下載對等互連 VPN 設定範本

本頁面說明如何下載第三方對等互連 VPN 裝置的設定範本。您可以使用 HA VPN 將內部部署網路連線至 Google Cloud ，然後設定裝置。

您可以下載設定範本，做為建立高可用性 VPN 至對等互連 VPN 閘道的最後步驟。另一個選項是下載現有對等互連 VPN 閘道 (已建立高可用性 VPN 通道) 的設定範本。

可用的供應商範本

您可以下載下列第三方 VPN 裝置的設定範本：

• Cisco Firepower，執行 ASA 9.13(1)2 以上版本
• Fortinet FortiGate 200E，執行 FortiOS 6.2.3 以上版本
• Juniper vSRX，搭載 JunOS 18.4R3-S2 以上版本

這些設定範本僅適用於 HA VPN，不適用於傳統 VPN。

使用範本的注意事項

使用設定範本時，請注意下列事項：

• 您只能從 Google Cloud 控制台下載對等互連 VPN 裝置的設定範本。您無法透過 Cloud VPN API 或 Google Cloud CLI 存取設定範本。

• 您只能下載使用邊界閘道通訊協定 (BGP) 工作階段設定的 VPN 通道設定範本。

• 設定範本可能不包含下列 Google Cloud 功能的任何設定值：

  • 雙重堆疊 (IPv4 和 IPv6) 或僅限 IPv6 的高可用性 VPN 閘道
  • IPv4 BGP 工作階段多通訊協定 BGP (MP-BGP) 設定
  • 用於 BGP 驗證的 MD5
  • IPv6 BGP 工作階段設定
  • 高可用性 VPN 閘道的外部 IPv6 位址

  如果您在高可用性 VPN 中啟用這些功能，請在下載設定範本後新增相關設定。

• 您可能需要對設定範本進行額外自訂，才能將設定套用至 VPN 裝置。舉例來說，您可能需要為網路或 VPN 裝置上安裝的特定作業系統版本進行自訂設定。套用設定前，請先檢查下載的設定檔內容，並視需要調整。

• 部分範本包含 Google 預先選取的預設值。舉例來說，某些範本會為 IKE 第一階段和第二階段指定 aes256-sha1 演算法。您可以視需要修改這些預設值，以符合網路或安全性規定。所選的預設值可能會因供應商裝置而異。如要進一步瞭解所選預設值，請參閱設定範本頂端的註解。

• 設定範本不會處理進階設定，例如虛擬通訊埠指派或虛擬介面定義。

所需權限

如要建立高可用性 VPN 閘道和通道，您必須具備建立高可用性 VPN 閘道至對等互連 VPN 閘道中列出的權限。

如要下載對等互連 VPN 設定範本，您必須具備下列專案權限。

這項工作需要的權限

如要執行這項工作，您必須具備以下權限或以下 IAM 角色。

權限

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.routers.get
• compute.routers.list

角色

• roles/compute.networkUser

下載新對等互連 VPN 通道的設定範本

如要下載包含新對等互連 VPN 裝置的通道設定的設定範本，請執行下列步驟：

1. 前往 Google Cloud 控制台的「VPN」VPN頁面。

   前往 VPN

2. 建立 VPN 通道和 BGP 工作階段：

• 如要建立新的高可用性 VPN 閘道，請按一下「VPN 設定精靈」。然後按照精靈的指示設定高可用性 VPN 閘道、對等互連 VPN 閘道資源、VPN 通道和 BGP 工作階段。如需詳細操作說明，請參閱「建立高可用性 VPN 至對等互連 VPN 閘道」。

  • 如要為現有的高可用性 VPN 閘道建立通道，請完成下列步驟：

    1. 按一下「建立 VPN 通道」。
    2. 在「VPN 閘道」清單中選取高可用性 VPN 閘道，然後按一下「繼續」。
    3. 選取對等互連 VPN 閘道。接著，建立 VPN 通道並設定 BGP 工作階段。如需詳細操作說明，請參閱「新增通道，從高可用性 VPN 閘道連至對等互連 VPN 閘道」。

1. 在「摘要和提醒」頁面中，按一下「下載設定」。系統隨即會顯示「Download configuration」對話方塊。

2. 在「供應商」清單中，選取對等 VPN 裝置的供應商。

3. 如果清單中沒有對等 VPN 裝置的供應商，請選取「其他」，然後執行下列步驟：

   1. 記下對話方塊中列出的設定值。您可以使用這些值設定對等互連 VPN 裝置。
   2. 按一下「取消」即可退出對話方塊。
   3. 完成「使用第三方 VPN」和「設定對等互連 VPN 閘道」頁面中的操作說明，設定對等互連 VPN 裝置。

4. 如果您已選取其中一個供應商，請繼續從「Platform」清單中選取 VPN 裝置的平台。

5. 在「Software」清單中，選取 VPN 裝置的軟體版本。軟體版本會反映 VPN 裝置的最低軟體版本需求。

6. 為對等 VPN 裝置完成所有選取動作後，範本內容就會以純文字顯示。如要下載設定檔，請完成下列任一選項：

   • 按一下「複製」，將範本的內容放入緩衝區。content_copy
   • 按一下「下載」，將文字檔案儲存在本機上。

7. 開啟檔案，或是將內容貼到您選用的文字編輯器。

8. 將檔案中的所有 _SNAKE_CASE_ 變數替換為 VPN 閘道和網路的適當值。

   由於您尚未建立 VPN 通道，因此為各個通道設定的 IKE 預先共用金鑰會儲存在設定範本中。請勿替換 _IKE_SHARED_SECRET_PLACEHOLDER_ 變數，因為系統已為您替換這些變數。

9. 使用更新後設定檔中的指令來完成設定。您或許可以在自有裝置中載入完整的設定檔，也可以透過互動式提示輸入指令。詳情請參閱對等互連 VPN 供應商的說明文件。

下載現有通道的設定範本

如要下載現有對等互連 VPN 裝置和通道的設定範本，請執行下列步驟：

1. 前往 Google Cloud 控制台的「VPN」VPN頁面。

   前往 VPN

2. 按一下「對等互連 VPN 閘道」。

3. 在含有要下載設定的對等互連 VPN 閘道和 VPN 通道旁邊，按一下 more_vert「動作」，然後選取「下載設定」。

4. 在「Download configuration」對話方塊中，選取含有要下載設定的 VPN 通道。您只能選取使用 BGP 工作階段設定的 VPN 通道。

5. 在「供應商」清單中，選取對等 VPN 裝置的供應商。

6. 如果清單中沒有對等 VPN 裝置的供應商，請選取「其他」，然後執行下列步驟：

   1. 記下對話方塊中列出的設定值。您可以使用這些值設定對等互連 VPN 裝置。
   2. 按一下「取消」即可退出對話方塊。
   3. 完成「使用第三方 VPN」和「設定對等互連 VPN 閘道」頁面中的操作說明，設定對等互連 VPN 裝置。

7. 如果您已選取其中一個供應商，請繼續從「Platform」清單中選取 VPN 裝置的平台。

8. 在「Software」清單中，選取 VPN 裝置的軟體版本。軟體版本會反映 VPN 裝置的最低軟體版本需求。

9. 為對等 VPN 裝置完成所有選取動作後，範本的內容就會以純文字顯示。如要下載設定檔，請完成下列任一選項：

   • 按一下 content_copy「複製」，將範本的內容放入緩衝區。
   • 按一下「下載」，將文字檔案儲存在本機上。

10. 開啟檔案，或是將內容貼到您選用的文字編輯器。

11. 將檔案中的所有 _SNAKE_CASE_ 變數替換為 VPN 閘道和網路的適當值。

    由於這些 VPN 通道已建立，您必須將每個 _IKE_SHARED_SECRET_PLACEHOLDER_ 替換為各個通道設定的 IKE 預先共用金鑰。

12. 使用更新後設定檔中的指令來完成設定。您或許可以在自有裝置中載入完整的設定檔，也可以透過互動式提示輸入指令。詳情請參閱對等互連 VPN 供應商的說明文件。

後續步驟

• 如要檢查 VPN 通道的狀態，請參閱「檢查 VPN 狀態」。
• 如要查看 Cloud Logging 和監控資訊，請參閱「查看記錄和指標」。
• 如要解決使用 Cloud VPN 時可能遇到的常見問題，請參閱疑難排解。