このページでは、Cloud VPN への接続に使用できるピア サードパーティ VPN デバイスまたはサービスに関して Google がテストした相互運用ガイドとベンダー固有の注意事項について説明します。
各相互運用ガイドでは、サードパーティの VPN ソリューションを Cloud VPN に接続するための具体的な手順を紹介しています。サードパーティ ソリューションが動的(BGP)ルーティングをサポートする場合に備え、このガイドには Cloud Router の構成手順も記載しています。
ほとんどのピア VPN デバイスは Cloud VPN に対応しています。ピア VPN デバイスの構成に関する一般的な説明については、ピア VPN ゲートウェイの構成をご覧ください。
IPsec と IKE バージョン 1 または 2 をサポートするサードパーティのデバイスまたはサービスは、Cloud VPN に対応しています。Cloud VPN で使用される IKE 暗号やその他の構成パラメータの一覧を確認するには、サポートされている IKE の暗号をご覧ください。
Cloud VPN について詳しくは、Cloud VPN の概要をご覧ください。
このページで使用している用語の定義については、主な用語をご覧ください。
ベンダーごとの相互運用ガイド
このセクションでは、各ベンダーの相互運用ガイドの一覧を示します。各ガイドでは、そのベンダーの VPN ゲートウェイ ソリューションを Cloud VPN で使用する方法について説明します。
このセクションに記載されているベンダーの詳細な注意事項については、ベンダー固有の注意事項のセクションをご覧ください。
A~L
| ガイド | 注 |
|---|---|
| Alibaba Cloud VPN Gateway(冗長性なし) | 静的ルートのみをサポートします。 |
| Alibaba Cloud VPN Gateway(冗長性あり) | 静的ルートのみをサポートします。 |
| HA VPN を使用した Amazon Web Services | Cloud Router を使用した動的ルーティングのみをサポートします。 既知の問題: AWS への VPN トンネルを設定する際は、AWS 側で IKEv2 を使用し、設定する IKE 変換セットを低減する必要があります。 |
| Classic VPN を使用した Amazon Web Services | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
| HA VPN での Cisco ASA 5506H | Cloud Router を使用した動的ルーティングのみをサポートします。 |
| Classic VPN での Cisco ASA 5505 | 静的ルートのみをサポートします。 |
| Cisco ASR | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
| Check Point のセキュリティ ゲートウェイ | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
| HA VPN での Fortinet FortiGate | Cloud Router を使用した動的ルーティングのみをサポートします。 |
| Classic VPN での Fortinet FortiGate 300C | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
| Juniper SRX | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
M~Z
| ガイド | 注 |
|---|---|
| Microsoft Azure | 静的ルートのみをサポートします。 |
| Palo Alto Networks PA-3020 | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
| strongSwan | Cloud Router と BIRD を使用した動的ルーティングをサポートします。 |
| VyOS | 静的ルートまたは Cloud Router を使用した動的ルーティングをサポートします。 |
ベンダー固有の注意事項
Check Point
Check Point VPN では、トラフィック セレクタごとに複数の CIDR を指定した場合、複数の子 Security Associations(SA)を作成して IKEv2 を実装します。この実装には、ローカル トラフィック セレクタのすべての CIDR と、リモート トラフィック セレクタのすべての CIDR を 1 つの子 SA に配置する必要がある Cloud VPN との互換性はありません。互換性のある構成を作成する方法については、トラフィック セレクタ戦略をご覧ください。
Cisco
VPN ゲートウェイで Cisco IOS XE を実行している場合は、バージョン 16.6.3(Everest)以降を使用していることを確認してください。これより前のバージョンには、フェーズ 2 rekey イベントに関する既知の問題があります。この問題により、トンネルが数時間ごとに数分間停止します。
Cisco ASA は、IOS バージョン 9.7(x)以降で Virtual Tunnel Interface(VTI)を使用するルートベース VPN をサポートします。詳しくは以下をご覧ください。
Cisco ASA デバイスを Cloud VPN トンネルで使用する場合、ローカル トラフィック セレクタやリモート トラフィック セレクタに対して複数の IP アドレス範囲(CIDR ブロック)を構成できません。これは、Cisco ASA デバイスではトラフィック セレクタの IP アドレス範囲ごとに一意の SA が使用されるのに対し、Cloud VPN ではトラフィック セレクタのすべての IP 範囲に 1 つの SA が使用されることによります。詳細については、ポリシーベースのトンネルとトラフィック セレクタをご覧ください。
次のステップ
- ピア ネットワークのファイアウォール ルールを構成するには、ファイアウォール ルールの構成をご覧ください。
- 高可用性と高スループットのシナリオ、または複数のサブネット シナリオを使用する。高度な構成をご覧ください。
- Cloud VPN の使用時に発生する可能性のある一般的な問題を解決する。トラブルシューティングをご覧ください。