本頁面說明完成 VPN 設定的步驟。
如要完成設定,請在對等互連 VPN 閘道上設定下列資源:
- 對應的 Cloud VPN 通道
- 邊界閘道協定 (BGP) 工作階段 (如果您使用 Cloud Router 的動態轉送)
- 防火牆規則
- IKE 設定
如需對等閘道設定的最佳做法,請參閱對等閘道說明文件或製造商的說明。如需說明部分支援的第三方 VPN 裝置和服務的指南,請參閱「使用第三方 VPN」。此外,您也可以從 Google Cloud 控制台下載部分第三方裝置設定範本。詳情請參閱「下載對等互連 VPN 設定範本」。
如要進一步瞭解 Cloud VPN,請參閱下列資源:
如要瞭解設定 Cloud VPN 前應考慮的最佳做法,請參閱「最佳做法」。
如要進一步瞭解 Cloud VPN,請參閱 Cloud VPN 總覽。
如需本頁所用詞彙的定義,請參閱「重要術語」。
為高可用性 VPN 設定外部對等互連 VPN 閘道資源
針對高可用性 VPN,您需要設定外部對等互連 VPN 閘道資源,代表 Google Cloud中的實體對等互連閘道。您也可以將這項資源設為獨立資源,以便日後使用。
如要建立外部對等互連 VPN 閘道資源,您需要取得實體對等互連閘道 (也可以是第三方軟體式閘道) 的下列值。如要建立 VPN,外部對等互連 VPN 閘道資源的值必須與實體對等互連閘道的設定相符:
- 實體 VPN 閘道上的介面數量
- 一或多個對等閘道或介面的外部 IP 位址
- BGP 端點 IP 位址或 IP 位址
- IKE 預先共用金鑰 (共用密鑰)
- ASN 編號
設定 HA VPN 的 BGP 工作階段並啟用 IPv6 時,您可以選擇設定 IPv6 後續躍點位址。如果您未手動設定, Google Cloud 會自動為您指派這些 IPv6 下一個躍點位址。
如要在高可用性 VPN 通道中允許 IPv4 和 IPv6 (雙重堆疊) 流量,您必須取得指派給 BGP 對等端的 IPv6 後續躍點位址。接著,您必須在對等互連 VPN 裝置上設定 VPN 通道,並設定 IPv6 下一個躍點位址。雖然您會在每個裝置的隧道介面上設定 IPv6 位址,但 IPv6 位址只會用於 IPv6 下一跳設定。IPv6 路由會透過 IPv6 NLRI 透過 IPv4 BGP 對等連線通告。如需 IPv6 下一個躍點位址設定的範例,請參閱「為 IPv4 和 IPv6 流量設定第三方 VPN」。
如要建立獨立的外部對等互連 VPN 閘道資源,請完成下列步驟。
主控台
前往 Google Cloud 控制台的「VPN」VPN頁面。
按一下「建立對等互連 VPN 閘道」。
為對等互連閘道命名。
選取實體對等閘道擁有的介面數量:
one、two或four。為實體 VPN 閘道上的每個介面新增介面 IP 位址。
按一下 [建立]。
gcloud
執行下列指令時,請輸入實體 VPN 閘道的介面 ID 和 IP 位址。您可以輸入 1、2 或 4 個介面。
gcloud compute external-vpn-gateways create mygateway \ --interfaces 0=35.254.128.120,1=35.254.128.121
指令輸出應如以下範例所示︰
Creating external VPN gateway...done. NAME REDUNDANCY_TYPE mygateway TWO_IPS_REDUNDANCY
API
針對這項指令,您可以使用以下閘道備援類型清單。
使用 externalVpnGateways.insert 方法提出 POST 要求。
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
{
"name": "mygateway",
"interfaces": [
{
"id": 0,
"ipAddress": "35.254.128.120"
},
{
"id": 1,
"ipAddress": "35.254.128.121"
},
],
"redundancyType": "TWO_IPS_REDUNDANCY"
}
設定 VPN 通道
如要為您建立的每個 Cloud VPN 通道建立對應的通道,請參閱對等 VPN 閘道的說明文件。
如要使用高可用性 VPN,請在對等互連閘道上設定兩個通道。對等互連閘道上的一個通道應對應至 interface 0 上的 Cloud VPN 通道。對等互連閘道上的另一個通道應對應至 interface 1 上的 Cloud VPN 通道。
對等閘道上的每個通道也應使用高可用性 VPN 閘道專用的不重複外部 IP 位址。
設定 BGP 工作階段以進行動態路由
如要僅使用動態轉送,請設定對等互連 VPN 閘道,以便支援您要向 Cloud Router 通告的對等子網路 BGP 工作階段。
如要設定對等閘道,請使用 Cloud Router 的 ASN 和 IP 位址,以及 Cloud VPN 閘道的相關資訊。如要取得 Google ASN、已設定的對等互連網路 ASN 和 BGP IP 位址,請使用 Cloud Router 摘要資訊。
如果您要設定 HA VPN 以允許 IPv4 和 IPv6 (雙重堆疊) 流量,則必須為對等互連 VPN 閘道設定 BGP 對等點的 IPv6 後續躍點位址。
對於高可用性 VPN,Google ASN (從對等互連 VPN 閘道的角度而言,就是對等互連 ASN) 在兩個通道中都相同。
您可以選擇設定 BGP 工作階段,以便使用 MD5 驗證。
設定防火牆規則
針對使用 IPv6 的高可用性 VPN 連線,您必須設定防火牆,允許 IPv6 流量。
如要瞭解如何為對等網路設定防火牆規則,請參閱「設定防火牆規則」。
設定 IKE
您可以在對等互連 VPN 閘道上設定 IKE,以便進行動態、路徑型和政策型轉送。
高可用性 VPN 通道必須使用 IKE v2 才能支援 IPv6 流量。
如要設定 IKE 的對等互連 VPN 閘道和通道,請使用下表中的參數。
如要瞭解如何將 Cloud VPN 連線至部分第三方 VPN 解決方案,請參閱「透過 Cloud VPN 使用第三方 VPN」一文。如要瞭解 IPsec 加密和驗證設定,請參閱「支援的 IKE 加密方式」。
針對 IKEv1 和 IKEv2
| 設定 | 值 |
|---|---|
| IPsec 模式 | ESP + 驗證通道模式 (站台對站台) |
| 驗證通訊協定 | psk |
| 共用密鑰 | 又稱為 IKE 預先共用密鑰,請按照這些規範選擇高強度密碼。預先共用金鑰屬於敏感資訊,因為它可讓使用者存取你的網路。 |
| 開始 | auto (如果對等裝置中斷,應自動重新啟動連線) |
| PFS (完全正向密碼) | on |
| DPD (無效對等互連偵測) | 建議做法:Aggressive。DPD 會偵測 VPN 何時重新啟動,並使用其他通道轉送流量。 |
| INITIAL_CONTACT (有時稱為 uniqueids) |
建議使用:on (有時稱為 restart)。
目的:更快偵測重新啟動,減少實際停機時間。 |
| TSi (流量選取器 - 啟動器) | 子網路網路: 舊版網路:網路的範圍。 |
| TSr (流量選取器 - 回應器) | IKEv2:已將 IKEv1:任意,其中一個路徑的目的地範圍,該路徑的 |
| MTU | 對等 VPN 裝置的最大傳輸單位 (MTU) 不得超過 1460 位元組。在裝置上啟用預先分割功能,讓封包先分割再封裝。詳情請參閱MTU 考量事項。 |
僅適用於 IKEv1 的其他參數
| 設定 | 值 |
|---|---|
| IKE/ISAKMP | aes128-sha1-modp1024 |
| ESP | aes128-sha1 |
| PFS 演算法 | 群組 2 (MODP_1024) |
設定流量選取器
如要同時支援 IPv4 和 IPv6 流量,請將對等 VPN 閘道的流量選取器設為 0.0.0.0/0,::/0。
如要只支援 IPv4 流量,請將對等 VPN 閘道的流量選取器設為 0.0.0.0/0。
後續步驟
- 如要下載對等互連 VPN 裝置的設定範本,請參閱「下載對等互連 VPN 設定範本」。
- 如要為對等網路設定防火牆規則,請參閱「設定防火牆規則」。
- 如要使用高可用性和高總處理量情境或多個子網路情境,請參閱「進階設定」。
- 如要解決使用 Cloud VPN 時可能遇到的常見問題,請參閱疑難排解。