Roteamento de túnel e redes

Nesta página, descrevemos as redes de nuvem privada virtual compatíveis e as opções de roteamento.

Redes compatíveis

O Cloud VPN é compatível com redes VPC personalizadas e de modo automático e com redes legadas. No entanto, siga as práticas recomendadas a seguir:

  • Use redes VPC em vez de redes legadas. As redes legadas não são compatíveis com sub-redes. Em vez disso, toda a rede usa um único intervalo de endereços IP. Não é possível convertê-las em redes VPC.

  • Use uma rede VPC de modo personalizado. As redes VPC de modo personalizado oferecem total controle sobre o intervalo de endereços IP usados pelas sub-redes.

Opções de roteamento para túneis da VPN

O Cloud VPN oferece suporte a opções de roteamento dinâmico e estático para túneis da VPN. O roteamento dinâmico usa o Border Gateway Routing Protocol (BGP).

Roteamento dinâmico (BGP)

O roteamento dinâmico é o método recomendado se o gateway da VPN local for compatível com BGP. Esse tipo de roteamento usa um Cloud Router para gerenciar rotas automaticamente. Ele compartilha rotas “para GCP” com o gateway da VPN local e aceita rotas para a rede local aprendidas do gateway local. Ele adiciona e remove rotas usando o BGP sem a necessidade de excluir e criar o túnel novamente.

Os roteadores locais são configurados para divulgar rotas selecionadas via BGP. A interface do BGP no Cloud Router do túnel do Cloud VPN aprende essas rotas e as aplica à rede VPC de acordo com o modo de roteamento dinâmico. O mesmo Cloud Router também compartilha rotas para a rede VPC com o gateway local.

Roteamento estático

O Cloud VPN oferece suporte a opções de roteamento estático com base em políticas e em rota para túneis da VPN. Somente use uma opção de roteamento estático se você não puder usar a opção de roteamento dinâmico (BGP) no túnel da VPN:

  • Roteamento com base em políticas: os intervalos de IP locais (lado esquerdo) e os remotos (lado direito) são definidos como parte do processo de criação do túnel.

  • VPN com base em rotas: ao criar esse tipo de VPN usando o Console do GCP, especifique apenas uma lista de intervalos de IP remotos. Esses intervalos são usados apenas para criar rotas em sua rede VPC para recursos locais.

Consulte seletores de tráfego para mais detalhes sobre essas duas opções de roteamento estático.

Seletores de tráfego

Um seletor de tráfego define um conjunto de intervalos de endereços IP ou blocos CIDR usados ​​para estabelecer um túnel da VPN. Esses intervalos são usados ​​como parte da negociação do IKE para o túnel. Algumas referências tratam os seletores de tráfego como "domínios de criptografia".

Existem dois tipos de seletores de tráfego:

  • O seletor de tráfego local define o conjunto de intervalos de IP locais (blocos CIDR) a partir da perspectiva do gateway da VPN que emite o túnel dessa VPN. Nos túneis do Cloud VPN, o seletor de tráfego local define o conjunto de intervalos de IP da sub-rede primária e secundária para sub-redes na rede VPC, representando o "lado esquerdo" do túnel.

  • O seletor de tráfego remoto define o conjunto de intervalos de IP remotos (blocos CIDR) a partir da perspectiva do gateway da VPN que emite o túnel da VPN. Para um túnel do Cloud VPN, o seletor de tráfego remoto é o “lado direito” ou a rede local.

Os seletores de tráfego são uma parte intrínseca de um túnel da VPN, usados para estabelecer o handshake do IKE. Se os intervalos de IP locais ou remotos precisarem ser alterados, será preciso destruir e recriar o túnel do Cloud VPN e o túnel de contraparte local.

Opções de roteamento e seletores de tráfego

Os valores do intervalo de IPs (bloco CIDR) para os seletores de tráfego locais e remotos dependem da opção de roteamento usada pelo túnel do Cloud VPN:

Opção de roteamento
do túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede local
Roteamento dinâmico (BGP) Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que gerencia a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e as cotas e limites do Cloud Router. Como está sujeito a restrições em relação às rotas personalizadas e às cotas e limites do Cloud Router, o Cloud Router que gerencia a interface do BGP para o túnel do Cloud VPN memoriza as rotas enviadas a ele pelo gateway da VPN local e as adiciona à rede VPC como rotas dinâmicas personalizadas.
Roteamento com base em políticas Configurável.
Consulte túneis com base em políticas e seletores de tráfego.
Obrigatório.
Consulte túneis com base em políticas e seletores de tráfego.
É preciso criar e manter manualmente as rotas para as sub-redes da rede VPC nos roteadores locais. As rotas estáticas personalizadas são criadas automaticamente se você criar o túnel da VPN com base em políticas usando o Console do GCP. Se você usar o gcloud para criar o túnel, será preciso usar comandos gcloud adicionais para criar as rotas. Consulte Como criar uma VPN com base em políticas para instruções.
VPN com base em rota Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
É preciso criar e manter manualmente as rotas para as sub-redes da rede VPC nos roteadores locais. As rotas estáticas personalizadas são criadas automaticamente se você criar o túnel da VPN com base em rota usando o Console do GCP. Se você usar o gcloud para criar o túnel, será preciso usar comandos gcloud adicionais para criar as rotas. Consulte Como criar uma VPN com base em rota para ver instruções.

Túneis com base em políticas e seletores de tráfego

Nesta seção, descrevemos considerações especiais sobre seletores de tráfego na criação de túneis do Cloud VPN com base em políticas. Isso não se aplica a túneis VPN que usam roteamento dinâmico (BGP, na sigla em inglês) ou VPNs com base em rotas.

Ao criar um túnel do Cloud VPN com base em políticas, especifique o seletor de tráfego local:

  • Seletor de tráfego local personalizado: é possível definir o seletor de tráfego local como um conjunto de sub-redes na rede VPC ou um conjunto de CIDRs do RFC 1918 (em inglês) que inclui os intervalos de IP desejados de sub-rede na rede VPC. A IKEv1 limita os seletores de tráfego local para um único CIDR.

  • Redes VPC no modo personalizado: é possível especificar um seletor de tráfego local personalizado que consiste em CIDRs do RFC 1918.

  • Redes VPC de modo automático: quando não é especificado, o seletor de tráfego local é o intervalo de IP principal da sub-rede criada automaticamente na mesma região que o túnel do Cloud VPN. As redes de modo automático têm uma sub-rede por região, com intervalos de IP bem definidos.

  • Redes legadas: quando não é especificado, o seletor de tráfego local é definido como todo o intervalo de endereços IP do RFC 1918 da rede legada.

Ao criar um túnel do Cloud VPN com base em políticas, é preciso especificar o seletor de tráfego remoto. Se você criar o túnel do Cloud VPN usando o Console do GCP, as rotas estáticas personalizadas com destinos correspondendo aos CIDRs do seletor de tráfego remoto serão criadas automaticamente. A IKEv1 limita os seletores de tráfego remoto para um único CIDR. Consulte Como criar uma VPN com base em políticas para instruções.

Considerações importantes sobre seletores de tráfego

Antes de criar um túnel com base em políticas do Cloud VPN, considere os itens a seguir:

  • A maioria dos gateways da VPN só passará o tráfego por um túnel da VPN se o IP de origem de um pacote couber no seletor de tráfego local do túnel e se o IP de destino de um pacote couber no seletor de tráfego remoto do túnel. Alguns dispositivos da VPN não impõem esse requisito.

  • O Cloud VPN é compatível com CIDRs de 0.0.0.0/0 (qualquer endereço IP). Consulte a documentação fornecida com seu gateway da VPN local para determinar se ele também faz isso. A criação de um túnel da VPN com base em políticas com os dois seletores de tráfego definidos como 0.0.0.0/0 é uma funcionalmente equivalente à criação de uma VPN com base em rotas.

  • Analise cuidadosamente vários CIDRs por seletor de tráfego para saber como o Cloud VPN implementa os protocolos IKEv1 e IKEv2.

  • O Cloud VPN não permite a edição de nenhum seletor de tráfego após a criação de uma VPN. Para alterar o seletor de tráfego local ou remoto para um túnel do Cloud VPN, é preciso excluir o túnel e recriá-lo. No entanto, não é preciso excluir o gateway do Cloud VPN.

  • Para converter uma rede VPC de modo automático para o modo personalizado, talvez seja necessário excluir e recriar o túnel do Cloud VPN, sem alterar o gateway, especialmente ao adicionar sub-redes personalizadas, remover sub-redes criadas automaticamente ou modificar os intervalos de IP secundários de qualquer sub-rede. Evite alternar o modo de uma rede VPC que tenha túneis atuais do Cloud VPN. Para ver sugestões, consulte as considerações sobre redes de modo automático.

Além disso, para que a VPN tenha um comportamento consistente e previsível, faça o seguinte:

  • Deixe os seletores de tráfego local e remoto o mais específicos possível.

  • Deixe o seletor de tráfego local do Cloud VPN o mesmo que o seletor de tráfego remoto configurado para o túnel correspondente no gateway da VPN local.

  • Deixe o seletor de tráfego remoto do Cloud VPN o mesmo que o seletor de tráfego local configurado para o túnel correspondente no gateway da VPN local.

Vários CIDRs por seletor de tráfego

Ao criar um túnel do Cloud VPN com base em políticas, é possível especificar vários CIDRs por seletor de tráfego quando o IKEv2 é usado. O Cloud VPN sempre usa uma única SA filha, independentemente da versão do IKE.

Na tabela a seguir, resumimos a compatibilidade do Cloud VPN com vários CIDRs por seletor de tráfego em túneis de VPN com base em política:

Versão do IKE Vários CIDRs por seletor de tráfego
IKEv1 Não
O protocolo IKEv1 aceita apenas um único CIDR por associação de segurança (SA, na sigla em inglês) filha, conforme definido no RFC 2407 e no RFC 2409. Como o Cloud VPN requer uma única SA filha por túnel da VPN, só é possível fornecer um único CIDR para o seletor de tráfego local e um único CIDR para o seletor de tráfego remoto ao usar o IKEv1.

O Cloud VPN não aceita a criação de um túnel da VPN usando o IKEv1 com várias SAs filhas, cada uma com um único CIDR.
IKEv2 Sim, desde que todas as condições a seguir sejam atendidas:
  • Seu gateway de VPN local usa uma única associação de segurança (SA, na sigla em inglês) filha. Todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto precisam estar em uma única SA filha.
  • O número de CIDRs configurados não faz com que os pacotes de propostas IKE excedam a MTU máxima de 1.460 bytes do Cloud VPN. Os túneis do Cloud VPN não serão estabelecidos se as propostas de IKE excederem essa MTU.
  • Nenhuma restrição para o número de CIDRs aceito pelo seu gateway local é excedida. Consulte a documentação do seu fornecedor de gateway para detalhes.

Uma prática recomendada é usar 30 CIDRs ou menos por seletor de tráfego para não criar um pacote de proposta de IKE que exceda a MTU máxima.

Estratégias do seletor de tráfego

Considere as seguintes estratégias caso seu gateway de VPN local criar várias SAs filhas por túnel da VPN ou se vários CIDRs por seletor de tráfego fizerem com que uma proposta de IKE para IKEv2 exceda 1.460 bytes:

  1. Use o roteamento dinâmico para o túnel da VPN. Caso o gateway da VPN local seja compatível com o BGP, os seletores de tráfego locais e remotos do túnel da VPN serão 0.0.0.0/0 por definição. As rotas são trocadas automaticamente entre o gateway da VPN local e o Cloud Router associado ao túnel do Cloud VPN.

  2. Use seletores de tráfego de CIDR únicos e amplos e roteamento de túnel estático:

    • Use uma VPN com base em rotas. Por definição, ambos os seletores de tráfego são 0.0.0.0/0 para esse tipo de VPN. É possível criar rotas mais específicas que os seletores de tráfego.

    • Use o roteamento com base em políticas e configure os seletores de tráfego local e remoto para o mais amplo possível. Para túneis do Cloud VPN com base em políticas, é possível criar rotas para redes locais na sua rede VPC com destinos mais específicos do que os CIDRs nos seletores de tráfego remoto. A maneira mais simples de fazer isso é criar as rotas separadamente a partir dos túneis da VPN seguindo as etapas do gcloud na página Como criar uma VPN com base em políticas.

  3. Crie vários túneis do Cloud VPN usando o roteamento com base em políticas. Assim, cada túnel terá apenas um bloco CIDR para o seletor de tráfego local e um bloco CIDR para o seletor de tráfego remoto. Configure o túnel de contraparte local da mesma maneira. O Cloud VPN é compatível com vários túneis por gateway. No entanto, o uso de vários túneis tem algumas implicações:

    • Seu gateway de VPN local precisa ser compatível com vários túneis que terminam no mesmo endereço IP público. Assim, você conseguirá usar um único gateway do Cloud VPN para todos os túneis. Do contrário, será preciso usar um gateway do Cloud VPN separado para cada túnel do Cloud VPN.
    • Ao criar túneis do Cloud VPN com base em rotas ou políticas usando o Console do GCP, as rotas para a rede local são criadas automaticamente, além do túnel. Caso as rotas sejam criadas automaticamente para vários túneis da VPN que usam os mesmos seletores de tráfego remoto, como ocorrerá caso você crie VPNs com base em rotas, será possível ter várias rotas na sua rede VPC, todas com destinos idênticos, mas próximos saltos diferentes. Talvez isso cause um comportamento imprevisível ou inesperado, já que o tráfego é enviado a um túnel da VPN de acordo com a aplicabilidade e a ordem das rotas. Se você não usar o roteamento de túnel dinâmico (BGP, na sigla em inglês), será preciso criar e analisar com cuidado as rotas estáticas na rede VPC e na rede local.

A seguir

Mais conceitos de VPN

Para mais informações sobre os conceitos do Cloud VPN, use as setas de navegação na parte inferior da página para passar para o próximo conceito ou use os links a seguir:

Relacionado à VPN

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…