Redes y enrutamiento de túneles

En esta página, se describen las redes de nube privada virtual (VPC) admitidas y las opciones de enrutamiento.

Para ver las definiciones de los términos que se usan en esta página, consulta Términos clave.

Redes admitidas

Cloud VPN es compatible con redes de VPC de modo personalizado, automático y redes heredadas. Sin embargo, debes tener en cuenta las siguientes prácticas recomendadas:

  • Usa redes de VPC en lugar de redes heredadas. Las redes heredadas no admiten subredes. Toda la red usa un único rango de direcciones IP. Las redes heredadas no se pueden convertir en redes de VPC.

  • Usa una red de VPC en modo personalizado. Las redes de VPC en modo personalizado te dan un control total sobre el rango de direcciones IP que usan las subredes.

    • Si usas Cloud VPN para conectar dos redes de VPC, al menos una red debe ser una red de VPC en modo personalizado. Las redes de VPC de modo automático usan el mismo rango de direcciones IP internas para sus subredes.

    • Revisa las consideraciones para redes de VPC de modo automático antes de usar una con Cloud VPN. Mediante las redes de VPC de modo automático, se crea una subred de forma automática en cada región de Google Cloud, que incluye la creación automática de subredes nuevas en regiones nuevas a medida que se agregan. Evita usar las direcciones IP internas del rango que usan las redes de VPC de modo automático en la red a la que se conectan los túneles de Cloud VPN.

Opciones de enrutamiento para túneles VPN

La VPN clásica admite opciones de enrutamiento estático para túneles VPN, mientras que la VPN con alta disponibilidad admite la opción de enrutamiento dinámico. Puedes usar túneles de VPN clásica que usen enrutamiento dinámico solo si la puerta de enlace de VPN clásica se conecta al software de puerta de enlace de VPN que se ejecuta dentro de una VM de Compute Engine.

El enrutamiento dinámico usa el protocolo de puerta de enlace fronteriza (BGP).

Enrutamiento dinámico (BGP)

El enrutamiento dinámico usa un Cloud Router para administrar automáticamente el intercambio de rutas mediante BGP. Este intercambio lo administra una interfaz de BGP en un Cloud Router en la misma región que el túnel de Cloud VPN correspondiente. Cloud Router agrega y quita rutas sin necesidad de borrar y volver a crear el túnel.

En el modo de enrutamiento dinámico de la red de VPC, se controla el comportamiento de todos sus Cloud Routers. Este modo determina si las rutas aprendidas de tu red de intercambio de tráfico se aplican a los recursos de Google Cloud en la misma región que el túnel VPN, o si se aplican en todas las regiones. Se pueden controlar las rutas que anuncia el router o la puerta de enlace de intercambio de tráfico.

En el modo de enrutamiento dinámico, también se determina si las rutas de subredes de solo la región del túnel o de todas las regiones se comparten con el router o la puerta de enlace de intercambio de tráfico. Además de estas rutas de subredes, puedes configurar anuncios de ruta personalizados en un Cloud Router.

Enrutamiento estático

Los túneles de VPN clásica admiten opciones de enrutamiento estático basadas en políticas y rutas. Considera una opción de enrutamiento estático solo si no puedes usar enrutamiento dinámico (BGP) o VPN con alta disponibilidad.

  • Enrutamiento basado en políticas. Los rangos de IP locales (lado izquierdo) y los rangos de IP remotos (lado derecho) se definen como parte del proceso de creación del túnel.

  • VPN basada en rutas. Cuando usas la consola de Google Cloud para crear una VPN basada en ruta, solo especificas una lista de rangos de IP remotos. Esos rangos se usan solo para crear rutas en tu red de VPC a los recursos de intercambio de tráfico.

Puedes encontrar más información sobre estas dos opciones de enrutamiento estático en la siguiente sección.

Selectores de tráfico

Un selector de tráfico define un conjunto de rangos de direcciones IP o bloques CIDR utilizados para establecer un túnel VPN. Estos rangos se usan como parte de la negociación IKE para el túnel. En algunas publicaciones, se hace referencia a los selectores de tráfico como dominios de encriptación.

Existen dos tipos de selectores de tráfico:

  • El selector de tráfico local define el conjunto de rangos de IP locales (bloques CIDR) desde la perspectiva de la puerta de enlace de VPN que emite el túnel VPN. En los túneles de Cloud VPN, el selector de tráfico local define el conjunto de subredes de CIDR principales y secundarias para subredes en la red de VPC, que representa el lado izquierdo del túnel.

  • El selector de tráfico local define el conjunto de rangos de IP remota (bloques CIDR) desde la perspectiva de la puerta de enlace de VPN que emite el túnel VPN. Para los túneles de Cloud VPN, el selector de tráfico remoto es el lado derecho o la red de intercambio de tráfico.

Los selectores de tráfico son una parte intrínseca de un túnel VPN, utilizado para establecer el protocolo de enlace IKE. Si es necesario cambiar los CIDR locales o remotos, se deben borrar y volver a crear el túnel de Cloud VPN y su túnel de intercambio de tráfico equivalente.

Opciones de enrutamiento y selectores de tráfico

Los valores del rango de IP (bloque CIDR) para los selectores de tráfico locales y remotos dependen de la opción de enrutamiento que usa el túnel de Cloud VPN.

Túneles VPN con alta disponibilidad
Opción
de enrutamiento de túneles
Selector
de tráfico local
Selector
de tráfico remoto
Rutas
a la red de VPC
Rutas
a la red de intercambio de tráfico
Requiere
enrutamiento dinámico (BGP)
Siempre
0.0.0.0/0 para IPv4
o 0.0.0.0/0,::/0 para IPv4 e IPv6
Siempre
0.0.0.0/0 para IPv4
o 0.0.0.0/0,::/0 para IPv4 e IPv6
A menos que los anuncios personalizados lo modifiquen, el Cloud Router que administra la interfaz de BGP para el túnel de Cloud VPN comparte las rutas a las subredes en la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y límites para Cloud Router. Sujeto a las restricciones de las rutas personalizadas y las cuotas y límites para Cloud Router, el Cloud Router que administra la interfaz de BGP del túnel de Cloud VPN aprende las rutas que le envía la puerta de enlace VPN de intercambio de tráfico y las agrega a la red de VPC como rutas dinámicas personalizadas.
Túneles VPN clásicos
Opción
de enrutamiento de túneles
Selector
de tráfico local
Selector
de tráfico remoto
Rutas
a la red de VPC
Rutas
a la red de intercambio de tráfico
Enrutamiento dinámico (BGP) Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
A menos que los anuncios personalizados lo modifiquen, el Cloud Router que administra la interfaz de BGP para el túnel de Cloud VPN comparte las rutas a las subredes en la red de VPC según el modo de enrutamiento dinámico de la red y las cuotas y límites para Cloud Router. Sujeto a las restricciones de las rutas personalizadas, las cuotas y límites para Cloud Router, el Cloud Router que administra la interfaz de BGP del túnel de Cloud VPN aprende las rutas que le envía la puerta de enlace de VPN de intercambio de tráfico y las agrega a la red de VPC como rutas dinámicas personalizadas.
Enrutamiento basado en políticas Configurable.
Consulta túneles basados en políticas y selectores de tráfico.
Obligatorio
Consulta túneles basados en políticas y selectores de tráfico.
Debes crear y mantener de forma manual las rutas hacia las subredes en la red de VPC de tus routers de intercambio de tráfico. Si usas la consola de Google Cloud para crear el túnel VPN basado en políticas, se crean rutas estáticas personalizadas de forma automática. Si usas la CLI de gcloud para crear el túnel, debes usar comandos de gcloud adicionales a fin de crear las rutas. Para obtener instrucciones, consulta Crea una VPN clásica mediante el enrutamiento estático.
VPN basada en rutas Siempre
0.0.0.0/0
Siempre
0.0.0.0/0
Debes crear y mantener de forma manual las rutas hacia las subredes en la red de VPC de tus routers de intercambio de tráfico. Si usas la consola de Google Cloud para crear el túnel VPN basado en rutas, se crean rutas estáticas personalizadas de forma automática. Si usas la CLI de gcloud para crear el túnel, debes usar comandos gcloud adicionales a fin de crear las rutas. Para obtener instrucciones, consulta Crea una VPN clásica mediante el enrutamiento estático.

Túneles basados en políticas y selectores de tráfico

En esta sección, se describen las consideraciones especiales para los selectores de tráfico cuando creas túneles de VPN clásica basados en políticas. No aplican a ningún otro tipo de túnel de VPN clásica ni VPN con alta disponibilidad.

Puedes elegir especificar el selector de tráfico local de un túnel de Cloud VPN basado en políticas cuando lo crees:

  • Selector de tráfico local personalizado. Puedes definir el selector de tráfico local como un conjunto de subredes en la red de VPC o un conjunto de direcciones IP internas que incluyen rangos de IP deseados de subredes en la red de VPC. IKEv1 limita los selectores de tráfico local a un solo CIDR.

  • Redes de VPC en modo personalizado. Debes especificar un selector de tráfico local personalizado que conste de un rango de direcciones IP internas.

  • Redes de VPC en modo automático. Si no se especifica, el selector de tráfico local es el rango de IP principal (bloque CIDR) de la subred creada automáticamente en la misma región que el túnel de Cloud VPN. Las redes de VPC en modo automático tienen una subred por región con rangos de IP bien definidos.

  • Redes heredadas. Si no se especifica, el selector de tráfico local se define como todo el rango de direcciones IP de RFC 1918 de la red heredada.

Especifica el selector de tráfico remoto de un túnel de Cloud VPN basado en políticas cuando lo crees. Si usas la consola de Google Cloud para crear el túnel de Cloud VPN, se crean automáticamente rutas estáticas personalizadas cuyos destinos corresponden a los CIDR del selector de tráfico remoto. IKEv1 limita los selectores de tráfico remoto a un solo CIDR. Para obtener instrucciones, consulta Crea una VPN clásica mediante el enrutamiento estático.

Consideraciones importantes sobre los selectores de tráfico

Antes de crear un túnel basado en la política de Cloud VPN, ten en cuenta la siguiente información:

  • La mayoría de las puertas de enlace de VPN solo pasarán tráfico a través de un túnel VPN si la dirección IP de origen de un paquete se ajusta al selector de tráfico local del túnel y si la IP de destino de un paquete se ajusta al selector de tráfico remoto del túnel. Algunos dispositivos de VPN no aplican este requisito.

  • Cloud VPN es compatible con los CIDR del selector de tráfico de 0.0.0.0/0 (cualquier dirección IP). Para determinar si tu puerta de enlace de VPN de intercambio de tráfico también lo hace, consulta la documentación que viene con la puerta de enlace de VPN de intercambio de tráfico. Crear un el túnel VPN basado en políticas con ambos selectores de tráfico establecidos en 0.0.0.0/0 es prácticamente lo mismo que crear una VPN basada en una ruta.

  • Revisa con atención Varios CIDR por selector de tráfico para obtener información sobre cómo Cloud VPN implementa el protocolo IKEv1 y el IKEv2.

  • Cloud VPN no permite editar los selectores de tráfico después de crear una VPN. Para cambiar el selector de tráfico local o remoto de un túnel de Cloud VPN, debes borrarlo y, luego, volver a crearlo. Sin embargo, no tienes que borrar la puerta de enlace de Cloud VPN.

  • Si conviertes una red de VPC en modo automático a una red de VPC en modo personalizado, es posible que debas borrar y volver a crear el túnel de Cloud VPN (pero no la puerta de enlace). Esto puede ser el caso si agregas subredes personalizadas, quitas subredes creadas de forma automática o modificas los rangos de IP secundarios de cualquier subred. Evita cambiar el modo de una red de VPC que tiene túneles de Cloud VPN existentes. Si deseas obtener sugerencias, revisa las consideraciones para las redes de VPC en modo automático.

Para un comportamiento de VPN coherente y predecible, haz lo siguiente:

  • Asegúrate de que los selectores de tráfico local y remoto sean lo más específicos posible.

  • Haz que el selector de tráfico local de Cloud VPN sea el mismo que el selector de tráfico remoto configurado para el túnel correspondiente en la puerta de enlace de VPN de intercambio de tráfico.

  • Haz que el selector de tráfico remoto de Cloud VPN sea el mismo que el selector de tráfico local configurado para el túnel correspondiente en la puerta de enlace de VPN local.

Varios CIDR por selector de tráfico

Si usas IKEv2 cuando creas un túnel VPN clásica basado en políticas puedes especificar varios CIDR por selector de tráfico. Cloud VPN siempre usa una sola asociación de seguridad secundaria (SA), sin importar la versión de IKE.

En la siguiente tabla, se resume la compatibilidad de Cloud VPN con varios CIDR por selector de tráfico en túneles VPN basados en políticas.

Versión de IKE Varios CIDR por selector de tráfico
IKEv1

No

El protocolo IKEv1 solo es compatible con un solo CIDR por SA secundaria según se define en RFC 2407 y RFC 2409. Debido a que Cloud VPN requiere un único SA secundario por túnel VPN, cuando usas IKEv1, solo puedes proporcionar un único CIDR para el selector de tráfico local y un único CIDR para el selector de tráfico remoto.

Cloud VPN no admite la creación de un túnel VPN mediante IKEv1 con varias SA secundarias, cada una con un único CIDR.

IKEv2 Si se permite si se cumplen las siguientes condiciones:
  • Tu puerta de enlace de VPN de intercambio de tráfico usa una única SA secundaria. Todos los CIDR del selector de tráfico local y todos los del selector de tráfico remoto deben estar en una única SA secundaria.
  • La cantidad de CIDR que configuras no hace que los paquetes de propuestas de IKE excedan la MTU máxima de Cloud VPN de 1,460 bytes. Si las propuestas de IKE superan esta MTU, los túneles de Cloud VPN no se establecen.
  • No debes superar ninguna restricción para la cantidad de CIDR que admite tu puerta de enlace local. Para obtener más información, consulta la documentación de tu proveedor de puertas de enlace.

Se recomienda usar 30 o menos CIDR por selector de tráfico de modo que no se cree un paquete de propuestas IKE que exceda la MTU máxima.

Estrategias de selector de tráfico

Considera las siguientes estrategias si tu puerta de enlace de VPN local crea varias SA secundarias por túnel VPN o si varios CIDR por selector de tráfico generarían que una propuesta IKE para IKEv2 supere los 1,460 bytes (para obtener más detalles, consulta Opciones de enrutamiento y selectores de tráfico):

  1. Usa el enrutamiento dinámico para el túnel VPN. Si tu puerta de enlace de VPN de intercambio de tráfico es compatible con BGP, configura los selectores de tráfico local y remoto para el túnel VPN a fin de permitir cualquier dirección IP. Usa 0.0.0.0/0 solo para IPv4 o usa 0.0.0.0/0,::/0 para el tráfico de IPv4 e IPv6. Las rutas se intercambian de forma automática entre la puerta de enlace de VPN de intercambio de tráfico y el Cloud Router asociado a tu túnel de Cloud VPN. Si puedes usar el enrutamiento dinámico, considera VPN con alta disponibilidad.

  2. Usa selectores de tráfico CIDR amplios y únicos, y el enrutamiento de túneles estáticos:

    • Usa una VPN basada en rutas. Ambos selectores de tráfico son 0.0.0.0/0 por definición para las VPN basadas en rutas. Puedes crear rutas que sean más específicas que los selectores de tráfico.

    • Usa el enrutamiento basado en políticas y configura los selectores de tráfico local y remoto para que sean lo más amplios posible. Para túneles de Cloud VPN basados en políticas, puedes crear rutas en redes locales en la red de VPC cuyos destinos sean más específicos que los bloques CIDR especificados en los selectores de tráfico remoto. Usa la CLI de gcloud para crear las rutas por separado de los túneles VPN mediante los pasos en Crea una VPN clásica con enrutamiento estático.

  3. Usa el enrutamiento basado en políticas a fin de crear varios túneles de Cloud VPN, de modo que cada túnel solo tenga un bloque CIDR para su selector de tráfico local y un bloque CIDR para su selector de tráfico remoto. Configura el túnel local equivalente de manera similar. Cloud VPN admite varios túneles por puerta de enlace. Sin embargo, el uso de varios túneles tiene algunas consecuencias:

    • La puerta de enlace de VPN de intercambio de tráfico debe ofrecer direcciones IP externas distintas a las que se pueda conectar cada túnel de Cloud VPN. Los túneles de la misma puerta de enlace de VPN clásica deben conectarse a direcciones IP únicas de la puerta de enlace de intercambio de tráfico. Es posible que la puerta de enlace de VPN de intercambio de tráfico también requiera que sus túneles se conecten a direcciones IP únicas. En algunos casos, debes crear una puerta de enlace de Cloud VPN independiente por túnel de Cloud VPN.
    • Cuando usas la consola de Google Cloud para crear túneles de Cloud VPN basados en rutas o en políticas, las rutas a la red de intercambio de tráfico se crean de forma automática además del túnel. Si las rutas se crean de forma automática para varios túneles VPN que usan el mismo selector de tráfico remoto, como es si creas VPN basadas en rutas, puedes tener varias rutas en la red de VPC, todas con destinos idénticos, pero con diferentes próximos saltos. Esto puede llevar a un comportamiento impredecible o inesperado, ya que el tráfico se envía a un túnel VPN de acuerdo con la aplicabilidad y el orden de las rutas. Si no usas el enrutamiento de túnel dinámico (BGP), crea y revisa rutas estáticas tanto en tu red de VPC como en tu red de intercambio de tráfico.

¿Qué sigue?

  • Si quieres más información sobre los conceptos básicos de Cloud VPN, consulta Descripción general de Cloud VPN.
  • Para usar situaciones de alta disponibilidad y alta capacidad de procesamiento o situaciones de varias subredes, consulta Configuración avanzada.
  • Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.