Crea adjuntos de VLAN

Los adjuntos de VLAN para las conexiones de interconexión de socio (también conocidos como interconnectAttachments) asignan las VLAN en la conexión de tu proveedor de servicios para conectar tus redes de nube privada virtual (VPC) con tu red local mediante la red de tu proveedor de servicios.

Puedes crear adjuntos de VLAN sin encriptar o adjuntos de VLAN encriptados. Los adjuntos de VLAN sin encriptar solo admiten IPv4 (pila única) o IPv4 e IPv6 (pila doble). Los adjuntos de VLAN encriptados se usan en la VPN con alta disponibilidad en las implementaciones de Cloud Interconnect y solo admiten IPv4 (pila única).

Para poder crear adjuntos de VLAN para la interconexión de socio, debes tener conectividad con un proveedor de servicios admitido.

La facturación de adjuntos de VLAN comienza en cuanto tu proveedor de servicios complete sus opciones de configuración, sin importar si ya activaste o no tus adjuntos. Tu proveedor de servicios configura tus adjuntos cuando se encuentran en el estado PENDING_CUSTOMER o ACTIVE. La facturación se detiene cuando tú o el proveedor de servicios borra los adjuntos (cuando están en el estado DEFUNCT).

Si quieres información sobre los adjuntos de VLAN para la interconexión dedicada, consulta Crea adjuntos de VLAN para la interconexión dedicada.

Para obtener las definiciones de los términos que se usan en esta página, consulta los términos clave de Cloud Interconnect.

Para ayudarte a resolver problemas comunes que podrías encontrar cuando uses Cloud Interconnect, consulta Solución de problemas.

Usa varios adjuntos de VLAN

Los adjuntos de VLAN admiten velocidades de tráfico de hasta 50 Gbps o 6.25 millones de paquetes por segundo (pps) para conexiones de 100 Gbps. La capacidad de procesamiento depende del límite que alcances primero. Por ejemplo, si tu tráfico usa paquetes muy pequeños, puedes alcanzar el límite de 6.25 M pps antes del límite de 50 Gbps.

Para alcanzar una capacidad de procesamiento mayor en una red de VPC, debes configurar varios adjuntos en la red de VPC. Para cada sesión de tráfico de protocolo de puerta de enlace fronteriza (BGP), debes usar los mismos valores MED a fin de permitir que el tráfico use enrutamiento de varias rutas de igual costo (ECMP) en todos los adjuntos de VLAN configurados.

Si tienes varios adjuntos de VLAN, incluidos los adjuntos en diferentes proyectos, puedes vincularlos con una conexión de interconexión de socio del mismo proveedor de servicios o con conexiones de interconexión de socio de diferentes proveedores de servicios.

Crea adjuntos de VLAN sin encriptar

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o las siguientes funciones de Identity and Access Management (IAM).

Permisos

compute.interconnects.use
compute.interconnectAttachments.create
compute.interconnectAttachments.get
compute.routers.create
compute.routers.get
compute.routers.update

Funciones

roles/owner
roles/editor
roles/compute.networkAdmin

Console

En la consola de Google Cloud, ve a la pestaña Adjuntos de VLAN de Cloud Interconnect.

Ir a adjuntos de VLAN
Haz clic en Crear adjuntos de VLAN.
Selecciona Conexión de interconexión de socio.
En la sección Encripta la interconexión, selecciona Configurar interconexión no encriptada y, luego, haz clic en Continuar.
Selecciona Ya tengo un proveedor de servicios.
Selecciona Crear un par redundante de adjuntos de VLAN. La redundancia proporciona una disponibilidad superior a la de una sola conexión. Ambos adjuntos entregan tráfico, el cual realiza balanceo de cargas entre ellos. Si un adjunto falla, por ejemplo, durante el mantenimiento programado, el otro adjunto continúa entregando tráfico. Para obtener más información, consulta Redundancia y ANS.

Si creas un adjunto para propósitos de prueba o no necesitas una alta disponibilidad, selecciona Crear una sola VLAN para crear solo un adjunto de VLAN.
En los campos Red y Región, selecciona la red de VPC y la región de Google Cloud a la que se conectarán tus adjuntos.
Especifica los detalles de los adjuntos de VLAN:
- Cloud Router: Cloud Router para asociar con este adjunto. Solo puedes elegir un Cloud Router en la región y la red de VPC que seleccionaste con un ASN de 16550. Si no tienes un Cloud Router existente, crea uno con un ASN de 16550. Cada adjunto de VLAN puede asociarse con un solo Cloud Router. Google agrega de forma automática una interfaz y un par de BGP al Cloud Router.
- Nombre del adjunto de VLAN: un nombre para el adjunto. Este nombre se muestra en la consola de Google Cloud y Google Cloud CLI lo usa para hacer referencia al Cloud Router, por ejemplo, my-attachment.
- Tipo de pila de IP: selecciona el tipo de pila de IP. IPv4 (pila única) o IPv4 e IPv6 (pila doble).
- Unidad de transmisión máxima (MTU) para el adjunto: para usar la unidad de transmisión máxima (MTU) de 1,460, 1,500 o 8,896 bytes, la red de VPC que usa el adjunto debe tener una MTU configurada con el mismo valor. Además, las instancias y los routers de máquina virtual (VM) locales también deben tener su MTU configurada con el mismo valor. Si tu red tiene la MTU predeterminada de 1460, selecciona 1460 como la MTU del adjunto de VLAN.
Para crear los adjuntos, haz clic en Crear. Esta acción tardará unos minutos en completarse.
Una vez completada, copia las claves de vinculación. Cuando solicites una conexión con tu proveedor de servicios, compartirás estas claves con él.

Si solicitas una conexión de capa 3 de tu proveedor de servicios, selecciona Habilitar para activar previamente el adjunto. La activación de adjuntos te permite confirmar que te estás conectando con el proveedor de servicios esperado. Con la activación previa de adjuntos, puedes omitir el paso de activación y los adjuntos pueden comenzar a pasar tráfico de inmediato una vez que tu proveedor de servicios completa su configuración.
Para ver una lista de tus adjuntos de VLAN, haz clic en Aceptar.

De manera opcional, puedes actualizar tus sesiones de BGP para que usen la autenticación MD5.

Si tienes una conexión de capa 2, sigue los pasos que se indican en Agrega autenticación a una sesión existente. Si tienes una conexión de capa 3, comunícate con tu proveedor de servicios para obtener instrucciones.

Opcional: Puedes actualizar tu sesión de BGP para usar rutas aprendidas personalizadas. Cuando usas esta función, Cloud Router se comporta como si aprendiera estas rutas desde el par de BGP. Para obtener más información, consulta Actualiza una sesión existente para usar rutas aprendidas personalizadas.

La detección de reenvío bidireccional (BFD) para Cloud Router detecta interrupciones de rutas de reenvío, como eventos de inactividad, lo que permite tener redes híbridas más resilientes (opcional). Si deseas actualizar tu sesión de BGP para que use BFD, consulta Configura BFD.

Importante: BFD solo se puede habilitar en adjuntos de VLAN aprovisionados que usen la versión 2 de Dataplane. Puedes ver el dataplaneVersion de un adjunto de VLAN si encuentras los detalles del adjunto de una de las siguientes maneras:

API: Usa el método interconnectAttachments.get. Puedes usar este método en los adjuntos de VLAN para la interconexión dedicada o la interconexión de socio.
Google Cloud CLI: Usa el comando gcloud compute interconnects attachments describe ATTACHMENT-NAME, en el que ATTACHMENT-NAME es el nombre del adjunto de VLAN para la interconexión dedicada o la interconexión de socio.

En el resultado de la API o el comando de gcloud CLI, busca el campo dataplaneVersion con un valor de 2. Si el campo no está en el resultado, el adjunto de VLAN usa la versión 1 y no se puede usar con BFD. Para obtener más información, comunícate con el equipo de cuentas de clientes.

gcloud

Antes de crear un adjunto de VLAN, debes tener un Cloud Router existente en la red y la región que quieres alcanzar desde tu red local. Si no tienes un Cloud Router existente, crea uno. El Cloud Router debe tener un ASN de BGP de 16550.

Crea un adjunto de VLAN de tipo PARTNER y especifica los nombres de tu Cloud Router y el dominio de disponibilidad perimetral (zona de disponibilidad metropolitana) del adjunto de VLAN. Google agrega de forma automática una interfaz y un par de BGP al Cloud Router. El adjunto genera una clave de sincronización que debes compartir con tu proveedor de servicios.

Puedes especificar la MTU de tu adjunto. Los valores válidos son 1440 (predeterminado), 1460, 1500 y 8896. Para especificar una MTU de 1460, 1500 o 8896, usa el parámetro --mtu, por ejemplo, --mtu 1500. Para usar la MTU de 1,460, 1,500 u 8,896 bytes, la red de VPC que usa el adjunto debe establecer la misma MTU. Además, las VM y los routers locales deben configurar la misma MTU.

Puedes especificar el tipo de pila del adjunto de VLAN. El tipo de pila predeterminado es IPv4.

En el siguiente ejemplo, se crea un adjunto de VLAN en el dominio de disponibilidad perimetral availability-domain-1:
```
gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1
```
Reemplaza lo siguiente:
- ATTACHMENT_NAME: Es un nombre para tu adjunto de VLAN.
- REGION: Es la región de tu adjunto de VLAN.
- ROUTER_NAME: Es el nombre de tu Cloud Router.
- STACK_TYPE: Es el tipo de pila para tu adjunto de VLAN. El tipo de pila puede ser uno de los siguientes:
  - IPV4_ONLY: selecciona solo IPv4 (pila única).
  - IPV4_IPV6: selecciona IPv4 e IPv6 (pila doble).
Nota: Puedes especificar any para el dominio de disponibilidad perimetral y, luego, tu proveedor de servicios te asignará el dominio. Sin embargo, para crear un adjunto redundante (el segundo adjunto), deberás esperar a que tu proveedor de servicios configure tu primer adjunto de VLAN. No sabrás qué dominio usar para tu adjunto redundante si todavía no se completó la configuración.

Si solicitas una conexión de capa 3 a tu proveedor de servicios, selecciona la marca --admin-enabled para activar previamente el adjunto. La activación de adjuntos te permite confirmar que te estás conectando con el proveedor de servicios esperado. Con la activación previa de adjuntos, puedes omitir el paso de activación y los adjuntos pueden comenzar a pasar tráfico de inmediato una vez que tu proveedor de servicios completa su configuración.
```
gcloud compute interconnects attachments partner create ATTACHMENT_NAME \
    --region=REGION \
    --router=ROUTER_NAME \
    --stack-type=STACK_TYPE \
    --edge-availability-domain availability-domain-1 \
    --admin-enabled
```
- ATTACHMENT_NAME: Es un nombre para tu adjunto de VLAN.
- REGION: Es la región de tu adjunto de VLAN.
- ROUTER_NAME: Es el nombre de tu Cloud Router.
- STACK_TYPE: Es el tipo de pila para tu adjunto de VLAN. El tipo de pila puede ser uno de los siguientes:
  - IPV4_ONLY: selecciona solo IPv4 (pila única).
  - IPV4_IPV6: selecciona IPv4 e IPv6 (pila doble).

Describe el adjunto para recuperar su clave de sincronización. Necesitas compartir esta clave con tu proveedor de servicios cuando le solicites una conexión:

gcloud compute interconnects attachments describe ATTACHMENT_NAME \
    --region=REGION

El resultado es similar al siguiente para los adjuntos de VLAN IPv4:

adminEnabled: false
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
creationTimestamp: '2017-12-01T08:29:09.886-08:00'
id: '7976913826166357434'
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: ATTACHMENT_NAME
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/ROUTER_NAME
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER

El resultado es similar al siguiente para los adjuntos de VLAN IPv4 e IPv6 (pila doble):

bandwidth: BPS_1G
cloudRouterIpAddress: 169.254.67.201/29
cloudRouterIpv6Address: 2600:2d00:0:1::1/125
creationTimestamp: '2017-12-01T08:31:11.580-08:00'
customerRouterIpAddress: 169.254.67.202/29
customerRouterIpv6Address: 2600:2d00:0:1::2/125
description: Interconnect for Customer 1
id: '7193021941765913888'
interconnect: https://www.googleapis.com/compute/alpha/projects/partner-project/global/interconnects/lga-2
kind: compute#interconnectAttachment
labelFingerprint: 42WmSpB8rSM=
name: partner-attachment
partnerMetadata:
  interconnectName: New York (2)
  partnerName: Partner Inc
  portalUrl: https://partner-portal.com
region: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION
selfLink: https://www.googleapis.com/compute/alpha/projects/partner-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME
stackType: IPV4_IPV6
state: ACTIVE
type: PARTNER
vlanTag8021q: 1000

El campo pairingKey contiene la clave de sincronización que necesitas compartir con tu proveedor de servicios. Trata la clave de sincronización como información sensible hasta que se configure tu adjunto de VLAN.

El estado del adjunto de VLAN será PENDING_PARTNER hasta que solicites una conexión con tu proveedor de servicios y este complete la configuración de tu adjunto de VLAN. Una vez completada la configuración, el estado del adjunto cambia a ACTIVE o PENDING_CUSTOMER.

Opcional: Puedes actualizar tus sesiones de BGP para usar la autenticación MD5. Si tienes una conexión de capa 2, sigue los pasos que se indican en Agrega autenticación a una sesión existente. Si tienes una conexión de capa 3, comunícate con tu proveedor de servicios para obtener instrucciones.

Si quieres crear redundancia con un adjunto de VLAN duplicado, repite estos pasos para el segundo adjunto. Usa el mismo Cloud Router, pero especifica un dominio de disponibilidad perimetral diferente. Además, cuando solicites conexiones a tu proveedor de servicios, debes seleccionar la misma área metropolitana (ciudad) para ambos adjuntos a fin de que estos sean redundantes. Para obtener más información, consulta Redundancia y ANS.

Crea adjuntos de VLAN encriptados

Los adjuntos de VLAN encriptados no son compatibles con IPv4 e IPv6 (pila doble). Si intentas crear un adjunto de pila doble encriptado, el adjunto no se creará.

Permisos necesarios para esta tarea

Para realizar esta tarea, debes tener los siguientes permisos o las siguientes funciones de Identity and Access Management (IAM).

Permisos

compute.interconnects.use
compute.interconnectAttachments.create
compute.interconnectAttachments.get
compute.routers.create
compute.routers.get
compute.routers.update

Funciones

roles/owner
roles/editor
roles/compute.networkAdmin

Console

En la consola de Google Cloud, ve a la pestaña Adjuntos de VLAN de Cloud Interconnect.

Ir a adjuntos de VLAN
Haz clic en Crear adjuntos de VLAN.
Selecciona Conexión de interconexión de socio.
En la sección Encripta la interconexión, selecciona Configurar VPN con alta disponibilidad a través de una interconexión y, luego, haz clic en Continuar.
Selecciona Ya tengo un proveedor de servicios.
En la página Crear adjuntos de VLAN, selecciona una Red de VPC.
En el campo Router de interconexión encriptado, selecciona un Cloud Router para asociar con ambos adjuntos de VLAN encriptados. El Cloud Router debe estar en la red de VPC a la que quieres conectarte. Además, el Cloud Router que especifiques solo se puede usar con adjuntos de VLAN encriptados. Este router solo anuncia las rutas para las interfaces de VPN con alta disponibilidad y de túnel de VPN con intercambio de tráfico.

Si no tienes un Cloud Router existente que puedas usar específicamente para Cloud Interconnect encriptado, haz lo siguiente:
1. Selecciona Crear router nuevo.
2. Especifica una región que sea compatible con Dataplane v2. Si deseas ver qué regiones son compatibles con Data v2 para tu proveedor de servicios, consulta la lista Por área geográfica de proveedores de servicios.
3. Para el número de AS del BGP, usa 16550.
Configura los dos adjuntos de VLAN. Para el adjunto de VLAN 1 y el adjunto de VLAN 2, configura los siguientes campos:
- Nombre: nombre para el adjunto. Este nombre se muestra en la consola de Google Cloud y Google Cloud CLI lo usa para hacer referencia al adjunto, como attachment-a-zone1 o attachment-a-zone2.
- Descripción: ingresa una descripción opcional.
Si quieres configurar un ID de VLAN o un rango de direcciones IP específico para la sesión de BGP, haz clic en ID de VLAN, IP de BGP.
- Para especificar un ID de VLAN, en la sección ID de VLAN, selecciona Personalizar.
- Para especificar un rango de direcciones IP para la sesión de BGP, en la sección Asignar dirección IP de BGP, selecciona Manual.
Si no especificas un ID de VLAN ni asignas direcciones IP de BGP de forma manual, Google Cloud asigna de forma automática estos valores.
En el campo Capacidad, selecciona el ancho de banda máximo de cada adjunto de VLAN. El valor que selecciones para el adjunto de VLAN 1 se aplica automáticamente al adjunto de VLAN 2. Si no seleccionas un valor, Cloud Interconnect usa 10 Gbps. La capacidad que selecciones determina cuántos túneles VPN con alta disponibilidad necesitas implementar.
En Direcciones IP de la puerta de enlace de VPN, selecciona el tipo de direcciones IP que usarás para las interfaces de puerta de enlace de VPN con alta disponibilidad.
- Si seleccionas Direcciones IP regionales internas, haz clic en Agregar nuevo rango de direcciones IP y, luego, ingresa un Nombre y un Rango de IP. Para el Rango de IP, especifica un rango IPv4 interno regional con una longitud de prefijo entre 26 y 29. La longitud del prefijo determina la cantidad de direcciones IP disponibles para las interfaces de puerta de enlace de VPN y debe basarse en la capacidad del adjunto. Para obtener más información, consulta Asigna rangos de direcciones IP internas a las puertas de enlace de VPN con alta disponibilidad.
- Si seleccionas Direcciones IP regionales externas, Cloud Interconnect asigna automáticamente las direcciones IP externas regionales a las interfaces de túnel VPN con alta disponibilidad que creas en tu adjunto de VLAN.
Ambos adjuntos de VLAN deben usar el mismo tipo de dirección, ya sea interna o externa, para sus direcciones IP de puerta de enlace de VPN.
Después de crear ambos adjuntos de VLAN, haz clic en Crear. Los adjuntos tardan unos minutos en crearse.
Una vez completada, copia las claves de vinculación. Cuando solicites una conexión con tu proveedor de servicios, compartirás estas claves con él.

Si solicitas una conexión de capa 3 de tu proveedor de servicios, selecciona Habilitar para activar previamente el adjunto. La activación de adjuntos te permite confirmar que te estás conectando con el proveedor de servicios esperado. Con la activación previa de adjuntos, puedes omitir el paso de activación y los adjuntos pueden comenzar a pasar tráfico de inmediato una vez que tu proveedor de servicios completa su configuración.
Para ver una lista de tus adjuntos de VLAN, haz clic en Aceptar.

El estado del adjunto de VLAN será PENDING_PARTNER hasta que solicites una conexión con tu proveedor de servicios y este complete la configuración de tu adjunto de VLAN. Una vez completada la configuración, el estado del adjunto cambia a ACTIVE o PENDING_CUSTOMER.

Para activar los adjuntos de VLAN, consulta Activa conexiones.

Nota: Si tu adjunto de VLAN encriptado permanece en el estado PENDING_PARTNER o Waiting for service provider durante un período prolongado, comunícate con tu proveedor de servicios para obtener asistencia.

Opcional: Puedes actualizar tu sesión de BGP para usar rutas aprendidas personalizadas. Cuando usas esta función, Cloud Router se comporta como si aprendiera estas rutas desde el par de BGP. Para obtener más información, consulta Actualiza una sesión existente para usar rutas aprendidas personalizadas.

Opcional: Puedes actualizar tus sesiones de BGP para usar la autenticación MD5. Si tienes una conexión de capa 2, sigue los pasos que se indican en Agrega autenticación a una sesión existente. Si tienes una conexión de capa 3, comunícate con tu proveedor de servicios para obtener instrucciones.

No habilites la Detección de reenvío bidireccional (BFD). Habilitar BFD a nivel de Cloud Interconnect no proporciona detección de fallas más rápida para el tráfico de túnel VPN con alta disponibilidad.
Una vez que ambos adjuntos de VLAN estén activos, puedes completar la implementación de VPN con alta disponibilidad en Cloud Interconnect si configuras la VPN con alta disponibilidad para tus adjuntos de VLAN.

Consulta Configura la VPN con alta disponibilidad en Cloud Interconnect.

gcloud

Crea un Cloud Router encriptado para Cloud Interconnect en la red y la región a las que deseas llegar desde tu red local. Especifica la marca --encrypted-interconnect-router para identificar este router que se usará con la VPN con alta disponibilidad en la implementación de Cloud Interconnect.

El Cloud Router debe tener un ASN de BGP de 16550.

En el siguiente ejemplo, se crea un ASN de router de 16550:
```
 gcloud compute routers create ROUTER_NAME \
     --region=REGION \
     --network=NETWORK_NAME \
     --asn 16550 \
     --encrypted-interconnect-router
```
Reemplaza NETWORK_NAME por el nombre de la red.
Reserva un rango IPv4 interno regional con una longitud de prefijo entre 26 y 29 (opcional). La longitud del prefijo determina la cantidad de direcciones IP disponibles para las interfaces de puerta de enlace de VPN. La cantidad de direcciones que debes reservar depende de la capacidad del adjunto de VLAN asociado.

Por ejemplo, para reservar un rango para el primer adjunto de VLAN con capacidad de 10 G, haz lo siguiente:
```
gcloud compute addresses create ip-range-1 \
  --region=REGION \
  --addresses=192.168.1.0 \
  --prefix-length=29 \
  --network=NETWORK_NAME \
  --purpose=IPSEC_INTERCONNECT
```
Si deseas reservar un rango de direcciones para el segundo adjunto de VLAN, sigue estos pasos:
```
gcloud compute addresses create ip-range-2 \
  --region=REGION \
  --addresses=192.168.2.0 \
  --prefix-length=29 \
  --network=NETWORK_NAME \
  --purpose=IPSEC_INTERCONNECT
```
Para obtener más información sobre cómo reservar direcciones internas regionales, consulta Asigna rangos de direcciones IP internos a puertas de enlace de VPN con alta disponibilidad.
Crea el primer adjunto de VLAN encriptado del tipo PARTNER y especifica los nombres de tu Cloud Router encriptado y el dominio de disponibilidad perimetral (zona de disponibilidad metropolitana) del adjunto de VLAN. Google agrega de forma automática una interfaz y un par de BGP al Cloud Router. El adjunto genera una clave de sincronización que debes compartir con tu proveedor de servicios.

En el siguiente ejemplo, se crea un adjunto encriptado para el dominio de disponibilidad perimetral availability-domain-1. El comando también especifica el rango de direcciones IP internas regionales, ip-range-1, que se usará para todas las interfaces de puerta de enlace de VPN con alta disponibilidad que se crean en este adjunto.
```
gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-1
```
Nota: Puedes especificar any para el dominio de disponibilidad perimetral y, luego, tu proveedor de servicios te asignará el dominio. Sin embargo, para crear un adjunto redundante (el segundo adjunto), deberás esperar a que tu proveedor de servicios configure tu primer adjunto de VLAN. No sabrás qué dominio usar para tu adjunto redundante si todavía no se completó la configuración.

Si deseas usar direcciones IP externas regionales para las interfaces de puerta de enlace de VPN con alta disponibilidad en tu adjunto, omite la marca --ipsec-internal-addresses. A todas las interfaces de puerta de enlace de VPN con alta disponibilidad se les asignan direcciones IPv4 externas regionales de forma automática.
```
gcloud compute interconnects attachments partner create ATTACHMENT_NAME_1 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-1 \
    --encryption IPSEC
```
Si solicitas una conexión de capa 3 a tu proveedor de servicios, selecciona la marca --admin-enabled para activar previamente el adjunto. La activación de adjuntos te permite confirmar que te estás conectando con el proveedor de servicios esperado. Con la activación previa de adjuntos, puedes omitir el paso de activación y los adjuntos pueden comenzar a pasar tráfico de inmediato una vez que tu proveedor de servicios completa su configuración.

No puedes establecer una MTU (--mtu) personalizada con adjuntos de VLAN encriptados. Todos los adjuntos de VLAN encriptados deben usar una MTU de 1,440 bytes, que es el valor predeterminado.
Crea el segundo adjunto de VLAN encriptado y especifica los nombres de tu segunda conexión de Cloud Interconnect y Cloud Router para Cloud Interconnect.

En el siguiente ejemplo, se crea un adjunto encriptado para el dominio de disponibilidad perimetral availability-domain-2. El comando también especifica el rango de direcciones IP internas regionales, ip-range-2, que se usará para todas las interfaces de puerta de enlace de VPN con alta disponibilidad que se crean en este adjunto.
```
gcloud compute interconnects attachments partner create ATTACHMENT_NAME_2 \
    --region=REGION \
    --router=ROUTER_NAME \
    --edge-availability-domain availability-domain-2 \
    --encryption IPSEC \
    --ipsec-internal-addresses ip-range-2
```
Cuando creas el segundo adjunto de VLAN, debes especificar el mismo tipo de esquema de direccionamiento, ya sea interno o externo, que usaste cuando creaste el primer adjunto. A cada adjunto de VLAN se le debe asignar un rango de direcciones interno diferente. Solo puedes especificar un rango de IP para cada adjunto.
Describe los adjuntos para recuperar sus claves de sincronización. Debes compartir estas claves con tu proveedor de servicios cuando le solicites una conexión:

Para el primer adjunto de VLAN:
```
gcloud compute interconnects attachments describe ATTACHMENT_NAME_1 \
  --region=REGION
```
El resultado es similar al siguiente:
```
adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_1
encryption: IPSEC
id: '7976913826166357434'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_1
pairingKey: 7e51371e-72a3-40b5-b844-2e3efefaee59/REGION/1
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_1
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER
```
Para el segundo adjunto de VLAN:
```
gcloud compute interconnects attachments describe ATTACHMENT_NAME_2 \
  --region=REGION
```
El resultado es similar al siguiente:
```
adminEnabled: false
creationTimestamp: '2021-12-01T08:29:09.886-08:00'
edgeAvailabilityDomain: AVAILABILITY_DOMAIN_2
encryption: IPSEC
id: '7976913826166334235'
kind: compute#interconnectAttachment
name: ATTACHMENT_NAME_2
pairingKey: 9f5fg371e-72a3-40b5-b844-2e3efefaee59/REGION/2
region: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION
router: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/routers/interconnect-router
selfLink: https://www.googleapis.com/compute/v1/projects/customer-project/regions/REGION/interconnectAttachments/ATTACHMENT_NAME_2
stackType: IPV4_ONLY
state: PENDING_PARTNER
type: PARTNER
```
Los campos pairingKey contienen las claves de sincronización que necesitas compartir con tu proveedor de servicios. Trata las claves de sincronización como información sensible hasta que se configuren tus adjuntos de VLAN.

El estado del adjunto de VLAN será PENDING_PARTNER hasta que solicites una conexión con tu proveedor de servicios y este complete la configuración de tu adjunto de VLAN. Una vez completada la configuración, el estado del adjunto cambia a ACTIVE o PENDING_CUSTOMER.

Para activar los adjuntos de VLAN, consulta Activa conexiones.

Nota: Si tu adjunto de VLAN encriptado permanece en el estado PENDING_PARTNER o Waiting for service provider durante un período prolongado, comunícate con tu proveedor de servicios para obtener asistencia.

Opcional: Puedes actualizar tu sesión de BGP para usar rutas aprendidas personalizadas. Cuando usas esta función, Cloud Router se comporta como si aprendiera las rutas aprendidas personalizadas del par de BGP. Para obtener más información, consulta Actualiza una sesión existente para usar rutas aprendidas personalizadas.

Opcional: Puedes actualizar tus sesiones de BGP para usar la autenticación MD5. Si tienes una conexión de capa 2, sigue los pasos que se indican en Agrega autenticación a una sesión existente. Si tienes una conexión de capa 3, comunícate con tu proveedor de servicios para obtener instrucciones.

No habilites la Detección de reenvío bidireccional (BFD). Habilitar BFD a nivel de Cloud Interconnect no proporciona detección de fallas más rápida para el tráfico de túnel VPN con alta disponibilidad.
Una vez que ambos adjuntos de VLAN estén activos, puedes completar la implementación de VPN con alta disponibilidad en Cloud Interconnect si configuras la VPN con alta disponibilidad para tus adjuntos de VLAN.

Consulta Configura la VPN con alta disponibilidad en Cloud Interconnect.

Restricción del uso de interconexión de socio

De forma predeterminada, cualquier red de VPC puede usar Cloud Interconnect. Puedes establecer una política de la organización para controlar qué redes de VPC pueden usar Cloud Interconnect. Para obtener más información, consulta Restringe el uso de Cloud Interconnect.

¿Qué sigue?

Para modificar los adjuntos de VLAN, consulta Modifica los adjuntos de VLAN.
Si quieres configurar routers locales para la interconexión dedicada, consulta Configura routers locales.
Para verificar si el adjunto usa Dataplane v2, consulta Visualiza adjuntos de VLAN.

Descripción general del aprovisionamiento

Solicitar conexiones