la red de VPC, que representa el lado izquierdo del túnel.

• El selector de tráfico remoto define el conjunto de intervalos de IPs remotos (bloques CIDR) desde la perspectiva de la pasarela VPN que emite el túnel VPN. En el caso de los túneles VPN de Cloud, el selector de tráfico remoto es la parte derecha o la red del par.

Los selectores de tráfico son una parte intrínseca de un túnel VPN que se usa para establecer el handshake de IKE. Si es necesario cambiar los CIDRs locales o remotos, se deben eliminar y volver a crear el túnel de Cloud VPN y su túnel homólogo.

.

Opciones de enrutamiento y selectores de tráfico

Los valores del intervalo de IPs (bloque CIDR) de los selectores de tráfico local y remoto dependen de la opción de enrutamiento que utilice el túnel de Cloud VPN.

Túneles de VPN de alta disponibilidad
Opción de enrutamiento de túnel	Selector de tráfico local	Selector de tráfico remoto	Rutas a la red de VPC	Rutas a la red de emparejamiento
Requiere enrutamiento dinámico (BGP)	Siempre 0.0.0.0/0 para IPv4 (pila única) o 0.0.0.0/0,::/0 para IPv4 e IPv6 (pila dual) o ::/0 para IPv6 (pila única)	Siempre 0.0.0.0/0 para IPv4 (pila única) o 0.0.0.0/0,::/0 para IPv4 e IPv6 (pila dual) o ::/0 para IPv6 (pila única)	A menos que se modifiquen mediante anuncios personalizados, el Cloud Router que gestiona la interfaz BGP del túnel de VPN de Cloud comparte las rutas a las subredes de la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y los límites de Cloud Router.	Sujeto a las restricciones de las rutas personalizadas y a las cuotas y los límites de Cloud Router, el router de Cloud que gestiona la interfaz BGP del túnel de Cloud VPN aprende las rutas que le envía la pasarela VPN de par y las añade a la red VPC como rutas dinámicas personalizadas.
Túneles de VPN clásica
Opción de enrutamiento de túnel	Selector de tráfico local	Selector de tráfico remoto	Rutas a la red de VPC	Rutas a la red de emparejamiento
Enrutamiento dinámico (BGP)	Siempre 0.0.0.0/0	Siempre 0.0.0.0/0	A menos que se modifiquen mediante anuncios personalizados, el Cloud Router que gestiona la interfaz BGP del túnel de Cloud VPN comparte las rutas a las subredes de la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y los límites de Cloud Router.	Sujeto a las restricciones de las rutas personalizadas y a las cuotas y los límites de Cloud Router, el router de Cloud que gestiona la interfaz BGP del túnel Cloud VPN aprende las rutas que le envía la pasarela VPN del peer y las añade a la red VPC como rutas dinámicas personalizadas.
Enrutamiento basado en políticas	Configurable. Consulta Túneles y selectores de tráfico basados en políticas.	Obligatorio. Consulta Túneles y selectores de tráfico basados en políticas.	Debes crear y mantener manualmente las rutas a las subredes de tu red de VPC en tus routers de la red emparejada.	Si usas la Google Cloud consola para crear el túnel VPN basado en políticas, se crearán automáticamente rutas estáticas personalizadas. Si usas la CLI de gcloud para crear el túnel, debes usar comandos gcloud adicionales para crear las rutas. Para obtener instrucciones, consulta el artículo sobre cómo crear una VPN clásica mediante enrutamiento estático.
VPN basada en rutas	Siempre 0.0.0.0/0	Siempre 0.0.0.0/0	Debes crear y mantener manualmente las rutas a las subredes de tu red de VPC en tus routers de la red emparejada.	Si usas la Google Cloud consola para crear el túnel VPN basado en rutas, las rutas estáticas personalizadas se crearán automáticamente. Si usas la CLI de gcloud para crear el túnel, debes usar comandos gcloud adicionales para crear las rutas. Para obtener instrucciones, consulta el artículo sobre cómo crear una VPN clásica mediante enrutamiento estático.

Túneles basados en políticas y selectores de tráfico

En esta sección se describen las consideraciones especiales para los selectores de tráfico al crear túneles VPN clásicos basados en políticas. No se aplica a ningún otro tipo de túnel de VPN clásica o de alta disponibilidad.

Puedes especificar el selector de tráfico local de un túnel de Cloud VPN basado en políticas al crearlo:

• Selector de tráfico local personalizado. Puedes definir el selector de tráfico local como un conjunto de subredes de la red de VPC o como un conjunto de direcciones IP internas que incluyan los intervalos de IP que hayas elegido de las subredes de la red de VPC. IKEv1 limita los selectores de tráfico local a un solo CIDR.

• Redes de VPC en modo personalizado. Especifica un selector de tráfico local personalizado que conste de un intervalo de direcciones IP internas.

• Redes de VPC en modo automático. Si no se especifica, el selector de tráfico local es el intervalo de IPs principal (bloque CIDR) de la subred creada automáticamente en la misma región que el túnel VPN de Cloud. Las redes de VPC en modo automático tienen una subred por región con intervalos de IP bien definidos.

• Redes antiguas. Si no se especifica, el selector de tráfico local se define como todo el intervalo de direcciones IP RFC 1918 de la red antigua.

Especifica el selector de tráfico remoto de un túnel de Cloud VPN basado en políticas cuando lo crees. Si usas la Google Cloud consola para crear el túnel de Cloud VPN, se crearán automáticamente rutas estáticas personalizadas cuyos destinos correspondan a los CIDRs del selector de tráfico remoto. IKEv1 limita los selectores de tráfico remotos a un único CIDR. Para obtener instrucciones, consulta Crear una VPN clásica mediante enrutamiento estático.

Consideraciones importantes sobre los selectores de tráfico

Antes de crear un túnel de Cloud VPN basado en políticas, tenga en cuenta lo siguiente:

• La mayoría de las puertas de enlace VPN solo transfieren tráfico a través de un túnel VPN si la dirección IP de origen de un paquete se ajusta al selector de tráfico local del túnel y si la dirección IP de destino de un paquete se ajusta al selector de tráfico remoto del túnel. Algunos dispositivos VPN no cumplen este requisito.

• Cloud VPN admite CIDRs de selectores de tráfico de 0.0.0.0/0 o ::/0 (cualquier dirección IP). Para determinar si tu pasarela de VPN de par también lo hace, consulta la documentación que se incluye con ella. Crear un túnel VPN basado en políticas con ambos selectores de tráfico definidos como 0.0.0.0/0 o ::/0 es funcionalmente equivalente a crear una VPN basada en rutas.

• Consulta la sección sobre varios CIDRs por selector de tráfico para saber cómo implementa Cloud VPN los protocolos IKEv1 e IKEv2.

• Cloud VPN no permite editar ningún selector de tráfico después de haber creado una VPN. Para cambiar el selector de tráfico local o remoto de un túnel de Cloud VPN, debes eliminar el túnel y volver a crearlo. Sin embargo, no tienes que eliminar la pasarela de Cloud VPN.

• Si conviertes una red de VPC de modo automático en una red de VPC de modo personalizado, es posible que tengas que eliminar y volver a crear el túnel de Cloud VPN (pero no la pasarela). Esto puede ocurrir si añades subredes personalizadas, eliminas subredes creadas automáticamente o modificas los intervalos de IP secundarios de alguna subred. No cambies el modo de una red de VPC que tenga túneles de Cloud VPN. Para obtener sugerencias, consulta las consideraciones sobre las redes de VPC en modo automático.

Para que la VPN se comporte de forma coherente y predecible, haz lo siguiente:

• Haz que los selectores de tráfico local y remoto sean lo más específicos posible.

• Haz que el selector de tráfico local de Cloud VPN sea el mismo que el selector de tráfico remoto configurado para el túnel correspondiente en la pasarela VPN de par.

• Asigna al selector de tráfico remoto de Cloud VPN el mismo valor que al selector de tráfico local configurado para el túnel correspondiente en la pasarela VPN in situ.

Varios CIDRs por selector de tráfico

Cuando creas un túnel de VPN clásica basado en políticas, si usas IKEv2, puedes especificar varios CIDRs por selector de tráfico. Cloud VPN siempre usa una única asociación de seguridad secundaria (SA), independientemente de la versión de IKE.

En la siguiente tabla se resume la compatibilidad de Cloud VPN con varios CIDRs por selector de tráfico en túneles VPN basados en políticas.

Versión IKE	Varios CIDRs por selector de tráfico
IKEv1	No El protocolo IKEv1 solo admite un CIDR por SA secundario, tal como se define en RFC 2407 y RFC 2409. Como Cloud VPN requiere una sola SA secundaria por túnel VPN, cuando usas IKEv1, solo puedes proporcionar un CIDR para el selector de tráfico local y un CIDR para el selector de tráfico remoto. Cloud VPN no admite la creación de un túnel VPN mediante IKEv1 con varias asociaciones de seguridad secundarias, cada una con un solo CIDR.
IKEv2	Sí, si se cumplen las siguientes condiciones: Tu pasarela de VPN de par usa un único SA secundario. Todos los CIDRs del selector de tráfico local y todos los CIDRs del selector de tráfico remoto deben estar en una única SA secundaria. El número de CIDRs que configures no hará que los paquetes de propuesta de IKE superen la MTU máxima de Cloud VPN, que es de 1460 bytes. Si las propuestas de IKE superan esta MTU, los túneles de Cloud VPN no se establecerán. No superas ninguna restricción en cuanto al número de CIDRs admitidos por tu gateway local. Para obtener más información, consulta la documentación del proveedor de la pasarela. Una práctica recomendada es usar 30 o menos CIDRs por selector de tráfico para no crear un paquete de propuesta IKE que supere la MTU máxima.

Estrategias de selector de tráfico

Si tu gateway de VPN local crea varias asociaciones de seguridad secundarias por túnel VPN o si varios CIDRs por selector de tráfico harían que una propuesta de IKE para IKEv2 superara los 1460 bytes (para obtener más información, consulta Opciones de enrutamiento y selectores de tráfico), considera las siguientes estrategias:

1. Usa el enrutamiento dinámico para el túnel VPN. Si tu VPN de acceso continuo admite BGP, configura los selectores de tráfico local y remoto del túnel de VPN para permitir cualquier dirección IP. Usa 0.0.0.0/0 solo para IPv4 o 0.0.0.0/0,::/0 para el tráfico IPv4 e IPv6. Las rutas se intercambian automáticamente entre la pasarela VPN de la otra organización y el Cloud Router asociado a tu túnel VPN de Cloud. Si puedes usar el enrutamiento dinámico, considera la opción de VPN de alta disponibilidad.

2. Usa selectores de tráfico CIDR únicos y amplios, y enrutamiento de túnel estático:

   • Usar una VPN basada en rutas. Ambos selectores de tráfico son 0.0.0.0/0 por definición para las VPNs basadas en rutas. Puede crear rutas que sean más específicas que los selectores de tráfico.

   • Usa el enrutamiento basado en políticas y configura los selectores de tráfico local y remoto para que sean lo más amplios posible. En el caso de los túneles de Cloud VPN basados en políticas, puedes crear rutas a redes locales en tu red de VPC cuyos destinos sean más específicos que los bloques CIDR especificados en los selectores de tráfico remotos. Usa la CLI de gcloud para crear las rutas por separado de los túneles de VPN siguiendo los pasos que se indican en Crear una VPN clásica mediante enrutamiento estático.

3. Usa el enrutamiento basado en políticas para crear varios túneles de Cloud VPN de forma que cada túnel solo tenga un bloque CIDR para su selector de tráfico local y un bloque CIDR para su selector de tráfico remoto. Configura el túnel correspondiente on-premise de forma similar. Cloud VPN admite varios túneles por pasarela, pero usar varios túneles tiene algunas implicaciones:

   • Tu pasarela de VPN de la otra red debe ofrecer direcciones IP externas independientes a las que se pueda conectar cada túnel de Cloud VPN. Los túneles de la misma pasarela de VPN clásica deben conectarse a direcciones IP de pasarela de par únicas. Es posible que tu pasarela de VPN de emparejamiento también requiera que sus túneles se conecten a direcciones IP únicas. En algunos casos, debes crear una pasarela de Cloud VPN independiente por cada túnel de Cloud VPN.
   • Cuando usas la consola de Google Cloud para crear túneles de Cloud VPN basados en rutas o en políticas, se crean automáticamente rutas a la red de la otra organización, además del túnel. Si se crean rutas automáticamente para varios túneles VPN que usan los mismos selectores de tráfico remotos (como ocurre si creas VPNs basadas en rutas), puedes tener varias rutas en tu red de VPC, todas con destinos idénticos, pero con saltos siguientes diferentes. Esto puede provocar un comportamiento impredecible o inesperado, ya que el tráfico se envía a un túnel VPN según la aplicabilidad y el orden de las rutas. Si no usas el enrutamiento de túnel dinámico (BGP), crea y revisa las rutas estáticas en tu red de VPC y en tu red peer.

Siguientes pasos

• Para obtener información sobre los conceptos básicos de Cloud VPN, consulta la información general sobre Cloud VPN.
• Para usar escenarios de alta disponibilidad y alto rendimiento o escenarios de varias subredes, consulta las configuraciones avanzadas.
• Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.