使用第三方 VPN

本頁面針對可用來連線至 Cloud VPN 的第三方 VPN 裝置或服務,提供由 Google 測試的互通性指南和廠商專屬注意事項。

每一份互通性指南都會提供特定操作說明,解釋如何將第三方 VPN 解決方案連線至 Cloud VPN。如果第三方解決方案支援動態 (BGP) 轉送,則該解決方案的指南會包含 Cloud Router 的設定操作說明。

大多數對等互連 VPN 裝置都應與 Cloud VPN 相容。如需設定對等互連 VPN 裝置的一般資訊,請參閱「設定對等互連 VPN 閘道」。

任何支援 IPsec 和 IKE 1 或 2 版的第三方裝置或服務,都應與 Cloud VPN 相容。如需 Cloud VPN 使用的 IKE 加密方式與其他設定參數清單,請參閱「支援的 IKE 加密方式」一文。

您可以從 Google Cloud 控制台下載部分第三方裝置設定範本。詳情請參閱「下載對等互連 VPN 設定範本」。

只有高可用性 VPN 設定支援 IPv6。傳統版 VPN 不支援 IPv6。

如要進一步瞭解 Cloud VPN,請參閱 Cloud VPN 總覽

如需本頁所用詞彙的定義,請參閱「重要術語」。

廠商提供的互通性指南

本節按廠商列出互通性指南。每一份指南都會說明如何將廠商的 VPN 閘道解決方案與 Cloud VPN 搭配使用。

如要進一步瞭解本節所列廠商的詳細注意事項,請參閱廠商專屬注意事項一節

A-L

指南 附註
不具備援功能的阿里雲 VPN 網關 僅支援靜態路徑。
具備備援功能的阿里雲 VPN 網關 僅支援靜態路徑。
Amazon Web Services 搭配高可用性 VPN

僅支援透過 Cloud Router 建立動態轉送。

已知問題:設定連往 AWS 的 VPN 通道時,您必須在 AWS 端使用 IKEv2 並設定較少的 IKE 轉換組合
Amazon Web Services 搭配傳統版 VPN 支援 Cloud Router 的靜態路徑或動態轉送功能。
Cisco ASA 5506H 搭配高可用性 VPN 僅支援透過 Cloud Router 建立動態轉送。
Cisco ASA 5505 搭配傳統版 VPN 僅支援靜態路徑。
Cisco ASR 支援 Cloud Router 的靜態路徑或動態轉送功能。
Check Point 安全性閘道 支援 Cloud Router 的靜態路徑或動態轉送功能。
Fortinet FortiGate 搭配 HA VPN 僅支援透過 Cloud Router 建立動態轉送。
Fortinet FortiGate 300C 搭配 Classic VPN 支援 Cloud Router 的靜態路徑或動態轉送功能。
Juniper SRX 支援 Cloud Router 的靜態路徑或動態轉送功能。

M-Z

指南 附註
Microsoft Azure 搭配高可用性 VPN 僅支援透過 Cloud Router 建立動態轉送。
Palo Alto Networks PA-3020 支援 Cloud Router 的靜態路徑或動態轉送功能。
strongSwan 支援 Cloud Router 和 BIRD 的動態轉送功能。

廠商專屬注意事項

您可以參考下列供應商專屬指南,設定第三方 VPN 裝置,讓裝置與 Cloud VPN 搭配運作。

Check Point

當您針對每個流量選取器指定多個 CIDR 時,Check Point VPN 會透過建立多個子項安全性關聯 (SA) 來實作 IKEv2。這項實作與 Cloud VPN 不相容,因為 Cloud VPN 要求本機流量選取器的所有 CIDR 和遠端流量選取器的所有 CIDR 都位於單一子項 SA 中。如要瞭解如何建立相容的設定,請參閱「流量選取器策略」。

Cisco

如果您的 VPN 閘道執行 Cisco IOS XE,請確認您執行的是 16.6.3 (Everest) 以上版本。目前已知先前版本在第二階段執行密鑰更換事件時會發生問題,導致通道每幾小時就會中斷幾分鐘。

在 IOS 9.7(x) 以上版本中,Cisco ASA 支援將依據路徑的 VPN 與虛擬通道介面 (VTI) 搭配使用。如要瞭解詳情,請參考下列資源:

將 Cisco ASA 裝置與 Cloud VPN 通道搭配使用時,不可為每個本機與遠端流量選取器設定超過一個 IP 位址範圍 (CIDR 區塊)。這是因為 Cisco ASA 裝置針對流量選取器中的每個 IP 位址範圍使用不重複的 SA,而 Cloud VPN 則針對流量選取器中的所有 IP 範圍使用單一 SA。詳情請參閱「依據政策的通道與流量選取器」。

後續步驟