En esta página se describen conceptos relacionados con Cloud VPN. Para consultar las definiciones de los términos que se usan en la documentación de Cloud VPN, consulta Términos clave.
Cloud VPN amplía de forma segura tu red de emparejamiento a tu red de nube privada virtual (VPC) a través de una conexión IPsec VPN. La conexión VPN cifra el tráfico entre las redes. Una pasarela VPN se encarga del cifrado y la otra, del descifrado. Este proceso protege tus datos durante la transmisión. También puedes conectar dos redes de VPC entre sí conectando dos instancias de Cloud VPN. No puedes usar Cloud VPN para enrutar tráfico a Internet público. Está diseñada para la comunicación segura entre redes privadas.
Elegir una solución de red híbrida
Para determinar si debes usar Cloud VPN, Interconexión dedicada, Partner Interconnect o Cloud Router como conexión de red híbrida a Google Cloud, consulta Elegir un producto de conectividad de red.
Pruébalo
Si es la primera vez que utilizas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud VPN en situaciones reales. Los nuevos clientes también reciben 300 USD en crédito gratuito para ejecutar, probar y desplegar cargas de trabajo.
Probar Cloud VPN gratisPara mejorar la seguridad de tu conexión de Interconexión Dedicada o Partner Interconnect, usa VPN de alta disponibilidad mediante Cloud Interconnect. Esta solución establece túneles de VPN de alta disponibilidad cifrados a través de tus conexiones de VLAN.
Tipos de Cloud VPN
Google Cloud ofrece dos tipos de pasarelas VPN de Cloud:
En la siguiente tabla se comparan las funciones de la VPN de alta disponibilidad con las de la VPN clásica.
| Función | VPN de alta disponibilidad | VPN clásica |
|---|---|---|
| Acuerdo de nivel de servicio | Ofrece un acuerdo de nivel de servicio del 99,99% para la mayoría de las topologías, con algunas excepciones. Para obtener más información, consulta el artículo sobre las topologías de VPN de alta disponibilidad. | Ofrece un acuerdo de nivel de servicio del 99,9 %. |
| Creación de direcciones IP externas y reglas de reenvío | Direcciones IP externas creadas a partir de un grupo. No se necesitan reglas de reenvío. | Deben crearse direcciones IP externas y reglas de reenvío. |
| Opciones de enrutamiento admitidas | Solo enrutamiento dinámico (BGP). | Solo enrutamiento estático (basado en políticas o en rutas). |
| Dos túneles de una pasarela de Cloud VPN a la misma pasarela de par | Compatible | No compatible |
| Conecta una pasarela de Cloud VPN a máquinas virtuales de Compute Engine con direcciones IP externas. | Topología admitida y recomendada. Para obtener más información, consulta Topologías de VPN de alta disponibilidad. | Compatible. |
| Recursos de la API | Se conoce como recurso vpn-gateway. |
Se conoce como recurso target-vpn-gateway. |
| Tráfico IPv6 | Admite la configuración de pila dual (IPv4 e IPv6) y solo IPv6 | No compatible |
Para obtener información sobre cómo migrar de una VPN clásica a una VPN de alta disponibilidad, consulta el artículo Migrar de una VPN clásica a una VPN de alta disponibilidad.
VPN de alta disponibilidad
La VPN de alta disponibilidad es una solución de Cloud VPN de alta disponibilidad que te permite conectar de forma segura tu red on-premise a tu red de VPC a través de una conexión VPN IPsec. En función de la topología y la configuración, las VPN de alta disponibilidad pueden ofrecer un acuerdo de nivel de servicio del 99,99% o del 99,9 % de disponibilidad del servicio.
Cuando creas una pasarela de VPN de alta disponibilidad, Google Cloud elige automáticamente dos direcciones IP externas, una para cada una de sus interfaces. Cada dirección IP se elige automáticamente de un grupo de direcciones único para admitir la alta disponibilidad. Cada una de las interfaces de pasarela de VPN de alta disponibilidad admite varios túneles. También puede crear varias pasarelas de VPN de alta disponibilidad. Cuando eliminas la pasarela de VPN de alta disponibilidad, Google Cloud se liberan las direcciones IP para que se puedan volver a usar. Puedes configurar una una VPN de alta disponibilidad con solo una interfaz activa y una dirección IP externa. Sin embargo, esta configuración no proporciona un contrato de nivel de servicio de disponibilidad.
Una opción para usar la VPN de alta disponibilidad es VPN de alta disponibilidad mediante Cloud Interconnect. Con la VPN de alta disponibilidad mediante Cloud Interconnect, obtienes la seguridad del cifrado IPsec de Cloud VPN junto con la mayor capacidad de Cloud Interconnect. Además, como usas Cloud Interconnect, tu tráfico de red nunca atraviesa la red pública de Internet. Si usas Partner Interconnect, debes añadir cifrado IPsec al tráfico de Cloud Interconnect para cumplir los requisitos de seguridad y cumplimiento de datos al conectarte con proveedores externos. La VPN de alta disponibilidad usa un recurso de pasarela de VPN externa en Google Cloud para proporcionar información a Google Cloud sobre tu pasarela de VPN de par o tus pasarelas.
En la documentación de la API y en los comandos gcloud, las pasarelas de VPN de alta disponibilidad se denominan pasarelas de VPN en lugar de pasarelas de VPN de destino.
No es necesario que cree ninguna regla de reenvío para las pasarelas de VPN de alta disponibilidad.
Las VPN de alta disponibilidad pueden ofrecer un acuerdo de nivel de servicio de disponibilidad del 99,99% o del 99,9 % en función de las topologías o los escenarios de configuración. Para obtener más información sobre las topologías de VPN de alta disponibilidad y los acuerdos de nivel de servicio admitidos, consulta Topologías de VPN de alta disponibilidad.
Al configurar una VPN de alta disponibilidad, ten en cuenta las siguientes directrices:
Cuando conectas una pasarela de VPN de alta disponibilidad a otra, las pasarelas deben usar tipos de pila de IP idénticos. Por ejemplo, si creas una pasarela de VPN de alta disponibilidad con el tipo de pila
IPV4_IPV6, la otra pasarela de VPN de alta disponibilidad también debe tener el valorIPV4_IPV6.Configura dos túneles VPN desde la perspectiva de la pasarela de Cloud VPN:
- Si tienes dos dispositivos de pasarela VPN de par, cada uno de los túneles de cada interfaz de la pasarela de Cloud VPN debe conectarse a su propia pasarela de par.
- Si tienes un solo dispositivo de pasarela VPN de otro proveedor con dos interfaces, cada uno de los túneles de cada interfaz de la pasarela Cloud VPN debe conectarse a su propia interfaz de la pasarela de otro proveedor.
- Si tienes un solo dispositivo de pasarela VPN de par con una sola interfaz, los dos túneles de cada interfaz de la pasarela de Cloud VPN deben conectarse a la misma interfaz de la pasarela de par.
Un dispositivo VPN de otro fabricante debe configurarse con la redundancia adecuada. El proveedor del dispositivo especifica los detalles de una configuración adecuadamente redundante, que puede incluir varias instancias de hardware. Para obtener más información, consulta la documentación del proveedor del dispositivo VPN de par.
Si se necesitan dos dispositivos de emparejamiento, cada uno de ellos debe conectarse a una interfaz de pasarela de VPN de alta disponibilidad diferente. Si el otro extremo es otro proveedor de servicios en la nube, como AWS, las conexiones VPN también deben configurarse con la redundancia adecuada en el lado de AWS.
El dispositivo de pasarela de VPN de tu par debe admitir el enrutamiento dinámico mediante el protocolo de pasarela fronteriza (BGP).
En el siguiente diagrama se muestra el concepto de VPN de alta disponibilidad, así como una topología que incluye las dos interfaces de una pasarela de VPN de alta disponibilidad conectadas a dos pasarelas de VPN de par. Para ver topologías de VPN de alta disponibilidad más detalladas (escenarios de configuración), consulta Topologías de VPN de alta disponibilidad.
Una pasarela de VPN de alta disponibilidad a dos pasarelas de VPN de par (haz clic para ampliar).
VPN clásica
A diferencia de la VPN de alta disponibilidad, las pasarelas de VPN clásica tienen una sola interfaz y una sola dirección IP externa, y admiten túneles que usan el enrutamiento estático (basado en políticas o en rutas).
Las pasarelas de VPN clásica ofrecen un acuerdo de nivel de servicio con una disponibilidad del 99,9 %.
Las pasarelas de VPN clásica no admiten IPv6.
Para ver las topologías de VPN clásica admitidas, consulta la página sobre topologías de VPN clásica.
Las VPN clásicas se denominan pasarelas VPN de destino en la documentación de la API y en la CLI de Google Cloud.
Especificaciones
Cloud VPN tiene las siguientes especificaciones:
- Cada pasarela de Cloud VPN es un recurso regional. Cuando creas una pasarela de Cloud VPN, puedes seleccionar una Google Cloud región específica para su ubicación. No puedes elegir una zona, solo una región.
Cloud VPN solo admite la conectividad VPN IPsec de sitio a sitio, de acuerdo con los requisitos que se indican en esta sección. No admite situaciones de cliente a pasarela. Es decir, Cloud VPN no admite casos prácticos en los que los ordenadores cliente tengan que conectarse a una VPN mediante un software de cliente VPN.
Cloud VPN solo admite IPsec. No se admiten otras tecnologías de VPN (como SSL VPN).
Cloud VPN se puede usar con redes de VPC y redes antiguas. En el caso de las redes de VPC, te recomendamos que uses redes de VPC en modo personalizado para tener un control total sobre los intervalos de direcciones IP que usan las subredes de la red.
Las pasarelas de VPN clásica y de alta disponibilidad usan direcciones IPv4 externas (con enrutamiento a Internet). Solo se permite el tráfico ESP, UDP 500 y UDP 4500 a estas direcciones. Esto se aplica a las direcciones de Cloud VPN que hayas configurado para la VPN clásica o a las direcciones IP asignadas automáticamente para la VPN de alta disponibilidad.
Si los intervalos de direcciones IP de las subredes locales se solapan con las direcciones IP que usan las subredes de tu red de VPC, consulta Orden de las rutas para saber cómo se resuelven los conflictos de enrutamiento.
El siguiente tráfico de Cloud VPN permanece en la red de producción de Google:
- Entre dos pasarelas de VPN de alta disponibilidad
- Entre dos pasarelas de VPN clásica
- Entre una pasarela de VPN clásica o de alta disponibilidad y la dirección IP externa de una máquina virtual de Compute Engine que actúe como pasarela de VPN
Cloud VPN se puede usar con el acceso privado de Google para hosts on-premise. Para obtener más información, consulta el artículo sobre las opciones de acceso privado a servicios.
Cada pasarela de Cloud VPN debe conectarse a otra pasarela de Cloud VPN o a una pasarela VPN de otro proveedor.
La pasarela de VPN de la otra organización debe tener una dirección IPv4 externa estática (enrutable en Internet). Necesitas esta dirección IP para configurar Cloud VPN.
- Si tu pasarela de VPN de par está detrás de una regla de cortafuegos, debes configurar la regla de cortafuegos para que transmita el protocolo ESP (IPsec) y el tráfico IKE (UDP 500 y UDP 4500). Si la regla de cortafuegos proporciona traducción de direcciones de red (NAT), consulta Encapsulación UDP y NAT-T.
Cloud VPN requiere que la pasarela de VPN de par esté configurada para admitir la prefragmentación. Los paquetes deben fragmentarse antes de encapsularse.
Cloud VPN usa la detección de repeticiones con una ventana de 4096 paquetes. No puedes desactivar esta opción.
Cloud VPN admite tráfico de encapsulación de enrutamiento genérico (GRE). La compatibilidad con GRE te permite terminar el tráfico GRE en una VM desde Internet (dirección IP externa) y Cloud VPN o Cloud Interconnect (dirección IP interna). El tráfico desencapsulado se puede reenviar a un destino accesible. GRE te permite usar servicios como el perímetro de servicio de acceso seguro (SASE) y SD-WAN. Debes crear una regla de cortafuegos para permitir el tráfico GRE.
Los túneles de VPN de alta disponibilidad admiten el intercambio de tráfico IPv6, pero los túneles de VPN clásica no.
Ancho de banda de red
Cada túnel de Cloud VPN admite hasta 250.000 paquetes por segundo para la suma del tráfico de entrada y salida. En función del tamaño medio de los paquetes del túnel, 250.000 paquetes por segundo equivalen a un ancho de banda de entre 1 y 3 Gbps.
Las métricas relacionadas con este límite son Sent bytes y Received bytes, que se describen en Ver registros y métricas. Ten en cuenta que la unidad de las métricas es bytes, mientras que el límite de 3 Gbps se refiere a bits por segundo. Cuando se convierte a bytes, el límite es de 375 megabytes por segundo (MBps).
Cuando mida el uso en comparación con el límite, utilice la suma de Sent bytes y Received bytes en comparación con el límite convertido de 375 MBps.
Para obtener información sobre cómo crear políticas de alertas, consulta Definir alertas para el ancho de banda de túneles VPN.
Factores que afectan al ancho de banda
El ancho de banda se ve afectado por varios factores, entre los que se incluyen los siguientes:
La conexión de red entre la pasarela de Cloud VPN y tu pasarela de par:
Ancho de banda de la red entre las dos pasarelas. Si has establecido una relación de interconexión directa con Google, el rendimiento será mayor que si el tráfico de tu VPN se envía a través de Internet público.
Tiempo de ida y vuelta (RTT) y pérdida de paquetes. Las tasas elevadas de RTT o de pérdida de paquetes reducen considerablemente el rendimiento de TCP.
Funciones de tu pasarela de VPN de par. Para obtener más información, consulta la documentación de tu dispositivo.
Tamaño del paquete. Cloud VPN usa el protocolo IPSec en modo de túnel, encapsulando y encriptando paquetes IP completos en Encapsulating Security Payload (ESP) y, a continuación, almacenando los datos de ESP en un segundo paquete IP externo. Por lo tanto, hay un MTU de la pasarela para los paquetes encapsulados de IPsec y un MTU de la carga útil para los paquetes antes y después del encapsulado de IPsec. Para obtener más información, consulta las consideraciones sobre la MTU.
Tasa de paquetes. En el caso del tráfico de entrada y salida, la frecuencia máxima de paquetes recomendada para cada túnel de VPN de Cloud es de 250.000 paquetes por segundo (pps). Si necesitas enviar paquetes a una velocidad mayor, debes crear más túneles VPN.
Al medir el ancho de banda TCP de un túnel VPN, debes medir más de un flujo TCP simultáneo. Si usas la iperfherramienta, usa el parámetro -P para especificar el número de emisiones simultáneas.
Compatibilidad con IPv6
Cloud VPN admite IPv6 en las VPN de alta disponibilidad, pero no en las VPN clásicas.
Para admitir el tráfico IPv6 en túneles de VPN de alta disponibilidad, haz lo siguiente:
Usa el tipo de pila
IPV6_ONLYoIPV4_IPV6al crear una pasarela de VPN de alta disponibilidad y túneles que conecten redes de VPC habilitadas para IPv6 con otras redes habilitadas para IPv6. Estas redes pueden ser redes locales, redes multicloud u otras redes de VPC.Incluye subredes de pila dual o subredes solo IPv6 en tus redes de VPC habilitadas para IPv6. Además, asigna intervalos IPv6 internos a las subredes.
En la siguiente tabla se resumen las direcciones IP externas permitidas para cada tipo de pila de la pasarela de VPN de alta disponibilidad.
| Tipo de pila | Direcciones IP externas de pasarela admitidas |
|---|---|
| IPV4_ONLY | IPv4 |
| IPV4_IPV6 | IPv4, IPv6 |
| IPV6_ONLY | IPv6 |
Restricciones de las políticas de organización para IPv6
Para inhabilitar la creación de todos los recursos híbridos IPv6 de tu proyecto, asigna el valor true a la siguiente política de organización:
constraints/compute.disableHybridCloudIpv6
En el caso de las VPNs de alta disponibilidad, esta restricción de la política de organización impide la creación de pasarelas de alta disponibilidad de doble pila y de alta disponibilidad solo IPv6 en el proyecto. Esta política también impide la creación de sesiones de BGP IPv6 y de vinculaciones de VLAN de interconexión dedicada de pila dual.
Tipos de pila y sesiones de BGP
Las pasarelas VPN de alta disponibilidad admiten diferentes tipos de pila. El tipo de pila de una puerta de enlace de VPN de alta disponibilidad determina qué versión del tráfico IP se permite en los túneles de VPN de alta disponibilidad.
Cuando creas los túneles de VPN de alta disponibilidad para una pasarela de VPN de alta disponibilidad de doble pila, puedes crear una sesión de BGP IPv6 para intercambiar rutas IPv6 o una sesión de BGP IPv4 que intercambie rutas IPv6 mediante BGP multiprotocolo (MP-BGP).
En la siguiente tabla se resumen los tipos de sesiones BGP admitidos en cada tipo de pila.
| Tipo de pila | Sesiones de BGP admitidas | Direcciones IP externas de la pasarela |
|---|---|---|
| Pila única (solo IPv4) | BGP IPv4, sin MP-BGP | IPv4 |
| Pila única (solo IPv6) | BGP IPv6, no MP-BGP | IPv6 |
| Doble pila (IPv4 e IPv6) |
|
IPv4 e IPv6 |
Para obtener más información sobre las sesiones de BGP, consulta el artículo Establecer sesiones de BGP de la documentación de Cloud Router.
Pasarelas de pila única solo IPv4
De forma predeterminada, a una pasarela VPN de alta disponibilidad se le asigna el tipo de pila solo IPv4 y se le asignan automáticamente dos direcciones IPv4 externas.
Una pasarela de VPN de alta disponibilidad solo IPv4 solo puede admitir tráfico IPv4.
Sigue estos procedimientos para crear pasarelas de VPN de alta disponibilidad solo IPv4 y sesiones BGP IPv4.
- Para configurar una VPN de alta disponibilidad a una pasarela de VPN de par, consulta los artículos Crear una pasarela de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv4.
- Para configurar una VPN de alta disponibilidad a una pasarela de VPN de alta disponibilidad, consulta los artículos Crear pasarelas de VPN de alta disponibilidad y Crear sesiones de BGP - Sesiones de BGP IPv4.
Pasarelas de pila única solo IPv6
Una puerta de enlace de VPN de alta disponibilidad que solo usa IPv6 solo admite tráfico IPv6. De forma predeterminada, a una pasarela de VPN de alta disponibilidad solo IPv6 se le asignan dos direcciones IPv6 externas.
Sigue estos procedimientos para crear pasarelas de VPN de alta disponibilidad solo IPv6 y sesiones BGP IPv6.
- Para obtener información sobre la configuración de una VPN de alta disponibilidad a una pasarela de VPN de par, consulta los artículos Crear una pasarela de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv6.
- Para configurar una pasarela de VPN de alta disponibilidad a otra pasarela de VPN de alta disponibilidad, consulta los artículos Crear pasarelas de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv6.
Puertas de enlace de doble pila IPv4 e IPv6
Una pasarela de VPN de alta disponibilidad configurada con el tipo de pila de doble pila (IPv4 e IPv6) puede admitir tráfico IPv4 e IPv6.
En el caso de una puerta de enlace de VPN de alta disponibilidad de doble pila, puedes configurar tu Cloud Router con una sesión de BGP IPv4, una sesión de BGP IPv6 o ambas. Si solo configuras una sesión de BGP, puedes habilitar MP-BGP para permitir que esa sesión intercambie rutas IPv4 e IPv6. Si creas una sesión de BGP IPv4 y una sesión de BGP IPv6, no puedes habilitar MP-BGP en ninguna de las dos.
Para intercambiar rutas IPv6 en una sesión de BGP IPv4 mediante MP-BGP, debes configurar esa sesión con direcciones de salto siguiente IPv6. Del mismo modo, para intercambiar rutas IPv4 en una sesión BGP IPv6 mediante MP-BGP, debe configurar esa sesión con direcciones de salto siguiente IPv4. Puedes configurar estas direcciones de salto siguiente de forma manual o automática.
Si configuras manualmente las direcciones del siguiente salto, debes seleccionarlas del intervalo de direcciones unicast globales IPv6 (GUA) propiedad de Google 2600:2d00:0:2::/63
o del intervalo de direcciones de enlace local IPv4 169.254.0.0./16. Google preasigna estos intervalos de direcciones IP. Las direcciones IP del siguiente salto que selecciones deben ser únicas en todos los routers de Cloud de tu red de VPC.
Si seleccionas la configuración automática, Google Cloud se seleccionarán las direcciones IP del siguiente salto por ti.
Sigue estos procedimientos para crear pasarelas de VPN de alta disponibilidad de doble pila y todas las sesiones BGP admitidas.
- Sesiones de BGP IPv4, con o sin MP-BGP
- Para configurar una pasarela de VPN de alta disponibilidad a una pasarela de VPN de par, consulta Crear una pasarela de VPN de alta disponibilidad y Crear sesiones de BGP - Sesiones de BGP IPv4.
- Para configurar una pasarela de VPN de alta disponibilidad a una pasarela de VPN de alta disponibilidad, consulta Crear pasarelas de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv4.
- Sesiones de BGP IPv6, con o sin MP-BGP
- Para configurar una pasarela de VPN de alta disponibilidad a una pasarela de VPN de par, consulta Crear una pasarela de VPN de alta disponibilidad y Crear sesiones de BGP - Sesiones de BGP IPv6.
- Para configurar una pasarela de VPN de alta disponibilidad a otra pasarela de VPN de alta disponibilidad, consulta Crear pasarelas de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv6.
- Sesiones de BGP IPv4 e IPv6
- Para configurar una pasarela de VPN de alta disponibilidad a una pasarela de VPN de par, consulta Crear una pasarela de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv4 y de BGP IPv6.
- Para configurar una pasarela de VPN de alta disponibilidad a una pasarela de VPN de alta disponibilidad, consulta Crear pasarelas de VPN de alta disponibilidad y Crear sesiones de BGP: sesiones de BGP IPv4 e IPv6.
Compatibilidad con IPsec e IKE
Cloud VPN admite IKEv1 e IKEv2 mediante una clave precompartida de IKE (secreto compartido) y cifrados de IKE. Cloud VPN solo admite una clave precompartida para la autenticación. Cuando crees el túnel de Cloud VPN, especifica una clave precompartida. Cuando crees el túnel en la puerta de enlace de la otra entidad, especifica la misma clave precompartida. Para obtener información sobre cómo crear una clave precompartida segura, consulta el artículo Generar una clave precompartida segura.
Cloud VPN admite ESP en modo túnel con autenticación, pero no admite AH ni ESP en modo transporte.
Debes usar IKEv2 para habilitar el tráfico IPv6 en la VPN de alta disponibilidad.
Cloud VPN no realiza ningún filtrado relacionado con las políticas en los paquetes de autenticación entrantes. Los paquetes salientes se filtran en función del intervalo de IPs configurado en la pasarela de Cloud VPN.
Configurar cifrados en un túnel de Cloud VPN
Con Cloud VPN, puedes configurar cifrados que te ayuden a adaptar tus conexiones VPN para cumplir los requisitos de cumplimiento y seguridad.
Puedes configurar opciones de cifrado al crear túneles de Cloud VPN. Sin embargo, una vez configuradas, no podrás modificar las opciones de cifrado seleccionadas más adelante. Tendrás que eliminar y volver a crear el túnel. La selección de cifrado solo está disponible con IKEv2, no con IKEv1.
Puedes configurar cifrados para la negociación de SA de IKE (fase 1) y la negociación de SA de IPsec (fase 2). Si no configuras una opción de cifrado para una fase, Cloud VPN usará el cifrado predeterminado para esa opción.
Debes configurar las cifrados de la lista de cifrados admitidos que cumplan los siguientes criterios:
Si especifica cifrados AEAD para el cifrado, no puede especificar cifrados independientes para la integridad porque Cloud VPN usa los mismos cifrados para gestionar la integridad.
Si especificas cifrados no AEAD para el cifrado, también puedes especificar cifrados para la integridad. Si no especifica cifrados de integridad, Cloud VPN usará las opciones de cifrado predeterminadas para la integridad.
Si especificas una combinación de cifrados AEAD y no AEAD para el cifrado, debes enumerar los cifrados AEAD antes de los cifrados no AEAD. Cloud VPN usa los mismos cifrados para gestionar la integridad de los cifrados AEAD.
En el caso de los cifrados que no son AEAD, puedes especificar los cifrados de integridad. Si no especifica cifrados de integridad, Cloud VPN usará las opciones de cifrado predeterminadas para la integridad.
Para obtener más información sobre los cifrados admitidos, el orden de cifrado predeterminado y los parámetros de configuración compatibles con Cloud VPN, consulta Cifrados IKE admitidos.
Sigue estos procedimientos para configurar las opciones de cifrado (vista previa) de las distintas pasarelas de Cloud VPN:
Para configurar las opciones de cifrado de la VPN clásica mediante enrutamiento estático, consulta Crear una pasarela y un túnel.
Para configurar las opciones de cifrado de una VPN de alta disponibilidad a una pasarela de VPN de par, consulta Crear túneles de VPN.
IKE y detección de peers inactivos
Cloud VPN admite la detección de peers inactivos (DPD), tal como se describe en la sección Protocolo DPD de RFC 3706.
Para verificar que el peer está activo, Cloud VPN puede enviar paquetes DPD en cualquier momento, según el RFC 3706. Si las solicitudes de DPD no se devuelven después de varios reintentos, Cloud VPN reconoce que el túnel VPN no está en buen estado. A su vez, el túnel VPN en mal estado provoca que se eliminen las rutas que usan este túnel como salto siguiente (rutas BGP o rutas estáticas), lo que activa una conmutación por error del tráfico de la VM a otros túneles VPN que estén en buen estado.
El intervalo de DPD no se puede configurar en Cloud VPN.
Encapsulación UDP y NAT-T
Para obtener información sobre cómo configurar tu dispositivo de par para que admita NAT-Traversal (NAT-T) con Cloud VPN, consulta Encapsulación UDP en la sección de información general avanzada.
Cloud VPN como red de transferencia de datos
Antes de usar Cloud VPN, lee atentamente la sección 2 de los Términos Generales del Servicio de Google Cloud.
Con Network Connectivity Center, puedes usar túneles de VPN de alta disponibilidad para conectar redes on-premise y transferir tráfico entre ellas como si fueran una red de transferencia de datos. Para conectar las redes, debes asociar un par de túneles a un spoke de Network Connectivity Center por cada ubicación local. A continuación, conecta cada radio a un eje de Network Connectivity Center.
Para obtener más información sobre Network Connectivity Center, consulta la información general de Network Connectivity Center.
Compatibilidad con la función de utilizar tu propia dirección IP (BYOIP)
Para obtener información sobre cómo usar direcciones BYOIP con Cloud VPN, consulta Compatibilidad con direcciones BYOIP.
Restringir direcciones IP de pares a través de un túnel de Cloud VPN
Si eres administrador de políticas de la organización
(roles/orgpolicy.policyAdmin),
puedes crear una restricción de política que limite las direcciones IP que los usuarios
pueden especificar para las pasarelas VPN de peer.
La restricción se aplica a todos los túneles de Cloud VPN (tanto de VPN clásica como de alta disponibilidad) de un proyecto, una carpeta o una organización concretos.
Para ver los pasos que describen cómo restringir direcciones IP, consulta Restringir direcciones IP de pasarelas VPN de otro proveedor.
Visualizar y monitorizar conexiones de Cloud VPN
Topología de red es una herramienta de visualización que muestra la topología de tus redes de VPC, la conectividad híbrida hacia y desde tus redes on-premise, así como las métricas asociadas. Puedes ver tus pasarelas VPN de Cloud y tus túneles VPN como entidades en la vista Topología de red.
Una entidad base es el nivel más bajo de una jerarquía concreta y representa un recurso que puede comunicarse directamente con otros recursos a través de una red. Topología de red agrega entidades base en entidades jerárquicas que puedes desplegar o contraer. Cuando ves por primera vez un gráfico de topología de red, se agregan todas las entidades base en su jerarquía de nivel superior.
Por ejemplo, Topología de red agrega túneles VPN en su conexión de pasarela VPN. Para ver la jerarquía, despliega o contrae los iconos de la pasarela VPN.
Para obtener más información, consulta la descripción general de la topología de red.
Mantenimiento y disponibilidad
Cloud VPN se somete a un mantenimiento periódico durante el cual los túneles de Cloud VPN permanecen online y el tráfico de red no se ve afectado. En raras ocasiones, los túneles pueden dejar de funcionar brevemente, lo que puede provocar una caída momentánea del tráfico de red. Una vez finalizado el mantenimiento, los túneles de Cloud VPN se volverán a establecer automáticamente. Estos incidentes se investigan para implementar medidas correctivas y mejorar los procedimientos de mantenimiento futuros.
El mantenimiento de Cloud VPN es una tarea operativa normal que puede realizarse en cualquier momento sin previo aviso. Los periodos de mantenimiento se diseñan para que sean lo suficientemente cortos como para que no afecten al acuerdo de nivel de servicio de Cloud VPN.
La VPN de alta disponibilidad es el método recomendado para configurar VPNs de alta disponibilidad. Para ver las opciones de configuración, consulta la página de topologías de VPN de alta disponibilidad. Si usas la VPN clásica para disfrutar de opciones de redundancia y de alto rendimiento, consulta la página Topologías de VPN clásica.
Prácticas recomendadas
Para crear tu Cloud VPN de forma eficaz, sigue estas prácticas recomendadas.
Siguientes pasos
Para usar escenarios de alta disponibilidad y alto rendimiento o varios escenarios de subred, consulta Configuraciones avanzadas.
Para ayudarte a resolver los problemas habituales que pueden surgir al usar Cloud VPN, consulta la sección Solución de problemas.
Consulta más información sobre las topologías recomendadas para la VPN de alta disponibilidad.