Roteamento de túnel e redes

Nesta página, descrevemos as redes de nuvem privada virtual compatíveis e as opções de roteamento.

Redes compatíveis

O Cloud VPN é compatível com redes VPC personalizadas, redes de modo automático e redes legadas. No entanto, siga as práticas recomendadas a seguir:

  • Use redes VPC em vez de redes legadas. As redes legadas não são compatíveis com sub-redes. Em vez disso, toda a rede usa um único intervalo de endereços IP. Não é possível convertê-las em redes VPC.

  • Use uma rede VPC de modo personalizado. As redes VPC de modo personalizado oferecem controle total sobre o intervalo de endereços IP usados pelas sub-redes.

Opções de roteamento para túneis de VPN

A VPN clássica é compatível com opções de roteamento dinâmico e estático para túneis de VPN, mas a VPN de alta disponibilidade exige a opção de roteamento dinâmico.

O roteamento dinâmico usa o Border Gateway Routing Protocol (BGP).

Roteamento dinâmico (BGP)

O roteamento dinâmico usa um Cloud Router para gerenciar automaticamente a troca de rotas que usam o protocolo BGP. Uma interface do BGP em um Cloud Router na mesma região do túnel do Cloud VPN correspondente gerencia essa troca. O Cloud Router adiciona e remove rotas sem que o túnel seja excluído e recriado.

O modo de roteamento dinâmico da sua rede VPC controla o comportamento de todos os Cloud Routers. Esse modo determina se as rotas aprendidas de sua rede de peering são aplicadas apenas aos recursos do Google Cloud na mesma região do túnel de VPN ou se são aplicadas em todas as regiões. Você controla as rotas divulgadas por seu roteador ou gateway de peering.

O modo de roteamento dinâmico também determina se as rotas de sub-rede apenas da região do túnel ou de todas as regiões serão compartilhadas com seu roteador ou gateway peering. Além dessas rotas de sub-rede, é possível configurar as divulgações de rotas personalizadas em um Cloud Router.

Roteamento estático

Os túneis de VPN clássica são compatíveis com opções de roteamento estático com base em políticas. Considere uma opção de roteamento estático somente se não for possível usar o roteamento dinâmico (BGP) ou uma VPN de alta disponibilidade.

  • Roteamento com base em políticas: os intervalos de IP locais (lado esquerdo) e os intervalos de IP remotos (lado direito) são definidos como parte do processo de criação do túnel.

  • VPN com base em rotas: quando criar uma VPN com base em rotas usando o Console do Cloud, você apenas especifica uma lista de intervalos de IP remotos. Esses intervalos são usados apenas para criar rotas na sua rede VPC para recursos de peering.

Consulte a seção sobre seletores de tráfego para ver mais detalhes sobre essas duas opções de roteamento estático.

Seletores de tráfego

Um seletor de tráfego define um conjunto de intervalos de endereços IP ou blocos CIDR usados ​​para estabelecer um túnel da VPN. Esses intervalos são usados como parte da negociação IKE pelo túnel. Algumas publicações se referem a seletores de tráfego como "domínios de criptografia".

Existem dois tipos de seletores de tráfego:

  • O seletor de tráfego local define o conjunto de intervalos de IP locais (blocos CIDR) da perspectiva do gateway da VPN que emite o túnel dessa VPN. Para túneis do Cloud VPN, o seletor de tráfego local define o conjunto de CIDRs de sub-rede primária e secundária para sub-redes na rede VPC, representando o "lado esquerdo" do túnel.

  • O seletor de tráfego remoto define o conjunto de intervalos de IP remotos (blocos CIDR) da perspectiva do gateway da VPN que emite o túnel da VPN. Para um túnel do Cloud VPN, o seletor de tráfego remoto é o "lado direito" ou a rede com peering.

Os seletores de tráfego são uma parte intrínseca de um túnel de VPN, usados para estabelecer o handshake do IKE. Se for necessário alterar os CIDRs locais ou remotos, será preciso destruir e recriar o túnel do Cloud VPN e o túnel de peering correspondente.

Opções de roteamento e seletores de tráfego

Os valores do intervalo de IP (bloco CIDR) para os seletores de tráfego locais e remotos dependem da opção de roteamento usada pelo túnel do Cloud VPN:

Túneis de VPN de alta disponibilidade
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de peering
Requer roteamento
dinâmico (BGP)
Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e com as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites do Cloud Router, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN aprenderá rotas enviadas a ele pela VPN de peering e as adicionará à rede VPC como rotas dinâmicas personalizadas.
Túneis de VPN clássica
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de peering
Roteamento dinâmico (BGP) Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e com as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites do Cloud Router, o Cloud Router que estiver gerenciando a interface do BGP para o túnel do Cloud VPN aprenderá rotas enviadas a ele pela VPN de peering e as adicionará à rede VPC como rotas dinâmicas personalizadas.
Roteamento com base em políticas Configurável.
Consulte Túneis com base em políticas e seletores de tráfego.
Obrigatório.
Consulte Túneis com base em políticas e seletores de tráfego.
É necessário criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. As rotas estáticas personalizadas serão criadas automaticamente se você criar o túnel de VPN com base em políticas usando o Console do Cloud. Se você usar o gcloud para criar o túnel, será necessário usar outros comandos gcloud para criar as rotas. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.
VPN com base em rotas Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
É necessário criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. As rotas estáticas personalizadas são criadas automaticamente se você criar o túnel de VPN com base em rotas usando o Console do Cloud. Se você usar o gcloud para criar o túnel, será necessário usar outros comandos gcloud para criar as rotas. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.

Túneis com base em políticas e seletores de tráfego

Nesta seção, você verá considerações especiais sobre os seletores de tráfego quando você cria túneis de VPN clássica com base em política. Ela não se aplica a outros tipos de túnel de VPN clássica ou de VPN de alta disponibilidade.

Ao criar um túnel do Cloud VPN com base em políticas, especifique o seletor de tráfego local:

  • Seletor de tráfego local personalizado: é possível definir o seletor de tráfego local como um conjunto de sub-redes na rede VPC ou um conjunto de endereços IP internos que incluem intervalos de IP desejados de sub-redes na rede VPC. O IKEv1 limita os seletores de tráfego local para um único CIDR.

  • Redes VPC de modo personalizado: é necessário especificar um seletor de tráfego local personalizado que consista em um intervalo de endereços IP internos.

  • Redes VPC de modo automático: se não for especificado, o seletor de tráfego local é o intervalo primário de IP (bloco CIDR) da sub-rede criada automaticamente na mesma região do túnel do Cloud VPN. As redes de modo automático têm uma sub-rede por região, com intervalos de IP bem definidos.

  • Redes legadas: se não for especificado, o seletor de tráfego local é definido como todo o intervalo de endereços IP do RFC 1918 da rede legada.

Ao criar um túnel do Cloud VPN com base em políticas, é necessário especificar o seletor de tráfego remoto. Se você criar o túnel do Cloud VPN usando o Console do Cloud, as rotas estáticas personalizadas com destinos que correspondem aos CIDRs do seletor de tráfego remoto serão criadas automaticamente. O IKEv1 limita os seletores de tráfego remoto para um único CIDR. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.

Considerações importantes sobre seletores de tráfego

Antes de criar um túnel com base em políticas do Cloud VPN, considere os itens a seguir:

  • A maioria dos gateways da VPN só passará o tráfego por um túnel da VPN se o IP de origem de um pacote couber no seletor de tráfego local do túnel e se o IP de destino de um pacote couber no seletor de tráfego remoto do túnel. Alguns dispositivos da VPN não impõem esse requisito.

  • O Cloud VPN é compatível com CIDRs de seletor de tráfego de 0.0.0.0/0 (qualquer endereço IP). Consulte a documentação de seu gateway de VPN de peering para determinar se ele também é. Criar um túnel de VPN com base em políticas com os dois seletores de tráfego definidos como 0.0.0.0/0 equivale a criar uma VPN com base em rotas.

  • Revise com atenção a seção sobre vários CIDRs por seletor de tráfego para saber como o Cloud VPN implementa os protocolos IKEv1 e IKEv2.

  • O Cloud VPN proíbe a edição de seletores de tráfego depois que você tiver criado uma VPN. Para alterar o seletor de tráfego local ou remoto para um túnel do Cloud VPN, é necessário excluir o túnel e depois recriá-lo. No entanto, não é preciso excluir o gateway do Cloud VPN.

  • Se você converter uma rede VPC de modo automático para de modo personalizado, talvez seja necessário excluir e recriar o túnel do Cloud VPN (não o gateway), especialmente se adicionar sub-redes personalizadas, remover sub-redes criadas automaticamente ou modificar os intervalos de IP secundários de qualquer sub-rede. Evite alternar o modo de uma rede VPC que tenha túneis atuais do Cloud VPN. Para ver sugestões, consulte as considerações sobre redes de modo automático.

Além disso, para que a VPN tenha um comportamento consistente e previsível, faça o seguinte:

  • Especifique os seletores de tráfego local e remoto o máximo possível.

  • Torne o seletor de tráfego local do Cloud VPN igual ao seletor de tráfego remoto configurado para o túnel correspondente no gateway de VPN de peering.

  • Torne o seletor de tráfego remoto do Cloud VPN igual ao seletor de tráfego local configurado para o túnel correspondente no gateway da VPN no local.

Vários CIDRs por seletor de tráfego

Ao criar um túnel de VPN clássica com base em políticas, é possível especificar vários CIDRs por seletor de tráfego, se você usar o IKEv2. O Cloud VPN sempre usa uma única SA filha, independentemente da versão do IKE.

Na tabela a seguir, há um resumo da compatibilidade do Cloud VPN com vários CIDRs por seletor de tráfego em túneis de VPN com base em políticas:

Versão do IKE Vários CIDRs por seletor de tráfego
IKEv1 Não
O protocolo IKEv1 é compatível com apenas um único CIDR por associação de segurança (SA, na sigla em inglês) filha, conforme definido no RFC 2407 e no RFC 2409. Como o Cloud VPN requer uma única SA filha por túnel de VPN, só é possível fornecer um único CIDR para o seletor de tráfego local e um único CIDR para o seletor de tráfego remoto ao usar o IKEv1.

O Cloud VPN não aceita a criação de um túnel de VPN usando o IKEv1 com várias SAs filhas, cada uma com um único CIDR.
IKEv2 Sim, desde que todas as condições a seguir sejam atendidas:
  • O gateway de VPN de peering usa uma única associação de segurança (SA, na sigla m inglês) filha. É necessário que todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto estejam em uma única SA filha.
  • O número de CIDRs configurados não faz com que os pacotes de propostas IKE excedam a MTU máxima de 1.460 bytes do Cloud VPN. Os túneis do Cloud VPN não serão estabelecidos se as propostas de IKE excederem essa MTU.
  • Nenhuma restrição para o número de CIDRs aceito pelo seu gateway local é excedida. Consulte a documentação do seu fornecedor de gateway para mais detalhes.

Uma prática recomendada é usar 30 CIDRs ou menos por seletor de tráfego para não criar um pacote de proposta de IKE que exceda a MTU máxima.

Estratégias do seletor de tráfego

Considere as seguintes estratégias caso seu gateway de VPN no local crie várias SAs filhas por túnel de VPN ou se vários CIDRs por seletor de tráfego fizerem com que uma proposta de IKE para IKEv2 exceda 1.460 bytes:

  1. Use o roteamento dinâmico para o túnel de VPN. Se o gateway de VPN de peering for compatível com o BGP, os seletores de tráfego local e remoto para o túnel de VPN serão 0.0.0.0/0 por definição. As rotas são trocadas automaticamente entre o gateway de VPN local e o Cloud Router associado ao túnel do Cloud VPN. Se for possível usar o roteamento dinâmico, considere a VPN de alta disponibilidade.

  2. Use roteamento de túnel estático e seletores de tráfego de CIDR únicos e amplos:

    • Use uma VPN com base em rotas. Os dois seletores de tráfego são 0.0.0.0/0 por definição para VPNs com base em rotas. É possível criar rotas mais específicas que os seletores de tráfego.

    • Use o roteamento com base em políticas e configure os seletores de tráfego local e remoto para que tenham a maior amplitude possível. Para túneis do Cloud VPN com base em políticas, é possível criar rotas para redes no local na sua rede VPC que tenham destinos mais específicos do que os blocos CIDR especificados nos seletores de tráfego remoto. A maneira mais simples de fazer isso é criar as rotas separadamente dos túneis de VPN seguindo as etapas do gcloud na página Como criar uma VPN clássica usando roteamento estático.

  3. Crie vários túneis do Cloud VPN usando o roteamento com base em políticas. Assim, cada túnel terá apenas um bloco CIDR para o seletor de tráfego local e um bloco CIDR para o seletor de tráfego remoto. Configure o túnel de contraparte local da mesma maneira. O Cloud VPN é compatível com vários túneis por gateway. No entanto, o uso de vários túneis tem algumas implicações:

    • É necessário que o gateway da VPN de peering ofereça endereços IP externos separados com que cada túnel do Cloud VPN seja conectado. É necessário que os túneis no mesmo gateway de VPN clássica se conectem a endereços IP de gateway de peering. Talvez o gateway de VPN de peering também exija que os túneis dele se conectem a endereços IP exclusivos. Em algumas situações, será necessário criar um gateway do Cloud VPN separado para cada túnel do Cloud VPN.
    • Ao criar túneis do Cloud VPN com base em rotas ou em políticas usando o Console do Cloud, as rotas para a rede de peering são criadas automaticamente, assim como o túnel. Se as rotas forem criadas automaticamente para vários túneis de VPN que usam os mesmos seletores de tráfego remoto (como ocorre quando você cria VPNs com base em rotas), será possível ter várias rotas na sua rede VPC, todas com destinos idênticos, mas com próximos saltos diferentes. Talvez isso cause um comportamento imprevisível ou inesperado, já que o tráfego é enviado a um túnel da VPN de acordo com a aplicabilidade e a ordem das rotas. É necessário criar e revisar rotas estáticas com cuidado na rede VPC e na rede de peering se você não usar o roteamento de túnel dinâmico (BGP).

A seguir

Mais conceitos do Cloud VPN

Para mais informações sobre os conceitos do Cloud VPN, use as setas de navegação na parte inferior da página para passar para o próximo conceito ou use os links a seguir:

Relacionado à VPN