Roteamento de túnel e redes

Nesta página, descrevemos as redes de nuvem privada virtual compatíveis e as opções de roteamento.

Para definições de termos usados nesta página, consulte Termos-chave.

Redes compatíveis

O Cloud VPN é compatível com redes VPC de modo personalizado, redes VPC de modo automático e redes legadas. No entanto, siga estas práticas recomendadas:

  • Use redes VPC em vez de redes legadas. As redes legadas não são compatíveis com sub-redes. Em vez disso, toda a rede usa um único intervalo de endereços IP. Não é possível convertê-las em redes VPC.

  • Use uma rede VPC de modo personalizado. As redes VPC de modo personalizado oferecem controle total sobre o intervalo de endereços IP usados pelas sub-redes.

    • Se você usar o Cloud VPN para conectar duas redes VPC, pelo menos uma delas precisa ser uma rede VPC de modo personalizado. As redes VPC de modo automático usam o mesmo intervalo de endereços IP internos para as sub-redes delas.

    • Analise as considerações sobre redes de modo automático antes de usar uma com o Cloud VPN. As redes do modo automático criam automaticamente uma sub-rede em cada região do Google Cloud, o que inclui a criação automática de novas sub-redes em novas regiões à medida que são adicionadas. Evite usar os endereços IP particulares do intervalo usado pelas redes de modo automático na rede conectada aos túneis do Cloud VPN.

Opções de roteamento para túneis de VPN

A VPN clássica é compatível com opções de roteamento dinâmico e estático para túneis de VPN, mas a VPN de alta disponibilidade exige a opção de roteamento dinâmico.

O roteamento dinâmico usa o Border Gateway Routing Protocol (BGP).

Roteamento dinâmico (BGP)

O roteamento dinâmico usa um Cloud Router para gerenciar automaticamente a troca de rotas usando o BGP. Uma interface do BGP em um Cloud Router na mesma região do túnel do Cloud VPN correspondente gerencia essa troca. O Cloud Router adiciona e remove rotas sem que o túnel seja excluído e recriado.

O modo de roteamento dinâmico da sua rede VPC controla o comportamento de todos os Cloud Routers. Esse modo determina se as rotas aprendidas da sua rede com peering são aplicadas aos recursos do Google Cloud na mesma região do túnel de VPN ou se são aplicadas em todas as regiões. Você controla as rotas divulgadas por seu roteador ou gateway de peering.

O modo de roteamento dinâmico também determina se as rotas de sub-rede apenas da região do túnel ou de todas as regiões serão compartilhadas com seu roteador ou gateway peering. Além dessas rotas de sub-rede, é possível configurar as divulgações de rotas personalizadas em um Cloud Router.

Roteamento estático

Os túneis de VPN clássica são compatíveis com opções de roteamento estático com base em políticas. Considere uma opção de roteamento estático somente se não for possível usar o roteamento dinâmico (BGP) ou uma VPN de alta disponibilidade.

  • Roteamento com base em políticas: os intervalos de IP locais (lado esquerdo) e os intervalos de IP remotos (lado direito) são definidos como parte do processo de criação do túnel.

  • VPN com base em rotas. Ao usar o Console do Google Cloud para criar uma VPN com base em rota, você especifica apenas uma lista de intervalos de IP remotos. Esses intervalos são usados apenas para criar rotas na sua rede VPC para recursos semelhantes.

Você pode encontrar mais informações sobre essas duas opções de roteamento estático na próxima seção.

Seletores de tráfego

Um seletor de tráfego define um conjunto de intervalos de endereços IP ou blocos CIDR usados ​​para estabelecer um túnel da VPN. Esses intervalos são usados como parte da negociação IKE pelo túnel. Algumas referências tratam os seletores de tráfego como domínios de criptografia.

Existem dois tipos de seletores de tráfego:

  • O seletor de tráfego local define o conjunto de intervalos de IP locais (blocos CIDR) da perspectiva do gateway da VPN que emite o túnel dessa VPN. Para túneis do Cloud VPN, o seletor de tráfego local define o conjunto de CIDRs de sub-rede primárias e secundárias para sub-redes na rede VPC, representando o lado esquerdo do túnel.

  • O seletor de tráfego remoto define o conjunto de intervalos de IP remotos (blocos CIDR) da perspectiva do gateway da VPN que emite o túnel da VPN. Para os túneis do Cloud VPN, o seletor de tráfego remoto é o lado direito ou a rede de peering.

Os seletores de tráfego são uma parte intrínseca de um túnel de VPN, usados para estabelecer o handshake do IKE. Se for necessário alterar os CIDRs locais ou remotos, será preciso destruir e recriar o túnel do Cloud VPN e o túnel de peering correspondente.

Opções de roteamento e seletores de tráfego

Os valores do intervalo de IP (bloco CIDR) para os seletores de tráfego locais e remotos dependem da opção de roteamento usada pelo túnel do Cloud VPN:

Túneis de VPN de alta disponibilidade
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de peering
Requer roteamento
dinâmico (BGP)
Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e com as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites do Cloud Router, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN aprenderá rotas enviadas a ele pela VPN de peering e as adicionará à rede VPC como rotas dinâmicas personalizadas.
Túneis de VPN clássica
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de peering
Roteamento dinâmico (BGP) Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e com as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites do Cloud Router, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN aprenderá rotas enviadas a ele pela VPN de peering e as adicionará à rede VPC como rotas dinâmicas personalizadas.
Roteamento com base em políticas Configurável.
Consulte túneis com base em políticas e seletores de tráfego.
Obrigatório.
Consulte Túneis com base em políticas e seletores de tráfego.
É necessário criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. Se você usar o Console do Cloud para criar o túnel da VPN com base em política, as rotas estáticas personalizadas serão criadas automaticamente. Se você usar a ferramenta gcloud para criar o túnel, use os comandos adicionais da gcloud para criar as rotas. Para instruções, consulte Como criar uma VPN clássica usando roteamento estático.
VPN com base em rotas Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
É necessário criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. Se você usar o Console do Cloud para criar o túnel da VPN com base em rota, as rotas estáticas personalizadas serão criadas automaticamente. Se você usar a ferramenta gcloud para criar o túnel, use os comandos adicionais da gcloud para criar as rotas. Para instruções, consulte Como criar uma VPN clássica usando roteamento estático.

Túneis com base em políticas e seletores de tráfego

Nesta seção, você verá considerações especiais sobre os seletores de tráfego quando você cria túneis de VPN clássica com base em política. Ela não se aplica a outros tipos de túnel de VPN clássica ou de VPN de alta disponibilidade.

Ao criar um túnel do Cloud VPN com base em políticas, especifique o seletor de tráfego local:

  • Seletor de tráfego local personalizado. Defina o seletor de tráfego local como um conjunto de sub-redes na rede VPC ou um conjunto de endereços IP internos que inclua os intervalos de IP desejados de sub-redes na rede VPC. para criar um anexo da VLAN de monitoramento. O IKEv1 limita os seletores de tráfego local para um único CIDR.

  • Redes VPC de modo personalizado: é necessário especificar um seletor de tráfego local personalizado que consista em um intervalo de endereços IP internos.

  • Redes VPC de modo automático. Se não for especificado, o seletor de tráfego local será o intervalo de IP principal (bloco CIDR) da sub-rede criada automaticamente na mesma região do túnel do Cloud VPN. As redes de modo automático têm uma sub-rede por região, com intervalos de IP bem definidos.

  • Redes legadas. Redes legadas: se não for especificado, o seletor de tráfego local é definido como todo o intervalo de endereços IP do RFC 1918 da rede legada.

Especifique o seletor de tráfego remoto de um túnel do Cloud VPN com base em política ao criá-lo. Se você usa o Console do Cloud para criar o túnel do Cloud VPN, as rotas estáticas personalizadas com destinos que correspondem aos CIDRs do seletor de tráfego remoto são criadas automaticamente. O IKEv1 limita os seletores de tráfego remoto para um único CIDR. Para instruções, consulte Como criar uma VPN clássica usando roteamento estático.

Considerações importantes sobre seletores de tráfego

Antes de criar um túnel com base em políticas do Cloud VPN, considere os itens a seguir:

  • A maioria dos gateways da VPN só passará o tráfego por um túnel da VPN se o IP de origem de um pacote couber no seletor de tráfego local do túnel e se o IP de destino de um pacote couber no seletor de tráfego remoto do túnel. Alguns dispositivos da VPN não impõem esse requisito.

  • O Cloud VPN é compatível com CIDRs de seletor de tráfego de 0.0.0.0/0 (qualquer endereço IP). Para determinar se o gateway de VPN de par também funciona, consulte a documentação que acompanha o gateway de VPN de par. Criar um túnel de VPN com base em políticas com os dois seletores de tráfego definidos como 0.0.0.0/0 equivale funcionalmente a criar uma VPN com base em rotas.

  • Analise cuidadosamente vários CIDRs por seletor de tráfego para saber como o Cloud VPN implementa os protocolos IKEv1 e IKEv2.

  • O Cloud VPN proíbe a edição de seletores de tráfego depois que você tiver criado uma VPN. Para alterar o seletor de tráfego local ou remoto para um túnel do Cloud VPN, é necessário excluir o túnel e depois recriá-lo. No entanto, não é preciso excluir o gateway do Cloud VPN.

  • Se você converter uma rede VPC de modo automático para o modo personalizado, talvez seja necessário excluir e recriar o túnel do Cloud VPN, mas não o gateway. Isso pode ocorrer se você adicionar sub-redes personalizadas, remover sub-redes criadas automaticamente ou modificar os intervalos de IP secundários de qualquer sub-rede. Evite alternar o modo de uma rede VPC que tenha túneis atuais do Cloud VPN. Para ver sugestões, consulte as considerações sobre redes VPC de modo automático.

Para ter um comportamento VPN consistente e previsível, faça o seguinte:

  • Especifique os seletores de tráfego local e remoto o máximo possível.

  • Torne o seletor de tráfego local do Cloud VPN igual ao seletor de tráfego remoto configurado para o túnel correspondente no gateway de VPN de peering.

  • Torne o seletor de tráfego remoto do Cloud VPN igual ao seletor de tráfego local configurado para o túnel correspondente no gateway da VPN no local.

Vários CIDRs por seletor de tráfego

Ao criar um túnel de VPN clássica com base em políticas, se você usar IKEv2, poderá especificar vários CIDRs por seletor de tráfego. O Cloud VPN sempre usa uma única associação de segurança (SA, na sigla em inglês) filha, independentemente da versão do IKE.

Na tabela a seguir, há um resumo da compatibilidade do Cloud VPN com vários CIDRs por seletor de tráfego em túneis de VPN com base em políticas:

Versão IKE Vários CIDRs por seletor de tráfego
IKEv1

Não

O protocolo IKEv1 aceita apenas um único CIDR por associação de segurança (SA, na sigla em inglês) filha, conforme definido no RFC 2407 e no RFC 2409. Como o Cloud VPN requer uma única SA filha por túnel de VPN, quando você usa IKEv1, só pode fornecer um único CIDR para o seletor de tráfego local e um único CIDR para o seletor de tráfego remoto.

O Cloud VPN nãoaceita a criação de um túnel de VPN usando o IKEv1 com várias SAs filhas, cada uma com um único CIDR.

IKEv2 Sim, se as condições a seguir forem atendidas:
  • Seu gateway de VPN de par usa uma única SA filha. É necessário que todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto estejam em uma única SA filha.
  • O número de CIDRs configurados não faz com que os pacotes de propostas IKE excedam a MTU máxima de 1.460 bytes do Cloud VPN. Se as propostas de IKE excederem essa MTU, os túneis do Cloud VPN não serão estabelecidos.
  • Nenhuma restrição para o número de CIDRs aceito pelo seu gateway local é excedida. Para mais detalhes, consulte a documentação do seu fornecedor de gateway.

Uma prática recomendada é usar 30 CIDRs ou menos por seletor de tráfego para não criar um pacote de proposta IKE que exceda a MTU máxima.

Estratégias do seletor de tráfego

Considere as seguintes estratégias caso seu gateway de VPN local crie várias SAs filhas por túnel de VPN ou se vários CIDRs por seletor de tráfego fizerem com que uma proposta de IKE para IKEv2 exceda 1.460 bytes (para detalhes, consulte{101). }Opções de roteamento e seletores de tráfego):

  1. Use o roteamento dinâmico para o túnel de VPN. Se o gateway de VPN de peering for compatível com o BGP, os seletores de tráfego local e remoto para o túnel de VPN serão 0.0.0.0/0 por definição. As rotas são trocadas automaticamente entre o gateway de VPN local e o Cloud Router associado ao túnel do Cloud VPN. Se for possível usar o roteamento dinâmico, considere a VPN de alta disponibilidade.

  2. Use roteamento de túnel estático e seletores de tráfego de CIDR únicos e amplos:

    • Use uma VPN com base em rotas. Os dois seletores de tráfego são 0.0.0.0/0 por definição para VPNs com base em rotas. É possível criar rotas mais específicas que os seletores de tráfego.

    • Use o roteamento com base em políticas e configure os seletores de tráfego local e remoto para que tenham a maior amplitude possível. Para túneis do Cloud VPN com base em políticas, é possível criar rotas para redes no local na sua rede VPC que tenham destinos mais específicos do que os blocos CIDR especificados nos seletores de tráfego remoto. Use a ferramenta gcloud para criar as rotas separadamente dos túneis de VPN seguindo as etapas em Como criar uma VPN clássica usando roteamento estático.

  3. Use o roteamento com base em políticas para criar vários túneis do Cloud VPN para que cada túnel tenha apenas um bloco CIDR para o seletor de tráfego local e um bloco CIDR para o seletor de tráfego remoto. Configure o túnel de contraparte local da mesma maneira. O Cloud VPN é compatível com vários túneis por gateway. No entanto, o uso de vários túneis tem algumas implicações:

    • É necessário que o gateway da VPN de peering ofereça endereços IP externos separados com que cada túnel do Cloud VPN seja conectado. É necessário que os túneis no mesmo gateway de VPN clássica se conectem a endereços IP de gateway de peering. Talvez o gateway de VPN de peering também exija que os túneis dele se conectem a endereços IP exclusivos. Em algumas situações, você precisa criar um gateway do Cloud VPN separado por túnel do Cloud VPN.
    • Quando você usa o Console do Cloud para criar túneis do Cloud VPN com base em rotas ou baseados em políticas, as rotas para a rede de peering são criadas automaticamente além do túnel. Se as rotas forem criadas automaticamente para vários túneis de VPN que usam os mesmos seletores de tráfego remoto (como ocorre quando você cria VPNs com base em rotas), será possível ter várias rotas na sua rede VPC, todas com destinos idênticos, mas com próximos saltos diferentes. Talvez isso cause um comportamento imprevisível ou inesperado, já que o tráfego é enviado a um túnel da VPN de acordo com a aplicabilidade e a ordem das rotas. Se você não usa roteamento de túnel dinâmico (BGP), crie e analise rotas estáticas na sua rede VPC e na sua rede de par.

A seguir