Réseaux et options de routage pour les tunnels

Cette page décrit les options de routage et les réseaux de cloud privé virtuel (VPC) compatibles.

Pour connaître la définition des termes utilisés sur cette page, consultez la section Termes clés.

Réseaux compatibles

Cloud VPN est compatible avec les réseaux VPC en mode personnalisé, les réseaux VPC en mode automatique et les anciens réseaux. Toutefois, vous devez tenir compte des bonnes pratiques suivantes :

  • Utilisez les réseaux VPC à la place des anciens réseaux. Les anciens réseaux ne sont pas compatibles avec les sous-réseaux. L'ensemble du réseau utilise une seule plage d'adresses IP. Les anciens réseaux ne peuvent pas être convertis en réseaux VPC.

  • Utilisez un réseau VPC en mode personnalisé. Les réseaux VPC en mode personnalisé vous offrent un contrôle total sur la plage d'adresses IP utilisées par leurs sous-réseaux.

    • Si vous utilisez Cloud VPN pour connecter deux réseaux VPC, au moins l'un des réseaux doit être un réseau VPC en mode personnalisé. Les réseaux VPC en mode automatique utilisent la même plage d'adresses IP internes pour leurs sous-réseaux.

    • Consultez la section Remarques sur les réseaux VPC en mode automatique avant d'utiliser ce type de réseau avec Cloud VPN. Les réseaux VPC en mode automatique créent automatiquement un sous-réseau dans chaque région Google Cloud. Des sous-réseaux sont ainsi créés automatiquement à mesure que de nouvelles régions sont ajoutées. Évitez d'employer les adresses IP internes de la plage utilisée par les réseaux VPC en mode automatique sur le réseau auquel les tunnels Cloud VPN se connectent.

Options de routage des tunnels VPN

Le VPN classique est compatible avec les options de routage statique pour les tunnels VPN, tandis que le VPN haute disponibilité accepte l'option de routage dynamique. Vous ne pouvez utiliser des tunnels VPN classiques qui utilisent le routage dynamique que si la passerelle VPN classique se connecte à un logiciel de passerelle VPN exécuté dans une VM Compute Engine.

Le routage dynamique utilise le protocole BGP (Border Gateway Protocol).

Routage dynamique (BGP)

Le routage dynamique utilise un routeur Cloud Router pour gérer automatiquement l'échange de routes à l'aide de BGP. Cet échange est géré par une interface BGP sur un routeur cloud situé dans la même région que le tunnel Cloud VPN correspondant. Le routeur cloud ajoute et supprime des routes sans exiger que le tunnel ne soit supprimé, puis recréé.

Le mode de routage dynamique de votre réseau VPC contrôle le comportement de tous ses routeurs cloud. Ce mode détermine si les routes apprises de votre réseau de pairs sont appliquées aux ressources Google Cloud situées dans la même région que le tunnel VPN ou si elles s'appliquent dans toutes les régions. Vous contrôlez les routages annoncés par votre routeur pair ou votre passerelle.

Le mode de routage dynamique détermine également si les routes de sous-réseau provenant uniquement de la région du tunnel ou de toutes les régions sont partagées avec le routeur appairé ou la passerelle de pairs. En plus de ces routes de sous-réseau, vous pouvez configurer des annonces de routage personnalisées sur un routeur cloud.

Routage statique

Les tunnels VPN classiques sont compatibles avec les options de routage statique basées sur des règles et des routes. Ne choisissez l'option de routage statique que si vous ne pouvez pas utiliser le routage dynamique BGP ou le VPN haute disponibilité.

  • Routage basé sur des règles : les plages d'adresses IP locales (côté gauche) et distantes (côté droit) sont définies dans le cadre du processus de création du tunnel.

  • VPN basé sur le routage. Lorsque vous utilisez Google Cloud Console pour créer un VPN basé sur le routage, vous spécifiez uniquement une liste de plages d'adresses IP distantes. Ces plages servent uniquement à créer des routes vers les ressources de pairs dans votre réseau VPC.

Vous trouverez plus d'informations sur ces deux options de routage statique dans la section suivante.

Sélecteurs de trafic

Un sélecteur de trafic définit un ensemble de plages d'adresses IP ou de blocs CIDR utilisés pour établir un tunnel VPN. Ces plages sont utilisées dans le cadre de la négociation IKE du tunnel. Dans certains documents, les sélecteurs de trafic sont appelés domaines de chiffrement.

Il existe deux types de sélecteurs de trafic :

  • Le sélecteur de trafic local définit l'ensemble des plages d'adresses IP locales (blocs CIDR) du point de vue de la passerelle VPN émettant le tunnel VPN. Pour les tunnels Cloud VPN, le sélecteur de trafic local détermine l'ensemble des adresses CIDR principales et secondaires des sous-réseaux du réseau VPC, ce qui correspond au côté gauche du tunnel.

  • Le sélecteur de trafic distant définit l'ensemble des plages d'adresses IP distantes (blocs CIDR) du point de vue de la passerelle VPN émettant le tunnel VPN. Pour les tunnels Cloud VPN, le sélecteur de trafic distant correspond au côté droit ou au réseau de pairs.

Les sélecteurs de trafic, qui permettent d'établir le handshake IKE, font partie intégrante d'un tunnel VPN. Si les adresses CIDR locales ou distantes doivent être modifiées, le tunnel Cloud VPN et son tunnel homologue doivent être détruits, puis recréés.

Options de routage et sélecteurs de trafic

Les valeurs de la plage d'adresses IP (bloc CIDR) des sélecteurs de trafic locaux et distants dépendent de l'option de routage utilisée par le tunnel Cloud VPN.

Tunnels VPN haute disponibilité
Option de routage du tunnel
Sélecteur de trafic local
Sélecteur de trafic distant
Routes vers le réseau VPC
Routes vers le réseau appairé
Requiert un routage dynamique (BGP)
Toujours
0.0.0.0/0 pour IPv4 (pile unique)
ou 0.0.0.0/0,::/0 pour IPv4 et IPv6 (double pile) ou ::/0 pour IPv6 (pile unique)
Toujours
0.0.0.0/0 pour IPv4 (pile unique)
ou 0.0.0.0/0,::/0 pour IPv4 et IPv6 (double pile) ou ::/0 pour IPv6 (pile unique)
Le routeur cloud gérant l'interface BGP du tunnel Cloud VPN partage les routes à destination des sous-réseaux du réseau VPC conformément au mode de routage dynamique du réseau ainsi qu'aux limites et quotas définis pour le routeur cloud, sauf si des modifications sont apportées par des annonces personnalisées. Le routeur cloud gérant l'interface BGP du tunnel Cloud VPN hérite des routes qui lui sont envoyées par la passerelle VPN de pairs et les ajoute au réseau VPC en tant que routes dynamiques personnalisées sous réserve de restrictions relatives aux routes personnalisées ainsi qu'aux limites et quotas définis pour le routeur cloud.
Tunnels VPN classiques
Option de routage du tunnel
Sélecteur de trafic local
Sélecteur de trafic distant
Routes vers le réseau VPC
Routes vers le réseau appairé
Routage dynamique (BGP) Toujours
0.0.0.0/0
Toujours
0.0.0.0/0
Le routeur cloud gérant l'interface BGP du tunnel Cloud VPN partage les routes à destination des sous-réseaux du réseau VPC conformément au mode de routage dynamique du réseau ainsi qu'aux limites et quotas définis pour le routeur cloud, sauf si des modifications sont apportées par des annonces personnalisées. Le routeur cloud gérant l'interface BGP du tunnel Cloud VPN hérite des routes qui lui sont envoyées par la passerelle VPN de pairs et les ajoute au réseau VPC en tant que routes dynamiques personnalisées, sous réserve de restrictions relatives aux routes personnalisées ainsi qu'aux limites et quotas définis pour le routeur cloud.
Routage basé sur des règles Configurable.
Consultez la section Tunnels basés sur des règles et sélecteurs de trafic.
Obligatoire.
Consultez la section Tunnels basés sur des règles et sélecteurs de trafic.
Vous devez créer et gérer manuellement les routes à destination des sous-réseaux de votre réseau VPC sur vos routeurs appairés. Si vous utilisez Google Cloud Console pour créer le tunnel VPN basé sur des règles, des routes statiques personnalisées sont créées automatiquement. Si vous utilisez gcloud CLI pour créer le tunnel, vous devez utiliser des commandes gcloud supplémentaires pour créer les routes. Pour obtenir des instructions, consultez la section Créer un VPN classique à l'aide d'un routage statique.
VPN basé sur le routage Toujours
0.0.0.0/0
Toujours
0.0.0.0/0
Vous devez créer et gérer manuellement les routes à destination des sous-réseaux de votre réseau VPC sur vos routeurs appairés. Si vous utilisez Google Cloud Console pour créer le tunnel VPN basé sur le routage, des routes statiques personnalisées sont créées automatiquement. Si vous utilisez gcloud CLI pour créer le tunnel, vous devez utiliser des commandes gcloud supplémentaires pour créer les routes. Pour obtenir des instructions, consultez la section Créer un VPN classique à l'aide d'un routage statique.

Tunnels basés sur des règles et sélecteurs de trafic

Cette section présente des informations spécifiques à prendre en compte pour les sélecteurs de trafic lorsque vous créez des tunnels VPN classiques basés sur des règles. Elle ne s'applique pas aux autres types de tunnel VPN classique ou VPN haute disponibilité.

Vous pouvez choisir de spécifier le sélecteur de trafic local d'un tunnel Cloud VPN basé sur des règles lorsque vous créez ce dernier :

  • Sélecteur de trafic local personnalisé. Vous pouvez définir le sélecteur de trafic local comme un ensemble de sous-réseaux du réseau VPC ou un ensemble d'adresses IP internes comprenant les plages d'adresses IP que vous avez choisies pour les sous-réseaux du réseau VPC. IKEv1 limite les sélecteurs de trafic locaux à un seul CIDR.

  • Réseaux VPC en mode personnalisé. Spécifiez un sélecteur de trafic local personnalisé constitué d'une plage d'adresses IP internes.

  • Réseaux VPC en mode automatique. S'il n'est pas spécifié, le sélecteur de trafic local correspond à la plage d'adresses IP principale (bloc CIDR) du sous-réseau créé automatiquement dans la même région que le tunnel Cloud VPN. Les réseaux VPC en mode automatique disposent d'un sous-réseau par région avec des plages d'adresses IP bien définies.

  • Anciens réseaux. S'il n'est pas spécifié, le sélecteur de trafic local est défini comme la totalité de la plage d'adresses IP RFC 1918 de l'ancien réseau.

Spécifiez le sélecteur de trafic distant d'un tunnel Cloud VPN basé sur des règles lorsque vous le créez. Si vous utilisez Google Cloud Console pour créer le tunnel Cloud VPN, des routes statiques personnalisées dont les destinations correspondent aux CIDR du sélecteur de trafic distant sont automatiquement créées. IKEv1 limite les sélecteurs de trafic distants à un seul CIDR. Pour obtenir des instructions, consultez la section Créer un VPN classique à l'aide d'un routage statique.

Remarques importantes concernant les sélecteurs de trafic

Avant de créer un tunnel Cloud VPN basé sur des règles, tenez compte des points suivants :

  • La plupart des passerelles VPN ne transmettent le trafic via un tunnel VPN que si l'adresse IP source d'un paquet se situe dans le sélecteur de trafic local du tunnel, et l'adresse IP de destination d'un paquet dans le sélecteur de trafic distant. Certains appareils VPN n'imposent pas cette exigence.

  • Cloud VPN accepte les CIDR 0.0.0.0/0 ou ::/0 du sélecteur de trafic (toute adresse IP). Pour déterminer si votre passerelle VPN de pairs les accepte également, consultez la documentation fournie avec celle-ci. La création d'un tunnel VPN basé sur des règles avec les deux sélecteurs de trafic définis sur 0.0.0.0/0 ou ::/0 équivaut fonctionnellement à la création d'un VPN basé sur le routage.

  • Examinez attentivement plusieurs CIDR par sélecteur de trafic pour savoir comment Cloud VPN met en oeuvre les protocoles IKEv1 et IKEv2.

  • Cloud VPN interdit la modification des sélecteurs de trafic après la création d'un VPN. Pour modifier le sélecteur de trafic local ou distant pour un tunnel Cloud VPN, vous devez supprimer le tunnel, puis le recréer. Vous n'êtes cependant pas obligé de supprimer la passerelle Cloud VPN.

  • Si vous convertissez un réseau VPC en mode automatique en un réseau VPC en mode personnalisé, vous devrez peut-être supprimer puis recréer le tunnel Cloud VPN (mais pas la passerelle). Cette situation peut se produire si vous ajoutez des sous-réseaux personnalisés, si vous supprimez des sous-réseaux créés automatiquement ou si vous modifiez les plages d'adresses IP secondaires d'un sous-réseau. Évitez de changer le mode d'un réseau VPC comportant des tunnels Cloud VPN. Pour obtenir des suggestions, consultez les Remarques concernant les réseaux VPC en mode automatique.

Pour que le comportement du VPN soit cohérent et prévisible, procédez comme suit :

  • Les sélecteurs de trafic locaux et distants doivent être le plus spécifique possible.

  • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant qui est configuré pour le tunnel correspondant sur la passerelle VPN de pairs.

  • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local qui est configuré pour le tunnel correspondant sur la passerelle VPN sur site.

Plusieurs CIDR par sélecteur de trafic

Lorsque vous créez un tunnel VPN classique basé sur des règles, si vous utilisez IKEv2, vous pouvez spécifier plusieurs CIDR par sélecteur de trafic. Cloud VPN utilise toujours une seule association de sécurité enfant (SA), quelle que soit la version IKE.

Le tableau ci-dessous récapitule la prise en charge Cloud VPN de plusieurs CIDR par sélecteur de trafic dans les tunnels VPN basés sur des règles.

Version IKE Plusieurs CIDR par sélecteur de trafic
IKEv1

Non

Le protocole IKEv1 n'accepte qu'un seul CIDR par association de sécurité enfant (SA), comme défini dans les documents RFC 2407 et RFC 2409. Étant donné que Cloud VPN ne requiert qu'une seule association de sécurité enfant par tunnel VPN, lorsque vous utilisez IKEv1, vous ne pouvez fournir qu'un seul CIDR pour le sélecteur de trafic local et un seul CIDR pour le sélecteur de trafic distant.

Cloud VPN n'accepte pas la création d'un tunnel VPN utilisant IKEv1 avec plusieurs associations de sécurité enfant, chacune contenant un seul CIDR.

IKEv2 Oui, si les conditions suivantes sont remplies :
  • Votre passerelle VPN de pairs utilise une seule association de sécurité enfant. Tous les CIDR du sélecteur de trafic local et tous les CIDR du sélecteur de trafic distant doivent se trouver dans une seule association de sécurité enfant.
  • Le nombre de CIDR que vous configurez ne provoque pas le dépassement de la valeur MTU maximale de Cloud VPN (1 460 octets) par les paquets de proposition IKE. Les tunnels Cloud VPN ne s'établiront pas si les propositions IKE dépassent cette valeur MTU.
  • Vous ne dépassez pas le nombre de CIDR acceptés par la passerelle sur site. Pour plus de détails, consultez la documentation du fournisseur de passerelle.

Une bonne pratique consiste à utiliser au maximum 30 CIDR par sélecteur de trafic afin de ne pas créer de paquet de proposition IKE dépassant la valeur MTU maximum.

Stratégies relatives aux sélecteurs de trafic

Considérez les stratégies suivantes si la passerelle VPN sur site crée plusieurs associations de sécurité enfant par tunnel VPN ou si plusieurs CIDR par sélecteur de trafic provoquent le dépassement de 1 460 octets par une proposition IKE pour IKEv2 (pour plus de détails, consultez la section Options de routage et sélecteurs de trafic) :

  1. Utilisez le routage dynamique pour le tunnel VPN. Si votre passerelle VPN de pairs est compatible avec BGP, configurez des sélecteurs de trafic locaux et distants pour le tunnel VPN afin d'autoriser toutes les adresses IP. Utilisez 0.0.0.0/0 pour IPv4 uniquement ou 0.0.0.0/0,::/0 pour le trafic IPv4 et IPv6. Les routes sont automatiquement échangées entre la passerelle VPN de pairs et le routeur cloud associé au tunnel Cloud VPN. Si vous pouvez utiliser le routage dynamique, envisagez d'utiliser un VPN haute disponibilité.

  2. Faites appel à des sélecteurs de trafic dotés d'un CIDR étendu, ainsi qu'au routage de tunnel statique :

    • Utilisez un VPN basé sur des routes. Les deux sélecteurs de trafic ont par définition la valeur 0.0.0.0/0 pour ce type de VPN. Vous pouvez créer des routes plus spécifiques que les sélecteurs de trafic.

    • Utilisez le routage basé sur des règles et configurez les sélecteurs de trafic locaux et distants de sorte que leur plage soit aussi étendue que possible. Pour les tunnels Cloud VPN basés sur des règles, vous pouvez créer des routes vers des réseaux sur site dans le réseau VPC avec des destinations plus spécifiques que les blocs CIDR des sélecteurs de trafic distants. Utilisez gcloud CLI pour créer les routes séparément des tunnels VPN en suivant la procédure décrite dans la section Créer un VPN classique à l'aide d'un routage statique.

  3. Utilisez le routage basé sur des règles pour créer plusieurs tunnels Cloud VPN de sorte que chaque tunnel ne comporte qu'un bloc CIDR pour son sélecteur de trafic local, et un bloc CIDR pour son sélecteur de trafic distant. Configurez le tunnel homologue sur site de la même manière. Cloud VPN accepte plusieurs tunnels par passerelle. Toutefois, l'utilisation de plusieurs tunnels a les conséquences suivantes :

    • Votre passerelle VPN de pairs doit proposer des adresses IP externes distinctes auxquelles chaque tunnel Cloud VPN peut se connecter. Les tunnels de la même passerelle VPN classique doivent se connecter à des adresses IP uniques de la passerelle de pairs. La passerelle VPN de pairs peut également nécessiter que ses tunnels se connectent à des adresses IP uniques. Dans certains cas, vous devez créer une passerelle Cloud VPN distincte par tunnel Cloud VPN.
    • Lorsque vous utilisez Google Cloud Console pour créer des tunnels Cloud VPN basés sur le routage ou sur des règles, les routes vers le réseau appairé sont automatiquement créées en plus du tunnel. Si des routes sont automatiquement créées pour plusieurs tunnels VPN utilisant les mêmes sélecteurs de trafic distants (comme cela se produira si vous créez des VPN basés sur le routage), votre réseau VPC risque d'inclure plusieurs routes ayant toutes des destinations identiques, mais des sauts suivants distincts. Cette situation peut entraîner un comportement imprévisible ou inattendu car le trafic est transmis à un tunnel VPN selon l'applicabilité et l'ordre de priorité des routes. Si vous n'utilisez pas le routage de tunnel dynamique (BGP), créez et vérifiez les routes statiques du réseau VPC et du réseau appairé.

Étapes suivantes

  • Pour en savoir plus sur les concepts de base de Cloud VPN, consultez la présentation de Cloud VPN.
  • Pour utiliser des scénarios à haute disponibilité et à haut débit, ou des scénarios à plusieurs sous-réseaux, consultez la section Configurations avancées.
  • Pour vous aider à résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Cloud VPN, consultez la page Dépannage.