שימוש ב-VPN של צד שלישי

בדף הזה מופיעים מדריכים לבדיקת יכולת פעולה הדדית ורשימות של הערות ספציפיות לספקים של מכשירי VPN או שירותי VPN של צד שלישי, שאפשר להשתמש בהם כדי להתחבר ל-Cloud VPN.

כל מדריך תאימות כולל הוראות ספציפיות לחיבור פתרון VPN של צד שלישי ל-Cloud VPN. אם הפתרון של צד שלישי תומך בניתוח דינמי (BGP), המדריך כולל הוראות להגדרת Cloud Router.

רוב מכשירי ה-VPN של הצד השני אמורים להיות תואמים ל-Cloud VPN. מידע כללי על הגדרת מכשירי VPN של עמיתים זמין במאמר בנושא הגדרת שער VPN של עמיתים.

כל מכשיר או שירות של צד שלישי שתומך ב-IPsec ובגרסאות IKE 1 או 2 אמור להיות תואם ל-Cloud VPN. רשימה של הצפנות IKE ופרמטרים אחרים להגדרה שמשמשים את Cloud VPN מופיעה במאמר הצפנות IKE נתמכות.

אפשר להוריד תבניות הגדרה של מכשירים מסוימים של צד שלישי מ Google Cloud המסוף. למידע נוסף, ראו הורדת תבנית הגדרות של VPN עמית.

יש תמיכה ב-IPv6 רק בהגדרות של HA VPN. ‫VPN קלאסי לא תומך ב-IPv6.

מידע נוסף על Cloud VPN זמין בסקירה הכללית על Cloud VPN.

הגדרות של המונחים שמופיעים בדף הזה מפורטות בקטע מונחים מרכזיים.

מדריכים ליכולת פעולה הדדית לפי ספק

בקטע הזה מפורטים מדריכים בנושא יכולת פעולה הדדית לפי ספק. בכל מדריך מוסבר איך להשתמש בפתרון שער VPN של הספק עם Cloud VPN.

הערות מפורטות לגבי הספקים שמופיעים בקטע הזה זמינות בקטע ההערות שספציפיות לספקים.

A-L

מדריך הערות
Alibaba Cloud VPN Gateway without redundancy יש תמיכה רק בנתיבים סטטיים.
Alibaba Cloud VPN Gateway with redundancy יש תמיכה רק בנתיבים סטטיים.
Amazon Web Services עם HA VPN

תומך בניתוב דינמי רק באמצעות Cloud Router.

בעיה ידועה: כשמגדירים מנהרות VPN ל-AWS, צריך להשתמש ב-IKEv2 ולהגדיר פחות קבוצות טרנספורמציה של IKE בצד של AWS.
Amazon Web Services עם VPN קלאסי תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.
Cisco ASA 5506H עם HA VPN תומך בניתוב דינמי רק באמצעות Cloud Router.
Cisco ASA 5505 עם VPN קלאסי יש תמיכה רק בנתיבים סטטיים.
Cisco ASR תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.
שער אבטחה של Check Point תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.
Fortinet FortiGate עם HA VPN תומך בניתוב דינמי רק באמצעות Cloud Router.
Fortinet FortiGate 300C עם VPN קלאסי תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.
Juniper SRX תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.

M-Z

מדריך הערות
Microsoft Azure עם HA VPN תומך בניתוב דינמי רק באמצעות Cloud Router.
Palo Alto Networks PA-3020 תומך בניתוב סטטי או בניתוב דינמי באמצעות Cloud Router.
strongSwan תמיכה בניווט דינמי עם Cloud Router ו-BIRD.

הערות ספציפיות לספק

ההנחיות הבאות, שספציפיות לספקים, עוזרות להגדיר את מכשירי ה-VPN של צד שלישי כך שיפעלו עם Cloud VPN.

Check Point

ב-Check Point VPN, פרוטוקול IKEv2 מיושם על ידי יצירה של כמה Child Security Associations (SAs) כשמציינים יותר מ-CIDR אחד לכל בורר תנועה. ההטמעה הזו לא תואמת ל-Cloud VPN, שבו כל ה-CIDR של בורר התנועה המקומי וכל ה-CIDR של בורר התנועה המרוחק צריכים להיות ממוקמים ב-SA צאצא יחיד. הצעות ליצירת הגדרה תואמת מפורטות במאמר אסטרטגיות לבחירת תנועה.

Cisco

אם שער ה-VPN שלכם מריץ Cisco IOS XE, ודאו שאתם מריצים גרסה 16.6.3 (Everest) ואילך. בגרסאות קודמות יש בעיות ידועות עם אירועי שינוי מפתח בשלב 2, שגורמות להשבתת המנהרות למשך כמה דקות כל כמה שעות.

מכשירי Cisco ASA תומכים ב-VPN מבוסס-ניתוב עם ממשק מנהור וירטואלי (VTI) ב-IOS בגרסה 9.7(x) ומעלה. למידע נוסף, קראו את המאמרים הבאים:

כשמשתמשים במכשירי Cisco ASA עם מנהרת Cloud VPN, אי אפשר להגדיר יותר מטווח כתובות אחד (בלוק CIDR) לכל אחד מהבוררים של תעבורת הנתונים המקומית והמרוחקת. הסיבה לכך היא שמכשירי Cisco ASA משתמשים ב-SA ייחודי לכל טווח כתובות IP בבורר תנועה, בעוד ש-Cloud VPN משתמש ב-SA יחיד לכל טווחי כתובות ה-IP בבורר תנועה. מידע נוסף זמין במאמר מנהרות מבוססות-מדיניות ובוררי תנועה.

המאמרים הבאים

  • כדי להגדיר את ה-VPN של צד שלישי לשימוש ב-dual-stack ‏ (IPv4 ו-IPv6) או בתעבורה של IPv6 בלבד, אפשר לעיין במאמר בנושא הגדרת רשתות VPN של צד שלישי לתעבורת IPv4 ו-IPv6.
  • להגדרת כללי חומת אש עבור רשת שכנה, ראו הגדרת כללי חומת אש.
  • כדי להשתמש בתרחישים של זמינות גבוהה וקצב העברה גבוה או בתרחישים של כמה רשתות משנה, אפשר לעיין במאמר בנושא הגדרות מתקדמות.
  • כדי לעזור לכם לפתור בעיות נפוצות שאתם עלולים להיתקל בהן כשאתם משתמשים ב-Cloud VPN, תוכלו לעיין במאמר בנושא פתרון בעיות.