配置对等 VPN 网关

本页介绍了完成 VPN 配置的步骤。

如需完成配置,请在对等 VPN 网关上配置以下资源:

  • 连接到 Cloud VPN 的相应 VPN 隧道
  • 边界网关协议 (BGP) 会话(如果您结合使用 Cloud Router 路由器和动态路由)
  • 防火墙规则
  • IKE 设置

有关设置对等网关的最佳实践,请参阅对等网关文档或制造商。如需查看介绍某些受支持的第三方 VPN 设备和服务的指南,请参阅使用第三方 VPN。此外,某些第三方设备配置模板可从 Google Cloud 控制台下载。如需了解详情,请参阅下载对等 VPN 配置模板

如需详细了解 Cloud VPN,请参阅以下资源:

  • 如需了解在设置 Cloud VPN 之前需要考虑的最佳实践,请参阅最佳实践

  • 如需详细了解 Cloud VPN,请参阅 Cloud VPN 概览

  • 如需了解本页面中所用术语的定义,请参阅关键术语

为高可用性 VPN 配置外部对等 VPN 网关资源

对于高可用性 VPN,您可配置一个外部对等 VPN 网关资源来表示 Google Cloud中的物理对等网关。您也可将此资源创建为独立的资源供稍后使用。

要创建外部对等 VPN 网关资源,您需要来自物理对等网关(或者第三方的基于软件的网关)的以下值。要建立 VPN,外部对等 VPN 网关资源的值必须与物理对等网关上的配置匹配:

  • 物理 VPN 网关上的接口数量
  • 一个或多个对等网关或接口的外部 IP 地址
  • BGP 端点 IP 地址
  • IKE 预共享密钥(共享密钥)
  • ASN 编号

为高可用性 VPN 配置 BGP 会话并启用 IPv6 时,您可以选择配置 IPv6 下一个跃点地址。如果您不手动配置这些 IP 地址, Google Cloud 会自动为您分配这些 IPv6 下一个跃点地址。

如需允许高可用性 VPN 隧道中的 IPv4 和 IPv6(双栈)流量,您必须获取分配给 BGP 对等端的 IPv6 下一个跃点地址。然后,在对等 VPN 设备上配置 VPN 隧道时,您必须配置 IPv6 下一个跃点地址。虽然在每台设备的隧道接口上配置 IPv6 地址,但 IPv6 地址仅用于 IPv6 下一个跃点配置。IPv6 路由通过 IPv4 BGP 对等互连借助 IPv6 NLRI 通告。如需查看 IPv6 下一个跃点地址配置的示例,请参阅为 IPv4 和 IPv6 流量设置第三方 VPN

如需创建独立的外部对等 VPN 网关资源,请完成以下步骤。

控制台

  1. 在 Google Cloud 控制台中,前往 VPN 页面。

    转到 VPN

  2. 点击创建对等 VPN 网关

  3. 为对等网关指定一个名称

  4. 选择物理对等网关具有的接口数量:onetwofour

  5. 为物理 VPN 网关上的每个接口添加接口 IP 地址

  6. 点击创建

gcloud

运行以下命令时,输入物理 VPN 网关的接口 ID 和 IP 地址。您可以输入 1、2 或 4 个接口。

gcloud compute external-vpn-gateways create mygateway \
  --interfaces 0=35.254.128.120,1=35.254.128.121

命令输出应如下所示:

Creating external VPN gateway...done.
NAME       REDUNDANCY_TYPE
mygateway  TWO_IPS_REDUNDANCY

API

对于此命令,您可以使用此网关冗余类型列表。

使用 externalVpnGateways.insert 方法发出 POST 请求。

  POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
  {
    "name": "mygateway",
    "interfaces": [
      {
        "id": 0,
        "ipAddress": "35.254.128.120"
      },
      {
        "id": 1,
        "ipAddress": "35.254.128.121"
      },
    ],
    "redundancyType": "TWO_IPS_REDUNDANCY"
  }

配置 VPN 隧道

如需为您创建的每个 Cloud VPN 隧道创建相应的隧道,请参阅对等 VPN 网关的文档。

对于高可用性 VPN,请在对等网关上配置两个隧道。 对等网关上的一个隧道应与 interface 0 上的 Cloud VPN 隧道相对应。对等网关上的另一个隧道应与 interface 1 上的 Cloud VPN 隧道相对应。

对等网关上的每个隧道还应提供唯一的外部 IP 地址供您的高可用性 VPN 网关使用。

为动态路由配置 BGP 会话

(仅限动态路由)配置您的对等 VPN 网关,使其支持您希望向 Cloud Router 路由器通告的对等子网的 BGP 会话。

如需配置对等网关,请使用 Cloud Router 路由器的 ASN 和 IP 地址以及来自 Cloud VPN 网关的信息。如需获取 Google ASN、已配置的对等网络 ASN 和 BGP IP 地址,请使用 Cloud Router 路由器摘要信息

如果要将高可用性 VPN 配置为允许 IPv4 和 IPv6(双栈)流量,则必须使用分配给 BGP 对等体的 IPv6 下一个跃点地址配置对等网关。

对于高可用性 VPN,两个隧道的 Google ASN(从对等 VPN 网关的角度来看,即对等 ASN)是相同的。

您可以选择将 BGP 会话配置为使用 MD5 身份验证

配置防火墙规则

对于使用 IPv6 的高可用性 VPN 连接,您必须将防火墙配置为允许 IPv6 流量。

有关如何为对等网络配置防火墙规则的说明,请参阅配置防火墙规则

配置 IKE

您可以在对等 VPN 网关上配置 IKE,以实现动态路由、基于路由和基于政策的路由。

高可用性 VPN 隧道必须使用 IKE v2 来支持 IPv6 流量。

如需为 IKE 配置对等 VPN 网关和隧道,请使用下表中的参数。

如需了解如何将 Cloud VPN 连接到某些第三方 VPN 解决方案,请参阅将第三方 VPN 与 Cloud VPN 搭配使用。如需了解 IPsec 加密和身份验证设置,请参阅支持的 IKE 加密方式

对于 IKEv1 和 IKEv2

设置
IPsec 模式 ESP+身份验证隧道模式(站点到站点)
身份验证协议 psk
共享密钥 也称为 IKE 预共享密钥。请遵循这些准则选择安全系数高的密码。预共享密钥属于敏感信息,因为它允许访问您的网络。
启动 auto(如果对等设备丢失,应自动重启连接)
PFS(完全正向加密) on
DPD(死对等体检测) 推荐:Aggressive。DPD 会检测 VPN 重启的时间,并使用备用隧道路由流量。
INITIAL_CONTACT
(有时称为 uniqueids		 推荐:on(有时称为 restart)。用途:更快地检测重启,以便减少感知的停机时间。
TSi(流量选择器 - 发起程序)

子网网络--local-traffic-selector 标志指定的范围。如果未指定 --local-traffic-selector(原因是 VPN 处于自动模式 VPC 网络并且仅发布网关的子网),则使用该子网范围。

旧版网络:网络的范围。
TSr(流量选择器 - 响应程序)

IKEv2:将 --next-hop-vpn-tunnel 设置为该隧道的所有路由的目标范围。

IKEv1:将 --next-hop-vpn-tunnel 设置为该隧道的其中一条路由的任意目标范围。
MTU 对等 VPN 设备的最大传输单元 (MTU) 不得超过 1460 字节。在设备上启用预碎片化,以便先对数据包进行分段,然后进行封装。如需了解详情,请参阅 MTU 注意事项

仅适用于 IKEv1 的其他参数

设置
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 算法 Group 2 (MODP_1024)

配置流量选择器

如需同时支持 IPv4 和 IPv6 流量,请将对等 VPN 网关上的流量选择器设置为 0.0.0.0/0,::/0

如需仅支持 IPv4 流量,请将对等 VPN 网关上的流量选择器设置为 0.0.0.0/0

后续步骤