Descripción general de Cloud VPN

En esta página, se describen conceptos relacionados con Cloud VPN. Para ver las definiciones de los términos que se usan en la documentación de Cloud VPN, consulta Términos clave.

Cloud VPN extiende de manera segura tu red de intercambio de tráfico a la red de tu red de tu nube privada virtual (VPC) con una conexión de VPN IPsec. La conexión de VPN encripta el tráfico que viaja entre las redes; una puerta de enlace de VPN maneja la encriptación y la otra controla la desencriptación. Este proceso protege tus datos durante la transmisión. También puedes conectar dos redes de VPC si conectas dos instancias de Cloud VPN. No puedes usar Cloud VPN para enrutar el tráfico a la Internet pública. Está diseñado para una comunicación segura entre redes privadas.

Elige una solución de red híbrida

Para determinar si deseas usar Cloud VPN, la interconexión dedicada, la interconexión de socio o Cloud Router como tu conexión de red híbrida a Google Cloud, consulta Cómo elegir un producto de conectividad de red.

Pruébalo tú mismo

Si es la primera vez que usas Google Cloud, crea una cuenta para evaluar el rendimiento de Cloud VPN en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Probar Cloud VPN gratis

Para mejorar la seguridad de tu interconexión dedicada o de interconexión de socio, usa VPN con alta disponibilidad en Cloud Interconnect. En esta solución, se establecen túneles VPN con alta disponibilidad encriptados en tus adjuntos de VLAN.

Tipos de Cloud VPN

Google Cloud ofrece dos tipos de puertas de enlace de Cloud VPN:

VPN con alta disponibilidad

La VPN con alta disponibilidad (HA) es una solución de Cloud VPN que te permite conectar de forma segura tu red local con la red de VPC a través de una conexión de VPN con IPsec. Según la topología y la configuración, la VPN con alta disponibilidad puede proporcionar un ANS de disponibilidad del servicio del 99.99% o del 99.9%.

Cuando creas una puerta de enlace de VPN con alta disponibilidad, Google Cloud elige de forma automática dos direcciones IP externas, una para cada una de sus interfaces. Cada dirección IP se elige de forma automática a partir de un grupo de direcciones único para admitir la alta disponibilidad. Cada una de las interfaces de puerta de enlace de VPN con alta disponibilidad admite varios túneles. También puedes crear varias puertas de enlace de VPN con alta disponibilidad. Cuando borras la puerta de enlace de VPN con alta disponibilidad, Google Cloud libera las direcciones IP para que puedan volver a usarse. Puedes configurar una puerta de enlace de VPN con alta disponibilidad con una sola interfaz activa y una dirección IP externa. Sin embargo, esta configuración no proporciona un ANS de disponibilidad.

Una opción para usar una VPN con alta disponibilidad es usar una VPN con alta disponibilidad mediante Cloud Interconnect. Con la VPN con alta disponibilidad mediante Cloud Interconnect, obtienes la seguridad de la encriptación de IPsec de Cloud VPN junto con una mayor capacidad de Cloud Interconnect. Además, debido a que usas Cloud Interconnect, tu tráfico de red nunca recorre la Internet pública. Si usas la interconexión de socio, debes agregar encriptación de IPsec al tráfico de Cloud Interconnect para cumplir con los requisitos de cumplimiento y seguridad de los datos cuando te conectes a proveedores de terceros. La VPN con alta disponibilidad usa un recurso de puerta de enlace de VPN externo en Google Cloud para proporcionarte información sobre la puerta de enlace de VPN de intercambio de tráfico o sobre las puertas de enlace.

En la documentación de la API y en los comandos de gcloud, las puertas de enlace de VPN con alta disponibilidad se denominan puertas de enlace de VPN en lugar de puertas de enlace de VPN de destino. No es necesario crear ninguna regla de reenvío para las puertas de enlace de VPN con alta disponibilidad.

La VPN con alta disponibilidad puede proporcionar un ANS de disponibilidad del 99.99% o del 99.9%, según las topologías o las situaciones de configuración. Para obtener más información sobre las topologías de VPN con alta disponibilidad y los ANS compatibles, consulta Topologías de VPN con alta disponibilidad.

Cuando configures la VPN con alta disponibilidad, ten en cuenta los siguientes lineamientos:

  • Cuando conectas una puerta de enlace de VPN con alta disponibilidad a otra puerta de enlace de VPN con alta disponibilidad, las puertas de enlace deben usar tipos de pila de IP idénticos. Por ejemplo, si creas una puerta de enlace de VPN con alta disponibilidad con el tipo de pila IPV4_IPV6, la otra puerta de enlace de VPN con alta disponibilidad también debe configurarse como IPV4_IPV6.

  • Configura dos túneles VPN desde la perspectiva de la puerta de enlace de Cloud VPN:

    • Si tienes dos dispositivos de puerta de enlace de VPN de intercambio de tráfico, cada uno de los túneles de cada interfaz en la puerta de enlace de Cloud VPN debe conectarse a su propia puerta de enlace de intercambio de tráfico.
    • Si tienes un único dispositivo de puerta de enlace de VPN de intercambio de tráfico con dos interfaces, cada uno de los túneles de cada interfaz en la puerta de enlace de Cloud VPN debe conectarse a su propia interfaz en la puerta de enlace de intercambio de tráfico.
    • Si tienes un solo dispositivo de puerta de enlace de VPN de intercambio de tráfico con una sola interfaz, ambos túneles de cada interfaz de la puerta de enlace de Cloud VPN deben conectarse a la misma interfaz en la puerta de enlace de intercambio de tráfico.
  • Un dispositivo VPN de intercambio de tráfico debe configurarse con la redundancia adecuada. El proveedor del dispositivo especifica los detalles de una configuración redundante adecuada, que puede incluir varias instancias de hardware. A fin de obtener más detalles, consulta la documentación del proveedor para el dispositivo VPN de intercambio de tráfico.

    Si se requieren dos dispositivos de intercambio de tráfico, cada uno de ellos debe estar conectado a una interfaz diferente de puerta de enlace de VPN con alta disponibilidad. Si el lado del intercambio de tráfico es otro proveedor de servicios en la nube, como AWS, las conexiones VPN también deben configurarse con la redundancia adecuada del lado de AWS.

  • El dispositivo de puerta de enlace de VPN de intercambio de tráfico debe admitir el enrutamiento dinámico de protocolo de puerta de enlace de frontera (BGP).

    En el siguiente diagrama, se muestra el concepto de VPN con alta disponibilidad con una topología que incluye las dos interfaces de una puerta de enlace de VPN con alta disponibilidad conectadas a dos puertas de enlace de VPN de intercambio de tráfico. Para obtener topologías de VPN con alta disponibilidad más detalladas (situaciones de configuración), consulta Topologías de VPN con alta disponibilidad.

    Una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN de intercambio de tráfico.
    Una puerta de enlace de VPN con alta disponibilidad hacia dos puertas de enlace de VPN con intercambio de tráfico (haz clic para ampliar).

VPN clásica

Todas las puertas de enlace de Cloud VPN creadas antes del lanzamiento de la VPN con alta disponibilidad se consideran puertas de enlace de VPN clásica. Para obtener información acerca de cómo pasar de una VPN clásica a una VPN con alta disponibilidad, consulta Pasa de una VPN clásica a una VPN con alta disponibilidad.

En comparación con las VPN con alta disponibilidad, las puertas de enlace de VPN clásicas tienen una sola interfaz, una sola dirección IP externa, y admiten túneles en los que se usa enrutamiento estático (basado en rutas o políticas). También puedes configurar el enrutamiento dinámico (BGP) para la VPN clásica, pero solo en túneles que se conecten a software de puerta de enlace de VPN de terceros que se ejecuta en instancias de VM de Google Cloud.

Las puertas de enlace de VPN clásica proporcionan un ANS del 99.9% de disponibilidad del servicio.

Las puertas de enlace de VPN clásica no son compatibles con IPv6.

Para ver las topologías de VPN clásica compatibles, consulta la página de topologías de VPN clásica.

Las VPN clásicas se denominan puertas de enlace de VPN de destino en la documentación de la API y en Google Cloud CLI.

Tabla de comparación

En la siguiente tabla, se comparan las funciones de la VPN con alta disponibilidad con las funciones de la VPN clásica.

Atributo VPN con alta disponibilidad VPN clásica
ANS Proporciona un ANS del 99.99% para la mayoría de las topologías, con algunas excepciones. Para obtener más información, consulta Topologías de VPN con alta disponibilidad. Proporciona un ANS del 99.9%.
Creación de direcciones IP externas y reglas de reenvío Direcciones IP externas creadas a partir de un grupo; no se requieren reglas de reenvío. Se deben crear las direcciones IP externas y las reglas de reenvío.
Opciones de enrutamiento compatibles Solo enrutamiento dinámico (BGP). Enrutamiento estático (basado en políticas y rutas) El enrutamiento dinámico solo es compatible con túneles que se conectan a software de puerta de enlace de VPN de terceros que se ejecuta en instancias de VM de Google Cloud.
Dos túneles desde una puerta de enlace de Cloud VPN a la misma puerta de enlace de intercambio de tráfico Compatible No compatible
Conecta una puerta de enlace de Cloud VPN a las VMs de Compute Engine con direcciones IP externas. Topología compatible y recomendada Para obtener más información, consulta Topologías de VPN con alta disponibilidad. Compatible.
Recursos de la API Conocido como el recurso vpn-gateway. Conocido como el recurso target-vpn-gateway.
Tráfico IPv6 Compatible con la vista previa (configuración de IPv4 e IPv6 de pila doble) No compatible

Especificaciones

Cloud VPN tiene las siguientes especificaciones:

  • Cloud VPN solo es compatible con la conectividad de VPN con IPsec de sitio a sitio, sujeta a los requisitos que se indican en esta sección. No es compatible con las situaciones de cliente a puerta de enlace. En otras palabras, Cloud VPN no es compatible con los casos de uso en los que las computadoras de los clientes necesiten “conectarse” a una VPN mediante el software de VPN del cliente.

    Cloud VPN solo es compatible con IPsec. Otras tecnologías de VPN (como SSL VPN) no lo son.

  • Cloud VPN puede usarse con redes de VPC y redes heredadas. En el caso de las redes de VPC, recomendamos las redes de VPC en modo personalizado para que tengas control total de los rangos de direcciones IP que usan las subredes de la red.

    • Las puertas de enlace de VPN con alta disponibilidad y VPN clásica usan direcciones IPv4 externas (enrutables por Internet). Solo se permite el tráfico ESP, UDP 500 y UDP 4500 a estas direcciones. Esto aplica a las direcciones de Cloud VPN que configuras para la VPN clásica o a las direcciones IP asignadas de forma automática a VPN con alta disponibilidad.

    • Si los rangos de direcciones IP de las subredes locales se superponen con las direcciones IP que usan las subredes en tu red de VPC, para determinar cómo se resuelven los conflictos de enrutamiento, consulta Orden de las rutas.

  • El siguiente tráfico de Cloud VPN permanece dentro de la red de producción de Google:

    • Entre dos puertas de enlace de VPN con alta disponibilidad
    • Entre dos puertas de enlace de VPN clásica
    • Entre una puerta de enlace de VPN clásica o una VPN con alta disponibilidad y la dirección IP externa de una VM de Compute Engine que actúa como una puerta de enlace de VPN
  • Cloud VPN puede usarse con el Acceso privado a Google para hosts locales. Si deseas obtener más información, consulta Opciones de acceso privado a los servicios.

  • Cada puerta de enlace de Cloud VPN debe estar conectada a otra puerta de enlace de Cloud VPN o a una puerta de enlace de VPN de intercambio de tráfico.

  • La puerta de enlace de VPN de intercambio de tráfico debe tener una dirección IPv4 externa estática (enrutable por Internet). Necesitas esta dirección IP para configurar Cloud VPN.

    • Si tu puerta de enlace de VPN de intercambio de tráfico está detrás de un firewall, debes configurar el firewall para pasarle el protocolo ESP (IPSec) y el tráfico IKE (UDP 500 y UDP 4500). Si el firewall proporciona traducción de direcciones de red (NAT), consulta Encapsulamiento UDP y NAT-T.
  • Cloud VPN requiere que la puerta de enlace de VPN de intercambio de tráfico esté configurada para admitir la prefragmentación. Los paquetes deben estar fragmentados antes de encapsularse.

  • Cloud VPN usa la detección de repetición con una ventana de 4,096 paquetes. No puedes desactivarla.

  • Cloud VPN es compatible con el tráfico de encapsulamiento de enrutamiento genérico (GRE). La compatibilidad con GRE te permite finalizar el tráfico de GRE en una VM desde Internet (dirección IP externa) y desde Cloud VPN o Cloud Interconnect (dirección IP interna). El tráfico descapsulado se puede reenviar a un destino accesible. GRE te permite usar servicios como el perímetro de servicio de acceso seguro (SASE) y SD-WAN. Debes crear una regla de firewall para permitir el tráfico de GRE.

  • Los túneles VPN con alta disponibilidad admiten el intercambio de tráfico IPv6, pero los túneles de VPN clásica no lo hacen.

Ancho de banda de red

Cada túnel de Cloud VPN admite hasta 250,000 paquetes por segundo para la suma del tráfico de entrada y salida. Según el tamaño promedio del paquete en el túnel, 250,000 paquetes por segundo son equivalentes a entre 1 Gbps y 3 Gbps de ancho de banda.

Las métricas relacionadas con este límite son Sent bytes y Received bytes, que se describen en Ver registros y métricas. Considera que la unidad para las métricas es bytes, si bien el límite de 3 Gbps se refiere a bits por segundo. Cuando se convierte en bytes, el límite es de 375 megabytes por segundo (MBps). Cuando midas el uso según el límite, compara la suma de Sent bytes y Received bytes con el límite convertido de 375 MBps.

Si necesitas información para crear políticas de alertas, consulta Define alertas para el ancho de banda del túnel VPN.

Factores que afectan el ancho de banda

El ancho de banda depende de varios factores, incluidos los siguientes:

  • La conexión de red entre la puerta de enlace de Cloud VPN y tu puerta de enlace de intercambio de tráfico:

    • Ancho de banda de red entre las dos puertas de enlace. Si estableciste una relación de Intercambio de tráfico directo con Google, la capacidad de procesamiento es mayor que si el tráfico de VPN se enviara a través de la Internet pública.

    • Tiempo de ida y vuelta (RTT) y pérdida de paquetes: Las tasas elevadas de RTT o de pérdida de paquetes reducen el rendimiento del TCP.

  • Capacidades de tu puerta de enlace de VPN de intercambio de tráfico. Para obtener más información, consulta la documentación de tu dispositivo.

  • El tamaño del paquete. Cloud VPN usa el protocolo IPsec en modo de túnel, encapsulando y encriptando paquetes de IP completos en carga útil de seguridad de encapsulación (ESP) y, luego, almacenando los datos del ESP en un segundo paquete de IP externo. En consecuencia, hay una MTU de puerta de enlace para los paquetes encapsulados de IPsec y una MTU de carga útil para los paquetes antes y después del encapsulamiento de IPsec. Para obtener detalles, consulta Consideraciones de MTU.

  • Frecuencia de paquetes. En cuanto a la entrada y la salida, la frecuencia de paquetes máxima recomendada para cada túnel de Cloud VPN es de 250,000 paquetes por segundo (pps). Si necesitas enviar paquetes con una frecuencia mayor, debes crear más túneles VPN.

Durante la medición del ancho de banda de TCP de un túnel VPN, debes medir más de una transmisión TCP simultánea. Si usas la herramienta de iperf, utiliza el parámetro -P para especificar la cantidad de transmisiones simultáneas.

Compatibilidad con IPv6

Cloud VPN es compatible con IPv6 en VPN con alta disponibilidad, pero no en VPN clásica.

Para admitir el tráfico IPv6 en túneles VPN con alta disponibilidad, haz lo siguiente:

  • Usa el tipo de pila IPV6_ONLY o IPV4_IPV6 cuando crees una puerta de enlace de VPN con alta disponibilidad y túneles que conecten redes de VPC habilitadas para IPv6 con otras IPv6 redes habilitadas. Estas pueden ser redes locales, redes de múltiples nubes u otras redes de VPC.

  • Incluye subredes de pila doble en tus redes de VPC habilitadas para IPv6. Además, asegúrate de asignar rangos IPv6 internos a las subredes.

En la siguiente tabla, se resumen las direcciones IP externas permitidas para cada tipo de pila de la puerta de enlace de VPN con alta disponibilidad.

Tipo de pila Direcciones IP externas de puerta de enlace compatibles
IPV4_ONLY IPv4
IPV4_IPV6 IPv4, IPv6
IPV6_ONLY IPv6

Restricciones de las políticas de la organización para IPv6

Para inhabilitar la creación de todos los recursos IPv6 híbridos en tu proyecto, configura la siguiente política de la organización como verdadera:

  • constraints/compute.disableHybridCloudIpv6

Para la VPN con alta disponibilidad, esto evita la creación de puertas de enlace de VPN con alta disponibilidad de pila doble y puertas de enlace de VPN con alta disponibilidad solo IPv6 en el proyecto.

Tipos de pila y sesiones de BGP

Las puertas de enlace de VPN con alta disponibilidad admiten diferentes tipos de pila. El tipo de pila de una puerta de enlace de VPN con alta disponibilidad determina qué versión de tráfico de IP está permitida en tus túneles VPN con alta disponibilidad.

Cuando creas los túneles VPN con alta disponibilidad para una puerta de enlace de VPN con alta disponibilidad de pila doble, puedes crear una sesión de BGP IPv6 para el intercambio de rutas IPv6 o una sesión de BGP IPv4 que intercambia rutas IPv6 mediante BGP multiprotocolo (MP-BGP).

En la siguiente tabla, se resumen los tipos de sesiones de BGP compatibles con cada tipo de pila.

Tipo de pila Sesiones de BGP compatibles Direcciones IP externas de puerta de enlace
Pila única (solo IPv4) BGP IPv4, sin MP-BGP IPv4
Pila única (solo IPv4) BGP IPv4, sin MP-BGP IPv6
Pila doble (IPv4 e IPv6)
  • BGP IPv4, con o sin MP-BGP
  • BGP IPv6, con o sin MP-BGP
  • BGP IPv4 e BGP IPv6, sin MP-BGP
IPv4 e IPv6

Para obtener más información sobre las sesiones de BGP, consulta Establece sesiones de BGP en la documentación de Cloud Router.

Puertas de enlace de solo IPv4 de pila única

De forma predeterminada, a una puerta de enlace de VPN con alta disponibilidad se le asigna el tipo de pila solo IPv4 y se le asignan dos direcciones IPv4 externas de forma automática.

Una puerta de enlace de VPN con alta disponibilidad solo IPv4 puede admitir solo tráfico IPv4.

Usa los siguientes procedimientos para crear puertas de enlace de VPN con alta disponibilidad solo IPv4 y sesiones de BGP de IPv4.

Puertas de enlace de solo IPv6 de pila única

Una puerta de enlace de VPN con alta disponibilidad solo IPv6 es compatible solo con tráfico IPv6. De forma predeterminada, a una puerta de enlace de VPN con alta disponibilidad solo IPv6 se le asignan dos direcciones IPv6 externas.

Usa los siguientes procedimientos para crear puertas de enlace de VPN con alta disponibilidad solo IPv6 y sesiones de BGP de IPv6.

Puertas de enlace IPv4 e IPv6 de pila doble

Una puerta de enlace de VPN con alta disponibilidad configurada con la pila doble (IPv4 e IPv6) puede admitir tanto tráfico IPv4 como IPv6.

Para una puerta de enlace de VPN con alta disponibilidad de pila doble, puedes configurar tu Cloud Router con una sesión de BGP IPv4, una sesión de BGP IPv6 o ambas. Si configuras solo una sesión de BGP, puedes habilitar MP-BGP para permitir que esa sesión intercambie rutas IPv4 e IPv6. Si creas una sesión de BGP IPv4 y una sesión de BGP IPv6, no puedes habilitar MP-BGP en ninguna sesión.

Para intercambiar rutas IPv6 en una sesión de BGP IPv4 con MP-BGP, debes configurar esa sesión con direcciones IPv6 de próximo salto. Del mismo modo, para intercambiar rutas de IPv4 en una sesión de BGP IPv6 mediante MP-BGP, debes configurar esa sesión con direcciones de próximo salto IPv4. Puedes configurar estas direcciones de próximo salto de forma manual o automática.

Si configuras manualmente las direcciones de próximo salto, debes seleccionarlas del rango de direcciones IPv6 de unidifusión global (GUA) IPv6 de Google 2600:2d00:0:2::/63 o desde el rango de direcciones IPv4 de vínculo local 169.254.0.0./16. Google asigna previamente estos rangos de direcciones IP. Las direcciones IP de siguiente salto que selecciones deben ser únicas en todos los Cloud Routers dentro de tu red de VPC.

Si seleccionas la configuración automática, Google Cloud selecciona las direcciones IP de próximo salto por ti.

Usa los siguientes procedimientos para crear puertas de enlace de VPN con alta disponibilidad de pila doble y todas las sesiones de BGP compatibles.

Compatibilidad con IPsec e IKE

Cloud VPN es compatible con IKEv1 y con IKEv2 mediante el uso de una clave precompartida del IKE (secreto compartido) y algoritmos de cifrado IKE. Cloud VPN solo admite una clave precompartida previamente para la autenticación. Cuando crees el túnel de Cloud VPN, especifica una clave precompartida. Cuando crees el túnel en la puerta de enlace de intercambio de tráfico, especifica esta misma clave precompartida.

Cloud VPN es compatible con ESP en modo de túnel con autenticación, pero no es compatible con AH ni ESP en modo de transporte.

Debes usar IKEv2 para habilitar el tráfico IPv6 en una VPN con alta disponibilidad.

Cloud VPN no realiza la filtración relacionada con políticas en los paquetes de autenticación entrantes. Los paquetes salientes se filtran según el rango de IP configurado en la puerta de enlace de Cloud VPN.

Para obtener lineamientos sobre cómo crear una clave precompartida segura, consulta Genera una clave precompartida segura. Para algoritmos de cifrado y parámetros de configuración compatibles con Cloud VPN, consulta Algoritmos de cifrado IKE admitidos.

IKE y detección de intercambio de tráfico inactivo

Cloud VPN es compatible con la detección de intercambio de tráfico inactivo (DPD), según la sección del Protocolo DPD de RFC 3706.

Para verificar que el par esté activo, Cloud VPN puede enviar paquetes de DPD en cualquier momento, según RFC 3706. Si las solicitudes de DPD no se muestran después de varios reintentos, Cloud VPN reconoce que el túnel VPN está en mal estado. El túnel VPN en mal estado, a su vez, provoca la eliminación de las rutas que usan este túnel como el siguiente salto (rutas BGP o estáticas) que activa una conmutación por error del tráfico de VM con otros túneles VPN que estén en buen estado.

El intervalo de DPD no se puede configurar en Cloud VPN.

Encapsulación UDP y NAT-T

Si deseas obtener información sobre cómo configurar tu dispositivo de intercambio de tráfico para admitir NAT-Traversal (NAT-T) con Cloud VPN, consulta Encapsulamiento UDP en la descripción general avanzada.

Cloud VPN como red de transferencia de datos

Antes de usar Cloud VPN, revisa con atención la sección 2 de las Condiciones del Servicio Generales de Google Cloud.

Con Network Connectivity Center, puedes usar túneles VPN con alta disponibilidad para conectar redes locales y configurar el tráfico entre ellas como una red de transferencia de datos. Conectas un par de túneles a un radio del Network Connectivity Center para cada ubicación local. Luego, debes conectar cada radio a un centro de Network Connectivity Center.

Para obtener más información sobre Network Connectivity Center, consulta la descripción general de Network Connectivity Center.

Compatibilidad con el uso de tu propia IP (BYOIP)

Para obtener información sobre el uso de direcciones de BYOIP con Cloud VPN, consulta Compatibilidad con direcciones de BYOIP.

Opciones de enrutamiento activo-activo y activo-pasivo para VPN con alta disponibilidad

Si un túnel de Cloud VPN falla, se reinicia de forma automática. Si un dispositivo VPN virtual completo falla, Cloud VPN crea una nueva instancia automáticamente con la misma configuración. La puerta de enlace nueva y el túnel se conectan de forma automática.

Los túneles VPN conectados a las puertas de enlace de VPN con alta disponibilidad deben usar el enrutamiento dinámico (BGP). Según el método de configuración de las prioridades de ruta para los túneles VPN con alta disponibilidad, puedes crear una configuración de enrutamiento activa-activa o activa.pasiva. Para ambas configuraciones de enrutamiento, los dos túneles VPN permanecen activos.

En la siguiente tabla, se comparan las funciones de una configuración de enrutamiento activa-activa o activa-pasiva.

Atributo Activa-activa Activa-pasiva
Capacidad de procesamiento La capacidad de procesamiento de agregada efectiva es la capacidad de procesamiento combinada de ambos túneles. Después de reducir de dos túneles activos a uno, la capacidad de procesamiento general efectiva se reduce a la mitad, lo que puede dar como resultado una conectividad más lenta o la pérdida de paquetes.
Anuncio de ruta

La puerta de enlace de intercambio de tráfico anuncia las rutas de la red de intercambio de tráfico con valores idénticos de discriminante de salidas múltiples (MED) para cada túnel.

El Cloud Router que administra los túneles de Cloud VPN los importa como rutas dinámicas personalizadas en tu red de VPC con prioridades idénticas.

El tráfico de salida enviado a tu red de intercambio de tráfico usa el enrutamiento de múltiples rutas de igual costo (ECMP).

El mismo Cloud Router usa prioridades idénticas para anunciar rutas a tu red de VPC.

La puerta de enlace de intercambio de tráfico usa ECMP para usar estas rutas a fin de enviar tráfico de salida a Google Cloud.

La puerta de enlace de intercambio de tráfico anuncia las rutas de la red de intercambio de tráfico con valores MED diferentes para cada túnel.

El Cloud Router que administra los túneles de Cloud VPN los importa como rutas dinámicas personalizadas en tu red de VPC con prioridades diferentes.

El tráfico de salida que se envía a tu red de intercambio de tráfico usa la ruta con mayor prioridad, siempre que el túnel asociado esté disponible.

El mismo Cloud Router usa diferentes prioridades para cada túnel para anunciar rutas a tu red de VPC.

La puerta de enlace de intercambio de tráfico solo puede usar el túnel con mayor prioridad para enviar tráfico a Google Cloud.

Conmutación por error

Si el túnel está en mal estado, por ejemplo, debido a que DPD está inactivo, Cloud Router retira las rutas aprendidas cuyos siguientes saltos son el túnel no disponible.

Si se produce una sesión de BGP, Cloud Router quita las rutas aprendidas cuyos próximos saltos son el túnel no disponible, sin que el túnel esté en mal estado.

Este proceso de extracción puede demorar de 40 a 60 segundos, durante el cual se espera una pérdida de paquetes.

Si el túnel está en mal estado, por ejemplo, debido a que DPD está inactivo, Cloud Router retira las rutas aprendidas cuyos siguientes saltos son el túnel no disponible.

Si se produce una sesión de BGP, Cloud Router quita las rutas aprendidas cuyos próximos saltos son el túnel no disponible, sin que el túnel esté en mal estado.

Este proceso de extracción puede demorar de 40 a 60 segundos, durante el cual se espera una pérdida de paquetes.

Usa un túnel a la vez como máximo para que el segundo túnel pueda controlar todo el ancho de banda de salida en caso de que el primero falle y necesite realizar una conmutación por error.

Enrutamiento activo-pasivo en topologías de malla completa

Si Cloud Router recibe el mismo prefijo con diferentes valores MED a través de una interfaz determinada de Cloud VPN, el servicio solo importa la ruta con la prioridad más alta a la red de VPC. Las demás rutas inactivas no se pueden ver en la consola de Google Cloud ni a través de Google Cloud CLI. Si la ruta con la prioridad más alta deja de estar disponible, Cloud Router la retira y, luego, importa automáticamente la siguiente mejor ruta a la red de VPC.

Usa varios túneles o puertas de enlace

Según la configuración de la puerta de enlace de intercambio de tráfico, es posible crear rutas de modo que parte del tráfico recorra un túnel y parte recorra otro por prioridades de ruta (valores MED). De manera similar, puedes ajustar la prioridad de base que Cloud Router usa para compartir las rutas de red de VPC. En estas situaciones se demuestran posibles opciones de configuración de enrutamiento que no son activas-activas ni activas-pasivas en su totalidad.

Cuando se usa una única puerta de enlace de VPN con alta disponibilidad, recomendamos usar una configuración de enrutamiento activa-pasiva. Con esta configuración la capacidad del ancho de banda observada en el momento de la operación normal del túnel coincide con la capacidad del ancho de banda observada durante la conmutación por error. Este tipo de configuración es más fácil de administrar, ya que el límite del ancho de banda observado se mantiene constante, excepto en la situación de varias puertas de enlace descrita antes.

Cuando se usan varias puertas de enlace de VPN con alta disponibilidad, recomendamos usar una configuración de enrutamiento activa-activa. Con esta configuración la capacidad del ancho de banda observada en el momento de la operación normal del túnel es el doble que la capacidad máxima del ancho de banda. Sin embargo, esta configuración subprovisiona de manera eficaz los túneles y puede provocar la caída del tráfico en caso de conmutación por error.

Restringe direcciones IP de intercambio de tráfico a través de un túnel de Cloud VPN

Si eres administrador de políticas de la organización (roles/orgpolicy.policyAdmin), puedes crear una restricción de políticas que restrinja las direcciones IP que los usuarios pueden especificar para las puertas de enlace de VPN de intercambio de tráfico.

La restricción se aplica a todos los túneles de Cloud VPN, tanto de VPN clásica como de VPN con alta disponibilidad, en un proyecto, una carpeta o una organización específicos.

Para ver los pasos en los que se describe cómo restringir direcciones IP, consulta Restringe direcciones IP para puertas de enlace de VPN de intercambio de tráfico.

Visualiza y supervisa conexiones de Cloud VPN

Topología de red es una herramienta de visualización que muestra la topología de las redes de VPC, la conectividad híbrida hacia y desde las redes locales y las métricas asociadas. Puedes ver las puertas de enlace de Cloud VPN y los túneles VPN como entidades en la vista de Topología de red.

Una entidad base es el nivel más bajo de una jerarquía en particular y representa un recurso que puede comunicarse directamente con otros recursos a través de una red. La herramienta de Topología de red agrega entidades base en entidades jerárquicas que puedes expandir o contraer. Cuando ves un grafo de Topología de red por primera vez, se agregan todas las entidades base en su jerarquía de nivel superior.

Por ejemplo, la Topología de red agrega túneles VPN a su conexión de puerta de enlace de VPN. Puedes ver la jerarquía si expandes o contraes los íconos de la puerta de enlace de VPN.

Si deseas obtener más información, consulta la descripción general de Topología de red.

Mantenimiento y disponibilidad

Cloud VPN se somete a un mantenimiento periódico. Durante el mantenimiento los túneles de Cloud VPN se desconectan, lo que provoca una breve caída en el tráfico de red. Cuando se completa el mantenimiento, los túneles de Cloud VPN se restablecen automáticamente.

El mantenimiento de Cloud VPN es una tarea operativa normal que puede realizarse en cualquier momento sin previo aviso. Los períodos de mantenimiento están diseñados para ser lo suficientemente cortos, de modo que el ANS de Cloud VPN no se vea afectado.

La VPN con alta disponibilidad es el método recomendado para configurar las VPN con alta disponibilidad. Para ver las opciones de configuración, consulta la página de topologías de VPN con alta disponibilidad. Si usas la VPN clásica para obtener opciones de redundancia y alta capacidad de procesamiento, consulta la página de topologías de VPN clásica.

prácticas recomendadas

Para compilar Cloud VPN de manera eficaz, usa estas prácticas recomendadas.

¿Qué sigue?