将第三方 VPN 与 Cloud VPN 配合使用

本页面针对可用于连接到 Cloud VPN 的对等第三方 VPN 设备或服务,提供了经过 Google 测试的互操作性指南以及供应商特定说明。

每份互操作性指南都提供了将第三方 VPN 解决方案连接到 Cloud VPN 的具体说明。 如果第三方解决方案支持动态 (BGP) 路由,则指南会包含 Cloud Router 的配置说明。

大多数对等 VPN 设备都应该能与 Cloud VPN 兼容。如需了解有关配置对等 VPN 设备的一般信息,请参阅配置对等 VPN 网关

任何支持 IPsec 和 IKE 版本 1 或版本 2 的第三方设备或服务都应与 Cloud VPN 兼容。如需查看 Cloud VPN 使用的 IKE 加密方式和其他配置参数的列表,请参阅支持的 IKE 加密方式

如需详细了解 Cloud VPN,请参阅 Cloud VPN 概览

如需了解本页面中使用的术语的定义,请参阅关键术语

供应商的互操作性指南

本部分列出了供应商的互操作性指南。其中每份指南都介绍了如何将该供应商的 VPN 网关解决方案与 Cloud VPN 结合使用。

如需了解本部分中列出的供应商的详细说明,请参阅“供应商特定说明”部分

A-L

指南 备注
没有冗余的 Alibaba Cloud VPN 网关 仅支持静态路由。
具有冗余的 Alibaba Cloud VPN 网关 仅支持静态路由。
使用高可用性 VPN 的 Amazon Web Services

仅支持使用 Cloud Router 路由器进行动态路由。

已知问题:在设置到 AWS 的 VPN 隧道时,需要使用 IKEv2 并在 AWS 端设置较少的 IKE 转换集

使用传统 VPN 的 Amazon Web Services 支持通过 Cloud Router 使用静态路由或动态路由。
使用高可用性 VPN 的 Cisco ASA 5506H 仅支持使用 Cloud Router 路由器进行动态路由。
使用传统 VPN 的 Cisco ASA 5505 仅支持静态路由。
Cisco ASR 支持通过 Cloud Router 使用静态路由或动态路由。
Check Point 安全网关 支持通过 Cloud Router 使用静态路由或动态路由。
使用高可用性 VPN 的 Fortinet FortiGate 仅支持使用 Cloud Router 路由器进行动态路由。
使用传统 VPN 的 Fortinet FortiGate 300C 支持通过 Cloud Router 使用静态路由或动态路由。
Juniper SRX 支持通过 Cloud Router 使用静态路由或动态路由。

M-Z

指南 备注
Microsoft Azure 仅支持静态路由。
Palo Alto Networks PA-3020 支持通过 Cloud Router 使用静态路由或动态路由。
strongSwan 支持使用 Cloud Router 和 BIRD 进行动态路由
VyOS 支持通过 Cloud Router 使用静态路由或动态路由。

供应商特定说明

Check Point

当您为每个流量选择器指定多个 CIDR 时,Check Point VPN 通过创建多个子安全关联 (SA) 来实现 IKEv2。此实现与 Cloud VPN 不兼容,后者要求本地流量选择器和远程流量选择器的所有 CIDR 都位于一个子 SA 中。如需有关如何创建兼容配置的建议,请参阅流量选择器策略

Cisco

如果您的 VPN 网关运行 Cisco IOS XE,请确保您运行的是 16.6.3 版 (Everest) 或更高版本。已知较低版本的第 2 阶段密钥更新事件存在问题,这会导致隧道每几小时就停机几分钟。

Cisco ASA 在 IOS 版本 9.7(x) 及更高版本中支持基于路由的 VPN 与虚拟隧道接口 (VTI)。详情请参阅以下内容:

将 Cisco ASA 设备与 Cloud VPN 隧道结合使用时,不能为每个本地和远程流量选择器配置多个 IP 地址范围(CIDR 块)。这是因为 Cisco ASA 设备对流量选择器中的每个 IP 地址范围使用唯一的 SA,而 Cloud VPN 对流量选择器中的所有 IP 地址范围使用单个 SA。如需了解详情,请参阅基于政策的隧道和流量选择器

后续步骤

  • 要查找维护 VPN 隧道和网关的资源,请参阅维护 VPN 方法指南
  • 如需使用高可用性和高吞吐量场景或多个子网方案,请参阅高级配置
  • 如需帮助解决使用 Cloud VPN 时可能会遇到的常见问题,请参阅问题排查