Redes y enrutamiento de túneles

En esta página, se describen las redes de nube privada virtual admitidas y las opciones de enrutamiento.

Redes admitidas

Cloud VPN admite redes personalizadas de VPC, redes en modo automático y redes heredadas; sin embargo, deberías considerar las siguientes recomendaciones:

  • Usa redes de VPC en lugar de redes heredadas. Las redes heredadas no admiten subredes. Toda la red usa un único rango de direcciones IP. Las redes heredadas no se pueden convertir en redes de VPC.

  • Usa una red de VPC en modo personalizado. Las redes de VPC en modo personalizado te dan un control total sobre el rango de direcciones IP usadas por sus subredes.

Opciones de enrutamiento para túneles VPN

Cloud VPN admite opciones de enrutamiento dinámico y estático para túneles VPN. El enrutamiento dinámico usa el Protocolo de Enrutamiento de Puerta de Enlace Fronterizo (BGP, por sus siglas en inglés).

Enrutamiento dinámico (BGP)

El enrutamiento dinámico es el método preferido si la puerta de enlace VPN local admite BGP. El enrutamiento dinámico utiliza un Cloud Router para administrar automáticamente las rutas. Comparte las rutas "a GCP" con la puerta de enlace VPN local y acepta rutas a tu red local aprendidas de la puerta de enlace local. Agrega y quita rutas con BGP sin requerir que el túnel se borre y se vuelva a crear.

Los routers locales se configuran a fin de anunciar rutas seleccionadas a través de BGP. La interfaz BGP en el Cloud Router para el túnel de Cloud VPN aprende esas rutas y las aplica a la red de VPC de acuerdo con su modo de enrutamiento dinámico. El mismo Cloud Router también comparte rutas a la red de VPC con la puerta de enlace local.

Enrutamiento estático

Cloud VPN admite las opciones de enrutamiento estático, tanto basadas en políticas como en rutas para los túneles VPN. Considera una opción de enrutamiento estático solo si no puedes usar la opción de enrutamiento dinámico (BGP) para tu túnel VPN:

  • Enrutamiento basado en políticas: los rangos de IP local (lado izquierdo) y los rangos de IP remoto (lado derecho) se definen como parte del proceso de creación del túnel.

  • VPN basada en la ruta: cuando creas una VPN basada en la ruta con GCP Console, solo especificas una lista de rangos de IP remotos. Esos rangos solo se usan para crear rutas en tu red de VPC destinadas a recursos locales.

Consulta la información sobre selectores de tráfico para obtener detalles adicionales sobre estas dos opciones de enrutamiento estático.

Selectores de tráfico

Un selector de tráfico define un conjunto de rangos de direcciones IP o bloques CIDR utilizados para establecer un túnel VPN. Estos rangos se utilizan como parte de la negociación IKE para el túnel. Algunas publicaciones se refieren a los selectores de tráfico como "dominios de encriptación".

Existen dos tipos de selectores de tráfico:

  • El selector de tráfico local define el conjunto de rangos de IP locales (bloques CIDR) desde la perspectiva de la puerta de enlace VPN que emite el túnel VPN. Para los túneles de Cloud VPN, el selector de tráfico local define el conjunto de rangos de IP de subred primaria y secundaria para las subredes en la red de VPC, que representa el "lado izquierdo" del túnel.

  • El selector de tráfico remoto define el conjunto de rangos de IP remotos (bloques CIDR) desde la perspectiva de la puerta de enlace VPN que emite el túnel VPN. Para un túnel de Cloud VPN, el selector de tráfico remoto es el "lado derecho" o la red local.

Los selectores de tráfico son una parte intrínseca de un túnel VPN, utilizado para establecer el protocolo de enlace IKE. Si es necesario cambiar los rangos de IP local o remoto, el túnel de Cloud VPN y su túnel local equivalente se deben destruir y volver a crear.

Opciones de enrutamiento y selectores de tráfico

Los valores del rango de IP (bloque CIDR) para los selectores de tráfico locales y remotos dependen de la opción de enrutamiento usada por el túnel de Cloud VPN:

Opción de
enrutamiento del túnel
Selector de
tráfico local
Selector
de tráfico remoto
Rutas
a la red de VPC
Rutas
a la red local
Enrutamiento dinámico (BGP) Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
A menos que lo modifiquen los anuncios personalizados, el Cloud Router que administra la interfaz BGP para el túnel de Cloud VPN comparte las rutas a las subredes en la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y límites para Cloud Router. Sujeto a las restricciones en las rutas personalizadas y las cuotas y límites para Cloud Router, el servicio Cloud Router que administra la interfaz de BGP para el túnel VPN en la nube aprende las rutas que le envía la puerta de enlace VPN local y las agrega a la red de VPC como rutas dinámicas personalizadas.
Enrutamiento basado en políticas Configurable.
Consulta túneles basados en políticas y selectores de tráfico.
Obligatorio.
Consulta túneles basados en políticas y selectores de tráfico.
Debes crear y mantener manualmente las rutas a las subredes en tu red de VPC en tus routers locales. Las rutas estáticas personalizadas se crean automáticamente si creas el túnel VPN basado en políticas con GCP Console. Si usas gcloud a fin de crear el túnel, debes usar comandos de gcloud adicionales para crear las rutas. Consulta Creación de una VPN basada en políticas para obtener instrucciones.
VPN basada en rutas Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
Debes crear y mantener manualmente las rutas a las subredes en tu red de VPC en tus routers locales. Las rutas estáticas personalizadas se crean automáticamente si creas el túnel VPN basado en la ruta con GCP Console. Si usas gcloud a fin de crear el túnel, debes usar comandos de gcloud adicionales para crear las rutas. Consulta Creación de una VPN basada en rutas para obtener instrucciones.

Túneles basados en políticas y selectores de tráfico

En esta sección, se describen consideraciones especiales para los selectores de tráfico cuando creas túneles de Cloud VPN basados en políticas.

Puedes elegir especificar el selector de tráfico local de un túnel de Cloud VPN basado en políticas cuando lo crees:

  • Selector de tráfico local personalizado: Puedes definir el selector de tráfico local como un conjunto de subredes, todas las subredes en la red de VPC o un rango de IP que incluya las subredes que necesitas.

  • Redes de VPC en modo personalizado: Debes especificar un selector de tráfico local personalizado.

  • Redes de VPC en modo automático: Si no se especifica, el selector de tráfico local es el rango de IP de la subred creada automáticamente en la misma región que el túnel de Cloud VPN. Las redes en modo automático tienen una subred por región con rangos de IP bien definidos.

  • Redes heredadas: Si no se especifica, el selector de tráfico local se define como el espacio de direcciones IP para toda la red heredada.

Debes especificar el selector de tráfico remoto de un túnel de Cloud VPN basado en políticas cuando lo crees. Si creas el túnel de Cloud VPN con GCP Console, las rutas estáticas personalizadas cuyos destinos corresponden a los rangos de IP (bloques CIDR) del selector de tráfico remoto se crean automáticamente. Consulta Creación de una VPN basada en políticas para obtener instrucciones.

Debido a que los selectores de tráfico son configurables para las VPN basadas en políticas, existen algunas consideraciones adicionales en relación con la compatibilidad:

  • Si usas IKEv1 o si tienes que usar un único rango de IP (bloque CIDR) por selector de tráfico con IKEv2, es posible que tengas que crear un "superbloque" para tus selectores de tráfico locales o remotos. Consulta varios rangos de IP por selector de tráfico para conocer las consideraciones.

  • No puedes editar los selectores de tráfico después de crear un túnel de Cloud VPN. Si necesitas cambiarlos, debes borrar y volver a crear el túnel de Cloud VPN (pero no la puerta de enlace).

  • Si conviertes una red de VPC en modo automático a una red de VPC en modo personalizado, es posible que tengas que borrar y volver a crear el túnel de Cloud VPN (pero no la puerta de enlace) si agregas o quitas subredes o modificas los rangos de IP secundarios para las subredes en la red de VPC. Se debe evitar cambiar el modo de una red de VPC con túneles de Cloud VPN existentes. Revisa las consideraciones con respecto a las redes en modo automático para obtener sugerencias.

Varios rangos de IP por selector de tráfico

Cloud VPN admite varios rangos de IP (bloques CIDR) en cada selector de tráfico, pero solo cuando se utiliza IKEv2. La siguiente tabla resume la compatibilidad con varios rangos de IP en los selectores de tráfico:

Versión de IKE Varios rangos de IP por selector de tráfico
Admitidos por Cloud VPN
Varios rangos de IP por selector de tráfico
Admitidos por la puerta de enlace VPN local
IKEv1 No
El protocolo IKEv1 solo admite un único rango de IP (bloque CIDR) para el selector de tráfico local y un único bloque CIDR para el selector de tráfico remoto. Esta es una limitación del protocolo en sí.
IKEv2 , con una única asociación de seguridad (SA) secundaria.
Cloud VPN admite varios rangos de IP (bloques CIDR) por selector de tráfico, hasta la cantidad que puede caber en un único paquete de propuesta IKE cuyo tamaño sea menor o igual al MTU máximo de Cloud VPN de 1,460 bytes.
Una práctica recomendada es utilizar 30 o menos CIDR por selector de tráfico, de modo que no crees un paquete de propuesta IKE que exceda los 1,460 bytes.
Depende de la puerta de enlace.
Tu puerta de enlace también debe admitir varios bloques CIDR con una única SA secundaria para la compatibilidad con Cloud VPN, y los paquetes de propuesta IKE deben ser de 1,460 bytes o menos. Tu puerta de enlace VPN puede tener restricciones adicionales en la cantidad de CIDR por selector de tráfico; consulta su documentación para obtener más detalles.

Estrategias de selector de tráfico

Cloud VPN siempre usa una única SA secundaria, incluso con IKEv2 y varios CIDR por selector de tráfico. Por lo tanto, solo puedes usar IKEv2 si tu puerta de enlace local también admite varios CIDR con una única SA secundaria. Si tu puerta de enlace local no admite varios rangos de IP en una única SA secundaria para IKEv2 o si tienes varios rangos de IP en tu red local, pero debes usar IKEv1 para tus túneles VPN, considera las siguientes estrategias. (Estas estrategias también son útiles a fin de reducir la cantidad total de bloques CIDR por selector de tráfico para túneles VPN que usan IKEv2).

  1. Usa el enrutamiento dinámico para el túnel VPN. Si tu puerta de enlace VPN local admite BGP, los selectores de tráfico local y remoto para el túnel VPN son 0.0.0.0/0 por definición. Las rutas se intercambian automáticamente entre la puerta de enlace VPN local y Cloud Router asociado con su túnel de Cloud VPN.

  2. Usa selectores de tráfico de rango de IP único (CIDR) y amplio, y enrutamiento de túnel estático:

    • Usa una VPN basada en rutas. Ambos selectores de tráfico son 0.0.0.0/0 por definición, para las VPN basadas en rutas. Puedes crear rutas que sean más específicas que los selectores de tráfico.

    • Usa el enrutamiento basado en políticas y configura ambos selectores de tráfico para que sean lo más amplios posible, de modo que abarquen todos los rangos de IP, tanto en la red de VPC como en la red local. Para los túneles de Cloud VPN basados en políticas, puedes crear rutas hacia las redes locales en tu red de VPC cuyos destinos son más específicos que los rangos de IP en los selectores de tráfico remotos. La forma más sencilla de lograr esto es crear las rutas por separado de los túneles VPN siguiendo los pasos de gcloud en la página Creación de una VPN basada en políticas.

  3. Crea varios túneles de Cloud VPN con el enrutamiento basado en políticas, de modo que cada túnel solo tenga un bloque CIDR para su selector de tráfico local y un bloque CIDR para su selector de tráfico remoto. Configura el túnel local equivalente de una manera similar. Cloud VPN admite varios túneles por puerta de enlace. Sin embargo, el uso de varios túneles tiene algunas consecuencias:

    • Tu puerta de enlace VPN local debe admitir varios túneles que terminan en la misma dirección IP pública, de modo que puedas usar una sola puerta de enlace de Cloud VPN para contener todos los túneles. Si no lo hace, tendrás que usar una puerta de enlace de Cloud VPN por cada túnel de Cloud VPN.
    • Cuando creas túneles de Cloud VPN basados en rutas o en políticas con GCP Console, las rutas a la red local se crean automáticamente, además del túnel. Si las rutas se crean automáticamente para varios túneles VPN, en los que cada uno usa el mismo selector de tráfico remoto, según sea el caso, si creas VPN basadas en rutas, puedes tener varias rutas en tu red de VPC, todas con destinos idénticos, pero con diferentes próximos saltos. Esto puede llevar a un comportamiento impredecible o inesperado a medida que el tráfico se envía a un túnel VPN de acuerdo con la aplicabilidad y el orden de las rutas. Debes crear y revisar cuidadosamente las rutas estáticas tanto en tu red de VPC como en tu red local si no usas el enrutamiento dinámico de túneles (BGP).

La mayoría de las puertas de enlace VPN solo pasarán el tráfico a través de un túnel VPN si la fuente se ajusta al selector de tráfico local del túnel y el destino se ajusta al selector de tráfico remoto del túnel. Algunos dispositivos VPN no aplican este requisito, y otros admiten un valor de 0.0.0.0/0 (cualquier dirección IP) para los selectores de tráfico. Tanto la opción de enrutamiento dinámico (BGP) como las VPN basadas en rutas usan selectores de tráfico amplios y de valor único de 0.0.0.0/0 .

Para un comportamiento de VPN consistente y predecible, asegúrate de lo siguiente:

  • Los selectores de tráfico locales y remotos son lo más específicos posible. Esto podría no ser posible si te ves obligado a usar selectores de tráfico de valor único.

  • El selector de tráfico local de Cloud VPN debe coincidir con el selector de tráfico remoto configurado para el túnel correspondiente en la puerta de enlace VPN local.

  • El selector de tráfico remoto de Cloud VPN debe coincidir con el selector de tráfico local configurado para el túnel correspondiente en la puerta de enlace VPN local.

¿Qué sigue?

Más conceptos de VPN

Si deseas obtener información adicional sobre los conceptos de Cloud VPN, usa las flechas de navegación de la parte inferior de la página para pasar al siguiente concepto o usa los siguientes vínculos:

Relacionado con VPN

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...