下载对等 VPN 配置模板

本页面介绍如何为第三方对等 VPN 设备下载配置模板。您可以在使用高可用性 VPN 将本地网络连接到 Google Cloud 时配置设备。

您可以在高可用性 VPN 与对等 VPN 网关之间建立连接的最后一步，下载配置模板。此外，您还可以下载已建立高可用性 VPN 隧道的现有对等 VPN 网关的配置模板。

可用的供应商模板

您可以为以下第三方 VPN 设备下载配置模板：

• Cisco Firepower，需运行 ASA 9.13(1)2 或更高版本
• Fortinet FortiGate 200E，需运行 FortiOS 6.2.3 或更高版本
• Juniper vSRX，需运行 JunOS 18.4R3-S2 或更高版本

这些配置模板仅适用于高可用性 VPN，不适用于传统 VPN。

使用模板的注意事项

使用配置模板时，请注意以下几点：

• 您只能从 Google Cloud 控制台下载对等 VPN 设备的配置模板。您无法通过 Cloud VPN API 或 Google Cloud CLI 访问配置模板。

• 您只能下载使用边界网关协议 (BGP) 会话配置的 VPN 隧道的配置模板。

• 配置模板可能不包含任何以下 Google Cloud 功能的配置值：

  • 双栈（IPv4 和 IPv6）或仅 IPv6 高可用性 VPN 网关
  • IPv4 BGP 会话多协议 BGP (MP-BGP) 配置
  • 用于 BGP 身份验证的 MD5
  • IPv6 BGP 会话配置
  • 高可用性 VPN 网关的外部 IPv6 地址

  如果您在高可用性 VPN 中启用上述功能，则您必须在下载配置模板后自行添加其配置。

• 在将配置应用到 VPN 设备之前，您可能需要对配置模板进行额外的自定义设置。例如，您可能需要自定义您的网络或安装在您的 VPN 设备上的特定操作系统版本。在应用配置之前，请先查看所下载配置文件的内容并进行任何必要的调整。

• 某些模板包含由 Google 预先选择的默认值。例如，某些模板会为 IKE 第 1 阶段和第 2 阶段指定 aes256-sha1 算法。您可以根据您的网络或安全要求，修改这些默认值。系统选择的默认值可能因供应商设备而异。如需详细了解系统选择的默认值，请查看配置模板顶部的注释。

• 配置模板不包含高级配置，例如虚拟端口分配或虚拟接口定义。

所需权限

如需创建高可用性 VPN 网关和隧道，您需要具备创建连接到对等 VPN 网关的高可用性 VPN 网关中列出的权限。

如需下载对等 VPN 配置模板，您必须拥有以下项目权限。

执行此任务所需的权限

如需执行此任务，您必须已获得以下权限或 IAM 角色。

权限

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.routers.get
• compute.routers.list

角色

• roles/compute.networkUser

为新的对等 VPN 隧道下载配置模板

如需为新的对等 VPN 设备下载包含隧道配置的配置模板，请执行以下步骤：

1. 在 Google Cloud 控制台中，转到 VPN 页面。

   转到 VPN

2. 创建 VPN 隧道和 BGP 会话：

• 如需创建新的高可用性 VPN 网关，请点击 VPN 设置向导。然后，按照向导配置高可用性 VPN 网关、对等 VPN 网关资源、VPN 隧道和 BGP 会话。 如需了解详细说明，请参阅创建连接到对等 VPN 网关的高可用性 VPN 网关。

  • 如果要为现有高可用性 VPN 网关创建隧道，请完成以下步骤：

    1. 点击创建 VPN 隧道。
    2. 在 VPN 网关列表中，选择一个高可用性 VPN 网关，然后点击继续。
    3. 选择对等 VPN 网关。然后，创建 VPN 隧道并配置 BGP 会话。如需了解详细说明，请参阅添加从高可用性 VPN 网关到对等 VPN 网关的隧道。

1. 在摘要和提醒页面上，点击下载配置。系统随即会显示下载配置对话框。

2. 在供应商列表中，选择您的对等 VPN 设备的供应商。

3. 如果您的对等 VPN 设备的供应商不在列表中，请选择其他并执行以下步骤：

   1. 记录对话框中列出的配置值。您可以使用这些值来配置您的对等 VPN 设备。
   2. 点击取消以退出对话框。
   3. 按照使用第三方 VPN 和配置对等 VPN 网关页面中的说明配置对等 VPN 设备。

4. 如果您选择了其中一个供应商，请从平台列表中选择您的 VPN 设备的平台，然后继续执行操作。

5. 在软件列表中，选择您的 VPN 设备的软件版本。软件版本反映了 VPN 设备所需的最低软件版本。

6. 为对等 VPN 设备完成所有选择后，系统将以纯文本格式显示模板的内容。如需下载配置文件，请点击以下任一选项：

   • 点击 content_copy 复制以将模板内容放入缓冲区中。
   • 点击下载以在本地保存文本文件。

7. 打开该文件或将内容粘贴到所选的文本编辑器中。

8. 将文件中的所有 _SNAKE_CASE_ 变量替换为适合您的 VPN 网关和网络的值。

   由于您尚未创建 VPN 隧道，因此您为每个隧道配置的 IKE 预共享密钥会存储在配置模板中。请勿替换 _IKE_SHARED_SECRET_PLACEHOLDER_ 变量，因为系统已为您替换这些变量。

9. 使用更新后的配置文件中的命令完成配置。您可以在设备上加载整个配置文件，也可以通过交互式提示符输入命令。如需了解详情，请参阅对等 VPN 供应商文档。

下载现有隧道的配置模板

如需下载现有对等 VPN 设备和隧道的配置模板，请执行以下步骤：

1. 在 Google Cloud 控制台中，转到 VPN 页面。

   转到 VPN

2. 点击对等 VPN 网关。

3. 在包含您要下载的配置的对等 VPN 网关和 VPN 隧道旁边，点击 more_vert 操作，然后选择下载配置。

4. 在下载配置对话框中，选择包含您要下载的配置的 VPN 隧道。您只能选择使用 BGP 会话配置的 VPN 隧道。

5. 在供应商列表中，选择您的对等 VPN 设备的供应商。

6. 如果您的对等 VPN 设备的供应商不在列表中，请选择其他并执行以下步骤：

   1. 记录对话框中列出的配置值。您可以使用这些值来配置您的对等 VPN 设备。
   2. 点击取消以退出对话框。
   3. 按照使用第三方 VPN 和配置对等 VPN 网关页面中的说明配置对等 VPN 设备。

7. 如果您选择了其中一个供应商，请从平台列表中选择您的 VPN 设备的平台，然后继续执行操作。

8. 在软件列表中，选择您的 VPN 设备的软件版本。软件版本反映了 VPN 设备所需的最低软件版本。

9. 为对等 VPN 设备完成所有选择后，系统将以纯文本格式显示模板的内容。如需下载配置文件，请点击以下任一选项：

   • 点击 content_copy 复制以将模板内容放入缓冲区中。
   • 点击下载以在本地保存文本文件。

10. 打开该文件或将内容粘贴到所选的文本编辑器中。

11. 将文件中的所有 _SNAKE_CASE_ 变量替换为适合您的 VPN 网关和网络的值。

    由于这些 VPN 隧道均已创建，因此您必须将每个 _IKE_SHARED_SECRET_PLACEHOLDER_ 替换为您为每个隧道配置的 IKE 预共享密钥。

12. 使用更新后的配置文件中的命令完成配置。您可以在设备上加载整个配置文件，也可以通过交互式提示符输入命令。如需了解详情，请参阅对等 VPN 供应商文档。

后续步骤

• 如需检查 VPN 隧道的状态，请参阅检查 VPN 状态。
• 如需查看 Cloud Logging 和 Cloud Monitoring 信息，请参阅查看日志和指标。
• 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题，请参阅问题排查。