将第三方 VPN 与 Cloud VPN 配合使用

本页面针对可用于连接到 Cloud VPN对等第三方 VPN 设备或服务,提供了经过 Google 测试的互操作性指南以及供应商特定说明。

任何支持 IPSEC 和 IKE 版本 1 或版本 2 的第三方设备或服务都应与 Cloud VPN 兼容。如需了解详情,请参阅支持的 IKE 加密方式

每份互操作性指南都提供了将第三方 VPN 解决方案连接到 Cloud VPN 的具体说明。

如果第三方解决方案支持动态 (BGP) 路由,则指南会包含 Cloud Router 的配置说明。

  • 大多数对等 VPN 设备都应该能与 Cloud VPN 兼容。有关配置对等 VPN 设备的一般信息,请参阅配置对等 VPN 网关
  • 如需 Cloud VPN 使用的 IKE 加密方式和其他配置参数的列表,请参阅支持的 IKE 加密方式

供应商的互操作性指南

本部分按字母顺序列出了供应商的互操作性指南。其中每份指南都介绍了如何将该供应商的 VPN 网关解决方案与 Cloud VPN 结合使用。

如需了解本节中列出的供应商的详细说明,请参阅针对特定供应商的说明部分

A-L

M-Z

供应商特定说明

Check Point

当您为每个流量选择器指定多个 CIDR 时,Check Point VPN 通过创建多个子安全关联 (SA) 来实现 IKEv2。此实现与 Cloud VPN 不兼容,后者要求本地流量选择器和远程流量选择器的所有 CIDR 都位于一个子 SA 中。有关如何创建兼容配置的建议,请参阅流量选择器策略

Cisco

  • 如果您的 VPN 网关运行 Cisco IOS XE,请确保您运行的是 16.6.3 版 (Everest) 或更高版本。已知较低版本的第 2 阶段密钥更新事件存在问题,这会导致隧道每隔几小时就停机几分钟。
  • Cisco ASA 在 IOS 版本 9.7(x) 及更高版本中支持基于路由的 VPN 与虚拟隧道接口 (VTI)。请参阅 Cisco ASA 系列 9.7(x) 版本说明Cisco ASA 系列 VPN CLI 配置指南 9.7 中的 VTI 章节
  • 将 Cisco ASA 设备与 Cloud VPN 隧道结合使用时,不能为每个本地和远程流量选择器配置多个 IP 地址范围(CIDR 块)。这是因为 Cisco ASA 设备对流量选择器中的每个 IP 地址范围使用唯一的 SA,而 Cloud VPN 对流量选择器中的所有 IP 地址范围使用单个 SA。如需了解详情,请参阅流量选择器

后续步骤