Roteamento de túnel e redes

Nesta página, descrevemos as redes de nuvem privada virtual compatíveis e as opções de roteamento.

Redes compatíveis

O Cloud VPN é compatível com redes VPC personalizadas e de modo automático e com redes legadas. No entanto, siga as práticas recomendadas a seguir:

  • Use redes VPC em vez de redes legadas. As redes legadas não são compatíveis com sub-redes. Em vez disso, toda a rede usa um único intervalo de endereços IP. Não é possível convertê-las em redes VPC.

  • Use uma rede VPC de modo personalizado. As redes VPC de modo personalizado oferecem total controle sobre o intervalo de endereços IP usados pelas sub-redes.

    • Se você quiser conectar duas redes VPC usando o Cloud VPN, pelo menos uma delas precisa ser uma rede de modo personalizado, porque as redes de modo automático usam o mesmo intervalo de endereços IP internos para as sub-redes delas.

    • Analise as considerações para redes de modo automático antes de usar uma com o Cloud VPN. As redes do modo automático criam automaticamente uma sub-rede em cada região do Google Cloud, incluindo a criação automática de novas sub-redes em novas regiões à medida que são adicionadas. Evite usar os endereços IP particulares no intervalo usado pelas redes de modo automático na rede conectada aos túneis do Cloud VPN.

Opções de roteamento para túneis de VPN

A VPN clássica é compatível com as opções de roteamento dinâmico e estático para túneis de VPN, enquanto a VPN de alta disponibilidade exige a opção de roteamento dinâmico.

O roteamento dinâmico usa o Border Gateway Routing Protocol (BGP).

Roteamento dinâmico (BGP)

O roteamento dinâmico usa um Cloud Router para gerenciar automaticamente a troca de rotas usando o protocolo BGP. Uma interface do BGP em um Cloud Router na mesma região do túnel do Cloud VPN correspondente gerencia essa troca. O Cloud Router adiciona e remove rotas sem exigir que o túnel seja excluído e recriado.

O modo de roteamento dinâmico da sua rede VPC controla o comportamento de todos os Cloud Routers. Esse modo determina se as rotas aprendidas com sua rede de peering são aplicadas somente aos recursos do Google Cloud na mesma região do túnel de VPN ou se são aplicadas em todas as regiões. Você controla as rotas anunciadas por seu roteador ou gateway de peering.

O modo de roteamento dinâmico também determina se as rotas de sub-rede apenas da região do túnel ou de todas as regiões são compartilhadas com seu gateway ou roteador de peering. Além dessas rotas de sub-rede, é possível configurar anúncios de rotas personalizadas em um Cloud Router.

Roteamento estático

Os túneis de VPN clássica são compatíveis com opções de roteamento estático com base em políticas e rotas. Considere uma opção de roteamento estático somente se não for possível usar roteamento dinâmico (BGP) ou VPN de alta disponibilidade.

  • Roteamento com base em políticas: os intervalos de IPs locais (lado esquerdo) e os intervalos de IPs remotos (lado direito) são definidos como parte do processo de criação do túnel.

  • VPN com base em rota: ao criar uma VPN com base na rota usando o Console do Cloud, você especifica apenas uma lista de intervalos de IP remotos. Esses intervalos são apenas usados para criar rotas na sua rede VPC para recursos de peering.

Consulte seletores de tráfego para mais detalhes sobre essas duas opções de roteamento estático.

Seletores de tráfego

Um seletor de tráfego define um conjunto de intervalos de endereços IP ou blocos CIDR usados ​​para estabelecer um túnel da VPN. Esses intervalos são usados ​​como parte da negociação do IKE para o túnel. Algumas referências tratam os seletores de tráfego como "domínios de criptografia".

Existem dois tipos de seletores de tráfego:

  • O seletor de tráfego local define o conjunto de intervalos de IP locais (blocos CIDR) a partir da perspectiva do gateway da VPN que emite o túnel dessa VPN. Para túneis do Cloud VPN, o seletor de tráfego local define o conjunto de CIDRs de sub-rede primárias e secundárias para sub-redes na rede VPC, representando o “lado esquerdo” do túnel.

  • O seletor de tráfego remoto define o conjunto de intervalos de IP remotos (blocos CIDR) a partir da perspectiva do gateway da VPN que emite o túnel da VPN. Para um túnel do Cloud VPN, o seletor de tráfego remoto é o "lado direito" ou a rede de peering.

Os seletores de tráfego são uma parte intrínseca de um túnel da VPN, usados para estabelecer o handshake do IKE. Se os CIDRs locais ou remotos precisarem ser alterados, o túnel do Cloud VPN e o túnel correspondente do peering devem ser destruídos e recriados.

Opções de roteamento e seletores de tráfego

Os valores do intervalo de IPs (bloco CIDR) para os seletores de tráfego locais e remotos dependem da opção de roteamento usada pelo túnel do Cloud VPN:

Túneis de VPN de alta disponibilidade
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de par
Requer roteamento
dinâmico (BGP)
Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que gerencia a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites para o Cloud Router, o Cloud Router gerencia a interface do BGP para o túnel do Cloud VPN aprender rotas enviadas pela VPN de peering e as adiciona à rede VPC como rotas dinâmicas personalizadas.
Túneis de VPN clássica
Opção de roteamento de túnel
Seletor de tráfego
local
Seletor de tráfego
remoto
Rotas
para a rede VPC
Rotas
para a rede de par
Roteamento dinâmico (BGP) Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
A menos que modificado por divulgações personalizadas, o Cloud Router que gerencia a interface do BGP para o túnel do Cloud VPN compartilhará as rotas para as sub-redes na rede VPC de acordo com o modo de roteamento dinâmico da rede e as cotas e limites do Cloud Router. Sujeito a restrições em rotas personalizadas e cotas e limites para o Cloud Router, o Cloud Router gerencia a interface do BGP para o túnel do Cloud VPN aprender rotas enviadas pela VPN de peering e as adiciona à rede VPC como rotas dinâmicas personalizadas.
Roteamento com base em políticas Configurável.
Consulte Túneis com base em políticas e seletores de tráfego.
Obrigatório.
Consulte Túneis com base em políticas e seletores de tráfego.
Você precisa criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. Rotas estáticas personalizadas são criadas automaticamente se você criar o túnel de VPN com base em políticas usando o Console do Cloud. Se você usar gcloud para criar o túnel, precisará usar comandos gcloud adicionais para criar as rotas. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.
VPN com base em rota Sempre
0.0.0.0/0
Sempre
0.0.0.0/0
Você precisa criar e manter manualmente as rotas para as sub-redes em sua rede VPC nos seus roteadores de peering. Rotas estáticas personalizadas são criadas automaticamente se você criar o túnel de VPN com base em rota usando o Console do Cloud. Se você usar gcloud para criar o túnel, precisará usar comandos gcloud adicionais para criar as rotas. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.

Túneis com base em políticas e seletores de tráfego

Esta seção descreve considerações especiais para os seletores de tráfego quando você cria túneis de VPN clássica baseados em políticas. Ela não se aplica a nenhum outro tipo de túnel com VPN clássica ou VPN de alta disponibilidade.

Ao criar um túnel do Cloud VPN com base em políticas, especifique o seletor de tráfego local:

  • Seletor de tráfego local personalizado: é possível definir o seletor de tráfego local como um conjunto de sub-redes na rede VPC ou um conjunto de endereços IP internos que incluem intervalos de IP desejados de sub-redes na rede VPC. A IKEv1 limita os seletores de tráfego local para um único CIDR.

  • Redes VPC de modo personalizado: você precisa especificar um seletor de tráfego local personalizado que consiste em um intervalo de endereços IP internos.

  • Redes VPC no modo automático: se não for especificado, o seletor de tráfego local é o intervalo primário de IP (bloco CIDR) da sub-rede criada automaticamente na mesma região do túnel do Cloud VPN. As redes de modo automático têm uma sub-rede por região, com intervalos de IP bem definidos.

  • Redes legadas: quando não é especificado, o seletor de tráfego local é definido como todo o intervalo de endereços IP do RFC 1918 da rede legada.

Ao criar um túnel do Cloud VPN com base em políticas, é preciso especificar o seletor de tráfego remoto. Se você criar o túnel do Cloud VPN usando o Console do Cloud, as rotas estáticas personalizadas com destinos correspondendo aos CIDRs do seletor de tráfego remoto serão criadas automaticamente. A IKEv1 limita os seletores de tráfego remoto para um único CIDR. Consulte Como criar uma VPN clássica usando roteamento estático para ver instruções.

Considerações importantes sobre seletores de tráfego

Antes de criar um túnel com base em políticas do Cloud VPN, considere os itens a seguir:

  • A maioria dos gateways da VPN só passará o tráfego por um túnel da VPN se o IP de origem de um pacote couber no seletor de tráfego local do túnel e se o IP de destino de um pacote couber no seletor de tráfego remoto do túnel. Alguns dispositivos da VPN não impõem esse requisito.

  • O Cloud VPN é compatível com CIDRs de seletor de tráfego 0.0.0.0/0 (qualquer endereço IP). Consulte a documentação que acompanha o gateway de VPN de peering para determinar se ele também funciona. A criação de um túnel de VPN com base em políticas com os dois seletores de tráfego definidos como 0.0.0.0/0 é funcionalmente equivalente à criação de uma VPN com base em rotas.

  • Analise cuidadosamente vários CIDRs por seletor de tráfego para saber como o Cloud VPN implementa os protocolos IKEv1 e IKEv2.

  • O Cloud VPN proíbe a edição de seletores de tráfego depois que você cria uma VPN. Para alterar o seletor de tráfego local ou remoto para um túnel do Cloud VPN, você precisa excluir o túnel e depois recriá-lo. No entanto, não é preciso excluir o gateway do Cloud VPN.

  • Para converter uma rede VPC de modo automático para o modo personalizado, talvez seja necessário excluir e recriar o túnel do Cloud VPN, sem alterar o gateway, especialmente ao adicionar sub-redes personalizadas, remover sub-redes criadas automaticamente ou modificar os intervalos de IP secundários de qualquer sub-rede. Evite alternar o modo de uma rede VPC que tenha túneis atuais do Cloud VPN. Para ver sugestões, consulte as considerações sobre redes de modo automático.

Além disso, para que a VPN tenha um comportamento consistente e previsível, faça o seguinte:

  • Deixe os seletores de tráfego local e remoto o mais específicos possível.

  • Deixe o seletor de tráfego local do Cloud VPN das mesma maneira que o seletor de tráfego remoto configurado para o túnel correspondente no gateway de VPN de peering.

  • Deixe o seletor de tráfego remoto do Cloud VPN o mesmo que o seletor de tráfego local configurado para o túnel correspondente no gateway da VPN local.

Vários CIDRs por seletor de tráfego

Ao criar um túnel de VPN clássica com base em políticas, é possível especificar vários CIDRs por seletor de tráfego, se você usar IKEv2. O Cloud VPN sempre usa uma única SA filha, independentemente da versão do IKE.

Na tabela a seguir, resumimos a compatibilidade do Cloud VPN com vários CIDRs por seletor de tráfego em túneis de VPN com base em política:

Versão do IKE Vários CIDRs por seletor de tráfego
IKEv1 Não
O protocolo IKEv1 aceita apenas um único CIDR por associação de segurança (SA, na sigla em inglês) filha, conforme definido no RFC 2407 e no RFC 2409. Como o Cloud VPN requer uma única SA filha por túnel da VPN, só é possível fornecer um único CIDR para o seletor de tráfego local e um único CIDR para o seletor de tráfego remoto ao usar o IKEv1.

O Cloud VPN não aceita a criação de um túnel da VPN usando o IKEv1 com várias SAs filhas, cada uma com um único CIDR.
IKEv2 Sim, desde que todas as condições a seguir sejam atendidas:
  • Seu gateway de VPN de peering usa uma única associação de segurança (SA, na sigla em inglês) filha. Todos os CIDRs do seletor de tráfego local e todos os CIDRs do seletor de tráfego remoto precisam estar em uma única SA filha.
  • O número de CIDRs configurados não faz com que os pacotes de propostas IKE excedam a MTU máxima de 1.460 bytes do Cloud VPN. Os túneis do Cloud VPN não serão estabelecidos se as propostas de IKE excederem essa MTU.
  • Nenhuma restrição para o número de CIDRs aceito pelo seu gateway local é excedida. Consulte a documentação do seu fornecedor de gateway para detalhes.

Uma prática recomendada é usar 30 CIDRs ou menos por seletor de tráfego para não criar um pacote de proposta de IKE que exceda a MTU máxima.

Estratégias do seletor de tráfego

Considere as seguintes estratégias caso seu gateway de VPN local criar várias SAs filhas por túnel da VPN ou se vários CIDRs por seletor de tráfego fizerem com que uma proposta de IKE para IKEv2 exceda 1.460 bytes:

  1. Use o roteamento dinâmico para o túnel de VPN. Se seu gateway de VPN de peering for compatível com o BGP, os seletores de tráfego locais e remotos para o túnel de VPN serão 0.0.0.0/0 por definição. As rotas são trocadas automaticamente entre o gateway de VPN de peering e o Cloud Router associado ao túnel do Cloud VPN. Se for possível usar o roteamento dinâmico, considere a VPN de alta disponibilidade.

  2. Use seletores de tráfego de CIDR únicos e amplos e roteamento de túnel estático:

    • Use uma VPN com base no rota. Os dois seletores de tráfego são 0.0.0.0/0 por definição para VPNs com base na rota. É possível criar rotas mais específicas que os seletores de tráfego.

    • Use o roteamento com base em políticas e configure os seletores de tráfego local e remoto para o mais amplo possível. Para túneis do Cloud VPN com base em políticas, é possível criar rotas para redes locais na rede VPC que tenham destinos mais específicos do que os blocos CIDR especificados nos seletores de tráfego remoto. A maneira mais simples de fazer isso é criar as rotas separadamente dos túneis de VPN seguindo as etapas gcloud na página Como criar uma VPN clássica usando roteamento estático.

  3. Crie vários túneis do Cloud VPN usando o roteamento com base em políticas. Assim, cada túnel terá apenas um bloco CIDR para o seletor de tráfego local e um bloco CIDR para o seletor de tráfego remoto. Configure o túnel de contraparte local da mesma maneira. O Cloud VPN é compatível com vários túneis por gateway. No entanto, o uso de vários túneis tem algumas implicações:

    • O gateway da VPN de peering precisa oferecer endereços IP externos separados com quem cada túnel do Cloud VPN seja conectado. Os túneis no mesmo gateway de VPN clássica precisam se conectar a endereços IP de gateway de peering. Seu gateway de VPN de peering também exige que seus túneis se conectem a endereços IP exclusivos. Em algumas situações, você precisará criar um gateway do Cloud VPN separado por túnel do Cloud VPN.
    • Quando você cria túneis do Cloud VPN com base em rotas ou em políticas usando o Console do Cloud, as rotas para a rede de peering são criadas automaticamente além do túnel. Caso as rotas sejam criadas automaticamente para vários túneis da VPN que usam os mesmos seletores de tráfego remoto, como ocorrerá caso você crie VPNs com base em rotas, será possível ter várias rotas na sua rede VPC, todas com destinos idênticos, mas próximos saltos diferentes. Talvez isso cause um comportamento imprevisível ou inesperado, já que o tráfego é enviado a um túnel da VPN de acordo com a aplicabilidade e a ordem das rotas. Você precisa criar e revisar com atenção rotas estáticas na rede VPC e na rede de peering se não usar roteamento de túnel dinâmico (BGP).

A seguir

Mais conceitos de VPN

Para mais informações sobre os conceitos do Cloud VPN, use as setas de navegação na parte inferior da página para passar para o próximo conceito ou use os links a seguir:

Relacionado à VPN