Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un gateway VPN classica utilizzando il routing statico

In questa pagina viene descritto come utilizzare il routing statico per creare una VPN classica gateway VPN ad alta disponibilità e un tunnel. Questo tunnel è basato su criteri o su route tunnel.

Con la VPN basata su route, specifichi solo il selettore del traffico remoto. Se hai bisogno per specificare un selettore di traffico locale, crea un tunnel Cloud VPN utilizza invece il routing basato su criteri.

La VPN classica non supporta IPv6.

Per ulteriori informazioni su Cloud VPN, consulta le risorse seguenti:

Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice.
Per ulteriori informazioni su Cloud VPN, consulta Panoramica di Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, vedi Termini chiave.

Opzioni di routing

Quando utilizzi la console Google Cloud per creare un tunnel basato su criteri, La VPN classica esegue le seguenti attività:

Imposta il selettore del traffico locale del tunnel sull'intervallo IP che specificare.
Imposta il selettore del traffico remoto del tunnel sugli intervalli IP che specificato nel campo Intervalli IP di rete remota.
Per ogni intervallo in Intervalli IP di rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo, e il cui hop successivo è il tunnel.

Dopo aver creato un tunnel VPN classica basato su criteri, Intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.

Quando utilizzi la console Google Cloud per creare un tunnel basato su route, La VPN classica esegue le seguenti attività:

Imposta i selettori del traffico locale e remoto del tunnel su qualsiasi indirizzo IP (0.0.0.0/0).
Per ogni intervallo in Intervalli IP di rete remota, Google Cloud crea una route statica personalizzata la cui destinazione (prefisso) è il CIDR dell'intervallo e e l'hop successivo è il tunnel.

Quando utilizzi Google Cloud CLI per creare un tunnel basato su criteri o un tunnel basato su route, i selettori del traffico per il tunnel vengono definiti allo stesso modo. Tuttavia, poiché la creazione di route statiche personalizzate viene eseguita con comandi separati, hai un maggiore controllo sulle route.

Il numero di CIDR che puoi specificare in un selettore di traffico dipende Versione IKE.

Per informazioni di base importanti, consulta quanto segue:

Prima di iniziare

Configura i seguenti elementi in Google Cloud per semplificare la configurazione Cloud VPN:

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con . Le istruzioni per gcloud in questa pagina presuppongono di aver impostato l'ID progetto prima di inviare comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto già impostato esegui questo comando:
```
    gcloud config list --format='text(core.project)'
    
```

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o i seguenti ruoli IAM.

Autorizzazioni

compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.create
compute.targetVpnGateways.delete
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.targetVpnGateways.use
compute.targetVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea una rete VPC e una subnet personalizzate

Prima di creare un gateway e un tunnel VPN classica, creano una rete Virtual Private Cloud (VPC) e almeno una subnet regione in cui si trova il gateway della VPN classica:

Per creare una rete VPC in modalità personalizzata (consigliato), consulta Crea una rete VPC in modalità personalizzata.
Per creare le subnet, vedi Utilizzo delle subnet.

Crea un gateway e un tunnel

Console

Configura il gateway

Nella console Google Cloud, vai alla pagina VPN.

Vai alla VPN
Se stai creando un gateway per la prima volta, fai clic su Crea una connessione VPN.
Seleziona la configurazione guidata della VPN.
Seleziona il pulsante di opzione VPN classica.
Fai clic su Continua.
Nella pagina Crea una connessione VPN, specifica il seguente gateway impostazioni:
- Nome: il nome del gateway VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: puoi aggiungere una descrizione.
- Rete: specifica una rete VPC esistente in cui creare il gateway e il tunnel VPN.
- Regione: i gateway e i tunnel Cloud VPN sono oggetti regionali. Scegli un account Google Cloud regione in cui si troverà il gateway individuarlo. È possibile utilizzare istanze e altre risorse in regioni diverse il tunnel per il traffico in uscita soggetto all'ordine dei route. Per ottenere prestazioni ottimali, individua il gateway e il tunnel nella stessa regione come le risorse Google Cloud pertinenti.
- Indirizzo IP: crea o scegli un indirizzo esterno regionale esistente Indirizzo IP.

Configura i tunnel

Per il nuovo tunnel, nella sezione Tunnel, specifica quanto segue impostazioni:
- Nome: il nome del tunnel VPN. Il nome non può essere modificato in un secondo momento.
- Descrizione: se vuoi, digita una descrizione.
- Indirizzo IP peer remoto: specifica l'indirizzo IP esterno del un gateway VPN peer o VPN peer.
- Versione IKE: scegli la versione IKE appropriata supportata dal gateway VPN peer. IKEv2 è preferito se supportate dal dispositivo peer.
  Problema noto: durante la configurazione dei tunnel VPN ad AWS, utilizzare il protocollo di crittografia IKEv2 e selezionare meno sul lato AWS; altrimenti il tunnel Cloud VPN non sarà possibile rieseguire la chiave. Ad esempio, seleziona una combinazione di pod Fase 2, algoritmi di crittografia, algoritmi di integrità e numeri.
  
  Questo problema di rekeying è causato da un'associazione di sicurezza (SA) di grandi dimensioni la dimensione del payload predefinito di set di trasformazioni AWS. Risultati di questa grande dimensione del payload nella frammentazione IP dei pacchetti IKE sul lato AWS, Cloud VPN non supporta.
- Chiave precondivisa IKE: fornisci una chiave precondivisa (segreto condiviso) utilizzata per autenticazione. La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quello utilizzato quando configuri il tunnel di controparte il gateway VPN peer. Per generare una crittografia forte chiave precondivisa, segui queste istruzioni.
Per i tunnel basati su criteri
1. In Opzioni di routing, seleziona Basato su criteri.
2. In Intervalli IP di rete remota, fornisci un elenco separato da spazi di gli intervalli IP utilizzati dalla rete peer. Questo è il selettore del traffico da remoto o lato destro dal punto di vista di Cloud VPN.
  
  Dopo aver creato un tunnel VPN classica basato su criteri, Gli intervalli IP inseriti nel campo Intervalli IP di rete remota vengono visualizzati come intervalli IP annunciati nella pagina dei dettagli del tunnel VPN.
3. In Intervalli IP locali, seleziona uno dei seguenti metodi:
  - Per scegliere un intervallo IP locale esistente, utilizza Subnet locali o dal menu Fogli Google.
  - Per inserire un elenco di intervalli IP separati da spazi utilizzati in rete VPC, utilizza il campo Intervalli IP locali. Per considerazioni importanti, consulta Tunnel basati su criteri e selettori di traffico.
Per i tunnel basati su percorso
1. In Opzioni di routing, seleziona Basato su percorso.
2. In Intervalli IP di rete remota, fornisci un elenco separato da spazi di gli intervalli IP utilizzati dalla rete peer. Questi intervalli vengono utilizzati e creare route statiche personalizzate il cui hop successivo è questo tunnel VPN.
Se devi creare altri tunnel sullo stesso gateway, fai clic su Aggiungi tunnel e ripeti il passaggio precedente. Puoi anche aggiungere altri tunnel in un secondo momento.
Fai clic su Crea.

gcloud

Per creare un gateway Cloud VPN, completa il comando seguente sequenza. Nei comandi, sostituisci quanto segue:

PROJECT_ID: l'ID del progetto
NETWORK: il nome della tua rete Google Cloud
REGION: la piattaforma Google Cloud regione in cui crei gateway e tunnel
GW_NAME: il nome del gateway
GW_IP_NAME: un nome per l'indirizzo IP esterno utilizzato dal gateway
(Facoltativo) --target-vpn-gateway-region è la regione del Gateway VPN classica su cui operare. Il suo valore dovrebbe sarà lo stesso di --region. Se non specificata, questa opzione è viene impostata automaticamente. Questa opzione esegue l'override del computing/regione predefinito per questa chiamata comando.

Configura le risorse gateway

Crea l'oggetto gateway VPN di destinazione:

gcloud compute target-vpn-gateways create GW_NAME \
   --network=NETWORK \
   --region=REGION \
   --project=PROJECT_ID

Prenota un indirizzo IP esterno (statico) a livello di regione:

gcloud compute addresses create GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID

Prendi nota dell'indirizzo IP (così puoi utilizzarlo quando configuri gateway VPN peer):

gcloud compute addresses describe GW_IP_NAME \
   --region=REGION \
   --project=PROJECT_ID \
   --format='flattened(address)'

Creare tre regole di forwarding: queste regole indicano Google Cloud per inviare ESP (IPsec), UDP 500 e UDP 4500 il traffico verso il gateway:

gcloud compute forwarding-rules create fr-GW_NAME-esp \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=ESP \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

gcloud compute forwarding-rules create fr-GW_NAME-udp4500 \
   --load-balancing-scheme=EXTERNAL \
   --network-tier=PREMIUM \
   --ip-protocol=UDP \
   --ports=4500 \
   --address=GW_IP_NAME \
   --target-vpn-gateway=GW_NAME \
   --region=REGION \
   --project=PROJECT_ID

Crea il tunnel Cloud VPN

Nei comandi, sostituisci quanto segue:
- TUNNEL_NAME: un nome per il tunnel
- ON_PREM_IP: l'indirizzo IP esterno del peer Gateway VPN
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2
  Problema noto: durante la configurazione dei tunnel VPN ad AWS, utilizzare il protocollo di crittografia IKEv2 e selezionare meno sul lato AWS; altrimenti il tunnel Cloud VPN non sarà possibile rieseguire la chiave. Ad esempio, seleziona una combinazione di pod Fase 2, algoritmi di crittografia, algoritmi di integrità e numeri.
  
  Questo problema di rekeying è causato da una grande dimensione del payload SA per predefinito di set di trasformazioni AWS. Risultati di questa grande dimensione del payload nella frammentazione IP dei pacchetti IKE sul lato AWS, Cloud VPN non supporta.
- SHARED_SECRET: la tua chiave precondivisa (condivisa secret). La chiave precondivisa per il tunnel Cloud VPN deve corrispondere a quello utilizzato quando configuri il tunnel di controparte il gateway VPN peer. Per generare una crittografia forte chiave precondivisa, segui queste istruzioni.
Per la VPN basata su criteri:
- LOCAL_IP_RANGES: un elenco delimitato da virgole delle e gli intervalli di indirizzi IP di Google Cloud. Ad esempio, puoi fornire il CIDR per ogni subnet in una rete VPC. Questo è il a sinistra dal punto di vista di Cloud VPN.
- REMOTE_IP_RANGES: un elenco delimitato da virgole delle e gli intervalli IP di reti peer. Questo è il lato destro di dal punto di vista di Cloud VPN.
Per configurare un tunnel VPN basato su criteri, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=LOCAL_IP_RANGES \
    --remote-traffic-selector=REMOTE_IP_RANGES \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Per la VPN basata su route, i selettori del traffico locale e remoto vengono 0.0.0.0/0 come definito nelle opzioni di routing e nel traffico selettori.

Per configurare un tunnel VPN basato su route, esegui questo comando:
```
gcloud compute vpn-tunnels create TUNNEL_NAME \
    --peer-address=ON_PREM_IP \
    --ike-version=IKE_VERS \
    --shared-secret=SHARED_SECRET \
    --local-traffic-selector=0.0.0.0/0 \
    --remote-traffic-selector=0.0.0.0/0 \
    --target-vpn-gateway=GW_NAME \
    --region=REGION \
    --project=PROJECT_ID
```
Creare una route statica per ogni intervallo IP remoto specificato nel Opzione --remote-traffic-selector nel passaggio precedente. Ripeti per ogni intervallo IP remoto. Sostituisci ROUTE_NAME con un nome univoco per il percorso e sostituisci REMOTE_IP_RANGE con l'intervallo IP remoto appropriato.
```
gcloud compute routes create ROUTE_NAME \
    --destination-range=REMOTE_IP_RANGE \
    --next-hop-vpn-tunnel=TUNNEL_NAME \
    --network=NETWORK \
    --next-hop-vpn-tunnel-region=REGION \
    --project=PROJECT_ID
```
Nota: il comando gcloud per creare una route utilizza la priorità predefinita di 1000. Se devi creare una route con priorità più elevata, utilizza il metodo Flag --priority con un numero inferiore quando crei il percorso. Non puoi modificare la priorità di un percorso dopo che è stato create; ma puoi eliminare e sostituire la route statica personalizzata senza dover ricreare il tunnel VPN. Per maggiori dettagli delle route funzionano nella tua rete VPC, Panoramica delle route e Ordine delle route.

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e la VPN associata tunnel, completa i seguenti passaggi:

Configura il gateway VPN peer e il tunnel corrispondente là. Per istruzioni, consulta quanto segue:
- Per indicazioni specifiche sulla configurazione per determinati dispositivi VPN peer, vedi Utilizzare VPN di terze parti.
- Per i parametri di configurazione generali, consulta un gateway VPN peer.
Configura le regole firewall in Google Cloud e nella rete peer, se necessario.
Controlla lo stato del tunnel VPN e delle regole di forwarding.
Per visualizzare le route VPN, vai alla tabella di routing del progetto e filtra per Next hop type:VPN tunnel:

Vai a Routes

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limita gli indirizzi IP per i gateway VPN peer.
Per usare scenari con disponibilità elevata e velocità effettiva elevata, oppure più gli scenari di subnet, vedi Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare durante l'utilizzo Cloud VPN, consulta la sezione Risoluzione dei problemi.