Esta página fornece guias de interoperabilidade testados pela Google e notas específicas do fornecedor para dispositivos ou serviços VPN de terceiros pares que pode usar para se ligar ao Cloud VPN.
Cada guia de interoperabilidade oferece instruções específicas para ligar a solução de VPN de terceiros ao Cloud VPN. Se a solução de terceiros suportar o encaminhamento dinâmico (BGP), o guia inclui instruções de configuração para o Cloud Router.
A maioria dos dispositivos VPN de pares deve ser compatível com a VPN de nuvem. Para obter informações gerais sobre a configuração de dispositivos VPN de pares, consulte o artigo Configure o gateway de VPN de pares.
Qualquer dispositivo ou serviço de terceiros que suporte as versões IPsec e IKE 1 ou 2 deve ser compatível com a VPN Cloud. Para ver uma lista de cifras IKE e outros parâmetros de configuração usados pelo Cloud VPN, consulte o artigo Cifras IKE suportadas.
Alguns modelos de configuração de dispositivos de terceiros estão disponíveis para transferência a partir da consola Google Cloud . Para mais informações, consulte o artigo Transfira um modelo de configuração de VPN de pares.
O IPv6 só é suportado em configurações de VPN de alta disponibilidade. O IPv6 não é suportado pela VPN clássica.
Para mais informações sobre a VPN do Google Cloud, consulte a vista geral da VPN do Google Cloud.
Para ver as definições dos termos usados nesta página, consulte a secção Termos-chave.
Guias de interoperabilidade por fornecedor
Esta secção apresenta guias de interoperabilidade por fornecedor. Cada guia aborda a forma de usar a solução de gateway de VPN desse fornecedor com a VPN na nuvem.
Para ver notas detalhadas que abrangem os fornecedores indicados nesta secção, consulte a secção de notas específicas do fornecedor.
A-L
| Guia | Notas |
|---|---|
| Gateway do Alibaba Cloud VPN sem redundância | Suporta apenas rotas estáticas. |
| Gateway do Alibaba Cloud VPN com redundância | Suporta apenas rotas estáticas. |
| Amazon Web Services com HA VPN | Suporta o encaminhamento dinâmico apenas com o Cloud Router. Problema conhecido: ao configurar túneis VPN para a AWS, é necessário usar o IKEv2 e configurar menos conjuntos de transformação IKE no lado da AWS. |
| Amazon Web Services com VPN clássica | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
| Cisco ASA 5506H com HA VPN | Suporta o encaminhamento dinâmico apenas com o Cloud Router. |
| Cisco ASA 5505 com VPN clássica | Suporta apenas rotas estáticas. |
| Cisco ASR | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
| Gateway de segurança da Check Point | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
| Fortinet FortiGate com HA VPN | Suporta o encaminhamento dinâmico apenas com o Cloud Router. |
| Fortinet FortiGate 300C com VPN clássica | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
| Juniper SRX | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
M-Z
| Guia | Notas |
|---|---|
| Microsoft Azure com HA VPN | Suporta o encaminhamento dinâmico apenas com o Cloud Router. |
| Palo Alto Networks PA-3020 | Suporta rotas estáticas ou encaminhamento dinâmico com o Cloud Router. |
| strongSwan | Suporta o encaminhamento dinâmico com o Cloud Router e o BIRD. |
Notas específicas do fornecedor
As seguintes diretrizes específicas do fornecedor ajudam a configurar os seus dispositivos VPN de terceiros para funcionarem com a Cloud VPN.
Check Point
A VPN Check Point implementa o IKEv2 criando várias associações de segurança secundárias (SAs) quando especifica mais do que um CIDR por seletor de tráfego. Esta implementação é incompatível com a VPN na nuvem, que requer que todos os CIDRs para o seletor de tráfego local e todos os CIDRs para o seletor de tráfego remoto estejam localizados numa única SA secundária. Para ver sugestões sobre como criar uma configuração compatível, consulte as estratégias de seleção de tráfego.
Cisco
Se o gateway de VPN executar o Cisco IOS XE, certifique-se de que está a executar a versão 16.6.3 (Everest) ou posterior. As versões anteriores têm problemas conhecidos com eventos de nova chave da fase 2, o que resulta na desativação dos túneis durante alguns minutos a cada poucas horas.
O Cisco ASA suporta VPN baseada em rotas com interface de túnel virtual (VTI) na versão 9.7(x) e posteriores do IOS. Para mais informações, consulte o seguinte:
- Notas de lançamento da série Cisco ASA, 9.7(x)
Secções da interface de túnel virtual no guia de configuração da CLI da VPN da série Cisco ASA, 9.7
Quando usar dispositivos Cisco ASA com um túnel de VPN na nuvem, não pode configurar mais do que um intervalo de endereços IP (bloco CIDR) para cada um dos seletores de tráfego locais e remotos. O motivo é que os dispositivos Cisco ASA usam um SA exclusivo para cada intervalo de endereços IP num seletor de tráfego, enquanto a VPN na nuvem usa um único SA para todos os intervalos de IP num seletor de tráfego. Para mais informações, consulte o artigo Túneis baseados em políticas e seletores de tráfego.
O que se segue?
- Para configurar a sua VPN de terceiros para tráfego de pilha dupla (IPv4 e IPv6) ou apenas IPv6, consulte o artigo Configure VPNs de terceiros para tráfego IPv4 e IPv6.
- Para configurar regras de firewall para a sua rede de pares, consulte o artigo Configurar regras de firewall.
- Para usar cenários de alta disponibilidade e alto débito ou vários cenários de sub-rede, consulte as configurações avançadas.
- Para ajudar a resolver problemas comuns que pode encontrar ao usar o Cloud VPN, consulte a secção Resolução de problemas.