Netzwerke und Tunnelrouting

Auf dieser Seite werden die unterstützten VPC-Netzwerke (Virtual Private Cloud) und Routingoptionen erläutert.

Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.

Unterstützte Netzwerke

Cloud VPN unterstützt VPC-Netzwerke im benutzerdefinierten Modus, VPC-Netzwerke im automatischen Modus und Legacy-Netzwerke. Beachten Sie jedoch die folgenden Best Practices:

Bevorzugen Sie VPC-Netzwerke gegenüber Legacy-Netzwerken. Legacy-Netzwerke unterstützen keine Subnetze. Das gesamte Netzwerk verwendet einen einzigen IP-Adressbereich. Legacy-Netzwerke können nicht in VPC-Netzwerke umgewandelt werden.
Verwenden Sie ein VPC-Netzwerk im benutzerdefinierten Modus. Bei VPC-Netzwerken im benutzerdefinierten Modus können Sie den von Ihren Subnetzen verwendeten IP-Adressbereich uneingeschränkt steuern.
- Wenn Sie zwei VPN-Netzwerke mit Cloud VPN verbinden, muss mindestens ein Netzwerk ein VPC-Netzwerk im benutzerdefinierten Modus sein. VPC-Netzwerke im automatischen Modus verwenden denselben Bereich interner IP-Adressen für ihre Subnetze.
- Lesen Sie die Überlegungen zu VPC-Netzwerken im automatischen Modus, bevor Sie ein solches Netzwerk mit Cloud VPN verwenden. In VPC-Netzwerken im automatischen Modus wird automatisch in jeder Google Cloud-Region ein Netzwerk erstellt. Hierzu zählen auch neue Subnetze in neu hinzugefügten Regionen. Verwenden Sie in dem Netzwerk, mit dem die Cloud VPN-Tunnel verbunden sind, nach Möglichkeit nicht die von VPC-Netzwerken im automatischen Modus verwendeten internen IP-Adressen.

Routingoptionen für VPN-Tunnel

Klassisches VPN unterstützt statische Routingoptionen für VPN-Tunnel. HA VPN unterstützt die dynamische Routingoption. Sie können klassische VPN-Tunnel mit dynamischem Routing nur verwenden, wenn das klassische VPN-Gateway eine Verbindung zu einer VPN-Gateway-Software herstellt, die in einer Compute Engine-VM ausgeführt wird.

Beim dynamischen Routing wird das Border Gateway Protocol (BGP) verwendet.

Dynamisches Routing (mit BGP)

Beim dynamischen Routing wird ein Cloud Router verwendet, um den Austausch von Routen mithilfe von BGP automatisch zu verwalten. Dieser Austausch wird von einer BGP-Benutzeroberfläche auf einem Cloud Router verwaltet, der in derselben Region wie der entsprechende Cloud VPN-Tunnel ist. Der Cloud Router kann Routen hinzufügen und entfernen, ohne dass der Tunnel gelöscht und neu erstellt werden muss.

Durch den dynamischen Routingmodus des VPC-Netzwerks wird das Verhalten aller Cloud Router gesteuert. Dieser Modus legt fest, ob die aus Ihrem Peer-Netzwerk erlernten Routen auf Google Cloud-Ressourcen in derselben Region wie der VPN-Tunnel oder in allen Regionen angewendet werden. Sie steuern die von Ihrem Peer-Router oder -Gateway bekannt gegebenen Routen.

Der dynamische Routingmodus legt auch fest, ob Subnetzrouten nur aus der Region des Tunnels oder aus allen Regionen für den Peer-Router oder das Peer-Gateway freigegeben werden. Zusätzlich zu diesen Subnetzrouten können Sie Benutzerdefiniertes Routen-Advertising auf einem Cloud Router konfigurieren.

Statisches Routing

Klassische VPN-Tunnel unterstützen richtlinienbasierte und routenbasierte statische Routingoptionen. Erwägen Sie eine statische Routingoption nur, wenn Sie kein dynamisches Routing oder HA VPN verwenden können.

Richtlinienbasiertes Routing: Lokale IP-Bereiche (linke Seite) und Remote-IP-Bereiche (rechte Seite) werden bei der Tunnelerstellung definiert.
Routenbasiertes VPN. Wenn Sie die Google Cloud Console zum Erstellen eines routenbasierten VPN verwenden, geben Sie nur eine Liste mit Remote-IP-Bereichen an. Diese Bereiche werden nur verwendet, um im VPC-Netzwerk Routen zu Peer-Ressourcen zu erstellen.

Weitere Informationen zu diesen beiden statischen Routingoptionen erhalten Sie im nächsten Abschnitt.

Trafficauswahl

In einer Trafficauswahl werden eine Reihe von IP-Adressbereichen oder CIDR-Blöcken zum Erstellen eines VPN-Tunnels definiert. Diese Bereiche werden als Teil der IKE-Verhandlung für den Tunnel verwendet. Die Trafficauswahl wird mitunter auch als Verschlüsselungsdomain bezeichnet.

Es gibt zwei Arten von Trafficauswahl:

Mit der lokalen Trafficauswahl werden die lokalen IP-Bereiche bzw. CIDR-Blöcke aus der Perspektive des VPN-Gateways definiert, der den VPN-Tunnel ausgibt. Bei Cloud VPN-Tunneln werden mit der lokalen Trafficauswahl die primären und sekundären CIDR-Subnetzbereiche für Subnetze im VPC-Netzwerk festgelegt. Die Trafficauswahl erfolgt auf der linken Seite des Tunnels.
Mit der Remote-Trafficauswahl werden die Remote-IP-Bereiche bzw. CIDR-Blöcke aus der Perspektive des VPN-Gateways definiert, der den VPN-Tunnel ausgibt. Bei einem Cloud VPN-Tunnel erfolgt die Remote-Trafficauswahl auf der rechten Seite bzw. im Peer-Netzwerk.

Die Trafficauswahl ist ein wesentlicher Bestandteil eines VPN-Tunnels. Sie wird für den IKE-Handshake verwendet. Bei Änderungen an den lokalen oder Remote-CIDRs müssen der Cloud VPN-Tunnel und der zugehörige Peer-Tunnel entfernt und neu erstellt werden.

Routingoptionen und Trafficauswahl

Die Werte der IP-Bereiche bzw. CIDR-Blöcke für die lokale und Remote-Trafficauswahl richten sich nach den vom Cloud VPN-Tunnel verwendeten Routingoptionen.

HA VPN-Tunnel
Tunnel- Routingoption	Lokale Trafficauswahl	Remote- Trafficauswahl	Leitet an das VPC-Netzwerk weiter	Leitet an das Peer-Netzwerk weiter
Erfordert dynamisches Routing (BGP)	Immer `0.0.0.0/0` für IPv4 oder `0.0.0.0/0,::/0` für IPv4 und IPv6	Immer `0.0.0.0/0` für IPv4 oder `0.0.0.0/0,::/0` für IPv4 und IPv6	Sofern durch benutzerdefiniertes Advertising nicht anders angegeben, teilt der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, die Routen zu den Subnetzen im VPC-Netzwerk gemäß dem dynamischen Routingmodus des Netzwerks sowie den Kontingenten und Limits für Cloud Router.	Der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, ermittelt entsprechend den Einschränkungen für benutzerdefinierte Routen und den Kontingenten und Limits für Cloud Router die vom Peer-VPN-Gateway an ihn gesendeten Routen und fügt sie dem VPC-Netzwerk als benutzerdefinierte dynamische Routen hinzu.
Klassische VPN-Tunnel
Tunnel- Routingoption	Lokale Trafficauswahl	Remote- Trafficauswahl	Leitet an das VPC-Netzwerk weiter	Leitet an das Peer-Netzwerk weiter
Dynamisches Routing (mit BGP)	Immer `0.0.0.0/0`	Immer `0.0.0.0/0`	Sofern durch benutzerdefiniertes Advertising nicht anders angegeben, teilt der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, die Routen zu den Subnetzen im VPC-Netzwerk gemäß dem dynamischen Routingmodus des Netzwerks sowie den Kontingenten und Limits für Cloud Router.	Der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, ermittelt entsprechend den Einschränkungen für benutzerdefinierte Routen und den Kontingenten und Limits für Cloud Router die vom Peer-VPN-Gateway an ihn gesendeten Routen und fügt sie dem VPC-Netzwerk als benutzerdefinierte dynamische Routen hinzu.
Richtlinienbasiertes Routing	Konfigurierbar Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.	Erforderlich. Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.	Sie müssen die Routen zu den Subnetzen in Ihrem VPC-Netzwerk manuell auf Ihren Peer-Routern erstellen und verwalten.	Wenn Sie mit der Google Cloud Console den richtlinienbasierten VPN-Tunnel erstellen, werden automatisch benutzerdefinierte statische Routen erstellt. Wenn Sie den Tunnel mit der gcloud CLI erstellen, müssen Sie zusätzliche `gcloud`-Befehle verwenden, um die Routen zu erstellen. Eine Anleitung finden Sie unter Klassisches VPN mit statischem Routing erstellen.
Routenbasiertes VPN	Immer `0.0.0.0/0`	Immer `0.0.0.0/0`	Sie müssen die Routen zu den Subnetzen in Ihrem VPC-Netzwerk manuell auf Ihren Peer-Routern erstellen und verwalten.	Wenn Sie mit der Google Cloud Console den routenbasierten VPN-Tunnel erstellen, werden automatisch benutzerdefinierte statische Routen erstellt. Wenn Sie die Tunnel über die gcloud CLI erstellen, müssen Sie zum Erstellen der Routen zusätzliche `gcloud`-Befehle verwenden. Eine Anleitung finden Sie unter Klassisches VPN mit statischem Routing erstellen.

Richtlinienbasierte Tunnel- und Trafficauswahl

In diesem Abschnitt werden spezielle Überlegungen zur Trafficauswahl beim Erstellen richtlinienbasierter klassischer VPN-Tunnel beschrieben. Dies gilt nicht für andere Arten von klassischen VPN- oder HA VPN-Tunneln.

Sie können die lokale Trafficauswahl eines richtlinienbasierten Cloud VPN-Tunnels bei dessen Erstellung angeben:

Benutzerdefinierte lokale Trafficauswahl. Sie können die lokale Trafficauswahl als Gruppe von Subnetzen im VPC-Netzwerk oder als Gruppe von internen IP-Adressen definieren, die die gewünschten IP-Bereiche von Subnetzen im VPC-Netzwerk enthalten. IKEv1 begrenzt die lokale Trafficauswahl auf ein einzelnes CIDR.
VPC-Netzwerke im benutzerdefinierten Modus: Sie müssen eine benutzerdefinierte lokale Trafficauswahl angeben, die aus einem Bereich interner IP-Adressen besteht.
VPC-Netzwerke im automatischen Modus. Wenn nicht angegeben, ist die lokale Trafficauswahl der primäre IP-Bereich (CIDR-Block) des automatisch erstellten Subnetzes in derselben Region wie der Cloud VPN-Tunnel. VPC-Netzwerke im automatischen Modus haben ein Subnetz pro Region mit klar definierten IP-Bereichen.
Legacy-Netzwerke: Wenn keine Angabe gemacht wird, ist die lokale Trafficauswahl definiert als der gesamte RFC 1918-IP-Adressbereich des Legacy-Netzwerks.

Geben Sie die Remote-Trafficauswahl eines richtlinienbasierten Cloud VPN-Tunnels bei dessen Erstellung an. Wenn Sie den Cloud VPN-Tunnel mit der Google Cloud Console erstellen, werden automatisch statische Routen erstellt, deren Ziele den CIDRs der Remote-Trafficauswahl entsprechen. IKEv1 begrenzt die Remote-Trafficauswahl auf ein einzelnes CIDR. Eine Anleitung finden Sie unter Klassisches VPN mit statischem Routing erstellen.

Wichtige Hinweise für die Trafficauswahl

Berücksichtigen Sie diese Punkte, bevor Sie einen Tunnel erstellen, der auf Cloud VPN-Richtlinien basiert:

Die meisten VPN-Gateways leiten Traffic nur dann durch einen VPN-Tunnel weiter, wenn die Quell-IP eines Pakets der lokalen Trafficauswahl des Tunnels entspricht und die Ziel-IP eines Pakets der Remote-Trafficauswahl des Tunnels entspricht. Diese Anforderung wird nicht von allen VPN-Geräten erzwungen.
Cloud VPN unterstützt Trafficauswahl-CIDRs von 0.0.0.0/0 (beliebige IP-Adresse). Informationen dazu, ob auch Ihr Peer-VPN-Gateway dies tut, finden Sie in der Dokumentation Ihres Peer-VPN-Gateways. Das Erstellen eines richtlinienbasierten VPN-Tunnels, bei dem beide Werte für die Trafficauswahl auf 0.0.0.0/0 gesetzt sind, entspricht funktional dem Erstellen eines routenbasierten VPNs.
Informieren Sie sich unter Mehrere CIDRs pro Trafficauswahl darüber, wie Cloud VPN die Protokolle IKEv1 und IKEv2 implementiert.
In Cloud VPN können Sie keine Trafficauswahl mehr bearbeiten, nachdem Sie ein VPN erstellt haben. Sie müssen den Tunnel löschen und anschließend neu erstellen, um die lokale oder die Remote-Trafficauswahl für einen Cloud VPN-Tunnel zu ändern. Sie dürfen das Cloud VPN-Gateway jedoch nicht löschen.
Wenn Sie ein VPC-Netzwerk im automatischen Modus in ein VPC-Netzwerk im benutzerdefinierten Modus konvertieren, müssen Sie unter Umständen den Cloud VPN-Tunnel (nicht das Gateway) löschen und neu erstellen. Dies kann der Fall sein, wenn Sie benutzerdefinierte Subnetze hinzufügen, automatisch erstellte Subnetze entfernen oder die sekundären IP-Bereiche eines beliebigen Subnetzes ändern. Vermeiden Sie den Moduswechsel eines VPC-Netzwerks mit vorhandenen Cloud VPN-Tunneln. Vorschläge finden Sie unter Überlegungen zu VPC-Netzwerken im automatischen Modus.

Gehen Sie so vor, um ein konsistentes und vorhersehbares VPN-Verhalten zu erzielen:

Die lokale und die Remote-Trafficauswahl sollten so spezifisch wie möglich sein.
Die lokale Trafficauswahl für Cloud VPN sollte mit der Remote-Trafficauswahl übereinstimmen, die auf dem Peer-VPN-Gateway für den entsprechenden Tunnel konfiguriert wurde.
Die Remote-Trafficauswahl für Cloud VPN sollte mit der lokalen Trafficauswahl übereinstimmen, die auf dem lokalen VPN-Gateway für den entsprechenden Tunnel konfiguriert wurde.

Mehrere CIDRs pro Trafficauswahl

Wenn Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellen, können Sie bei Verwendung von IKEv2 mehrere CIDRs pro Trafficauswahl angeben. Cloud VPN verwendet unabhängig von der IKE-Version immer eine einzelne untergeordnete Sicherheitsverknüpfung (Security Association, SA).

In der folgenden Tabelle erhalten Sie eine Übersicht hinsichtlich der Cloud VPN-Unterstützung für mehrere CIDRs pro Trafficauswahl in richtlinienbasierten VPN-Tunneln:

IKE-Version	Mehrere CIDRs pro Trafficauswahl
IKEv1	Nein Das IKEv1-Protokoll unterstützt nur eine einzelne CIDR pro untergeordneter SA, wie in RFC 2407 und RFC 2409 definiert. Da für Cloud VPN genau eine untergeordnete SA pro VPN-Tunnel erforderlich ist, können Sie bei Verwendung von IKEv1 nur jeweils eine CIDR für die lokale Trafficauswahl und eine CIDR für die Remote-Trafficauswahl angeben. Cloud VPN unterstützt die Erstellung eines VPN-Tunnels nicht, wenn IKEv1 mit mehreren untergeordneten SAs mit jeweils einer einzelnen CIDR verwendet wird.
IKEv2	Ja, wenn folgende Bedingungen erfüllt sind: Das Peer-VPN-Gateway verwendet eine einzelne untergeordnete SA. Alle CIDRs für die lokale Trafficauswahl und alle CIDRs für die Remote-Trafficauswahl müssen sich in genau einer untergeordneten SA befinden. Die Anzahl der konfigurierten CIDRs führt nicht dazu, dass IKE-Angebotspakete die maximale Übertragungseinheit (MTU) von Cloud VPN von 1.460 Byte überschreiten. Wenn IKE-Angebote diese MTU überschreiten, werden die Cloud VPN-Tunnel nicht eingerichtet. Die vorgegebene Anzahl der von Ihrem lokalen Gateway unterstützten CIDRs wird nicht überschritten. Weitere Informationen finden Sie in der Dokumentation Ihres Gateway-Anbieters. Es wird empfohlen, pro Trafficauswahl höchstens 30 CIDRs zu verwenden, damit Sie kein IKE-Angebotspaket erstellen, das die maximale MTU überschreitet.

IKE-Version

Mehrere CIDRs pro Trafficauswahl

IKEv1

Nein

Das IKEv1-Protokoll unterstützt nur eine einzelne CIDR pro untergeordneter SA, wie in RFC 2407 und RFC 2409 definiert. Da für Cloud VPN genau eine untergeordnete SA pro VPN-Tunnel erforderlich ist, können Sie bei Verwendung von IKEv1 nur jeweils eine CIDR für die lokale Trafficauswahl und eine CIDR für die Remote-Trafficauswahl angeben.

Cloud VPN unterstützt die Erstellung eines VPN-Tunnels nicht, wenn IKEv1 mit mehreren untergeordneten SAs mit jeweils einer einzelnen CIDR verwendet wird.

IKEv2

Ja, wenn folgende Bedingungen erfüllt sind:

Das Peer-VPN-Gateway verwendet eine einzelne untergeordnete SA. Alle CIDRs für die lokale Trafficauswahl und alle CIDRs für die Remote-Trafficauswahl müssen sich in genau einer untergeordneten SA befinden.
Die Anzahl der konfigurierten CIDRs führt nicht dazu, dass IKE-Angebotspakete die maximale Übertragungseinheit (MTU) von Cloud VPN von 1.460 Byte überschreiten. Wenn IKE-Angebote diese MTU überschreiten, werden die Cloud VPN-Tunnel nicht eingerichtet.
Die vorgegebene Anzahl der von Ihrem lokalen Gateway unterstützten CIDRs wird nicht überschritten. Weitere Informationen finden Sie in der Dokumentation Ihres Gateway-Anbieters.

Es wird empfohlen, pro Trafficauswahl höchstens 30 CIDRs zu verwenden, damit Sie kein IKE-Angebotspaket erstellen, das die maximale MTU überschreitet.

Strategien zur Trafficauswahl

Berücksichtigen Sie die folgenden Strategien, wenn Ihr lokales VPN-Gateway mehrere untergeordnete SAs pro VPN-Tunnel erstellt oder wenn mehrere CIDRs pro Trafficauswahl dazu führen würden, dass ein IKE-Angebot für IKEv2 erstellt wird, das 1.460 Byte überschreitet. Weitere Informationen finden Sie unter Routingoptionen und Trafficauswahl.

Verwenden Sie für den VPN-Tunnel das dynamische Routing. Wenn Ihr Peer-VPN-Gateway BGP unterstützt, konfigurieren Sie sowohl die lokale als auch die Remote-Trafficauswahl für den VPN-Tunnel, um eine beliebige IP-Adresse zuzulassen. Verwenden Sie 0.0.0.0/0 nur für IPv4 oder 0.0.0.0/0,::/0 für IPv4- und IPv6-Traffic. Routen werden automatisch zwischen dem Peer-VPN-Gateway und dem mit Ihrem Cloud VPN-Tunnel verbundenen Cloud Router ausgetauscht. Wenn Sie dynamisches Routing verwenden können, sollten Sie HA VPN in Betracht ziehen.
Verwenden Sie eine breite, einzelne CIDR-Trafficauswahl und statisches Tunnelrouting:
- Verwenden Sie ein routenbasiertes VPN. In beiden Fällen hat die Trafficauswahl standardmäßig den Wert 0.0.0.0/0 für routenbasierte VPNs. Sie können Routen erstellen, die spezifischer als die Trafficauswahl sind.
- Verwenden Sie richtlinienbasiertes Routing und konfigurieren Sie die lokale und die Remote-Trafficauswahl so breit wie möglich. Für richtlinienbasierte Cloud VPN-Tunnel können Sie Routen zu lokalen Netzwerken in Ihrem VPC-Netzwerk erstellen, deren Ziele spezifischer als die CIDR-Blöcke in der Remote-Trafficauswahl sind. Verwenden Sie die gcloud CLI, um die Routen getrennt von den VPN-Tunneln zu erstellen. Folgen Sie dazu den Schritten unter Klassisches VPN mit statischem Routing erstellen.
Verwenden Sie richtlinienbasiertes Routing, um mehrere Cloud VPN-Tunnel zu erstellen, sodass jeder Tunnel nur einen CIDR-Block für die lokale Trafficauswahl und einen CIDR-Block für die Remote-Trafficauswahl hat. Konfigurieren Sie das lokale Tunnelgegenstück auf die gleiche Weise. Cloud VPN unterstützt mehrere Tunnel pro Gateway. Die Verwendung mehrerer Tunnel hat jedoch gewisse Auswirkungen:
- Das Peer-VPN-Gateway muss separate externe IP-Adressen bereitstellen, zu denen jeder Cloud VPN-Tunnel eine Verbindung herstellen kann. Tunnel im selben klassischen VPN-Gateway müssen mit eindeutigen Peer-Gateway-IP-Adressen verbunden werden. Gegebenenfalls müssen die Tunnel des Peer-VPN-Gateways auch mit eindeutigen IP-Adressen verbunden werden. In manchen Fällen müssen Sie ein separates Cloud VPN-Gateway pro Cloud VPN-Tunnel erstellen.
- Wenn Sie die Google Cloud Console zum Erstellen von routenbasierten oder richtlinienbasierten Cloud VPN-Tunneln verwenden, werden zusätzlich zum Tunnel automatisch Routen zum Peer-Netzwerk erstellt. Wenn Routen automatisch für mehrere VPN-Tunnel erstellt werden, die alle dieselbe Remote-Trafficauswahl verwenden – wie dies bei der Erstellung von routenbasierten VPNs der Fall ist – kann das VPC-Netzwerk mehrere Routen mit identischen Zielen, aber unterschiedlichen nächsten Hops enthalten. Dies kann zu unvorhersehbarem oder unerwartetem Verhalten führen, da Traffic entsprechend der Anwendbarkeit und Reihenfolge der Routen an einen VPN-Tunnel gesendet wird. Wenn Sie kein dynamisches Tunnel-Routing (BGB) verwenden, erstellen und prüfen Sie statische Routen sowohl im VPC-Netzwerk als auch im Peer-Netzwerk.

Nächste Schritte

Weitere Informationen zu den grundlegenden Konzepten von Cloud VPN finden Sie in Cloud VPN – Übersicht.
Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.