Réseaux et options de routage pour les tunnels

Cette page décrit les options de routage et les réseaux de cloud privé virtuel (VPC) compatibles.

Réseaux compatibles

Cloud VPN est compatible avec les réseaux VPC personnalisés et en mode automatique, ainsi qu'avec les anciens réseaux. Toutefois, vous devez tenir compte des bonnes pratiques suivantes :

  • Utilisez les réseaux VPC à la place des anciens réseaux. Les anciens réseaux ne sont pas compatibles avec les sous-réseaux. L'ensemble du réseau utilise une seule plage d'adresses IP. Les anciens réseaux ne peuvent pas être convertis en réseaux VPC.

  • Utilisez un réseau VPC en mode personnalisé. Les réseaux VPC en mode personnalisé vous offrent un contrôle total sur la plage d'adresses IP utilisées par leurs sous-réseaux.

    • Si vous connectez deux réseaux VPC à l'aide de Cloud VPN, au moins l'un d'eux doit être en mode personnalisé. En effet, les réseaux en mode automatique utilisent la même plage d'adresses IP internes pour leurs sous-réseaux.

    • Consultez la section Considérations relatives aux réseaux en mode automatique avant d'utiliser ce type de réseau avec Cloud VPN. Les réseaux en mode automatique créent automatiquement un sous-réseau dans chaque région Google Cloud. Des sous-réseaux sont ainsi créés automatiquement à mesure que de nouvelles régions sont ajoutées. Évitez d'employer les adresses IP privées de la plage utilisée par les réseaux en mode automatique sur le réseau auquel les tunnels Cloud VPN se connectent.

Options de routage des tunnels VPN

Le VPN classique est compatible avec les options de routage dynamique et statique des tunnels VPN, tandis que le VPN haute disponibilité requiert l'option de routage dynamique.

Le routage dynamique utilise le protocole BGP (Border Gateway Protocol).

Routage dynamique (BGP)

Le routage dynamique utilise un routeur Cloud Router pour gérer automatiquement l'échange de routes à l'aide du protocole BGP. Cet échange est géré par une interface BGP sur un routeur Cloud situé dans la même région que le tunnel Cloud VPN correspondant. Cloud Router ajoute et supprime des routes sans exiger que le tunnel soit supprimé, puis recréé.

Le mode de routage dynamique de votre réseau VPC contrôle le comportement de tous ses routeurs Cloud Router. Ce mode détermine si les routes apprises de votre réseau de pairs s'appliquent uniquement aux ressources Google Cloud situées dans la même région que le tunnel VPN ou si elles s'appliquent dans toutes les régions. Vous contrôlez les routes annoncées par votre routeur pair ou votre passerelle.

Le mode de routage dynamique détermine également si les routes de sous-réseau provenant uniquement de la région du tunnel ou de toutes les régions sont partagées avec le routeur appairé ou la passerelle de pairs. En plus de ces routes de sous-réseau, vous pouvez configurer des annonces de routage personnalisées sur un routeur Cloud Router.

Routage statique

Les tunnels VPN classiques sont compatibles avec les options de routage statique basées sur des règles et des routes. Ne choisissez l'option de routage statique que si vous ne pouvez pas utiliser le routage dynamique BGP ou le VPN haute disponibilité.

  • Routage basé sur des règles : les plages d'adresses IP locales (côté gauche) et distantes (côté droit) sont définies dans le cadre du processus de création du tunnel.

  • VPN basé sur le routage : lorsque vous créez un VPN basé sur le routage à l'aide de Cloud Console, vous vous contentez de spécifier une liste de plages d'adresses IP distantes. Ces plages ne servent qu'à créer des routes vers les ressources homologues dans votre réseau VPC.

Pour en savoir plus sur ces deux options de routage statique, consultez la section relative aux sélecteurs de trafic.

Sélecteurs de trafic

Un sélecteur de trafic définit un ensemble de plages d'adresses IP ou de blocs CIDR utilisés pour établir un tunnel VPN. Ces plages sont utilisées dans le cadre de la négociation IKE du tunnel. Dans certains documents, les sélecteurs de trafic sont appelés "domaines de chiffrement".

Il existe deux types de sélecteurs de trafic :

  • Le sélecteur de trafic local définit l'ensemble des plages d'adresses IP locales (blocs CIDR) du point de vue de la passerelle VPN émettant le tunnel VPN. Pour les tunnels Cloud VPN, le sélecteur de trafic local détermine l'ensemble des adresses CIDR principales et secondaires des sous-réseaux du réseau VPC, ce qui correspond au "côté gauche" du tunnel.

  • Le sélecteur de trafic distant définit l'ensemble des plages d'adresses IP distantes (blocs CIDR) du point de vue de la passerelle VPN émettant le tunnel VPN. Pour un tunnel Cloud VPN, le sélecteur de trafic distant correspond au "côté droit" ou au réseau appairé.

Les sélecteurs de trafic, qui permettent d'établir le handshake IKE, font partie intégrante d'un tunnel VPN. Si les adresses CIDR locales ou distantes doivent être modifiées, le tunnel Cloud VPN et son tunnel homologue doivent être détruits, puis recréés.

Options de routage et sélecteurs de trafic

Les valeurs de la plage d'adresses IP (bloc CIDR) des sélecteurs de trafic locaux et distants dépendent de l'option de routage utilisée par le tunnel Cloud VPN.

Tunnels VPN haute disponibilité
Option de routage du tunnel
Sélecteur de trafic local
Sélecteur de trafic distant
Routes vers le réseau VPC
Routes vers le réseau appairé
Requiert un routage dynamique (BGP)
Toujours
0.0.0.0/0
Toujours
0.0.0.0/0
Le routeur Cloud gérant l'interface BGP du tunnel Cloud VPN partage les routes à destination des sous-réseaux du réseau VPC conformément au mode de routage dynamique du réseau ainsi qu'aux limites et quotas définis pour le routeur Cloud, sauf si des modifications sont apportées par des annonces personnalisées. Le routeur Cloud gérant l'interface BGP du tunnel Cloud VPN hérite des routes qui lui sont envoyées par la passerelle VPN de pairs, et les ajoute au réseau VPC en tant que routes dynamiques personnalisées, sous réserve de restrictions relatives aux routes personnalisées ainsi qu'aux limites et quotas définis pour le routeur Cloud.
Tunnels VPN classiques
Option de routage du tunnel
Sélecteur de trafic local
Sélecteur de trafic distant
Routes vers le réseau VPC
Routes vers le réseau appairé
Routage dynamique (BGP) Toujours
0.0.0.0/0
Toujours
0.0.0.0/0
Le routeur Cloud gérant l'interface BGP du tunnel Cloud VPN partage les routes à destination des sous-réseaux du réseau VPC conformément au mode de routage dynamique du réseau ainsi qu'aux limites et quotas définis pour le routeur Cloud, sauf si des modifications sont apportées par des annonces personnalisées. Le routeur Cloud gérant l'interface BGP du tunnel Cloud VPN hérite des routes qui lui sont envoyées par la passerelle VPN de pairs, et les ajoute au réseau VPC en tant que routes dynamiques personnalisées, sous réserve de restrictions relatives aux routes personnalisées ainsi qu'aux limites et quotas définis pour le routeur Cloud.
Routage basé sur des règles Configurable.
Consultez la section Tunnels basés sur des règles et sélecteurs de trafic.
Obligatoire.
Consultez la section Tunnels basés sur des règles et sélecteurs de trafic.
Vous devez créer et gérer manuellement les routes à destination des sous-réseaux de votre réseau VPC sur vos routeurs appairés. Les routes statiques personnalisées sont définies automatiquement si vous créez le tunnel VPN basé sur des règles à l'aide de Cloud Console. Si vous faites appel à gcloud pour créer le tunnel, vous devez utiliser des commandes gcloud supplémentaires pour créer les routes. Pour en savoir plus, consultez la section Créer un VPN classique à l'aide d'un routage statique.
VPN basé sur le routage Toujours
0.0.0.0/0
Toujours
0.0.0.0/0
Vous devez créer et gérer manuellement les routes à destination des sous-réseaux de votre réseau VPC sur vos routeurs appairés. Les routes statiques personnalisées sont définies automatiquement si vous créez le tunnel VPN basé sur des routes à l'aide de Cloud Console. Si vous faites appel à gcloud pour créer le tunnel, vous devez utiliser des commandes gcloud supplémentaires pour créer les routes. Pour en savoir plus, consultez la section Créer un VPN classique à l'aide d'un routage statique.

Tunnels basés sur des règles et sélecteurs de trafic

Cette section présente des informations spécifiques à prendre en compte pour les sélecteurs de trafic lorsque vous créez des tunnels VPN classiques basés sur des règles. Elle ne s'applique pas aux autres types de tunnel VPN classiques ou VPN haute disponibilité.

Vous pouvez choisir de spécifier le sélecteur de trafic local d'un tunnel Cloud VPN basé sur des règles lorsque vous créez ce dernier.

  • Sélecteur de trafic local personnalisé : vous pouvez définir le sélecteur de trafic local comme un ensemble de sous-réseaux du réseau VPC ou un ensemble de CIDR RFC 1918 comprenant les plages d'adresses IP souhaitées des sous-réseaux du réseau VPC. IKEv1 limite les sélecteurs de trafic locaux à un seul CIDR.

  • Réseaux VPC en mode personnalisé : vous devez spécifier un sélecteur de trafic local personnalisé constitué de CIDR RFC 1918.

  • Réseaux VPC en mode automatique : s'il n'est pas spécifié, le sélecteur de trafic local correspond à la plage d'adresses IP principale (bloc CIDR) du sous-réseau créé automatiquement dans la même région que le tunnel Cloud VPN. Les réseaux en mode automatique disposent d'un sous-réseau par région avec des plages d'adresses IP bien définies.

  • Anciens réseaux : s'il n'est pas spécifié, le sélecteur de trafic local est défini comme la totalité de la plage d'adresses IP RFC 1918 de l'ancien réseau.

Vous devez spécifier le sélecteur de trafic distant d'un tunnel Cloud VPN basé sur des règles lorsque vous créez ce dernier. Si vous créez le tunnel Cloud VPN à l'aide de Cloud Console, des routes statiques personnalisées dont les destinations correspondent aux CIDR du sélecteur de trafic distant sont automatiquement créées. IKEv1 limite les sélecteurs de trafic distants à un seul CIDR. Pour en savoir plus, consultez la section Créer un VPN classique à l'aide d'un routage statique.

Remarques importantes concernant les sélecteurs de trafic

Avant de créer un tunnel Cloud VPN basé sur des règles, tenez compte des points suivants :

  • La plupart des passerelles VPN ne transmettent le trafic via un tunnel VPN que si l'adresse IP source d'un paquet se situe dans le sélecteur de trafic local du tunnel, et l'adresse IP de destination d'un paquet dans le sélecteur de trafic distant. Certains appareils VPN n'imposent pas cette exigence.

  • Cloud VPN accepte les CIDR 0.0.0.0/00.0.0.0/0 du sélecteur de trafic (toute adresse IP). Consultez la documentation fournie avec la passerelle VPN de pairs pour déterminer si elle les accepte également. La création d'un tunnel VPN basé sur des règles avec les deux sélecteurs de trafic définis sur 0.0.0.0/0 équivaut fonctionnellement à la création d'un VPN basé sur le routage.

  • Examinez attentivement plusieurs CIDR par sélecteur de trafic pour savoir comment Cloud VPN met en oeuvre les protocoles IKEv1 et IKEv2.

  • Cloud VPN interdit la modification des sélecteurs de trafic après la création d'un VPN. Pour modifier le sélecteur de trafic local ou distant pour un tunnel Cloud VPN, vous devez supprimer le tunnel, puis le recréer. Vous n'êtes cependant pas obligé de supprimer la passerelle Cloud VPN.

  • Si vous convertissez un réseau VPC en mode automatique en un réseau VPC en mode personnalisé, vous devrez peut-être supprimer, puis recréer le tunnel Cloud VPN (mais pas la passerelle) si vous ajoutez des sous-réseaux personnalisés, supprimez des sous-réseaux créés automatiquement, ou si vous modifiez les plages d'adresses IP secondaires d'un sous-réseau. Il est déconseillé de changer le mode d'un réseau VPC comportant des tunnels Cloud VPN. Pour obtenir des suggestions, consultez la section Considérations relatives aux réseaux en mode automatique.

De plus, pour que le comportement du VPN soit cohérent et prévisible, vérifiez les points suivants :

  • Les sélecteurs de trafic locaux et distants doivent être le plus spécifique possible.

  • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant qui est configuré pour le tunnel correspondant sur la passerelle VPN de pairs.

  • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local qui est configuré pour le tunnel correspondant sur la passerelle VPN sur site.

Plusieurs CIDR par sélecteur de trafic

Lorsque vous créez un tunnel VPN classique basé sur des règles, vous pouvez spécifier plusieurs CIDR par sélecteur de trafic si vous utilisez IKEv2. Cloud VPN utilise toujours une seule association de sécurité enfant, quelle que soit la version IKE.

Le tableau ci-dessous récapitule la prise en charge Cloud VPN de plusieurs CIDR par sélecteur de trafic dans les tunnels VPN basés sur des règles :

Version du protocole IKE Plusieurs CIDR par sélecteur de trafic
IKEv1 Non
Le protocole IKEv1 n'accepte qu'un seul CIDR par association de sécurité enfant (SA), comme défini dans les documents RFC 2407 et RFC 2409. Étant donné que Cloud VPN ne requiert qu'une seule association de sécurité enfant par tunnel VPN, vous ne pouvez fournir qu'un seul CIDR pour le sélecteur de trafic local et un seul CIDR pour le sélecteur de trafic distant lorsque vous utilisez IKEv1.

Cloud VPN ne prend pas en charge la création d'un tunnel VPN utilisant IKEv1 avec plusieurs associations de sécurité enfant, chacune contenant un seul CIDR.
IKEv2 Oui, à condition que toutes les conditions suivantes soient remplies :
  • La passerelle VPN de pairs utilise une seule association de sécurité enfant. Tous les CIDR du sélecteur de trafic local et tous les CIDR du sélecteur de trafic distant doivent se trouver dans une seule association de sécurité enfant.
  • Le nombre de CIDR que vous configurez ne provoque pas le dépassement de la valeur MTU maximale de Cloud VPN (1 460 octets) par les paquets de proposition IKE. Les tunnels Cloud VPN ne s'établiront pas si les propositions IKE dépassent cette valeur MTU.
  • Vous ne dépassez pas le nombre de CIDR acceptés par la passerelle sur site. Consultez la documentation du fournisseur de passerelle pour plus de détails.

Une bonne pratique consiste à utiliser au maximum 30 CIDR par sélecteur de trafic afin de ne pas créer de paquet de proposition IKE dépassant la valeur MTU maximum.

Stratégies relatives aux sélecteurs de trafic

Considérez les stratégies suivantes si la passerelle VPN sur site crée plusieurs associations de sécurité enfant par tunnel VPN ou si plusieurs CIDR par sélecteur de trafic provoquent le dépassement de 1 460 octets par une proposition IKE pour IKEv2.

  1. Utilisez le routage dynamique pour le tunnel VPN. Si votre passerelle VPN de pairs est compatible avec BGP, les sélecteurs de trafic locaux et distants du tunnel VPN ont par définition la valeur 0.0.0.0/0. Les routes sont automatiquement échangées entre la passerelle VPN de pairs et le routeur Cloud associé au tunnel Cloud VPN. Si vous pouvez utiliser le routage dynamique, envisagez d'utiliser un VPN haute disponibilité.

  2. Faites appel à des sélecteurs de trafic dotés d'un CIDR étendu, ainsi qu'au routage de tunnel statique :

    • Utilisez un VPN basé sur des routes. Les deux sélecteurs de trafic ont par définition la valeur0.0.0.0/0 pour ce type de VPN. Vous pouvez créer des routes plus spécifiques que les sélecteurs de trafic.

    • Utilisez le routage basé sur des règles et configurez les sélecteurs de trafic locaux et distants de sorte que leur plage soit aussi étendue que possible. Pour les tunnels Cloud VPN basés sur des règles, vous pouvez créer des routes vers des réseaux sur site dans le réseau VPC avec des destinations plus spécifiques que les blocs CIDR des sélecteurs de trafic distants. Le moyen le plus simple de procéder consiste à créer séparément les routes et les tunnels VPN en suivant la procédure relative à gcloud, qui est présentée sur la page Créer un VPN classique à l'aide d'un routage statique.

  3. Créez plusieurs tunnels Cloud VPN à l'aide du routage basé sur des règles de sorte que chaque tunnel ne comporte qu'un bloc CIDR pour son sélecteur de trafic local, et un bloc CIDR pour son sélecteur de trafic distant. Configurez le tunnel homologue sur site de la même manière. Cloud VPN accepte plusieurs tunnels par passerelle. Toutefois, l'utilisation de plusieurs tunnels a les conséquences suivantes :

    • Votre passerelle VPN de pairs doit proposer des adresses IP publiques distinctes auxquelles chaque tunnel Cloud VPN peut se connecter. Les tunnels de la même passerelle VPN classique doivent se connecter à des adresses IP uniques de la passerelle de pairs. La passerelle VPN de pairs peut également nécessiter que ses tunnels se connectent à des adresses IP uniques. Dans certains cas, vous devrez créer une passerelle Cloud VPN distincte par tunnel Cloud VPN.
    • Lorsque vous créez des tunnels Cloud VPN basés sur le routage ou sur des règles à l'aide de Cloud Console, des routes vers le réseau appairé sont automatiquement créées en plus du tunnel. Si des routes sont automatiquement créées pour plusieurs tunnels VPN utilisant les mêmes sélecteurs de trafic distants (comme cela se produira si vous créez des VPN basés sur le routage), votre réseau VPC risque d'inclure plusieurs routes ayant toutes des destinations identiques, mais des sauts suivants distincts. Cette situation peut entraîner un comportement imprévisible ou inattendu étant donné que le trafic est transmis à un tunnel VPN selon l'applicabilité et l'ordre de priorité des routes. Si vous n'utilisez pas le routage de tunnel dynamique (BGP), vous devez soigneusement créer et vérifier les routes statiques du réseau VPC et du réseau appairé.

Étapes suivantes

Autres concepts liés aux VPN

Si vous souhaitez en savoir plus sur les concepts relatifs à Cloud VPN, utilisez les flèches de navigation situées en bas de la page pour passer au concept suivant, ou cliquez sur les liens ci-dessous.

Informations relatives aux VPN