Netzwerke und Tunnelrouting

Auf dieser Seite werden die unterstützten Virtual Private Cloud-Netzwerke und Routingoptionen erläutert.

Unterstützte Netzwerke

Cloud VPN unterstützt VPC-Netzwerke im benutzerdefinierten und automatischen Modus ebenso wie Legacy-Netzwerke. Hierbei gelten die folgenden Best Practices:

  • Bevorzugen Sie VPC-Netzwerke gegenüber Legacy-Netzwerken. Legacy-Netzwerke unterstützen keine Subnetze. Das gesamte Netzwerk verwendet einen einzigen IP-Adressbereich. Legacy-Netzwerke können nicht in VPC-Netzwerke umgewandelt werden.

  • Verwenden Sie ein VPC-Netzwerk im benutzerdefinierten Modus. Bei VPC-Netzwerken im benutzerdefinierten Modus können Sie den von Ihren Subnetzen verwendeten IP-Adressbereich uneingeschränkt steuern.

Routingoptionen für VPN-Tunnel

Klassisches VPN unterstützt dynamische und statische Routingoptionen für VPN-Tunnel. Für HA VPN ist die Option für dynamisches Routing erforderlich.

Beim dynamischen Routing wird das Border Gateway Protocol (BGP) verwendet.

Dynamisches Routing (mit BGP)

Beim dynamischen Routing wird ein Cloud Router verwendet, um den Austausch von Routen mithilfe des BGP-Protokolls automatisch zu verwalten. Dieser Austausch wird von einer BGP-Benutzeroberfläche auf einem Cloud Router verwaltet, der in derselben Region wie der entsprechende Cloud VPN-Tunnel ist. Der Cloud Router kann Routen hinzufügen und entfernen, ohne dass der Tunnel gelöscht und neu erstellt werden muss.

Durch den dynamischen Routingmodus des VPC-Netzwerks wird das Verhalten aller Cloud Router gesteuert. Dieser Modus legt fest, ob die aus dem Peer-Netzwerk erlernten Routen nur auf Google Cloud-Ressourcen in derselben Region wie der VPN-Tunnel angewendet werden oder in allen Regionen. Sie steuern die von Ihrem Peer-Router oder -Gateway bekannt gegebenen Routen.

Der dynamische Routingmodus legt auch fest, ob Subnetzrouten nur aus der Region des Tunnels oder aus allen Regionen für den Peer-Router oder das Peer-Gateway freigegeben werden. Zusätzlich zu diesen Subnetzrouten können Sie benutzerdefinierte Route Advertisements auf einem Cloud Router konfigurieren.

Statisches Routing

Klassische VPN-Tunnel unterstützen richtlinienbasierte und routenbasierte statische Routingoptionen. Erwägen Sie eine statische Routingoption nur, wenn Sie kein dynamisches Routing oder HA VPN verwenden können.

  • Richtlinienbasiertes Routing: Lokale IP-Bereiche (linke Seite) und Remote-IP-Bereiche (rechte Seite) werden bei der Tunnelerstellung definiert.

  • Routenbasiertes VPN: Wenn Sie ein routenbasiertes VPN mit der Cloud Console erstellen, geben Sie nur eine Liste mit Remote-IP-Bereichen an. Diese Bereiche werden nur verwendet, um im VPC-Netzwerk Routen zu Peer-Ressourcen zu erstellen.

Weitere Informationen zu diesen beiden statischen Routingoptionen finden Sie im Abschnitt Trafficauswahl.

Trafficauswahl

In einer Trafficauswahl werden eine Reihe von IP-Adressbereichen oder CIDR-Blöcken zum Erstellen eines VPN-Tunnels definiert. Diese Bereiche werden als Teil der IKE-Verhandlung für den Tunnel verwendet. Die Trafficauswahl wird mitunter auch als "Verschlüsselungsdomain" bezeichnet.

Es gibt zwei Arten von Trafficauswahl:

  • Mit der lokalen Trafficauswahl werden die lokalen IP-Bereiche bzw. CIDR-Blöcke aus der Perspektive des VPN-Gateways definiert, das den VPN-Tunnel ausgibt. Bei Cloud VPN-Tunneln werden mit der lokalen Trafficauswahl die primären und sekundären CIDR-Subnetzbereiche für Subnetze im VPC-Netzwerk festgelegt. Die Trafficauswahl erfolgt auf der "linken Seite" des Tunnels.

  • Mit der Remote-Trafficauswahl werden die Remote-IP-Bereiche bzw. CIDR-Blöcke aus der Perspektive des VPN-Gateways definiert, das den VPN-Tunnel ausgibt. Bei einem Cloud VPN-Tunnel erfolgt die Remote-Trafficauswahl auf der "rechten Seite" bzw. im Peer-Netzwerk.

Die Trafficauswahl ist ein wesentlicher Bestandteil eines VPN-Tunnels. Sie wird für den IKE-Handshake verwendet. Bei Änderungen an den lokalen oder Remote-CIDRs müssen der Cloud VPN-Tunnel und der zugehörige Peer-Tunnel entfernt und neu erstellt werden.

Routingoptionen und Trafficauswahl

Die Werte der IP-Bereiche bzw. CIDR-Blöcke für die lokale und Remote-Trafficauswahl richten sich nach den vom Cloud VPN-Tunnel verwendeten Routingoptionen:

HA VPN-Tunnel
Tunnel-
Routingoption
Lokale
Trafficauswahl
Remote-
Trafficauswahl
Leitet
an das VPC-Netzwerk weiter
Leitet
an das Peer-Netzwerk weiter
Erfordert
dynamisches Routing (BGP)
Immer
0.0.0.0/0
Immer
0.0.0.0/0
Sofern durch benutzerdefinierte Advertisements nicht anders angegeben, teilt der Cloud Router, der die BGP-Benutzeroberfläche für den Cloud VPN-Tunnel verwaltet, die Routen zu den Subnetzen im VPC-Netzwerk gemäß dem dynamischen Routingmodus des Netzwerks sowie den Kontingenten und Limits für Cloud Router. Der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, ermittelt entsprechend den Einschränkungen für benutzerdefinierte Routen und den Kontingenten und Limits für Cloud Router die vom Peer-VPN-Gateway an ihn gesendeten Routen und fügt sie dem VPC-Netzwerk als benutzerdefinierte dynamische Routen hinzu.
Klassische VPN-Tunnel
Tunnel-
Routingoption
Lokale
Trafficauswahl
Remote-
Trafficauswahl
Leitet
an das VPC-Netzwerk weiter
Leitet
an das Peer-Netzwerk weiter
Dynamisches Routing (mit BGP) Immer
0.0.0.0/0
Immer
0.0.0.0/0
Sofern durch benutzerdefinierte Advertisements nicht anders angegeben, teilt der Cloud Router, der die BGP-Benutzeroberfläche für den Cloud VPN-Tunnel verwaltet, die Routen zu den Subnetzen im VPC-Netzwerk gemäß dem dynamischen Routingmodus des Netzwerks sowie den Kontingenten und Limits für Cloud Router. Der Cloud Router, der die BGP-Schnittstelle für den Cloud VPN-Tunnel verwaltet, ermittelt entsprechend den Einschränkungen für benutzerdefinierte Routen und den Kontingenten und Limits für Cloud Router die vom Peer-VPN-Gateway an ihn gesendeten Routen und fügt sie dem VPC-Netzwerk als benutzerdefinierte dynamische Routen hinzu.
Richtlinienbasiertes Routing Konfigurierbar
Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.
Erforderlich
Weitere Informationen finden Sie unter Richtlinienbasierte Tunnel und Trafficauswahl.
Sie müssen die Routen zu den Subnetzen in Ihrem VPC-Netzwerk manuell auf Ihren Peer-Routern erstellen und verwalten. Benutzerdefinierte statische Routen werden automatisch erstellt, wenn Sie den richtlinienbasierten VPN-Tunnel mithilfe der Cloud Console erstellen. Wenn Sie gcloud zum Erstellen des Tunnels verwenden, müssen Sie zusätzliche gcloud-Befehle verwenden, um die Routen zu erstellen. Weitere Informationen finden Sie unter Klassisches VPN mit statischem Routing erstellen.
Routenbasiertes VPN Immer
0.0.0.0/0
Immer
0.0.0.0/0
Sie müssen die Routen zu den Subnetzen in Ihrem VPC-Netzwerk manuell auf Ihren Peer-Routern erstellen und verwalten. Benutzerdefinierte statische Routen werden automatisch erstellt, wenn Sie den routenbasierten VPN-Tunnel mithilfe der Cloud Console erstellen. Wenn Sie gcloud zum Erstellen des Tunnels verwenden, müssen Sie zusätzliche gcloud-Befehle verwenden, um die Routen zu erstellen. Weitere Informationen finden Sie unter Klassisches VPN mit statischem Routing erstellen.

Richtlinienbasierte Tunnel- und Trafficauswahl

In diesem Abschnitt werden spezielle Überlegungen zur Trafficauswahl beim Erstellen richtlinienbasierter klassischer VPN-Tunnel beschrieben. Dies gilt nicht für andere Arten von klassischen VPN- oder HA VPN-Tunneln.

Sie können die lokale Trafficauswahl eines richtlinienbasierten Cloud VPN-Tunnels bei dessen Erstellung angeben:

Bei einem richtlinienbasierten Cloud VPN-Tunnel geben Sie die Remote-Trafficauswahl während der Tunnelerstellung an. Wenn Sie den Cloud VPN-Tunnel mit der Cloud Console erstellen, werden automatisch statische Routen erstellt, deren Ziele den CIDRs der Remote-Trafficauswahl entsprechen. IKEv1 begrenzt die Remote-Trafficauswahl auf ein einzelnes CIDR. Weitere Informationen finden Sie unter Klassisches VPN mit statischem Routing erstellen.

Wichtige Hinweise für die Trafficauswahl

Bevor Sie einen richtlinienbasierten Cloud VPN-Tunnel erstellen, sollten Sie die folgenden Punkte berücksichtigen:

  • Die meisten VPN-Gateways leiten Traffic nur dann durch einen VPN-Tunnel weiter, wenn die Quell-IP eines Pakets der lokalen Trafficauswahl des Tunnels entspricht und die Ziel-IP eines Pakets der Remote-Trafficauswahl des Tunnels entspricht. Diese Anforderung wird nicht von allen VPN-Geräten erzwungen.

  • Cloud VPN unterstützt Trafficauswahl-CIDRs von 0.0.0.0/0 (beliebige IP-Adresse). Weitere Informationen finden Sie in der Dokumentation des Peer-VPN-Gateways. Das Erstellen eines richtlinienbasierten VPN-Tunnels, bei dem beide Werte für die Trafficauswahl auf 0.0.0.0/0 gesetzt sind, entspricht funktional dem Erstellen eines routenbasierten VPNs.

  • Informieren Sie sich unter Mehrere CIDRs pro Trafficauswahl darüber, wie Cloud VPN die Protokolle IKEv1 und IKEv2 implementiert.

  • In Cloud VPN können Sie keine Trafficauswahl mehr bearbeiten, nachdem Sie ein VPN erstellt haben. Sie müssen den Tunnel löschen und anschließend neu erstellen, um die lokale oder die Remote-Trafficauswahl für einen Cloud VPN-Tunnel zu ändern. Sie dürfen das Cloud VPN-Gateway jedoch nicht löschen.

  • Wenn Sie ein VPC-Netzwerk im automatischen Modus in ein VPC-Netzwerk im benutzerdefinierten Modus konvertieren, müssen Sie unter Umständen den Cloud VPN-Tunnel (nicht das Gateway) löschen und neu erstellen. Dies gilt insbesondere, wenn Sie benutzerdefinierte Subnetze hinzufügen, automatisch erstellte Subnetze entfernen oder die sekundären IP-Bereiche eines beliebigen Subnetzes ändern. Sie sollten den Modus eines VPC-Netzwerks mit bestehenden Cloud VPN-Tunneln nicht wechseln. Weitere Informationen erhalten Sie unter Überlegungen zu Netzwerken im automatischen Modus.

Achten Sie außerdem auf Folgendes, um ein konsistentes und vorhersehbares VPN-Verhalten zu erzielen:

  • Die lokale und die Remote-Trafficauswahl sollten so spezifisch wie möglich sein.

  • Die lokale Trafficauswahl für Cloud VPN sollte mit der Remote-Trafficauswahl übereinstimmen, die auf dem Peer-VPN-Gateway für den entsprechenden Tunnel konfiguriert wurde.

  • Die Remote-Trafficauswahl für Cloud VPN sollte mit der lokalen Trafficauswahl übereinstimmen, die auf dem lokalen VPN-Gateway für den entsprechenden Tunnel konfiguriert wurde.

Mehrere CIDRs pro Trafficauswahl

Wenn Sie einen richtlinienbasierten klassischen VPN-Tunnel erstellen, können Sie mehrere CIDRs pro Trafficauswahl festlegen, wenn Sie IKEv2 verwenden. Cloud VPN verwendet unabhängig von der IKE-Version immer eine einzige untergeordnete SA (Security Association).

In der folgenden Tabelle erhalten Sie eine Übersicht hinsichtlich der Cloud VPN-Unterstützung für mehrere CIDRs pro Trafficauswahl in richtlinienbasierten VPN-Tunneln:

IKE-Version Mehrere CIDRs pro Trafficauswahl
IKEv1 Nein
Das IKEv1-Protokoll unterstützt nur ein einzelnes CIDR pro untergeordneter SA gemäß der Definition in RFC 2407 und RFC 2409. Da für Cloud VPN genau eine untergeordnete SA pro VPN-Tunnel erforderlich ist, können Sie bei Verwendung von IKEv1 nur jeweils eine CIDR für die lokale Trafficauswahl und eine CIDR für die Remote-Trafficauswahl angeben.

Cloud VPN unterstützt die Erstellung eines VPN-Tunnels nicht, wenn IKEv1 mit mehreren untergeordneten SAs mit jeweils einer einzelnen CIDR verwendet wird.
IKEv2 Ja, wenn alle folgenden Bedingungen erfüllt sind:
  • Das Peer-VPN-Gateway verwendet eine einzelne untergeordnete SA. Alle CIDRs für die lokale Trafficauswahl und alle CIDRs für die Remote-Trafficauswahl müssen sich in genau einer untergeordneten SA befinden.
  • Die Anzahl der konfigurierten CIDRs führt nicht dazu, dass IKE-Angebotspakete die maximale Übertragungseinheit (MTU) von Cloud VPN von 1.460 Byte überschreiten. Cloud VPN-Tunnel können nicht feststellen, ob IKE-Angebote diese MTU überschreiten.
  • Die vorgegebene Anzahl der von Ihrem lokalen Gateway unterstützten CIDRS wird nicht überschritten. Weitere Informationen finden Sie in der Dokumentation des Gateway-Anbieters.

Es wird empfohlen, pro Trafficauswahl höchstens 30 CIDRs zu verwenden, damit Sie kein IKE-Angebotspaket erstellen, das die maximale MTU überschreitet.

Strategien zur Trafficauswahl

Berücksichtigen Sie die folgenden Strategien, wenn Ihr lokales VPN-Gateway mehrere untergeordnete SAs pro VPN-Tunnel erstellt oder wenn mehrere CIDRs pro Trafficauswahl dazu führen würden, dass ein IKE-Angebot für IKEv2 erstellt wird, das 1.460 Byte überschreitet:

  1. Verwenden Sie für den VPN-Tunnel das dynamische Routing. Wenn das Peer-VPN-Gateway BGP unterstützt, hat sowohl die lokale als auch die Remote-Trafficauswahl für den VPN-Tunnel standardmäßig den Wert 0.0.0.0/0. Routen werden automatisch zwischen dem Peer-VPN-Gateway und dem mit Ihrem Cloud VPN-Tunnel verbundenen Cloud Router ausgetauscht. Wenn Sie dynamisches Routing verwenden können, sollten Sie HA VPN in Betracht ziehen.

  2. Verwenden Sie eine breite, einzelne CIDR-Trafficauswahl und statisches Tunnelrouting:

    • Verwenden Sie ein routenbasiertes VPN. In beiden Fällen hat die Trafficauswahl standardmäßig den Wert 0.0.0.0/0 für routenbasierte VPNs. Sie können Routen erstellen, die spezifischer als die Trafficauswahl sind.

    • Verwenden Sie richtlinienbasiertes Routing und konfigurieren Sie die lokale und die Remote-Trafficauswahl so breit wie möglich. Für richtlinienbasierte Cloud VPN-Tunnel können Sie Routen zu lokalen Netzwerken in Ihrem VPC-Netzwerk erstellen, deren Ziele spezifischer als die CIDR-Blöcke in der Remote-Trafficauswahl sind. Am einfachsten erstellen Sie die Routen getrennt von den VPN-Tunneln. Folgen Sie dafür den nötigen gcloud-Schritten unter Klassisches VPN mit statischem Routing erstellen.

  3. Erstellen Sie mehrere Cloud VPN-Tunnel mit richtlinienbasiertem Routing, sodass jeder Tunnel nur einen CIDR-Block für die lokale Trafficauswahl und einen für die Remote-Trafficauswahl hat. Konfigurieren Sie das lokale Tunnelgegenstück auf die gleiche Weise. Cloud VPN unterstützt mehrere Tunnel pro Gateway. Die Verwendung mehrerer Tunnel hat jedoch gewisse Auswirkungen:

    • Das Peer-VPN-Gateway muss separate öffentliche IP-Adressen bereitstellen, zu denen jeder Cloud VPN-Tunnel eine Verbindung herstellen kann. Tunnel im selben klassischen VPN-Gateway müssen mit eindeutigen Peer-Gateway-IP-Adressen verbunden werden. Gegebenenfalls müssen die Tunnel des Peer-VPN-Gateways auch mit eindeutigen IP-Adressen verbunden werden. In manchen Fällen müssen Sie ein separates Cloud VPN-Gateway pro Cloud VPN-Tunnel erstellen.
    • Wenn Sie mit der Cloud Console routenbasierte oder richtlinienbasierte Cloud VPN-Tunnel erstellen, werden zusätzlich zum Tunnel automatisch Routen zum Peer-Netzwerk erstellt. Wenn Routen automatisch für mehrere VPN-Tunnel erstellt werden, die alle dieselbe Remote-Trafficauswahl verwenden – wie dies bei der Erstellung von routenbasierten VPNs der Fall ist – kann das VPC-Netzwerk mehrere Routen mit identischen Zielen, aber unterschiedlichen nächsten Hops enthalten. Dies kann zu unvorhersehbarem oder unerwartetem Verhalten führen, wenn Traffic entsprechend der Anwendbarkeit und Reihenfolge der Routen an einen VPN-Tunnel gesendet wird. Wenn Sie kein dynamisches Tunnel-Routing verwenden, müssen Sie statische Routen im VPC-Netzwerk und Peer-Netzwerk sorgfältig erstellen und prüfen.

Weitere Informationen

Weitere VPN-Konzepte

Wenn Sie mehr über Cloud VPN-Konzepte erfahren möchten, wechseln Sie mit den Navigationspfeilen am Ende der Seite zum nächsten Konzept oder klicken Sie auf die folgenden Links:

Zu VPN