配置对等 VPN 网关

要完成 VPN 配置,您必须在对等 VPN 网关上配置以下资源:

  • 连接到 Cloud VPN 的相应 VPN 隧道
  • BGP 会话(如果您结合使用 Cloud Router 路由器和动态路由)。
    对于高可用性 VPN 网关以及其隧道使用动态路由的传统 VPN 网关,您必须始终配置 BGP VPN 会话。
  • 防火墙规则
  • IKE 设置

本文介绍了上述所有资源。

设置对等网关时,可查看您的对等网关文档或咨询制造商以了解最佳做法。如需查看介绍某些受支持的第三方 VPN 设备和服务的指南,请参阅“VPN 互操作指南”页面

高可用性 VPN 的外部对等 VPN 网关资源

对于高可用性 VPN 网关,您可配置一个外部对等 VPN 网关资源来表示 Google Cloud 中的物理对等网关。您也可将此资源创建为独立的资源供稍后使用。

要创建外部对等 VPN 网关,您需要来自物理对等网关(或者第三方的基于软件的网关)的以下值。外部对等 VPN 网关资源的值必须与物理对等网关上的配置匹配才能建立 VPN:

  • 物理 VPN 网关上的接口数量
  • 对等网关或接口的一个或多个公共 IP 地址
  • BGP 端点 IP 地址
  • IKE 预共享密钥
  • ASN 编号

要创建独立的外部对等 VPN 网关资源,请执行以下操作:

Console

  1. 转到 Google Cloud Console 中的 VPN 页面。
    转到 VPN 页面
  2. 点击创建对等 VPN 网关按钮。
  3. 为对等网关指定一个名称
  4. 选择物理网关具有的接口数量:onetwofour
  5. 为物理 VPN 网关上的每个接口添加接口 IP 地址
  6. 点击创建

gcloud

执行以下命令时,输入物理 VPN 的接口 ID 和 IP 地址。您可以输入 1、2 或 4 个接口。

    gcloud compute external-vpn-gateways create mygateway \
      --interfaces 0=35.254.128.120,1=35.254.128.121
    

命令输出应如下所示:

    Creating external VPN Gateway...done.
    NAME       REDUNDANCY_TYPE
    mygateway  TWO_IPS_REDUNDANCY
    

API

可以对此命令使用此网关冗余类型列表。

使用 externalVpnGateways.insert 方法发出 POST 请求。

      POST https://www.googleapis.com/compute/v1/projects/project-id/global/externalVpnGateways
      {
        "name": "mygateway",
        "interfaces": [
          {
            "id": 0,
            "ipAddress": "35.254.128.120"
          },
          {
            "id": 1,
            "ipAddress": "35.254.128.121"
          },
        ],
        "redundancyType": "TWO_IPS_REDUNDANCY"
      }
    

配置 VPN 隧道

请参阅对等 VPN 网关的相应文档,为您创建的每个 Cloud VPN 隧道创建相应的隧道。

对于高可用性 VPN,请在对等网关上配置两个隧道。对等网关上的一个隧道必须与接口 0 上的 Cloud VPN 隧道相对应,对等网关上的另一个隧道必须与接口 1 上的 Cloud VPN 隧道相对应。

对等网关上的每个隧道还应提供唯一的公共 IP 地址供您的高可用性 VPN 网关使用。

为动态路由配置 BGP 会话

(仅限动态路由)配置您的对等 VPN 网关,使其支持您希望向 Cloud Router 路由器通告的对等子网的 BGP 会话。

请使用 Cloud Router 路由器的 ASN 和 IP 地址以及 Cloud VPN 网关中的信息来配置对等网关。

您可以在 Cloud Router 路由器摘要信息中获取 Google ASN、已配置的对等网络 ASN 和 BGP IP 地址。请参阅查看路由器配置,获取上述 Cloud Router 路由器信息。

对于高可用性 VPN,请注意两个隧道的 Google ASN(从对等 VPN 网关的角度来看,即对等 ASN)是相同的。

配置防火墙规则

有关如何为对等网络配置防火墙规则的说明,请参阅配置防火墙规则

配置 IKE

对于动态路由、基于路由和基于政策的路由,请按照以下说明在您的对等 VPN 网关上配置 IKE。

使用以下参数为 IKE 配置对等 VPN 网关和隧道:

对于 IKEv1 和 IKEv2:

设置
IPsec 模式 ESP+身份验证隧道模式(站点到站点)
身份验证协议 PSK
共享密钥令牌 也称为 IKE 预共享密钥。请遵循这些准则选择安全系数高的密码。共享密钥令牌非常敏感,因为它允许用户访问您的网络。
开始 auto(如果连接丢失,对等设备应会自动重启连接)
PFS(完全正向加密) 开启
DPD(死对等体检测) 推荐:Aggressive。DPD 会检测 Cloud VPN 何时使用备用隧道重启并路由流量。
INITIAL_CONTACT(有时称为 uniqueids) 推荐:on(有时称为 restart)。其用途是更快地检测重启,以便减少感知的停机时间。
TSi(流量选择器 - 发起程序) 子网网络--local-traffic-selector 标志指定的范围。如果未指定 --local-traffic-selector(原因是 VPN 处于自动模式 VPC 网络并且仅发布网关的子网),则使用该子网范围。
旧版网络:网络的范围。
TSr(流量选择器 - 响应程序) IKEv2:将 --next-hop-vpn-tunnel 设置为该隧道的所有路由的目标范围。
IKEv1:将 --next-hop-vpn-tunnel 设置为该隧道的其中一条路由的任意目标范围。
MTU 对等 VPN 设备的 MTU 不得超过 1460 字节。您必须在设备上启用预碎片化,也就是说,必须首先对数据包进行分段,然后进行封装。如需了解详情,请参阅最大传输单元 (MTU) 注意事项

仅适用于 IKEv1 的其他参数:

设置
IKE/ISAKMP aes128-sha1-modp1024
ESP aes128-sha1
PFS 算法 第 2 组 (MODP_1024)

IKE 加密方式概览

传统 VPN 和高可用性 VPN 支持以下 IKE 加密方式。IKEv2 具有两个部分,一个用于使用带关联数据的加密认证 (AEAD) 的加密方式,另一个用于不使用 AEAD 的加密方式。

使用 AEAD 的 IKEv2 加密方式

第 1 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
在此列表中,第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。

某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
伪随机函数 (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
许多设备都不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密和完整性
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
Cloud VPN 的提案按照所示顺序显示这些算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

请注意,每个算法中的第一个数字是以字节(八位字节)为单位的 ICV 参数的大小,第二个数字是以位为单位的密钥长度。某些文档可能会以位为单位表示 ICV 参数(第一个数字),这时原本的数字 8 需要变为 64,12 变为 96,16 变为 128。
PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

不使用 AEAD 的 IKEv2 加密方式

第 1 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受使用以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。
伪随机函数 (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
许多设备都不需要显式 PRF 设置。
Diffie-Hellman (DH)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
第 1 阶段存在期 36000 秒(10 小时)

第 2 阶段

加密角色 加密方式 备注
加密
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Cloud VPN 的提案按照所示顺序显示这些对称加密算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
完整性
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
Cloud VPN 的提案按照所示顺序显示这些 HMAC 算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。

您本地 VPN 网关文档使用的算法名称可能会略有不同。例如,HMAC-SHA2-512-256 可能简称为 SHA2-512SHA-512,后者丢弃了截断长度数和其他无关信息。
PFS 算法(必需)
  • modp_2048(第 14 组)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536(第 5 组)
  • modp_3072(第 15 组)
  • modp_4096(第 16 组)
  • modp_8192(第 18 组)
  • modp_1024(第 2 组)
  • modp_1024_160 (modp_1024s160)
Cloud VPN 的提案按照所示顺序显示这些密钥交换算法。Cloud VPN 接受包含以上一个算法或多个任意顺序算法的任何提案。
Diffie-Hellman (DH) 请参阅第 1 阶段。 如果您的 VPN 网关需要第 2 阶段的 DH 设置,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

IKEv1 加密方式

第 1 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
伪随机函数 (PRF) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024(第 2 组)
第 1 阶段存在期 36600 秒(10 小时 10 分钟)

第 2 阶段

加密角色 加密方式
加密 AES-CBC-128
完整性 HMAC-SHA1-96
PFS 算法(必需) modp_1024(第 2 组)
Diffie-Hellman (DH) 如果您需要为 VPN 网关指定 DH,请使用您在第 1 阶段中使用的相同设置。
第 2 阶段存在期 10800 秒(3 小时)

后续步骤