Redes y enrutamiento de túneles

En esta página se describen las redes de nube privada virtual admitidas y las opciones de enrutamiento.

Redes admitidas

Cloud VPN admite redes personalizadas de VPC, redes en modo automático y redes heredadas; sin embargo, deberías considerar las siguientes prácticas recomendadas:

  • Usa redes de VPC en lugar de redes heredadas. Las redes heredadas no admiten subredes. Toda la red usa un único rango de direcciones IP. Las redes heredadas no se pueden convertir en redes de VPC.

  • Usa una red de VPC en modo personalizado. Las redes de VPC en modo personalizado te dan un control total sobre el rango de direcciones IP que usan las subredes.

    • Si conectas dos redes de VPC con Cloud VPN, al menos una de ellas debe ser una red en modo personalizado porque las redes en modo automático usan el mismo rango de direcciones IP internas para sus subredes.

    • Revisa las consideraciones para redes de modo automático antes de usar una con Cloud VPN. Mediante las redes de modo automático, se crea una subred de forma automática en cada región de Google Cloud, que incluye la creación automática de subredes nuevas en regiones nuevas a medida que se agregan. Evita usar las direcciones IP privadas del rango que usan las redes de modo automático en la red a la que se conectan los túneles de Cloud VPN.

Opciones de enrutamiento para túneles VPN

La VPN clásica admite opciones de enrutamiento dinámico y estático para túneles VPN, mientras que la VPN con alta disponibilidad requiere la opción de enrutamiento dinámico.

En el enrutamiento dinámico, se usa el Protocolo de enrutamiento de puerta de enlace fronterizo (BGP).

Enrutamiento dinámico (BGP)

En el enrutamiento dinámico, se usa un Cloud Router para administrar de forma automática el intercambio de rutas mediante el protocolo de BGP. Este intercambio lo administra una interfaz de BGP en un Cloud Router en la misma región que el túnel de Cloud VPN correspondiente. Cloud Router agrega y quita rutas sin necesidad de borrar y volver a crear el túnel.

En el modo de enrutamiento dinámico de la red de VPC, se controla el comportamiento de todos sus Cloud Routers. En este modo se determina si las rutas aprendidas desde la red de intercambio de tráfico solo se aplican a recursos de Google Cloud en la misma región que el túnel VPN o si se aplican a todas las regiones. Se pueden controlar las rutas que anuncia el router o la puerta de enlace de intercambio de tráfico.

En el modo de enrutamiento dinámico, también se determina si las rutas de subredes de solo la región del túnel o de todas las regiones se comparten con el router o la puerta de enlace de intercambio de tráfico. Además de estas rutas de subredes, puedes configurar anuncios de ruta personalizados en un Cloud Router.

Enrutamiento estático

Los túneles de VPN clásica admiten opciones de enrutamiento estático basadas en políticas y rutas. Considera una opción de enrutamiento estático solo si no puedes usar enrutamiento dinámico (BGP) o VPN con alta disponibilidad.

  • Enrutamiento basado en políticas: los rangos de IP locales (lado izquierdo) y los rangos de IP remotos (lado derecho) se definen como parte del proceso de creación del túnel.

  • VPN basada en rutas: cuando creas una VPN basada en rutas mediante Cloud Console, solo se especifica una lista de rangos de IP remotos. Esos rangos solo se usan a fin de crear rutas de acceso en tu red de VPC hacia recursos de intercambio de tráfico.

Consulta la información sobre selectores de tráfico para obtener detalles adicionales sobre estas dos opciones de enrutamiento estático.

Selectores de tráfico

Un selector de tráfico define un conjunto de rangos de direcciones IP o bloques CIDR utilizados para establecer un túnel VPN. Estos rangos se usan como parte de la negociación IKE para el túnel. En algunos documentos se hace referencia a los selectores de tráfico como “dominios de encriptación”.

Existen dos tipos de selectores de tráfico:

  • El selector de tráfico local define el conjunto de rangos de IP locales (bloques CIDR) desde la perspectiva de la puerta de enlace de VPN que emite el túnel VPN. En los túneles de Cloud VPN, el selector de tráfico local define el conjunto de CIDR de subredes principales y secundarias para subredes en la red de VPC, que representa el “lado izquierdo” del túnel.

  • El selector de tráfico remoto define el conjunto de rangos de IP remotos (bloques CIDR) desde la perspectiva de la puerta de enlace de VPN que emite el túnel VPN. En un túnel de Cloud VPN, el selector de tráfico remoto es el “lado derecho” o la red de intercambio de tráfico.

Los selectores de tráfico son una parte intrínseca de un túnel VPN, que se usa para establecer el protocolo de enlace IKE. Si es necesario cambiar los CIDR locales o remotos, se deben borrar y volver a crear el túnel de Cloud VPN y su túnel de intercambio de tráfico equivalente.

Opciones de enrutamiento y selectores de tráfico

Los valores del rango de IP (bloque CIDR) para los selectores de tráfico locales y remotos dependen de la opción de enrutamiento que usa el túnel de Cloud VPN:

Túneles VPN con alta disponibilidad
Opción
de enrutamiento de túneles
Selector
de tráfico local
Selector
de tráfico remoto
Rutas
a la red de VPC
Rutas
a la red de intercambio de tráfico
Requiere
enrutamiento dinámico (BGP)
Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
A menos que los anuncios personalizados lo modifiquen, el Cloud Router que administra la interfaz de BGP para el túnel de Cloud VPN comparte las rutas a las subredes en la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y límites para Cloud Router. Sujeto a las restricciones de las rutas personalizadas y las cuotas y límites para Cloud Router, el Cloud Router que administra la interfaz de BGP del túnel de Cloud VPN aprende las rutas que le envía la puerta de enlace VPN de intercambio de tráfico y las agrega a la red de VPC como rutas dinámicas personalizadas.
Túneles de VPN clásica
Opción
de enrutamiento de túneles
Selector
de tráfico local
Selector
de tráfico remoto
Rutas
a la red de VPC
Rutas
a la red de intercambio de tráfico
Enrutamiento dinámico (BGP) Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
A menos que los anuncios personalizados lo modifiquen, el Cloud Router que administra la interfaz de BGP para el túnel de Cloud VPN comparte las rutas a las subredes en la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y límites para Cloud Router. Sujeto a las restricciones de las rutas personalizadas y las cuotas y límites para Cloud Router, el Cloud Router que administra la interfaz de BGP del túnel de Cloud VPN aprende las rutas que le envía la puerta de enlace VPN de intercambio de tráfico y las agrega a la red de VPC como rutas dinámicas personalizadas.
Enrutamiento basado en políticas Configurable.
Consulta Túneles basados en políticas y selectores de tráfico.
Obligatorio.
Consulta Túneles basados en políticas y selectores de tráfico.
Debes crear y mantener de forma manual las rutas hacia las subredes en la red de VPC de tus routers de intercambio de tráfico. Las rutas estáticas personalizadas se crean de forma automática si creas el túnel VPN basado en políticas mediante Cloud Console. Si usas gcloud para crear el túnel, debes usar comandos de gcloud adicionales a fin de crear las rutas. Consulta Crea una VPN clásica mediante el enrutamiento estático para obtener instrucciones.
VPN basada en rutas Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
Debes crear y mantener de forma manual las rutas hacia las subredes en la red de VPC de tus routers de intercambio de tráfico. Las rutas estáticas personalizadas se crean de manera automática si creas el túnel VPN basado en la ruta mediante Cloud Console. Si usas gcloud para crear el túnel, debes usar comandos de gcloud adicionales a fin de crear las rutas. Consulta Crea una VPN clásica mediante el enrutamiento estático para obtener instrucciones.

Túneles basados en políticas y selectores de tráfico

En esta sección se describen las consideraciones especiales para los selectores de tráfico cuando creas túneles de VPN clásica basados en políticas. No aplican a ningún otro tipo de túnel de VPN clásica ni VPN con alta disponibilidad.

Puedes elegir especificar el selector de tráfico local de un túnel de Cloud VPN basado en políticas cuando lo crees:

Debes especificar el selector de tráfico remoto de un túnel de Cloud VPN basado en políticas cuando lo crees. Si creas el túnel de Cloud VPN mediante Cloud Console, se crean de manera automática rutas estáticas personalizadas cuyos destinos corresponden a los CIDR del selector de tráfico remoto. IKEv1 limita los selectores de tráfico remoto a un solo CIDR. Consulta Crea una VPN clásica mediante el enrutamiento estático para obtener instrucciones.

Consideraciones importantes sobre los selectores de tráfico

Antes de crear un túnel basado en la política de Cloud VPN, ten en cuenta la siguiente información:

  • La mayoría de las puertas de enlace de VPN solo pasarán tráfico a través de un túnel VPN si la IP de origen de un paquete se ajusta al selector de tráfico local del túnel y si la IP de destino de un paquete se ajusta al selector de tráfico remoto del túnel. Algunos dispositivos de VPN no aplican este requisito.

  • Cloud VPN es compatible con los CIDR del selector de tráfico de 0.0.0.0/0 (cualquier dirección IP). Consulta la documentación que viene con la puerta de enlace de VPN de intercambio de tráfico a fin de determinar si también funciona. Crear un el túnel VPN basado en políticas con ambos selectores de tráfico establecidos en 0.0.0.0/0 es casi lo mismo que crear una VPN basada en una ruta.

  • Revisa con atención Varios CIDR por selector de tráfico para obtener información sobre cómo Cloud VPN implementa el protocolo IKEv1 y el IKEv2.

  • Cloud VPN no permite editar los selectores de tráfico después de crear una VPN. Para cambiar el selector de tráfico local o remoto de un túnel de Cloud VPN, debes borrarlo y volver a crearlo. Sin embargo, no tienes que borrar la puerta de enlace de Cloud VPN.

  • Si conviertes una red de VPC de modo automático en una red de VPC de modo personalizado, es posible que debas borrar y volver a crear el túnel de Cloud VPN (pero no la puerta de enlace), en especial, si agregas subredes personalizadas, quitas subredes creadas de forma automática o modificas los rangos de IP secundarios de cualquier subred. Debes evitar cambiar el modo de una red de VPC que tenga túneles de Cloud VPN existentes. Revisa las consideraciones para las redes en modo automático a fin de obtener sugerencias.

Además, para un comportamiento de VPN coherente y predecible, haz lo siguiente:

  • Asegúrate de que los selectores de tráfico local y remoto sean lo más específicos posible.

  • Haz que el selector de tráfico local de Cloud VPN sea el mismo que el selector de tráfico remoto configurado para el túnel correspondiente en la puerta de enlace de VPN de intercambio de tráfico.

  • Haz que el selector de tráfico remoto de Cloud VPN sea el mismo que el selector de tráfico local configurado para el túnel correspondiente en la puerta de enlace de VPN local.

Varios CIDR por selector de tráfico

Cuando creas un túnel de VPN clásica basado en una política, puedes especificar varios CIDR por selector de tráfico si usas IKEv2. Cloud VPN siempre usa una sola SA secundaria, independientemente de la versión de IKE.

En la siguiente tabla, se resume la compatibilidad de Cloud VPN con varios CIDR por selector de tráfico en túneles VPN basados en políticas:

Versión de IKE Varios CIDR por selector de tráfico
IKEv1 No
El protocolo IKEv1 solo es compatible con un solo CIDR por asociación de seguridad (SA) secundaria, según se define en RFC 2407 y RFC 2409. Debido a que Cloud VPN requiere una única SA secundaria por túnel VPN, solo se puede proporcionar un único CIDR para el selector de tráfico local y un único CIDR destinado al selector de tráfico remoto cuando se usa IKEv1.

Cloud VPN no admite la creación de un túnel VPN mediante IKEv1 con varias SA secundarias, cada una con un único CIDR.
IKEv2 , siempre que se cumplan todas las condiciones que se indican a continuación:
  • Tu puerta de enlace de VPN de intercambio de tráfico usa una única asociación de seguridad (SA) secundaria. Todos los CIDR del selector de tráfico local y todos los del selector de tráfico remoto deben estar en una única SA secundaria.
  • La cantidad de CIDR que configuras no genera que los paquetes de propuestas de IKE excedan la MTU máxima de Cloud VPN de 1,460 bytes. Los túneles de Cloud VPN no se establecerán si las propuestas de IKE superan esta MTU.
  • No debes superar ninguna restricción para la cantidad de CIDR que admite tu puerta de enlace local. Consulta la documentación de tu proveedor de puertas de enlace para obtener más detalles.

Una práctica recomendada es usar 30 o menos CIDR por selector de tráfico para no crear un paquete de propuestas IKE que exceda la MTU máxima.

Estrategias de selector de tráfico

Considera las siguientes estrategias si tu puerta de enlace de VPN local crea varias SA secundarias por túnel VPN o si varios CIDR por selector de tráfico generarían que una propuesta IKE para IKEv2 supere los 1,460 bytes:

  1. Usa el enrutamiento dinámico para el túnel VPN. Si tu puerta de enlace de VPN de intercambio de tráfico es compatible con BGP, los selectores de tráfico local y remoto para el túnel VPN serán 0.0.0.0/0 por definición. Las rutas se intercambian de forma automática entre la puerta de enlace de VPN de intercambio de tráfico y el Cloud Router asociado a tu túnel de Cloud VPN. Si puedes usar el enrutamiento dinámico, considera VPN con alta disponibilidad.

  2. Usa selectores de tráfico CIDR amplios y únicos, y el enrutamiento de túneles estáticos:

    • Usa una VPN basada en rutas. Ambos selectores de tráfico son 0.0.0.0/0 por definición para las VPN basadas en rutas. Puedes crear rutas que sean más específicas que los selectores de tráfico.

    • Usa el enrutamiento basado en políticas y configura los selectores de tráfico local y remoto para que sean lo más amplios posible. Para túneles de Cloud VPN basados en políticas, puedes crear rutas en redes locales en la red de VPC cuyos destinos sean más específicos que los bloques CIDR especificados en los selectores de tráfico remoto. La forma más sencilla de hacerlo es crear las rutas y los túneles VPN por separado si sigues los pasos de gcloud en la página Crea una VPN clásica mediante el enrutamiento estático.

  3. Crea varios túneles de Cloud VPN con el enrutamiento basado en políticas, de modo que cada túnel solo tenga un bloque CIDR para el selector de tráfico local y uno para el selector de tráfico remoto. Configura el túnel local equivalente de manera similar. Cloud VPN admite varios túneles por puerta de enlace. Sin embargo, el uso de varios túneles tiene algunas consecuencias:

    • La puerta de enlace de VPN de intercambio de tráfico debe ofrecer direcciones IP externas distintas a las que se pueda conectar cada túnel de Cloud VPN. Los túneles de la misma puerta de enlace de VPN clásica deben conectarse a direcciones IP únicas de la puerta de enlace de intercambio de tráfico. Es posible que la puerta de enlace de VPN de intercambio de tráfico también requiera que sus túneles se conecten a direcciones IP únicas. En algunos casos, deberás crear una puerta de enlace de Cloud VPN independiente por cada túnel de Cloud VPN.
    • Cuando creas túneles de Cloud VPN basados en rutas o en políticas mediante Cloud Console, las rutas a la red de intercambio de tráfico se crearán de forma automática además del túnel. Si las rutas se crean de forma automática para varios túneles VPN que usan el mismo selector de tráfico remoto, como será si creas VPN basadas en rutas, puedes tener varias rutas en la red de VPC, todas con destinos idénticos, pero con diferentes próximos saltos. Esto puede llevar a un comportamiento impredecible o inesperado a medida que el tráfico se envía a un túnel VPN de acuerdo con la aplicabilidad y el orden de las rutas. Debes crear y revisar con cuidado las rutas estáticas de tu red de VPC y la red de intercambio de tráfico si no usas el enrutamiento de túnel dinámico (BGP).

Próximos pasos

Más conceptos de VPN

Si deseas obtener información adicional sobre los conceptos de Cloud VPN, usa las flechas de navegación de la parte inferior de la página para pasar al siguiente concepto o usa los siguientes vínculos:

Relacionado con VPN