Topologías de VPN con alta disponibilidad

Con la VPN clásica, tus hosts locales se comunican a través de uno o más túneles VPN IPsec a instancias de máquina virtual (VM) de Compute Engine en las redes de nube privada virtual (VPC) de tu proyecto.

En esta página, se describen las topologías recomendadas para VPN con alta disponibilidad. Para las topologías de VPN clásica, consultaTopologías de VPN clásica. Para obtener más información sobre Cloud VPN, incluidos ambos tipos de VPN, consulta Descripción general de Cloud VPN.

Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Descripción general

La VPN con alta disponibilidad es compatible con VPN de sitio a sitio en una de las siguientes topologías o situaciones de configuración recomendadas. Para determinar la situación de configuración adecuada que debes usar, consulta al proveedor de la puerta de enlace de VPN de intercambio de tráfico:

  • Una puerta de enlace de VPN con alta disponibilidad para intercambiar tráfico entre dispositivos VPN. Las siguientes topologías requieren dos túneles VPN desde la perspectiva de la puerta de enlace de VPN con alta disponibilidad. Para determinar qué topología es la más adecuada, consulta con el proveedor de la puerta de enlace de VPN de intercambio de tráfico.
    • Una puerta de enlace de VPN con alta disponibilidad a dos dispositivos VPN de intercambio de tráfico separados en los que cada dispositivo de intercambio de tráfico tenga su propia dirección IP externa.
    • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que tiene dos direcciones IP externas distintas
    • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que tenga una dirección IP externa.
  • Una puerta de enlace de VPN con alta disponibilidad a una puerta de enlace virtual de Amazon Web Services (AWS), que es una configuración de puerta de enlace de intercambio de tráfico con cuatro interfaces.
  • Dos puertas de enlace de VPN con alta disponibilidad conectadas entre sí.

Configuración que admite un 99.99% de disponibilidad

A fin de garantizar un ANS de disponibilidad del 99.99% para las conexiones de VPN con alta disponibilidad, configura correctamente dos o cuatro túneles desde tu puerta de enlace de VPN con alta disponibilidad a tu puerta de enlace VPN de par o a otra puerta de enlace VPN con alta disponibilidad.

Una configuración correcta implica que los túneles VPN deben proporcionar una redundancia adecuada mediante la conexión a todas las interfaces de la puerta de enlace de VPN con alta disponibilidad y a todas las interfaces de la puerta de enlace de VPN de intercambio de tráfico, o a otra puerta de enlace de VPN con alta disponibilidad.

En cada una de las siguientes secciones, se explica cómo configurar túneles en ambos extremos de la conexión de VPN para garantizar una disponibilidad del 99.99%.

Configura la VPN con alta disponibilidad para obtener más ancho de banda

Para aumentar el ancho de banda de tus puertas de enlace de VPN con alta disponibilidad, agrega más túneles VPN con alta disponibilidad.

A fin de calcular cuántos túneles necesitarás, usa 3 Gbps como la suma del ancho de banda de entrada y salida disponibles para cada túnel. Por ejemplo, si necesitas 12 Gbps para la entrada y la salida, debes usar cuatro túneles de forma simultánea (12 ÷ 3 = 4). Para obtener más información sobre los cálculos del ancho de banda de VPN, consulta Ancho de banda de red.

Ten en cuenta los siguientes lineamientos cuando aumentes el ancho de banda de VPN con alta disponibilidad.

  • Verifica las cuotas del túnel VPN

    A menos que conectes una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, cada puerta de enlace de VPN con alta disponibilidad admite una cantidad ilimitada de túneles VPN en cada interfaz.

    Sin embargo, la cuota de túneles VPN limita la cantidad total de túneles VPN en el proyecto.

  • Agrega puertas de enlace de VPN con alta disponibilidad para agregar túneles entre dos VPN con alta disponibilidad

    Cuando conectas una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, solo puedes conectar un túnel por interfaz, 0 o 1, a la interfaz correspondiente, 0 o 1, en la otra puerta de enlace de VPN con alta disponibilidad. . En otras palabras, entre un par de puertas de enlace de VPN con alta disponibilidad, tienes un máximo de dos túneles VPN con alta disponibilidad.

    Por lo tanto, para aumentar la cantidad de túneles VPN entre puertas de enlace de VPN con alta disponibilidad, debes crear pares adicionales de puertas de enlace de VPN con alta disponibilidad.

  • Agrega pares de túneles VPN

    Para aumentar el ancho de banda entre VPN de alta disponibilidad y una puerta de enlace de VPN de intercambio de tráfico local, agrega pares de túneles VPN.

    Por ejemplo, para duplicar el ancho de banda de una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN de intercambio de tráfico local con dos túneles (uno activo, uno pasivo), agrega dos túneles VPN más. Agrega un túnel “activo” más y un túnel más “pasivo”.

    Las sesiones de BGP para los cuatro túneles reciben los mismos prefijos. Los dos túneles activos reciben los prefijos con la misma prioridad más alta, y los dos túneles pasivos reciben los prefijos con la misma prioridad más baja.

  • Coincidencia de interfaces en la puerta de enlace de VPN de intercambio de tráfico

    Debes hacer coincidir las interfaces en la puerta de enlace de VPN de intercambio de tráfico para seguir recibiendo un ANS del 99.99% de tiempo de actividad.

    Cuando duplicas el ancho de banda de una puerta de enlace de VPN con alta disponibilidad que se conecta a una puerta de enlace de VPN local, haz coincidir los túneles con las interfaces en la puerta de enlace de VPN de intercambio de tráfico. Coloca los dos túneles activos en la interfaz 0 y los dos túneles pasivos en la interfaz 1. Como alternativa, coloca los dos túneles activos en la interfaz 1 y los dos túneles pasivos en la interfaz 0.

Ejemplo de ancho de banda mayor

A continuación, se muestra una lista de los recursos de Google Cloud que usa una conexión de VPN con alta disponibilidad a una puerta de enlace de VPN de intercambio de tráfico local con una capacidad de procesamiento de 12 Gbps:

  • Un Cloud Router
  • Una puerta de enlace de VPN con alta disponibilidad con ocho túneles VPN en total, incluidos los siguientes:
    • Cuatro túneles activos conectados a la interfaz 0
    • Cuatro túneles pasivos conectados a la interfaz 1
  • Ocho sesiones de BGP en total, y cada sesión de BGP corresponde a un túnel VPN con alta disponibilidad

Una VPN con alta disponibilidad a puertas de enlace de VPN de intercambio de tráfico

Existen tres opciones de configuración típicas de puerta de enlace de intercambio de tráfico para VPN con alta disponibilidad:

  • Una puerta de enlace de VPN con alta disponibilidad a dos dispositivos VPN de intercambio de tráfico separados, cada uno con su propia dirección IP
  • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa dos direcciones IP separadas
  • Una puerta de enlace de VPN con alta disponibilidad a un dispositivo VPN de intercambio de tráfico que usa una dirección IP

Para establecer alguna de estas opciones de configuración, consulta la sección sobre cómo crear una VPN con alta disponibilidad a una puerta de enlace VPN de intercambio de tráfico.

Dos dispositivos VPN de intercambio de tráfico

Si tu puerta de enlace de intercambio de tráfico está basada en hardware, tener una segunda proporciona redundancia y conmutación por error en ese lado de la conexión. Una segunda puerta de enlace física te permite tomar una de las puertas de enlace sin conexión para actualizaciones de software o demás tareas de mantenimiento programadas. También te protege si hay una falla en uno de los dispositivos.

En esta topología, una puerta de enlace de VPN con alta disponibilidad se conecta a dos dispositivos de intercambio de tráfico. Cada dispositivo de intercambio de tráfico tiene una interfaz y una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor TWO_IPS_REDUNDANCY.

En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.

VPN con alta disponibilidad a dos dispositivos de intercambio de tráfico (locales).
VPN con alta disponibilidad a dos dispositivos de intercambio de tráfico (locales) (haz clic para ampliar)

Un dispositivo VPN de intercambio de tráfico con dos direcciones IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene dos direcciones IP externas distintas. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, uno para cada dirección IP externa del dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor TWO_IPS_REDUNDANCY.

En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.

VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con dos direcciones IP
VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con dos direcciones IP (haz clic para ampliar)

Un dispositivo VPN de intercambio de tráfico con una dirección IP

En esta topología, se describe una puerta de enlace de VPN con alta disponibilidad que se conecta a un dispositivo de intercambio de tráfico que tiene una dirección IP externa. La puerta de enlace de VPN con alta disponibilidad usa dos túneles, ambos orientados a la única dirección IP externa en el dispositivo de intercambio de tráfico.

En Google Cloud, el REDUNDANCY_TYPE de esta configuración toma el valor SINGLE_IP_INTERNALLY_REDUNDANT.

En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.

VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con una dirección IP.
VPN con alta disponibilidad a un dispositivo de intercambio de tráfico (local) con una dirección IP (haz clic para ampliar)

Garantiza el 99.99% de disponibilidad

Para cumplir con el ANS del 99.99% de Google Cloud, debe haber un túnel desde cada una de las dos interfaces en la puerta de enlace de VPN con alta disponibilidad hacia las interfaces correspondientes en la puerta de enlace de intercambio de tráfico.

Si la puerta de enlace de intercambio de tráfico tiene dos interfaces, la configuración de dos túneles, uno desde cada interfaz de intercambio de tráfico a cada interfaz de puerta de enlace de VPN con alta disponibilidad, cumple los requisitos del 99.99% del ANS. No es necesaria una configuración de malla completa para cumplir el 99.99% del ANS de Google Cloud. En este caso, una malla completa se define como dos túneles desde cada interfaz de VPN con alta disponibilidad hacia cada una de las dos interfaces en la puerta de enlace de intercambio de tráfico, para un total de cuatro túneles de Google Cloud. Para confirmar si tu proveedor de VPN recomienda una configuración de malla completa, consulta la documentación de tu dispositivo de VPN de intercambio de tráfico (local) o comunícate con tu proveedor de VPN.

En la configuración con dos interfaces de intercambio de tráfico, los túneles de cada una de las siguientes interfaces en la puerta de enlace de VPN con alta disponibilidad coinciden con las interfaces correspondientes en la puerta de enlace de intercambio de tráfico o las puertas de enlace:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
  • VPN con alta disponibilidad de interface 1 para intercambiar tráfico interface 1

En los dibujos se muestran ejemplos de dos dispositivos de intercambio de tráfico, dos interfaces y un dispositivo de intercambio de tráfico, dos interfaces.

Si solo hay una interfaz de intercambio de tráfico en una puerta de enlace de intercambio de tráfico, cada túnel de cada interfaz de puerta de enlace de VPN con alta disponibilidad debe conectarse a la interfaz de intercambio de tráfico única. Consulta el diagrama de un dispositivo de intercambio de tráfico, una interfaz.

En el siguiente ejemplo, no se proporciona un 99.99% de disponibilidad:

  • VPN con alta disponibilidad de interface 0 para intercambiar tráfico interface 0
Una topología que no proporciona alta disponibilidad.
Una topología que no proporciona alta disponibilidad (haz clic para ampliar)

VPN con alta disponibilidad a puertas de enlace de intercambio de tráfico de AWS

Cuando configuras una puerta de enlace de VPN externa de VPN con alta disponibilidad en Amazon Web Services (AWS), puedes usar una puerta de enlace de transporte público o una puerta de enlace privada virtual. Solo la puerta de enlace de tránsito admite el enrutamiento de ruta múltiple de igual costo (ECMP). Cuando está habilitado, ECMP difunde de igual manera el tráfico entre los túneles activos. La topología admitida requiere dos conexiones VPN de sitio a sitio de AWS, A y B, cada una con dos direcciones IP externas. Esta topología genera cuatro direcciones IP externas en AWS: A1, A2, B1 y B2.

  1. Configura las cuatro direcciones IP de AWS como una sola puerta de enlace externa de VPN con alta disponibilidad con FOUR_IPS_REDUNDANCY, en la que:
    • IP de AWS 0=A1
    • IP de AWS 1=A2
    • IP de AWS 2=B1
    • IP de AWS 3=B2
  2. Crea cuatro túneles en la puerta de enlace de VPN con alta disponibilidad para cumplir con el ANS del 99.99% mediante la siguiente configuración:
    • interface 0 de VPN con alta disponibilidad a la interface 0 de AWS
    • interface 0 de VPN con alta disponibilidad a la interface 1 de AWS
    • interface 1 de VPN con alta disponibilidad a la interface 2 de AWS
    • interface 1 de VPN con alta disponibilidad a la interface 3 de AWS

Configura la VPN con alta disponibilidad con AWS:

  1. En Google Cloud, crea una puerta de enlace de VPN con alta disponibilidad y un Cloud Router en la región que desees. Esto crea dos direcciones IP externas, una para cada interfaz de puerta de enlace. Registra las direcciones IP externas para usarlas en el paso siguiente.
  2. En AWS, crea dos puertas de enlace de clientes con lo siguiente:
    • La opción de enrutamiento Dinámico
    • El ASN de Google del Cloud Router
    • Las direcciones IP externas de la puerta de enlace de VPN con alta disponibilidad de Google Cloud interfaces 0 y 1
  3. Completa los pasos que corresponden a la opción de VPN de AWS que usas:
    • Puerta de enlace de tránsito
      1. Crea un adjunto de VPN de puerta de enlace de transporte público para la primera puerta de enlace del cliente (interface 0) y usa la opción de enrutamiento Dinámico.
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
    • Puerta de enlace privada virtual
      1. Usa lo siguiente a fin de crear una conexión de VPN de sitio a sitio para la primera puerta de enlace del cliente (interface 0):
        • Un Tipo de puerta de enlace de destino de puerta de enlace privada virtual
        • La opción de enrutamiento Dinámico
      2. Repite el paso anterior para la segunda puerta de enlace del cliente (interface 1).
  4. Descarga los archivos de configuración de AWS para las dos conexiones que creaste. Los archivos contienen información que necesitas durante los pasos siguientes en este procedimiento, incluidas las claves de autenticación compartidas previamente, las direcciones IP del túnel externo y las direcciones IP del túnel.
  5. En Google Cloud, haz lo siguiente:
    1. Crea una puerta de enlace de VPN de intercambio de tráfico nueva con cuatro interfaces mediante las direcciones IP externas de AWS de los archivos que descargaste en el paso anterior.
    2. Crea cuatro túneles VPN en la puerta de enlace de VPN con alta disponibilidad que creaste en el paso 1. En cada túnel, configura la interfaz de la puerta de enlace de VPN con alta disponibilidad con la interfaz de puerta de enlace de VPN de intercambio de tráfico adecuada y las claves precompartidas con la información en los archivos de configuración de AWS que descargaste.
    3. Configura las sesiones de BGP en el Cloud Router mediante las direcciones IP de BGP de los archivos de configuración de AWS descargados.

VPN con alta disponibilidad entre las redes de Google Cloud

Puedes conectar dos redes de VPC de Google Cloud mediante una puerta de enlace de VPN con alta disponibilidad en cada red. En el siguiente ejemplo, se proporciona un 99.99% de disponibilidad.

Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud.
Puertas de enlace de VPN con alta disponibilidad entre las redes de Google Cloud (haz clic para ampliar)

Desde la perspectiva de cada puerta de enlace de VPN con alta disponibilidad, creas dos túneles para que se cumplan las siguientes dos condiciones:

  • interface 0 en una puerta de enlace de VPN con alta disponibilidad a interface 0 en la otra VPN con alta disponibilidad
  • interface 1 en una puerta de enlace de VPN con alta disponibilidad a interface 1 en la otra VPN con alta disponibilidad

Para establecer esta configuración, consulta la sección sobre cómo crear dos puertas de enlace de VPN con alta disponibilidad configuradas por completo que se conecten entre sí.

Garantiza el 99.99% de disponibilidad

A fin de proporcionar una disponibilidad del 99.99% para las puertas de enlace de VPN con alta disponibilidad a VPN con alta disponibilidad, deben coincidir las siguientes interfaces en ambas puertas de enlace:

  • VPN con alta disponibilidad interface 0 a VPN con alta disponibilidad interface 0 y
  • VPN con alta disponibilidad interface 1 a VPN con alta disponibilidad interface 1

¿Qué sigue?

  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.