Auf dieser Seite wird beschrieben, wie Sie zwei VPC-Netzwerke (Virtual Private Cloud) in Google Cloud über zwei HA VPN-Gateways verbinden. Sie können zwei VPC-Netzwerke miteinander verbinden, solange sich der primäre und der sekundäre IPv4- oder IPv6-Adressbereich des Subnetzes im jeweiligen Netzwerk nicht überschneiden.
Für diese HA VPN-Konfiguration müssen sich beide HA VPN-Gateways in derselben Region befinden. Die Regionsanforderung beschränkt den Umfang des HA VPN-Traffics jedoch nicht. Durch globales Routing, das als Modus für dynamisches Routing Ihrer VPC-Netzwerke konfiguriert ist, kann HA VPN-Traffic alle Subnetze trotz ihrer Regionszuweisung erreichen.
Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:
Diagramme dieser Topologie finden Sie unter HA VPN zwischen Google Cloud-Netzwerken.
Informationen zur Automatisierung dieser Einrichtung finden Sie unter Terraform-Beispiel für ein HA VPN-Gateway.
Best Practices für die Einrichtung von Cloud VPN finden Sie unter Best Practices.
Weitere Informationen zu Cloud VPN finden Sie unter Cloud VPN – Übersicht.
Definitionen der auf dieser Seite verwendeten Begriffe finden Sie unter Wichtige Begriffe.
Voraussetzungen
Um ein SLA von 99,99 % zu erhalten, müssen Sie beim Erstellen dieser Konfiguration die folgenden Anforderungen erfüllen:
- Erstellen Sie in jedem VPC-Netzwerk ein HA VPN-Gateway.
- Beide HA VPN-Gateways müssen in derselben Google Cloud-Region sein.
- Konfigurieren Sie in den einzelnen Gateway-Schnittstellen jeweils einen Tunnel.
- Ordnen Sie die Gateway-Schnittstellen so zu:
- Der Tunnel auf dem
interface 0
des ersten Gateways muss mitinterface 0
auf dem zweiten Gateway verbunden sein. - Der Tunnel auf dem
interface 1
des ersten Gateways muss mitinterface 1
auf dem zweiten Gateway verbunden sein.
- Der Tunnel auf dem
Obwohl es möglich ist, zwei VPC-Netzwerke über einen einzelnen Tunnel zwischen HA VPN-Gateways oder über klassische VPN-Gateways miteinander zu verbinden, wird diese Konfiguration nicht als hochverfügbar betrachtet und entspricht nicht der Verfügbarkeit des HA-SLA von 99,99 %.
Cloud Router-Empfehlungen
Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.
Berechtigungen verwalten
HA VPN-Gateways gehören möglicherweise nicht immer Ihnen oder Ihrer Google Cloud-Organisation. Beachten Sie die folgenden Anforderungen, wenn Sie ein HA VPN-Gateway erstellen oder eine Verbindung zu einem Gateway einer anderen Person herstellen:
- Wenn Sie der Inhaber des Projekts sind, in dem Sie ein HA VPN-Gateway erstellen, konfigurieren Sie die empfohlenen Berechtigungen.
- Wenn Sie eine Verbindung zu einem HA VPN-Gateway herstellen möchten, das sich in einer Google Cloud-Organisation oder einem Projekt befindet, das nicht Ihnen gehört, müssen Sie vom Inhaber die
compute.vpnGateways.use
-Berechtigung anfordern.
Hinweise
Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.
Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.
Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
- Install the Google Cloud CLI.
-
To initialize the gcloud CLI, run the following command:
gcloud init
-
Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die
gcloud
-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.gcloud config set project PROJECT_ID
-
Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:
gcloud config list --format='text(core.project)'
Benutzerdefinierte VPC-Netzwerke und -Subnetze erstellen
Für die Verfahren in diesem Dokument werden zwei verschiedene VPC-Netzwerke verwendet. Jedes VPC-Netzwerk hat mindestens zwei Subnetze, die sich in verschiedenen Regionen befinden.
Bevor Sie Ihre HA VPN-Gateways und Ihre HA VPN-Tunnel erstellen, erstellen Sie zwei VPC-Netzwerke.
Jedes VPC-Netzwerk muss mindestens ein Subnetz in der Region haben, in der Sie das HA VPN-Gateway erstellen.
- Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus (empfohlen) finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus erstellen.
- Informationen zum Erstellen eines Subnetzes finden Sie unter Mit Subnetzen arbeiten.
Um IPv6-Traffic in Ihren HA VPN-Tunneln zu aktivieren, müssen Sie beim Erstellen der VPC-Netzwerke die Zuweisung interner IPv6-Adressen aktivieren.
Konfigurieren Sie außerdem die Subnetze für die Verwendung interner IPv6-Adressen.
Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren:
- Informationen zum Erstellen eines VPC-Netzwerks im benutzerdefinierten Modus mit internen IPv6-Adressen finden Sie unter VPC-Netzwerk im benutzerdefinierten Modus mit mindestens einem Dual-Stack-Subnetz erstellen.
- Informationen zum Erstellen eines Subnetzes mit aktiviertem IPv6 finden Sie unter Dual-Stack-Subnetz hinzufügen.
Informationen zum Aktivieren von IPv6 in einem vorhandenen Subnetz finden Sie unter IPv4-Subnetz in ein Dual-Stack-Subnetz konvertieren.
Informationen zum Erstellen von VMs mit aktiviertem IPv6 finden Sie unter IPv6 für Instanzen und Instanzvorlagen konfigurieren.
Die VPC-Subnetze müssen für die Verwendung interner IPv6-Adressen konfiguriert sein. Wenn Sie die gcloud CLI verwenden, konfigurieren Sie die Subnetze mit dem Flag --ipv6-access-type=INTERNAL
. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL
) konfiguriert sind, nicht dynamisch.
Informationen zur Verwendung interner IPv6-Adressbereiche in Ihren VPC-Netzwerken und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.
In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:
- Alle Instanzen von Cloud Router wenden die von ihnen erlernten
to on-premises
-Routen auf alle Subnetze des VPC-Netzwerks an. - Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.
Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind
Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, Tunnel und BGP-Sitzungen zu erstellen.
HA VPN-Gateways erstellen
Console
Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.
So erstellen Sie das erste HA VPN-Gateway:
Rufen Sie in der Google Cloud Console die Seite VPN auf.
Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.
Wählen Sie den VPN-Einrichtungsassistenten aus.
Wenn Sie bereits ein HA VPN-Gateway haben, wählen Sie die Optionsschaltfläche für dieses Gateway aus.
Klicken Sie auf Weiter.
Geben Sie einen VPN-Gateway-Namen an.
Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.
Wählen Sie eine Region aus.
Wählen Sie einen Stack-Typ für das Gateway aus, entweder IPv4 (Einzel-Stack) oder IPv4 und IPv6 (Dual-Stack).
Klicken Sie auf Erstellen und fortfahren.
Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IPv4-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.
Wiederholen Sie die vorherigen Schritte, um das zweite HA VPN-Gateway zu erstellen, und beachten Sie Folgendes:
- Verwenden Sie bei Bedarf einen separaten Browser, um das zweite HA VPN-Gateway zu erstellen. Wenn Sie zwei HA VPNs verbinden möchten, wählen Sie das Projekt aus, das das zu verbindende Netzwerk hostet.
- Geben Sie dieselbe Region an, die Sie für das erste HA VPN-Gateway konfiguriert haben.
- Achten Sie darauf, dass Sie den gleichen Stack-Typ wie das erste Gateway angeben, entweder IPv4 (Einzel-Stack) oder IPv4 und IPv6 (Dual-Stack).
gcloud
Abhängig von den Arbeitslasten, die Sie mit Ihren Tunneln unterstützen möchten, können Sie beim Erstellen der Gateways den Stack-Typ so auswählen:
- Erstellen Sie ein HA VPN-Gateway mit dem Stack-Typ
IPV4_ONLY
, um nur IPv4-Arbeitslasten zu unterstützen. - Erstellen Sie ein HA VPN-Gateway mit dem Stack-Typ
IPV4_IPV6
, um sowohl IPv4- als auch IPv6-Arbeitslasten zu unterstützen. - Wenn Sie nur IPv6-Arbeitslasten unterstützen möchten, erstellen Sie ein HA VPN-Gateway mit dem Stack-Typ
IPV6_ONLY
, der nur für die Vorschau über die Google Cloud CLI oder die API verfügbar ist.
Führen Sie die folgende Befehlssequenz aus, um zwei HA VPN-Gateways zu erstellen:
Erstellen Sie in jedem Netzwerk in
REGION
ein HA VPN-Gateway.Beim Erstellen der Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle. Notieren Sie sich diese IP-Adressen, um sie später in den Konfigurationsschritten zu verwenden.
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
GW_NAME_1
undGW_NAME_2
: die Namen der GatewaysNETWORK
: der Name Ihres Google Cloud-NetzwerksREGION
durch die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen müssen.IP_STACK
(optional): der zu verwendende IP-Stack. Geben Sie entwederIPV4_ONLY
,IPV4_IPV6
oderIPV6_ONLY
(Vorschau) an. Wenn Sie dieses Flag nicht angeben, wird der Stack-Typ standardmäßig aufIPV4_IPV6
gesetzt.
Erstes Gateway erstellen
Für ein Gateway mit IPv4-Schnittstellen:
gcloud compute vpn-gateways create GW_NAME_1 \ --network=NETWORK_1 \ --region=REGION \ --stack-type=IP_STACK
Das von Ihnen erstellte Gateway ähnelt der folgenden Beispielausgabe. Jeder Gateway-Schnittstelle wurde automatisch eine externe IPv4-Adresse zugewiesen:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-a 203.0.113.16 203.0.113.23 network-a us-central1
Zweites Gateway erstellen
gcloud compute vpn-gateways create GW_NAME_2 \ --network=NETWORK_2 \ --region=REGION \ --stack-type=IP_STACK
Wenn Sie für das erste Gateway einen Stack-Typ angegeben haben, verwenden Sie denselben Stack-Typ für das zweite Gateway.
Geben Sie bei
REGION
dieselbe Region an, die Sie beim Erstellen des ersten HA VPN-Gateways angegeben haben.Das von Ihnen erstellte Gateway sieht in etwa so aus:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-east1/vpnGateways/ha-vpn-gw-b]. NAME INTERFACE0 INTERFACE1 NETWORK REGION ha-vpn-gw-b 203.0.114.18 203.0.114.25 network-b us-east1
Für ein Gateway mit IPv6-Schnittstellen:
gcloud beta compute vpn-gateways create GW_NAME_1 \ --network=NETWORK_1 \ --region=REGION \ --gateway-ip-version=IPV6 \ --stack-type=IP_STACK
Jeder Gateway-Schnittstelle wird automatisch eine externe IPv6-Adresse zugewiesen.
API
So erstellen Sie BGP-Sitzungen:
Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.
Für ein Gateway mit IPv4-Schnittstellen:
Erstellen Sie das erste HA VPN-Gateway. Stellen Sie dazu eine
POST
-Anfrage an die MethodevpnGateways.insert
.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a", "stackType": "IPV4_IPV6" }
Das Feld
stackType
ist optional. Die einzigen gültigen Werte sindIPV4_IPV6
undIPV4_ONLY
. Wenn Sie keinenstackType
angeben, ist der StandardwertIPV4_ONLY
.Wiederholen Sie den Befehl, um das zweite HA VPN-Gateway zu erstellen, und geben Sie die entsprechenden Werte für
project
,name
,network
undregion
an.Wenn Sie für das erste Gateway
stackType
angegeben haben, verwenden Sie für das zweite Gateway denselben Stack-Typ, entwederIPV4_ONLY
oderIPV4_IPV6
.
Für ein Gateway mit IPv6-Schnittstellen:
Erstellen Sie das erste HA VPN-Gateway. Stellen Sie dazu eine
POST
-Anfrage an die MethodevpnGateways.insert
.POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways { "name": "ha-vpn-gw-a", "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a", "gatewayIpVersion": "IPV6", "stackType": "IPV6_ONLY" }
Wenn Sie dem HA VPN-Gateway externe IPv6-Adressen zuweisen, müssen Sie
IPV6
als Wert fürgatewayIpVersion
angeben. Das FeldstackType
ist optional.Wenn Sie
stackType
nicht angeben, ist der StandardwertIPV4_IPV6
.Die einzigen gültigen
stackType
-Werte für ein Gateway mit einemgatewayIpVersion
vonIPV6
sindIPV4_IPV6
oderIPV6_ONLY
(Vorschau).
Wiederholen Sie den Befehl, um das zweite HA VPN-Gateway zu erstellen, und geben Sie die entsprechenden Werte für
project
,name
,network
undregion
an.Wenn Sie dem HA VPN-Gateway externe IPv6-Adressen zuweisen, müssen Sie
IPV6
als Wert fürgatewayIpVersion
angeben. Das FeldstackType
ist optional.Wenn Sie für das erste Gateway
stackType
angegeben haben, verwenden Sie für das zweite Gateway denselben Stack-Typ, entwederIPV6_ONLY
(Vorschau) oderIPV4_IPV6
.
Peer-VPN-Gateway-Ressource angeben
In dieser Einrichtung ist die Peer-VPN-Gateway-Ressource das zweite HA VPN, also der Endpunkt der neuen VPN-Tunnelverbindungen.
Wenn Sie zwei VPC-Netzwerke verbinden, kann das zweite VPC-Netzwerk im selben Google Cloud-Projekt oder in einem separaten Google Cloud-Projekt vorhanden sein.
Console
So geben Sie die Peer-HA-VPN-Gateway-Ressource an:
- Wählen Sie auf der Seite VPN erstellen im Abschnitt Peer-VPN-Gateway Google Cloud-VPN-Gateway aus.
- Wählen Sie unter Projekt das Google Cloud-Projekt aus, in dem das neue Gateway enthalten ist.
- Wählen Sie unter VPN-Gateway-Name das zweite HA VPN aus, das Sie unter HA VPN-Gateways erstellen erstellt haben.
- Fahren Sie mit dem Erstellen von VPN-Tunneln fort.
gcloud
Sie haben die Peer-VPN-Gateway-Ressource erstellt, als Sie das zweite HA VPN-Gateway unter HA VPN-Gateways erstellen erstellt haben.
Sie geben dieses HA VPN-Gateway als Peer-VPN-Gateway-Ressource an, wenn Sie die HA VPN-Tunnel erstellen.
API
Sie haben die Peer-VPN-Gateway-Ressource erstellt, als Sie das zweite HA VPN-Gateway unter HA VPN-Gateways erstellen erstellt haben.
Sie geben dieses HA VPN-Gateway als Peer-VPN-Gateway-Ressource an, wenn Sie die HA VPN-Tunnel erstellen.
Cloud Router erstellen
Console
Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.
Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:
- einen Namen
- eine optionale Beschreibung
- eine Google-ASN für den neuen Router
Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (
64512
bis65534
,4200000000
bis4294967294
). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.Klicken Sie auf Erstellen, um den neuen Router zu erstellen.
gcloud
Bei der folgenden Anleitung wird davon ausgegangen, dass Sie nicht bereits Cloud Router für die Verwaltung von BGP-Sitzungen für Ihre HA VPN-Tunnel erstellt haben. Sie können einen vorhandenen Cloud Router in jedem VPC-Netzwerk verwenden, solange der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.
Führen Sie die folgende Befehlssequenz aus, um zwei Cloud Router zu erstellen:
Erstellen Sie in jedem Netzwerk in
REGION
einen Cloud Router.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
PEER_ASN_1
undPEER_ASN_2
: jede private ASN (64512
bis65534
,4200000000
bis4294967294
), die Sie noch nicht verwenden. In diesem Beispiel wird ASN65001
für beide Schnittstellen vonROUTER_NAME_1
und ASN65002
für beide Schnittstellen vonROUTER_NAME_2
verwendet.- Ersetzen Sie alle anderen Optionen durch die Werte, die Sie zuvor verwendet haben.
Ersten Router erstellen
gcloud compute routers create ROUTER_NAME_1 \ --region=REGION \ --network=NETWORK_1 \ --asn=PEER_ASN_1
Der von Ihnen erstellte Router ähnelt der folgenden Beispielausgabe:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a]. NAME REGION NETWORK router-a us-central1 network-a
Zweiten Router erstellen
gcloud compute routers create ROUTER_NAME_2 \ --region=REGION \ --network=NETWORK_2 \ --asn=PEER_ASN_2
Der von Ihnen erstellte Router ähnelt der folgenden Beispielausgabe:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b]. NAME REGION NETWORK router-b us-central1 network-b
API
Wenn Sie in den verschiedenen VPC-Netzwerken, in denen sich Ihre HA VPN-Gateways befinden, bereits Cloud Router erstellt haben, können Sie diese Cloud Router verwenden, anstatt neue zu erstellen. Wenn ein Cloud Router jedoch eine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist, erstellen Sie einen neuen Cloud Router.
Senden Sie zum Erstellen eines Cloud Routers eine POST
-Anfrage an die Methode routers.insert
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers { "name": "router-a", "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a" }
VPN-Tunnel erstellen
Console
So erstellen Sie VPN-Tunnel:
Wählen Sie unter Hochverfügbarkeit entweder ein Tunnelpaar oder einen Tunnel zum anderen HA VPN-Gateway aus:
Wenn Sie ein VPN-Tunnelpaar erstellen (empfohlen) auswählen, konfigurieren Sie die beiden Tunnel-Dialogfelde, die unten auf der Seite VPN erstellen angezeigt werden.
Wenn Sie Einzelnen VPN-Tunnel erstellen auswählen, konfigurieren Sie Ihren einzelnen Tunnel im weiteren Verlauf der Seite VPN erstellen. Sie müssen jedoch einen zweiten Tunnel erstellen, um ein SLA von 99,99 % für das andere HA VPN-Gateway zu erhalten. Sie können später einen zweiten Tunnel hinzufügen, wie am Ende dieses Vorgangs beschrieben.
Führen Sie die folgenden Schritte entweder auf derselben Seite oder im Dialogfeld jedes Tunnels unten auf der Seite aus.
Wenn Sie nur einen Tunnel konfigurieren, wählen Sie unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination für dieses Gateway aus, um sie der Gateway-Schnittstelle auf dem anderen HA-VPN-Gateway zuzuordnen. Bei Konfigurationen mit zwei Tunneln sind diese Option und die Option Zugehörige Peer-VPN-Gateway-Schnittstelle nicht verfügbar, da die richtigen Schnittstellenkombinationen für Sie konfiguriert werden.
- Geben Sie einen Namen für den Tunnel an.
- Geben Sie eine optionale Beschreibung an.
- Geben Sie die IKE-Version an. Wir empfehlen die Standardeinstellung IKEv2. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
- Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
- Klicken Sie auf Fertig.
- Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.
gcloud
Führen Sie die folgende Befehlssequenz aus, um zwei VPN-Tunnel auf jedem HA VPN-Gateway zu erstellen.
- Der Tunnel, den Sie über
interface 0
vonGW_NAME_1
erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, die deminterface 0
vonGW_NAME_2
inNETWORK_2
zugeordnet ist. - Der Tunnel über
interface 1
vonGW_NAME_1
muss eine Verbindung zur externen IP-Adresse herstellen, die mitinterface 1
vonGW_NAME_2
verknüpft ist. Wenn Sie VPN-Tunnel für
GW_NAME_1
inNETWORK_1
erstellen, geben Sie die Informationen fürGW_NAME_2
inNETWORK_2
an. Google verbindet den Tunnel überinterface 0
vonGW_NAME_1
automatisch mitinterface 0
vonGW_NAME_2
undinterface 1
vonGW_NAME_1
mitinterface 1
vonGW_NAME_2
.Zwei Tunnel auf
GW_NAME_1
erstellenErstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von
GW_NAME_1
inNETWORK_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
TUNNEL_NAME_GW1_IF0
undTUNNEL_NAME_GW1_IF1
: ein Name für jeden Tunnel, der vonGW_NAME_1
stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.GW_NAME_2
: der Wert von--peer-gcp-gateway
.REGION
: die Region, in der sichGW_NAME_1
befindet- Optional:
--vpn-gateway-region
ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit--region
übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. IKE_VERS
:2
für IKEv2. Da beide Tunnel mit einem anderen HA VPN-Gateway verbunden sind, empfiehlt Google die Verwendung von IKEv2. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 verwenden.SHARED_SECRET
: Ihr vorinstallierter Schlüssel (gemeinsames Secret); er muss mit dem vorinstallierten Schlüssel identisch sein, den Sie für den entsprechenden Tunnel verwenden, der ausGW_NAME_2
aufinterface 0
undinterface 1
erstellt wurde. Weitere Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generierenINT_NUM_0
: Die Nummer0
für die erste Schnittstelle aufGW_NAME_1
.INT_NUM_1
: Die Nummer1
für die zweite Schnittstelle aufGW_NAME_1
.- Befindet sich
peer-gcp-gateway
in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option--peer-gcp-gateway
als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
--peer-gcp-gateway-region
, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.
Ersten Tunnel in
GW_NAME_1
INT_NUM_0
erstellengcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \ --peer-gcp-gateway=GW_NAME_2 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_1 \ --vpn-gateway=GW_NAME_1 \ --interface=INT_NUM_0
Zweiten Tunnel in
GW_NAME_1
INT_NUM_1
erstellengcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \ --peer-gcp-gateway=GW_NAME_2 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_1 \ --vpn-gateway=GW_NAME_1 \ --interface=INT_NUM_1
Die Befehlsausgabe sieht dann ungefähr so aus:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-a-to-b-if-0 us-central1 ha-vpn-gw-a 0 ha-vpn-gw-b Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-a-to-b-if-1 us-central1 ha-vpn-gw-a 1 ha-vpn-gw-b
Zwei Tunnel auf
GW_NAME_2
erstellenErstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von
GW_NAME_2
inNETWORK_2
.- Der Tunnel, den Sie über
interface 0
vonGW_NAME_2
erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, dieinterface 0
vonGW_NAME_1
inNETWORK_1
zugeordnet ist. - Der Tunnel über
interface 1
vonGW_NAME_2
muss eine Verbindung zu der externen IP-Adresse herstellen, dieinterface 1
vonGW_NAME_1
zugeordnet ist.
Ersetzen Sie in den aufgeführten Befehlen Folgendes:
REGION
: die Region, in der sichGW_NAME_2
befindet- Optional:
--vpn-gateway-region
ist die Region des VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit--region
übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region. TUNNEL_NAME_GW2_IF0
undTUNNEL_NAME_GW2_IF1
: ein Name für jeden Tunnel, der vonGW_NAME_2
stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.GW_NAME_1
: der Wert von--peer-gcp-gateway
. Der Wert für--peer-gcp-gateway-region
muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn nicht angegeben, wird der Wert automatisch festgelegt. In diesem Beispiel lautet die RegionREGION
.IKE_VERS
:2
für IKEv2; Da diese Tunnel eine Verbindung zu den beiden Tunnel des vorherigen Schritts herstellen, müssen sie dieselbe IKE-Version verwenden (Google empfiehlt die Verwendung von IKEv2). Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 verwenden.SHARED_SECRET
: der vorinstallierte Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel des Partnertunnels entsprechen muss, den Sie in jeder Schnittstelle vonGW_NAME_1
erstellt haben. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generierenGW_NAME_2
: der Name des zweiten Gateways, das Sie im Schritt zur Gateway-Konfiguration konfiguriert haben.INT_NUM_0
: Die Nummer0
für die erste Schnittstelle aufGW_NAME_2
.INT_NUM_1
: Die Nummer1
für die zweite Schnittstelle aufGW_NAME_2
.- Befindet sich
peer-gcp-gateway
in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option--peer-gcp-gateway
als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:--peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
--peer-gcp-gateway-region
, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.
Ersten Tunnel in
GW_NAME_2
INT_NUM_0
erstellengcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \ --peer-gcp-gateway=GW_NAME_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_2 \ --vpn-gateway=GW_NAME_2 \ --interface=INT_NUM_0
Zweiten Tunnel in
GW_NAME_2
INT_NUM_1
erstellengcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \ --peer-gcp-gateway=GW_NAME_1 \ --region=REGION \ --ike-version=IKE_VERS \ --shared-secret=SHARED_SECRET \ --router=ROUTER_NAME_2 \ --vpn-gateway=GW_NAME_2 \ --interface=INT_NUM_1
Die Befehlsausgabe sieht dann ungefähr so aus:
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-b-to-a-if-0 us-central1 ha-vpn-gw-b 0 ha-vpn-gw-a Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1]. NAME REGION VPN_GATEWAY VPN_INTERFACE PEER_ADDRESS tunnel-b-to-a-if-1 us-central1 ha-vpn-gw-b 1 ha-vpn-gw-a
- Der Tunnel, den Sie über
Warten Sie nach diesem Schritt einige Minuten und prüfen Sie dann den Status der einzelnen VPN-Tunnel.
Der Zustand eines VPN-Tunnels ändert sich nur dann in
Established
, wenn der entsprechende Partnertunnel ebenfalls verfügbar und ordnungsgemäß konfiguriert ist. Eine gültige IKE-Version und die untergeordnete Sicherheitsverknüpfung (SA) müssen ebenfalls zwischen ihnen ausgehandelt werden.Beispiel:
tunnel-a-to-b-if-0
inha-vpn-gw-a
kann nur festgelegt werden, wenntunnel-b-to-a-if-0
inha-vpn-gw-b
konfiguriert und verfügbar ist.
API
Zum Erstellen von zwei VPN-Tunneln, einen für jede Schnittstelle auf einem HA VPN-Gateway, stellen Sie eine POST
-Anfrage an die vpnTunnels.insert
-Methode.
Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-a-tunnel-0", "ikeVersion": 2, "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b", "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a", "sharedSecret": "SECRET_1", "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "vpnGatewayInterface": 0 }
Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie
2
für dieikeVersion
angeben.Wiederholen Sie den vorherigen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:
name
: Beispielsweiseha-vpn-gw-a-tunnel-1
sharedSecret
odersharedSecretHash
(falls erforderlich)vpnGatewayInterface
: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in1
.
Erstellen Sie dann zwei Tunnel für Ihr zweites HA VPN-Gateway, die eine Verbindung zu Ihrem ersten HA VPN-Gateway herstellen.
Führen Sie den folgenden Befehl aus, um den ersten Tunnel auf dem zweiten HA VPN-Gateway zu erstellen:
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels { "name": "ha-vpn-gw-b-tunnel-0", "ikeVersion": 2, "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a", "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b", "sharedSecret": SECRET_1, "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b", "vpnGatewayInterface": 0 }
Verwenden Sie dasselbe
sharedSecret
, das Sie für den ersten Tunnel auf dem ersten Gateway (ha-vpn-gw-a-tunnel-0
) angegeben haben.Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie
2
für dieikeVersion
angeben.Wiederholen Sie den vorherigen Befehl, um den zweiten Tunnel auf dem zweiten HA VPN-Gateway zu erstellen, aber ändern Sie die folgenden Parameter:
name
: Beispielsweiseha-vpn-gw-b-tunnel-1
sharedSecret
odersharedSecretHash
: Geben Sie dassharedSecret
oder densharedSecretHash
an, den Sie beim Erstellen des zweiten Tunnels auf dem ersten Gateway verwendet habenvpnGatewayInterface
: in den Wert der anderen Schnittstelle des HA VPN-Gateways ändern. In diesem Beispiel ändern Sie diesen Wert in1
.
BGP-Sitzungen erstellen
Für jeden HA VPN-Tunnel können Sie eine IPv4-BGP-Sitzung, eine IPv6-BGP-Sitzung oder beides erstellen.
Wählen Sie zum Aufrufen einer spezifischen Anleitung den Typ von BGP-Sitzung aus, der für Ihre HA VPN-Gateway- und VPC-Netzwerktraffic-Anforderungen geeignet ist.
BGP-Sitzungstyp | HA VPN-Gateway | VPC-Netzwerk | MP-BGP zulässig? |
---|---|---|---|
IPv4-BGP-Sitzungen | Nur IPv4 oder Dual-Stack | Nur IPv4 oder Dual-Stack | yes |
IPv6-BGP-Sitzungen | Dual-Stack | Dual-Stack | yes |
Sowohl IPv4- als auch IPv6-BGP-Sitzungen | Dual-Stack | Dual-Stack | no |
Zur Verwendung von Multiprotokoll-BGP (MP-BGP) in den BGP-Sitzungen Ihrer HA VPN-Tunnel müssen Sie Dual-Stack-HA VPN-Gateways verwenden.
Sie müssen außerdem ein Dual-Stack-HA VPN-Gateway verwenden, um IPv4- und IPv6-BGP-Sitzungen im selben HA VPN-Tunnel einzurichten. Sie können jedoch den Dual-Stack-Routenaustausch (MP-BGP) in den einzelnen IPv4- und IPv6-BGP-Sitzungen nicht aktivieren.
IPv4-BGP-Sitzungen
Console
So erstellen Sie BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
- Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie für BGP-Sitzungstyp die Option IPv4-BGP-Sitzung aus.
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv6-Traffic aktivieren, um den IPv6-Routenaustausch zu aktivieren.
Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor: 1. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse des Cloud Routers ein. 1. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen: * Jede IPv4-Adresse muss zum selben
/30
-Subnetz gehören, das in den Adressbereich169.254.0.0/16
passt. * Jede IPv4-Adresse ist der erste oder zweite Host des Subnetzes/30
. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Sendeadressen reserviert. * Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.Wenn Sie Automatisch auswählen, wählt Google Cloud automatisch die IPv4-Adressen für Ihre BGP-Sitzung aus.
- Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
1. Geben Sie für Nächster Cloud Router BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich
2600:2d00:0:2::/63
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die vom Cloud Router beworben werden. 1. Geben Sie unter Nächster Hop für Peer-BGP-IPv6 eine IPv6-Adresse im Adressbereich2600:2d00:0:2::/63
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat.- Optional: Maximieren Sie den Abschnitt Erweiterte Optionen.
- Wählen Sie Aktiviert aus, um BGP-Peer zu aktivieren. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
- Wählen Sie Aktiviert aus, um die MD5-Authentifizierung zu aktivieren. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung zur Authentifizierung von BGP-Sitzungen verwendet. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
- Geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine benutzerdefinierte Priorität für erkannte Routen ein, um der BGP-Sitzung ausgehende Routen hinzuzufügen. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen. 1. Klicken Sie auf Speichern und fortfahren.
- Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
1. Geben Sie für Nächster Cloud Router BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
So erstellen Sie BGP-Sitzungen:
In diesem Abschnitt konfigurieren Sie Cloud Router-Schnittstellen und BGP-Peers. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen dem IPv4-Adressbereich und den Peer-IPv4-Adressen, die Sie für jede Schnittstelle angeben.
Die erste Schnittstelle von router-1
hat beispielsweise die IPv4-Adresse 169.254.0.1
. Dies bedeutet, dass router-1
der erste Host im IPv4-Subnetz 169.254.0.0/30
ist. Der andere Cloud Router, router-2
, ist der BGP-Peer von router-1
. Der ersten Schnittstelle von router-2
wird 169.254.0.2
zugewiesen, der zweite Host im IPv4-Subnetz 169.254.0.0/30
.
Die Peer-IPv4-BGP-Adresse vonrouter-1
ist169.254.0.2
und die Peering-IPv4-BGP-Adresse vonrouter-2
ist169.254.0.1
eine
Diese Tabelle enthält auch ein Beispiel für eine IPv6-Adresskonfiguration für den nächsten Hop.
Router | Schnittstellenname | IPv4-Adressbereich | Peer-IPv4-Adresse | Peer-ASN | IPv6-Adresse des nächsten Hops |
Peer-IPv6-Adresse des nächsten Hops |
---|---|---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0 | 169.254.0.1/30 | 169.254.0.2 | 65002 | 2600:2d00:0:2::1 | 2600:2d00:0:2::2 |
router-2 | if-tunnel-b-to-a-if-0 | 169.254.0.2/30 | 169.254.0.1 | 65001 | 2600:2d00:0:2::2 | 2600:2d00:0:2::1 |
router-1 | if-tunnel-a-to-b-if-1 | 169.254.1.1/30 | 169.254.1.2 | 65002 | 2600:2d00:0:2:1::1 | 2600:2d00:0:2:1::2 |
router-2 | if-tunnel-b-to-a-if-1 | 169.254.1.2/30 | 169.254.1.1 | 65001 | 2600:2d00:0:2:1::2 | 2600:2d00:0:2:1::1 |
Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.
Erstellen Sie auf
ROUTER_NAME_1
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW1_IF0
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW1_IF0
aufinterface 0
vonGW_1
mitinterface 0
vonGW_2
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_0
: ein Name für die Schnittstelle des Cloud Routers. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF0
bezieht, ist hilfreich.IP_VERSION
: Geben SieIPV4
an oder lassen Sie das Feld nicht angegeben. Wenn nicht angegeben, ist der StandardwertIPV4
.IP_ADDRESS_1
: eine BGP-IPv4-Adresse aus dem IPv4-Adressbereich169.254.0.0/16
, die nicht bereits verwendet wird. In diesem Beispiel wird169.254.0.1
verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv4-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Geben Sie30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss.PEER_NAME_GW1_IF0
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF0
bezieht, ist hilfreich.PEER_IP_ADDRESS_1
: Eine BGP-IPv4-Adresse von169.254.0.0/16
, die noch nicht verwendet wird. In diesem Beispiel wird169.254.0.2
verwendet. Wenn Sie keine BGP-IPv4-Adresse (IP_ADDRESS_1
) zuvor zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv4-Adresse zu. Wenn SieIP_ADDRESS_1
manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.PEER_ASN_2
: Die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud RouterROUTER_NAME_2
verwendet wird. In diesem Beispiel wird die ASN-Nummer65002
verwendet.Optional: Wenn Sie IPv4-BGP-Sitzungen mit MP-BGP erstellen, geben Sie
--enable-ipv6
an, wenn Sie den Befehladd-bgp-peer
ausführen, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:IPV6_NEXTHOP_ADDRESS_1
durch die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werdenPEER_IPV6_NEXTHOP_ADDRESS_1
durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werdenDie Adresse des nächsten Hops muss im IPv6-Adressbereich
2600:2d00:0:2::/63
liegen.
Wenn Sie die IPv6-Adressen des nächsten Hops nicht angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv6-Adressbereich
2600:2d00:0:2::/63
zu.AUTHENTICATION_KEY
: der geheime Schlüssel, um die MD5-Authentifizierung aufPEER_NAME_GW1_IF0
zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse auf dem Cloud Router zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION
BGP-Peer für
TUNNEL_NAME_GW1_IF0
erstellenMit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer mit manuell angegebenen IPv4-BGP-Adressen und IPv6-Adressen für den nächsten Hop erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
Der folgende Befehl erstellt einen IPv4-BGP-Peer ohne aktiviertes IPv6:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Erstellen Sie auf
ROUTER_NAME_1
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW1_IF1
.Diese Schnittstelle wird verwendet, um
TUNNEL_NAME_GW1_IF1
aufinterface 1
vonGW_1
nachinterface 1
vonGW_2
zu verbinden.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_1
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF1
bezieht, kann hilfreich sein.IP_VERSION
:IPV4
angeben oder nicht angebenIP_ADDRESS_2
(optional): eine BGP-IPv4-Adresse von169.254.0.0/16
, die nicht bereits verwendet wird. In diesem Beispiel wird169.254.1.1
verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv4-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Geben Sie30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss.PEER_NAME_GW1_IF1
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF1
bezieht, ist hilfreich.PEER_IP_ADDRESS_2
: eine BGP-IPv4-Adresse aus dem IPv4-Adressbereich169.254.0.0/16
, die nicht bereits verwendet wird. In diesem Beispiel wird169.254.1.2
verwendet. Wenn Sie keine BGP-IPv4-Adresse (IP_ADDRESS_2
) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist Ihnen automatisch eine übereinstimmende BGP-Peer-IPv4-Adresse zu. Wenn SieIP_ADDRESS_2
manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.PEER_ASN_2
: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud RouterROUTER_NAME_2
verwendet wird; In diesem Beispiel wird die ASN-Nummer65002
verwendet.Optional: Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP konfigurieren, geben Sie im Befehl
add-bgp-peer
--enable-ipv6
an, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:IPV6_NEXTHOP_ADDRESS_2
: die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden. Die Adresse muss im2600:2d00:0:2::/63
-IPv6-Adressbereich liegen.PEER_IPV6_NEXTHOP_ADDRESS_2
durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden; Die Adresse muss im IPv6-Adressbereich2600:2d00:0:2::/63
liegen.
Wenn Sie die IPv6-Adressen des nächsten Hops nicht angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv6-Adressbereich
2600:2d00:0:2::/63
zu.AUTHENTICATION_KEY_2
: der geheime Schlüssel, um die MD5-Authentifizierung aufPEER_NAME_GW1_IF1
zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
BGP-Peer für
TUNNEL_NAME_GW1_IF1
erstellenMit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer mit manuell angegebenen IPv4-BGP-Adressen und IPv6-Adressen für den nächsten Hop erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
Der folgende Befehl erstellt einen IPv4-BGP-Peer, für den kein IPv6-Routenaustausch aktiviert ist:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Prüfen Sie die Einstellungen für
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-a-to-b-if-0 ipAddress: 169.254.0.1 ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1 name: bgp-peer-tunnel-a-to-b-if-0 peerAsn: 65002 peerIpAddress: 169.254.0.2 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-a-to-b-if-1 ipAddress: 169.254.1.1 ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1 name: bgp-peer-tunnel-a-to-b-if-1 peerAsn: 65002 peerIpAddress: 169.254.1.2 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Erstellen Sie auf
ROUTER_NAME_2
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW2_IF0
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW2_IF0
aufinterface 0
vonGW_2
mitinterface 0
vonGW_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_0
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF0
bezieht, kann hilfreich sein.IP_VERSION
: Geben SieIPV4
an oder lassen Sie das Feld nicht angegeben. Wenn nicht angegeben, ist der StandardwertIPV4
.IP_ADDRESS_3
: Wenn SiePEER_IP_ADDRESS_1
fürTUNNEL_NAME_GW1_IF0
manuell konfiguriert haben, geben Sie diesen Wert fürIP_ADDRESS_3
an. Wenn Google Cloud diese Peer-IPv4-Adresse automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus: Verwenden Sie in der Ausgabe für den BGP-Peer den WertPEER_NAME_GW1_IF0
, der im FeldpeerIpAddress
angezeigt wird. In diesem Beispiel wird169.254.0.2
verwendet.MASK_LENGTH
: Geben Sie30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss.PEER_NAME_GW2_IF0
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF0
bezieht, ist hilfreich.PEER_IP_ADDRESS_3
: die BGP-IPv4-Adresse, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie den Wert im FeldipAddress
für den BGP-PeerPEER_NAME_GW1_IF0
, den Sie fürTUNNEL_NAME_GW1_IF0
erstellt haben. In diesem Beispiel wird169.254.0.1
verwendet.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.Optional: Wenn Sie VPN-Tunnel mit IPv4-BGP-Sitzungen und MP-BGP erstellen, geben Sie
--enable-ipv6
im Befehladd-bgp-peer
an, um IPv6-Traffic zu aktivieren. Sie müssen die IPv6-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:IPV6_NEXTHOP_ADDRESS_3
: die Adresse des nächsten Hops für IPv6-Routen, die Sie zuvor inPEER_IPV6_NEXTHOP_ADDRESS_1
angegeben haben. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF0
anROUTER_NAME_1
automatisch BGP-IPv6-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Siegcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-PeerPEER_NAME_GW1_IF0
, den Sie fürTUNNEL_NAME_GW1_IF0
eingerichtet haben. Verwenden Sie den Wert im FeldpeerIpv6NextHopAddress
. In diesem Beispiel wird2600:2d00:0:2:0:0:0:2
verwendet.PEER_IPV6_NEXTHOP_ADDRESS_3
durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden. Verwenden Sie den Wert, den Sie zuvor inIPV6_NEXTHOP_ADDRESS_1
angegeben haben. Wenn Sie automatisch IPv6-Adressen für den nächsten Hop zugewiesen haben, führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie fürTUNNEL_NAME_GW1_IF0
eingerichtet haben. Verwenden Sie den Wert im FeldIpv6NextHopAddress
. In diesem Beispiel wird2600:2d00:0:2:0:0:0:1
verwendet.
AUTHENTICATION_KEY
: ist der geheime Schlüssel, der für die MD5-Authentifizierung aufPEER_NAME_GW2_IF0
verwendet werden soll.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW2_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION
BGP-Peer für
TUNNEL_NAME_GW2_IF0
erstellenMit dem folgenden Beispielbefehl wird ein BGP-Peer mit aktiviertem IPv6-Routenaustausch erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Der folgende Befehl erstellt einen IPv4-BGP-Peer ohne aktivierten IPv6-Routenaustausch:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Wenn Sie
ROUTER_NAME_1
für die Verwendung der MD5-Authentifizierung fürPEER_NAME_GW1_IF0
konfiguriert haben, konfigurieren SieROUTER_NAME_2
für die Verwendung der MD5-Authentifizierung so:gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Erstellen Sie auf
ROUTER_NAME_2
eine Schnittstelle mit einer IPv4-Adresse und einem BGP-Peer für den TunnelTUNNEL_NAME_GW2_IF1
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW2_IF1
aufinterface 1
vonGW_2
mitinterface 1
vonGW_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_1
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF1
bezieht, kann hilfreich sein.IP_VERSION
: Geben SieIPV4
an oder lassen Sie das Feld nicht angegeben. Wenn nicht angegeben, ist der StandardwertIPV4
.IP_ADDRESS_4
: Wenn Sie manuell eine BGP-IPv4-Adresse fürPEER_IP_ADDRESS_2
fürTUNNEL_NAME_GW1_IF1
zugewiesen haben, geben Sie diesen Wert fürIP_ADDRESS_4
an. Wenn Google Cloud die IPv4-Adresse automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus: Verwenden Sie in der Ausgabe für den BGP-PeerPEER_NAME_GW1_IF1
den Wert, der im FeldpeerIpAddress
angezeigt wird. In diesem Beispiel wird169.254.1.2
verwendet.MASK_LENGTH
: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse eine Maskenlänge von126
oder weniger an.PEER_NAME_GW2_IF1
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF1
bezieht, ist hilfreich.PEER_IP_ADDRESS_4
: IP-Adresse, die Sie bei der Konfiguration des ersten Gateways und der ersten Schnittstelle alsIP_ADDRESS_2
angegeben haben. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie den Wert im FeldipAddress
für den BGP-Peer, den Sie fürTUNNEL_NAME_GW1_IF1
erstellt haben. In diesem Beispiel wird169.254.1.1
verwendet.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.Optional: Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP konfigurieren, geben Sie
--enable-ipv6
im Befehladd-bgp-peer
an, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:IPV6_NEXTHOP_ADDRESS_4
: die Adresse des nächsten Hops für IPv6-Routen, die Sie zuvor inPEER_IPV6_NEXTHOP_ADDRESS_2
angegeben haben. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF1
anROUTER_NAME_1
automatisch BGP-IPv6-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-PeerPEER_NAME_GW1_IF1
, den Sie fürTUNNEL_NAME_GW1_IF1
eingerichtet haben. Verwenden Sie den Wert im FeldpeerIpv6NextHopAddress
.PEER_IPV6_NEXTHOP_ADDRESS_3
durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden. Verwenden Sie den Wert, den Sie zuvor inIPV6_NEXTHOP_ADDRESS_2
angegeben haben. Wenn Sie automatisch IPv6-Adressen für den nächsten Hop zugewiesen haben, führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-PeerPEER_NAME_GW1_IF1
, den Sie fürTUNNEL_NAME_GW1_IF1
eingerichtet haben. Verwenden Sie den Wert im FeldIpv6NextHopAddress
. In diesem Beispiel wird2600:2d00:0:2:0:0:1:1
verwendet.
AUTHENTICATION_KEY_2
: ist der geheime Schlüssel, der für die MD5-Authentifizierung aufPEER_NAME_GW2_IF1
verwendet werden soll.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW2_IF1
erstellengcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
BGP-Peer für
TUNNEL_NAME_GW2_IF1
erstellenMit dem folgenden Beispielbefehl wird ein BGP-Peer mit aktiviertem IPv6-Routenaustausch erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv6 \ --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \ --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
Der folgende Befehl erstellt einen BGP-Peer ohne aktivierten IPv6-Routenaustausch:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Wenn Sie
ROUTER_NAME_1
für die Verwendung der MD5-Authentifizierung fürPEER_NAME_GW1_IF1
konfiguriert haben, konfigurieren SieROUTER_NAME_2
für die Verwendung der MD5-Authentifizierung so: Die Befehlsausgabe sieht dann ungefähr so aus:gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Prüfen Sie die Einstellungen für
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertiseMode: DEFAULT asn: 65002 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-b-to-a-if-0 ipAddress: 169.254.0.2 ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2 name: bgp-peer-tunnel-b-to-a-if-0 peerAsn: 65001 peerIpAddress: 169.254.0.1 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv6: true interfaceName: if-tunnel-b-to-a-if-1 ipAddress: 169.254.1.2 ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2 name: bgp-peer-tunnel-b-to-a-if-1 peerAsn: 65001 peerIpAddress: 169.254.1.1 peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Zum Erstellen einer Cloud Router-Schnittstelle stellen Sie eine der folgenden Anfragen:
PATCH
: Verwenden Sie die Methoderouters.patch
:UPDATE
: Verwenden Sie die Methoderouters.update
:
Die Anfrage
PATCH
aktualisiert nur die Parameter, die Sie angeben, während die AnfrageUPDATE
alle Parameter eines Cloud Routers aktualisiert.Sie müssen eine Cloud Router-Schnittstelle für jeden VPN-Tunnel auf dem HA VPN-Gateway erstellen.
Der von Ihnen angegebenen BGP-IPv4-Adressbereich muss für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-on-prem-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" } ] }
Stellen Sie eine der folgenden Anfragen, um der Schnittstelle einen BGP-Peer-Konfiguration hinzuzufügen:
PATCH
: Verwenden Sie die Methoderouters.patch
:UPDATE
: Verwenden Sie die Methoderouters.update
:
Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer
name
undpeerAsn
.Verwenden Sie den folgenden API-Befehl, um eine vollständige BGP-Sitzungskonfiguration für ein HA VPN-Gateway zu erstellen.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "peerIpAddress": "169.254.0.2", "peerAsn": 65002, "advertiseMode": "DEFAULT" } ] }
Verwenden Sie den folgenden API-Befehl, um die vollständige BGP-Sitzungskonfiguration für ein HA VPN-Gateway mit aktiviertem IPv6 zu erstellen:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "peerIpAddress": "169.254.0.2", "peerAsn": 65002, "advertiseMode": "DEFAULT" "enableIpv6": true "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1" "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2" } ] }
Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-on-prem-if-0", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-on-prem-if-0", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ], }
IPv6-BGP-Sitzungen
Console
So erstellen Sie BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie für BGP-Sitzungstyp die Option IPv6-BGP-Sitzung aus.
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv4-Traffic aktivieren, um den IPv4-Routenaustausch zu aktivieren.
- Wählen Sie unter BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse des Cloud Routers ein.
- Geben Sie unter BGP-Peer-IPv6-Adresse die IPv6-Adresse des BGP-Peers ein. Die IPv6-Adresse muss die folgenden Anforderungen erfüllen:
- Jede Adresse muss eindeutige lokale Adressen (ULA) aus dem Adressbereich
fdff:1::/64
mit einer Maskenlänge von/64
sein. Beispiel:fdff:1::1
. - Jede Adresse muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
- Jede Adresse muss eindeutige lokale Adressen (ULA) aus dem Adressbereich
Wenn Sie Automatisch auswählen, wählt Google Cloud automatisch die IPv6-Adressen für Ihre BGP-Sitzung aus.
- Optional: Wenn Sie im vorherigen Schritt den IPv4-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv4-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
1. Geben Sie im Feld Nächster Hop für BGP-IPv4-Hop von Cloud Router eine IPv4-Adresse im Adressbereich
169.254.0.0/16
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die vom Cloud Router beworben werden. 1. Geben Sie im Feld Nächster Peer-BGP-IPv4-Hop eine IP-Adresse im Adressbereich169.254.0.0/16
ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat.- Optional: Maximieren Sie den Abschnitt Erweiterte Optionen.
- Wählen Sie Aktiviert aus, um BGP-Peer zu aktivieren. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
- Wählen Sie Aktiviert aus, um die MD5-Authentifizierung hinzuzufügen. Bei Aktivierung können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
- Geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine benutzerdefinierte Priorität für erkannte Routen ein, um der BGP-Sitzung ausgehende Routen hinzuzufügen. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen. 1. Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
So erstellen Sie BGP-Sitzungen:
In diesem Abschnitt konfigurieren Sie Cloud Router-IPv6-Schnittstellen und BGP-Peers. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen den IPv6-BGP-Bereichen und den Peer-IP-Adressen, die Sie für jede Schnittstelle angeben.
Beispiel: Die erste Schnittstelle von router-1
hat die IPv6-Adresse fdff:1::1
. Dies bedeutet, dass router-1
der erste Host im IPv6-Subnetz fdff:1::/126
ist. Der andere Cloud Router, router-2
, ist der BGP-Peer von router-1
. Der ersten Schnittstelle von router-2
wird fdff:1::2
zugewiesen, der zweite Host im IPv6-Subnetz fdff:1::/126
.
Daher ist die BGP-Peer-IPv6-Adresse von router-1
fdff:1::2
und die Adresse von router-2
fdff:1::2
.
Router | Schnittstellenname | IPv6-Adressbereich | Peer-IPv6-Adresse | Peer-ASN | IPv4-Adresse des nächsten Hops |
Peer-IPv4-Adresse des nächsten Hops |
---|---|---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0 | fdff:1::/64 | fdff:1::2 | 65002 | 169.254.12.1 | 169.254.12.2 |
router-2 | if-tunnel-b-to-a-if-0 | fdff:1::/64 | fdff:1::1 | 65001 | 169.254.12.2 | 169.254.12.1 |
router-1 | if-tunnel-a-to-b-if-1 | fdff:1::/64 | fdff:1::2 | 65002 | 169.254.13.1 | 169.254.13.2 |
router-2 | if-tunnel-b-to-a-if-1 | fdff:1::/64 | fdff:1::1 | 65001 | 169.254.13.2 | 169.254.13.1 |
Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.
Erstellen Sie auf
ROUTER_NAME_1
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW1_IF0
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW1_IF0
aufinterface 0
vonGW_1
mitinterface 0
vonGW_2
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_0
: ein Name für die Schnittstelle des Cloud Routers. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF0
bezieht, ist hilfreich.IP_VERSION
:IPV6
; Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse automatisch für diese Schnittstelle zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.IP_ADDRESS_1
: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereichfdff:1::/64
, die nicht bereits verwendet wird. In diesem Beispiel wirdfdff:1::1
verwendet. Wenn Sie dieses Flag weglassen und keine IPv6-Adresse manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Geben Sie eine Maskenlänge von126
an.PEER_NAME_GW1_IF0
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF0
bezieht, ist hilfreich.PEER_IP_ADDRESS_1
: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereichfdff:1::/64
, die nicht bereits verwendet wird. In diesem Beispiel wirdfdff:1::2
verwendet. Wenn Sie zuvor keine bestimmte BGP-IPv6-Adresse (IP_ADDRESS_1
) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv6-Adresse zu. Wenn SieIP_ADDRESS_1
manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.PEER_ASN_2
: Die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud RouterROUTER_NAME_2
verwendet wird. In diesem Beispiel wird die ASN-Nummer65002
verwendet.Optional: Wenn Sie den IPv4-Routenaustausch in IPv6-BGP-Sitzungen mit MP-BGP aktivieren möchten, geben Sie
--enable-ipv4
an, wenn Sie den Befehlgcloud compute routers add-bgp-peer
ausführen. Sie haben auch die Möglichkeit, IPv4-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren.Wenn Sie die IPv4-Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:
IPV4_NEXTHOP_ADDRESS_1
: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im Link-Local-IPv4-Adressbereich169.254.0.0/16
für IPv4-Routen liegen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im Link-Local-Adressbereich169.254.0.0/16
liegen.
Wenn Sie keine IPv4-Adressen für den nächsten Hop angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv4-Adressbereich
169.254.0.0/16
zu.AUTHENTICATION_KEY
: der geheime Schlüssel, um die MD5-Authentifizierung aufPEER_NAME_GW1_IF0
zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Optional: BGP-Kennungsbereich zuweisen
Wenn Sie einem Cloud Router mit einer IPv6-Adresse die erste Schnittstelle hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern.
Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.
Automatisch
Schnittstelle für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse zu erstellen.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV6
BGP-Peer für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch zu erstellen und automatisch IPv4-Adressen für den nächsten Hop zuzuweisen.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \
Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4 und eine automatisch zugewiesene IPv6-Adresse:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Manuell
Schnittstelle für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell angegebenen IPv6-Adresse zu erstellen.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \
BGP-Peer für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um einen BGP-Peer mit aktiviertem IPv4-Routenaustausch und manuell angegebenen IPv4-Adressen für den nächsten Hop zu erstellen.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_1 \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_1
Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertem IPv4-Routenaustausch:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0 \ --interface=ROUTER_1_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Erstellen Sie auf
ROUTER_NAME_1
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW1_IF1
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW1_IF1
aufinterface 1
vonGW_1
zuinterface 1
vonGW_2
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_1
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF1
bezieht, kann hilfreich sein.IP_VERSION
:IPV6
IP_ADDRESS_2
: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereichfdff:1::/64
, die nicht bereits verwendet wird. In diesem Beispiel wirdfdff:1::1:1
verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv6-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Geben Sie eine Maskenlänge von64
an.PEER_NAME_GW1_IF1
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW1_IF1
bezieht, ist hilfreich.PEER_IP_ADDRESS_2
: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereichfdff:1::/64
, die nicht bereits verwendet wird. In diesem Beispiel wirdfdff:1::1:2
verwendet. Wenn Sie keine IPv6-Adresse (IP_ADDRESS_2
) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv6-Adresse zu. Wenn SieIP_ADDRESS_2
manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.PEER_ASN_2
: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud RouterROUTER_NAME_2
verwendet wird; In diesem Beispiel wird die ASN-Nummer65002
verwendet.Optional: Wenn Sie den IPv4-Routenaustausch in IPv6-BGP-Sitzungen mit MP-BGP aktivieren möchten, geben Sie
--enable-ipv4
an, wenn Sie den Befehlgcloud compute routers add-bgp-peer
ausführen. Sie haben auch die Möglichkeit, IPv4-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren.Wenn Sie die IPv4-Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:
IPV4_NEXTHOP_ADDRESS_2
: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im Link-Local-IPv4-Adressbereich169.254.0.0/16
liegen.PEER_IPV4_NEXTHOP_ADDRESS_2
: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im Link-Local-IPv4-Adressbereich169.254.0.0/16
liegen.
AUTHENTICATION_KEY_2
: der geheime Schlüssel, um die MD5-Authentifizierung aufPEER_NAME_GW1_IF1
zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Automatisch
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse zu erstellen.
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV6
BGP-Peer für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch zu erstellen und automatisch IPv4-Adressen für den nächsten Hop zuzuweisen.
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \
Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Manuell
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell angegebenen IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \
BGP-Peer für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch zu erstellen:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_2 \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_2
Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie Ihren geheimen Schlüssel mit dem Flag
--md5-authentication-key
an:gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1 \ --interface=ROUTER_1_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
Prüfen Sie die Einstellungen für
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-a-to-b-if-0 ipAddress: fdff:1::1 ipv4NexthopAddress: 169.254.12.2 name: bgp-peer-tunnel-a-to-b-if-0 peerAsn: 65002 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.12.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-a-to-b-if-1 ipAddress: fdff:1:1:2::1 ipv4NexthopAddress: 169.254.13.2 name: bgp-peer-tunnel-a-to-b-if-1 peerAsn: 65002 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.13.1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Erstellen Sie auf
ROUTER_NAME_2
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW2_IF0
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW2_IF0
aufinterface 0
vonGW_2
mitinterface 0
vonGW_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_0
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF0
bezieht, kann hilfreich sein.IP_VERSION
:IPV6
; Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse automatisch für diese Schnittstelle zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.IP_ADDRESS_3
: Wenn Sie manuell eine BGP-IPv6-Adresse fürPEER_IP_ADDRESS_1
fürTUNNEL_NAME_GW1_IF0
zugewiesen haben, geben Sie diesen Wert fürIP_ADDRESS_3
an. Wenn Google Cloud diese Peer-IPv6-Adresse automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus: Verwenden Sie in der Ausgabe für den BGP-Peer den WertPEER_NAME_GW1_IF0
, der im FeldpeerIpAddress
angezeigt wird. In diesem Beispiel wirdfdff:1::2
verwendet.MASK_LENGTH
: Geben Sie eine Maskenlänge von126
oder kleiner an.PEER_NAME_GW2_IF0
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF0
bezieht, ist hilfreich.PEER_IP_ADDRESS_3
: die BGP-IPv6-Adresse, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie den Wert im FeldipAddress
für den BGP-Peer, den Sie fürfdff:1::1
erstellt haben.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.Optional: Wenn Sie IPv6-BGP-Sitzungen und MP-BGP erstellen, geben Sie
--enable-ipv4
an, wenn Sie den Befehlgcloud compute routers add-bgp-peer
ausführen, um IPv4-Traffic zu aktivieren. Sie müssen die IPv4-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem IPv4-fähigen BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist.Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:
IPV4_NEXTHOP_ADDRESS_3
: die Adresse des nächsten Hops für IPv4-Routen, die zuvor inPEER_IPV4_NEXTHOP_ADDRESS_1
angegeben wurden. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF0
aufROUTER_NAME_1
automatisch IPv4-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie fürTUNNEL_NAME_GW1_IF0
eingerichtet haben. Verwenden Sie den Wert im FeldpeerIpv4NextHopAddress
. In diesem Beispiel wird169.254.13.1
verwendet.PEER_IPV4_NEXTHOP_ADDRESS_2
: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im Link-Local-Bereich169.254.0.0/16
von IPv4 liegen. In diesem Beispiel wird169.254.13.2
verwendet.
AUTHENTICATION_KEY
: ist der geheime Schlüssel, der für die MD5-Authentifizierung aufPEER_NAME_GW2_IF0
verwendet werden soll.
Optional: BGP-Kennungsbereich zuweisen
Wenn Sie einem Cloud Router mit einer IPv6-Adresse die erste Schnittstelle hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern.
Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW2_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IP_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION \ --ip-version=IPV6
BGP-Peer für
TUNNEL_NAME_GW2_IF0
erstellenMit dem folgenden Beispielbefehl wird ein IPv4-fähiger BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Wenn Sie
ROUTER_NAME_1
für die Verwendung der MD5-Authentifizierung fürPEER_NAME_GW1_IF0
konfiguriert haben, konfigurieren SieROUTER_NAME_2
für die Verwendung der MD5-Authentifizierung so:gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0 \ --interface=ROUTER_2_INTERFACE_NAME_0 \ --peer-ip-address=PEER_IP_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Erstellen Sie auf
ROUTER_NAME_2
eine Schnittstelle und einen BGP-Peer für den TunnelTUNNEL_NAME_GW2_IF1
.Diese Schnittstelle verbindet
TUNNEL_NAME_GW2_IF1
aufinterface 1
vonGW_2
mitinterface 1
vonGW_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_1
: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF1
bezieht, kann hilfreich sein.IP_ADDRESS_4
: Wenn Sie manuell eine BGP-IPv6-Adresse fürPEER_IP_ADDRESS_2
fürTUNNEL_NAME_GW1_IF1
zugewiesen haben, geben Sie diesen Wert fürIP_ADDRESS_4
an. Wenn Google Cloud die Peer-BGP-IPv6-Adresse beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF1
anROUTER_NAME_1
automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse zugewiesen von Google Cloud. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus: Verwenden Sie in der Ausgabe für den BGP-Peer den Wert, der im FeldpeerIpAddress
angezeigt wird. In diesem Beispiel wirdfdff:1::1:2
verwendet.MASK_LENGTH
: Geben Sie eine Maskenlänge von126
an.PEER_NAME_GW2_IF1
: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF1
bezieht, ist hilfreich.PEER_IP_ADDRESS_4
: Wenn Sie manuell eine BGP-IP-Adresse fürIP_ADDRESS_2
fürTUNNEL_NAME_GW1_IF1
zugewiesen haben, geben Sie diesen Wert fürPEER_IP_ADDRESS_4
an. Wenn Google Cloud die BGP-IPv6-Adresse automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Siegcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie den Wert im FeldipAddress
für den BGP-Peer, den Sie erstellt haben. In diesem Beispiel wirdfdff:1::1:1
verwendet.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.Optional: Wenn Sie IPv6-BGP-Sitzungen und MP-BGP erstellen, geben Sie
--enable-ipv4
an, wenn Sie den Befehlgcloud compute routers add-bgp-peer
ausführen, um IPv4-Traffic zu aktivieren. Sie müssen die IPv4-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem IPv4-fähigen BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist.Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:
IPV4_NEXTHOP_ADDRESS_4
: die Adresse des nächsten Hops für IPv4-Routen, die zuvor inPEER_IPV4_NEXTHOP_ADDRESS_3
angegeben wurden. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF0
aufROUTER_NAME_1
automatisch IPv4-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie fürTUNNEL_NAME_GW1_IF0
eingerichtet haben. Verwenden Sie den Wert im FeldpeerIpv4NextHopAddress
. In diesem Beispiel wird169.254.13.1
verwendet.PEER_IPV4_NEXTHOP_ADDRESS_4
: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im Link-Local-IPv4-Adressbereich169.254.0.0/16
liegen. In diesem Beispiel wird169.254.13.2
verwendet.
AUTHENTICATION_KEY_2
: ist der geheime Schlüssel, der für die MD5-Authentifizierung aufPEER_NAME_GW2_IF1
verwendet werden soll.
Cloud Router-Schnittstelle für
TUNNEL_NAME_GW2_IF1
erstellengcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IP_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION \
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
BGP-Peer für
TUNNEL_NAME_GW2_IF1
erstellenMit dem folgenden Beispielbefehl wird ein IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --enable-ipv4 \ --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \ --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
Der folgende Befehl erstellt einen IPv6-BGP-Peer ohne aktivierten IPv4-Routenaustausch:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Wenn Sie
ROUTER_NAME_1
für die Verwendung der MD5-Authentifizierung fürPEER_NAME_GW1_IF1
konfiguriert haben, konfigurieren SieROUTER_NAME_2
für die Verwendung der MD5-Authentifizierung so:gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1 \ --interface=ROUTER_2_INTERFACE_NAME_1 \ --peer-ip-address=PEER_IP_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION \ --md5-authentication-key=AUTHENTICATION_KEY_2
Die Befehlsausgabe sieht dann ungefähr so aus:
Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
Prüfen Sie die Einstellungen für
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertiseMode: DEFAULT asn: 65002 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-b-to-a-if-0 ipAddress: fdff:1::2 ipv4NexthopAddress: 169.254.12.2 name: bgp-peer-tunnel-b-to-a-if-0 peerAsn: 65001 peerIpAddress: fdff:1::1 peerIpv4NexthopAddress: 169.254.12.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' enableIpv4: true interfaceName: if-tunnel-b-to-a-if-1 ipAddress: fdff:1::1 ipv4NexthopAddress: 169.254.13.2 name: bgp-peer-tunnel-b-to-a-if-1 peerAsn: 65001 peerIpAddress: fdff:1::2 peerIpv4NexthopAddress: 169.254.13.2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: fdff:1::2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: fdff:1::1:2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Zum Erstellen einer Cloud Router-Schnittstelle mit einer IPv6-Adresse stellen Sie entweder eine
PATCH
- oderUPDATE
-Anfrage an die Methoderouters.patch
oder dierouters.update
-Methode.PATCH
aktualisiert nur die Parameter, die Sie angeben.UPDATE
aktualisiert alle Parameter für Cloud Router. Erstellen Sie für jeden VPN-Tunnel auf dem HA VPN-Gateway eine Schnittstelle.Im folgenden Beispiel wird eine Schnittstelle mit einer manuell konfigurierten IPv6-BGP-Adresse erstellt.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::1/126" } ] }
Jeder BGP-IPv6-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
Ein weiteres Beispiel: Der folgende Befehl erstellt eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Wiederholen Sie diesen Schritt für jeden VPN-Tunnel auf dem HA VPN-Gateway.
Fügen Sie Cloud Router für jede Schnittstelle einen BGP-Peer hinzu.
Zum Erstellen eines BGP-Peers senden Sie eine
PATCH
- oderUPDATE
-Anfrage mit der Methoderouters.patch
oder der Methoderouters.update
Wiederholen Sie diesen Befehl für die anderen Schnittstellen und ändern Sie die Feldwerte nach Bedarf.PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-b-if-0", "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "peerIpAddress": "fdff:1::1", "peerAsn": 65002, "advertiseMode": "DEFAULT" } ] }
Verwenden Sie den folgenden API-Befehl, um eine IPv6-BGP-Sitzung mit konfigurierten MP-BGP- und IPv4-Adressen für den nächsten Hop zu erstellen:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "name": "bgp-peer-tunnel-a-to-b-if-0", "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "peerIpAddress": "fdff:1::1", "peerAsn": 65002, "advertiseMode": "DEFAULT", "enableIpv4": true, "ipv4NexthopAddress: "169.254.12.2", "peerIpv4NexthopAddress: "169.254.12.1" } ] }
Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "md5AuthenticationKeys": [ { "name": "bgppeer-1-key", "key": "secret_key_value" } ], } { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-b-if-0", "ipAddress": "fdff:1::2", "name": "bgp-peer-tunnel-a-to-b-if-0", "peerAsn": 65002, "peerIpAddress": "fdff:1::1", "advertiseMode": "DEFAULT", "md5AuthenticationKeyName": "bgppeer-1-key" } ], }
IPv4- und IPv6-BGP-Sitzungen
Console
So erstellen Sie sowohl IPv4- als auch IPv6-BGP-Sitzungen:
- Klicken Sie auf BGP-Sitzung konfigurieren.
Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
- Wählen Sie für BGP-Sitzungstyp die Option Beide aus.
IPv4-BGP-Sitzung
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse des Cloud Routers ein.
- Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein.
Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:
* Jede IPv4-Adresse muss zum selben
/30
-Subnetz gehören, das in den Adressbereich169.254.0.0/16
passt. * Jede IPv4-Adresse ist der erste oder zweite Host des Subnetzes/30
. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Sendeadressen reserviert. * Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
Wenn Sie Automatisch auswählen, wählt Google Cloud automatisch die IPv4-Adressen für Ihre BGP-Sitzung aus.
Wenn Sie das automatische IPv6-Adresskontingent auswählen, wählt Google Cloud automatisch die IPv6-Adressen für Ihre BGP-Sitzung aus. 1. Optional: Maximieren Sie den Abschnitt Erweiterte Optionen. 1. Wählen Sie Aktiviert aus, um BGP-Peer zu aktivieren. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen. 1. Wählen Sie Aktiviert aus, um die MD5-Authentifizierung hinzuzufügen. Bei Aktivierung können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren. 1. Geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine benutzerdefinierte Priorität für erkannte Routen ein, um der BGP-Sitzung ausgehende Routen hinzuzufügen. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen. 1. Klicken Sie auf Speichern und fortfahren.
IPv6-BGP-Sitzung
- Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
- Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
- Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
- Wählen Sie unter BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
- Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse des Cloud Routers ein.
- Geben Sie unter BGP-Peer-IPv6-Adresse die IPv6-Adresse des BGP-Peers ein.
Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:
* Jede Adresse muss eindeutige lokale Adressen (ULA) aus dem Adressbereich
fdff:1::/64
mit einer Maskenlänge von/64
sein. Beispiel:fdff:1::1
. * Jede Adresse muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.
Wenn Sie Automatisch auswählen, wählt Google Cloud automatisch die IPv6-Adressen für Ihre BGP-Sitzung aus.
- Optional: Maximieren Sie den Abschnitt Erweiterte Optionen.
- Wählen Sie Aktiviert aus, um BGP-Peer zu aktivieren. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
- Wählen Sie Aktiviert aus, um die MD5-Authentifizierung zu aktivieren. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
- Geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine benutzerdefinierte Priorität für erkannte Routen ein, um der BGP-Sitzung ausgehende Routen hinzuzufügen. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen. 1. Klicken Sie auf Speichern und fortfahren.
Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.
Klicken Sie auf BGP-Konfiguration speichern.
gcloud
In diesem Abschnitt konfigurieren Sie zwei Schnittstellen und BGP-Peers für jeden HA VPN-Tunnel. In der folgenden Tabelle erhalten Sie einen Überblick über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen den IP-Adressbereichen und den Peer-IP-Adressen, die Sie für jede Schnittstelle angeben.
Der ersten Schnittstelle von router-1
wird beispielsweise die IPv4-Adresse 169.254.0.1
zugewiesen. Der zweiten Schnittstelle von router-1
wird die IPv6-Adresse fdff:1::1
zugewiesen.
Der andere Cloud Router, router-2
, ist der BGP-Peer von router-1
. Der ersten Schnittstelle von router-2
wird 169.254.0.2
zugewiesen, der zweite Host im IPv4-Subnetz 169.254.0.0/30
.
Der zweiten Schnittstelle von router-2
wird fdff:1::2
zugewiesen, der zweite Host im IPv6-Subnetz fdff:1::/126
.
Daher ist die Peer-IP-Adresse von router-1
169.254.0.2
und die zugehörige BGP-Peer-IPv6-Adresse fdff:1::2
.
Die Peer-IPv4-BGP-Adresse von router-2
ist 169.254.0.1
und die IPv6-Adresse des Peer-BGP-Peers ist fdff:1::1
.
Router | Schnittstellenname | BGP-IP-Adresse | Peer-IP-Adresse | Peer-ASN |
---|---|---|---|---|
router-1 | if-tunnel-a-to-b-if-0_ipv4 | 169.254.0.1/30 | 169.254.0.2 | 65002 |
router-1 | if-tunnel-a-to-b-if-0_ipv6 | fdff:1::1/126 | fdff:1::2 | 65002 |
router-1 | if-tunnel-a-to-b-if-1_ipv4 | 169.254.1.1/30 | 169.254.1.2 | 65002 |
router-1 | if-tunnel-a-to-b-if-1_ipv6 | fdff:1::1:1/126 | fdff:1::1:2 | 65002 |
router-2 | if-tunnel-b-to-a-if-0_ipv4 | 169.254.0.2/30 | 169.254.0.1 | 65001 |
router-2 | if-tunnel-b-to-a-if-0_ipv6 | fdff:1::2/126 | fdff:1::1 | 65001 |
router-2 | if-tunnel-b-to-a-if-1_ipv4 | 169.254.1.2/30 | 169.254.1.1 | 65001 |
router-2 | if-tunnel-b-to-a-if-1_ipv6 | fdff:1::1:2/126 | fdff:1::1:1 | 65001 |
Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.
Erstellen Sie sowohl Schnittstellen als auch BGP-Peers auf
ROUTER_NAME_1
für den TunnelTUNNEL_NAME_GW1_IF0
.Die beiden Schnittstellen verbinden
TUNNEL_NAME_GW1_IF0
aufinterface 0
vonGW_1
nachinterface 0
vonGW_2
.Ersetzen Sie in den Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_0_ipv4
undROUTER_1_INTERFACE_NAME_0_ipv6
sind die Namen der Cloud Router-Schnittstellen. Die Verwendung von Namen im Zusammenhang mitTUNNEL_NAME_GW1_IF0
ist hilfreich.IP_VERSION
: IPv6-Version der Schnittstelle, entwederIPV6
oderIPV4
. Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse automatisch für eine Schnittstelle zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.IPV4_ADDRESS_1
undIPV6_ADDRESS_1
: eine BGP-IP-Adresse aus dem Adressbereich169.254.0.0/16
oderfdff:1::/64
, die nicht bereits verwendet wird; In diesem Beispiel werden169.254.0.1
undfdff:1::1
verwendet. Wenn Sie dieses Flag weglassen und die BGP-IP-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Wenn Sie eine BGP-IPv6-Adresse für eine Schnittstelle angeben, geben Sie30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-Bereich verwenden muss. Wenn Sie eine IPv6-Adresse für eine Schnittstelle angeben, geben Sie die Maskenlänge von126
an.PEER_NAME_GW1_IF0_ipv4
undPEER_NAME_GW1_IF0_ipv6
: Namen, die die IPv4- und IPv6-BGP-Peers beschreiben. Die Verwendung von Namen, die sich aufTUNNEL_NAME_GW1_IF0
beziehen, ist hilfreich.PEER_IPV4_ADDRESS_1
undPEER_IPV6_ADDRESS_1
: eine BGP-Adresse aus dem IPv6-Adressbereich169.254.0.0/16
oderfdff:1::/64
, die nicht bereits verwendet wird In diesem Beispiel werden169.254.0.2
undfdff:1::2
verwendet. Wenn Sie zuvor keine spezifischen BGP-Adressen fürIPV4_ADDRESS_1
undIPV6_ADDRESS_1
zugewiesen haben, lassen Sie diese Optionen weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IP-Adressen für Sie zu. Wenn SieIPV4_ADDRESS_1
undIPV6_ADDRESS_1
manuell angegeben haben, müssen Sie diese Optionen auch manuell konfigurieren.PEER_ASN_2
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_2
verwendet wird. In diesem Beispiel wird die ASN-Nummer65002
verwendet.
Optional: BGP-Kennungsbereich zuweisen
Wenn Sie einem Cloud Router die erste Schnittstelle mit einer IPv6-Adresse hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern.
Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.
Automatisch
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten BGP-IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV4
Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten BGP-IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \ --ip-version=IPV6
BGP-Peers für
TUNNEL_NAME_GW1_IF0
erstellenMit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --peer-asn=PEER_ASN_2 \ --region=REGION \
Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.
Sie können MP-BGP in dieser Konfiguration nicht verwenden.
Manuell
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW1_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten BGP-IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --ip-address=IPV4_ADDRESS_1 \ --mask-length=30 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION
Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten BGP-IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --ip-address=IPV6_ADDRESS_1 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \ --region=REGION \
BGP-Peers für
TUNNEL_NAME_GW1_IF0
erstellenMit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION \
Der folgende Befehl erstellt den IPv6-BGP-Peer:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF0_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_1 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.
Sie können MP-BGP in dieser Konfiguration nicht verwenden.
Erstellen Sie sowohl Schnittstellen als auch BGP-Peers auf
ROUTER_NAME_1
für den TunnelTUNNEL_NAME_GW1_IF1
.Die beiden Schnittstellen verbinden
TUNNEL_NAME_GW1_IF1
aufinterface 1
vonGW_1
nachinterface 1
vonGW_2
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_1_INTERFACE_NAME_1_ipv4
undROUTER_1_INTERFACE_NAME_1_ipv6
sind die Namen der Cloud Router-Schnittstellen. Die Verwendung von Namen im Zusammenhang mitTUNNEL_NAME_GW1_IF1
ist hilfreich.IP_VERSION
: die Version der Schnittstelle, entwederIPV6
oderIPV4
. Wenn nicht angegeben, ist der StandardwertIPV4
. Dieser Parameter ist nur erforderlich, wenn Google Cloud einer Schnittstelle automatisch eine IPv6-Adresse zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv4- oder IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.IPV4_ADDRESS_2
oderIPV6_ADDRESS_2
: eine BGP-IPv4- oder IPv6-Adresse aus dem IPv6-Adressbereich169.254.0.0/16
oderfdff:1::/64
, der nicht bereits verwendet wird. In diesem Beispiel wird169.254.1.1
und oderfdff:1::1:1
. Wenn Sie dieses Flag weglassen und eine BGP-IPv4- oder IPv6-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.MASK_LENGTH
: Wenn Sie eine IPv4-Adresse für eine Schnittstelle angeben, geben Sie30
an, da der Cloud Router eine eindeutige/30
-CIDR desselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss. Wenn Sie eine IPv6-Adresse für eine Schnittstelle angeben, geben Sie die Maskenlänge von64
an.PEER_NAME_GW1_IF1_ipv4
undPEER_NAME_GW1_IF0_ipv6
: Namen, die die IPv4- und IPv6-BGP-Peers beschreiben. Die Verwendung von Namen, die sich aufTUNNEL_NAME_GW1_IF1
beziehen, ist hilfreich.PEER_IPV4_ADDRESS_2
oderPEER_IPV6_ADDRESS_2
: eine BGP-IPv4- oder IPv6-Adresse aus dem IPv6-Adressbereich169.254.0.0/16
oderfdff:1::/64
, der nicht bereits verwendet wird. In diesem Beispiel wird169.254.1.2
undfdff:1::1:2
. Wenn Sie keine IPv4- oder IPv6-Adresse (IPV4_ADDRESS_2
oderIPV6_ADDRESS_2
) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv4- oder IPv6-Adresse für Sie zu. Wenn SieIPV4_ADDRESS_2
oderIPV6_ADDRESS_2
manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.PEER_ASN_2
: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud RouterROUTER_NAME_2
verwendet wird; In diesem Beispiel wird die ASN-Nummer65002
verwendet.AUTHENTICATION_KEY_2
: der geheime Schlüssel, um die MD5-Authentifizierung aufPEER_NAME_GW1_IF1
zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.
Automatisch
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV4
Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION \ --ip-version=IPV6
BGP-Peers für
TUNNEL_NAME_GW1_IF1
erstellenMit dem folgenden Beispielbefehl wird ein IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.
Sie können MP-BGP in dieser Konfiguration nicht verwenden.
Manuell
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW1_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten IPv4-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --ip-address=IPV4_ADDRESS_2 \ --mask-length=30 \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten IPv6-Adresse zu erstellen:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --ip-address=IPV6_ADDRESS_2 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \ --region=REGION
BGP-Peers für
TUNNEL_NAME_GW1_IF1
erstellenMit dem folgenden Beispielbefehl wird ein IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv4 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_1 \ --peer-name=PEER_NAME_GW1_IF1_ipv6 \ --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_2 \ --peer-asn=PEER_ASN_2 \ --region=REGION
Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.
Sie können MP-BGP in dieser Konfiguration nicht verwenden.
Prüfen Sie die Einstellungen für
ROUTER_NAME_1
:gcloud compute routers describe ROUTER_NAME_1 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertisemode: DEFAULT asn: 65001 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-0_ipv4 ipAddress: 169.254.0.1 name: bgp-peer-tunnel-a-to-b-if-0_ipv4 peerAsn: 65002 peerIpAddress: 169.254.0.2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-1_ipv4 ipAddress: 169.254.1.1 name: bgp-peer-tunnel-a-to-b-if-1_ipv4 peerAsn: 65002 peerIpAddress: 169.254.1.2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-0_ipv6 ipAddress: fdff:1::1 name: bgp-peer-tunnel-a-to-b-if-0_ipv6 peerAsn: 65002 peerIpAddress: fdff:1::2 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-a-to-b-if-1_ipv6 ipAddress: fdff:1::1 name: bgp-peer-tunnel-a-to-b-if-1_ipv6 peerAsn: 65002 peerIpAddress: fdff:1::2 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: 169.254.1.1/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0 name: if-tunnel-a-to-b-if-0 — ipRange: fdff:1::1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 — ipRange: fdff:1::1:1/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1 name: if-tunnel-a-to-b-if-1 kind: compute#router name: router-a network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
Erstellen Sie sowohl Schnittstellen als auch BGP-Peers in
ROUTER_NAME_2
für den TunnelTUNNEL_NAME_GW2_IF0
.Die beiden Schnittstellen verbinden
TUNNEL_NAME_GW2_IF0
aufinterface 0
vonGW_2
nachinterface 0
vonGW_1
.Sie müssen die Schnittstellen- und BGP-Peering-Adressen manuell auf diesem Cloud Router konfigurieren,da die entsprechenden Adressen bereits auf dem anderen Cloud Router
ROUTER_NAME_1
konfiguriert wurden.Ersetzen Sie in den Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_0_ipv4
undROUTER_2_INTERFACE_NAME_0<_ipv6>
: Namen der Cloud Router-Schnittstellen Die Verwendung von Namen im Zusammenhang mitTUNNEL_NAME_GW2_IF0
ist hilfreich.IPV4_ADDRESS_3
undIPV6_ADDRESS_3
: die zuvor für dieses Gateway und diese Schnittstelle verwendeten BGP-IPv4- und IPv6-Adressen. Wenn Sie die Peer-IPv4- und -IPv6-Adressen beim Erstellen der Schnittstellen und BGP-Peers fürTUNNEL_NAME_GW1_IF0
anROUTER_NAME_1
automatisch zugewiesen haben, müssen Sie die zugewiesenen Adressen alsIPV4_ADDRESS_3
undIPV6_ADDRESS_3
angeben. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus, um herauszufinden, welche Adressen von Google Cloud zugewiesen wurden. Verwenden Sie in der Ausgabe für die BGP-Peers die Werte, die im FeldpeerIpAddress
angezeigt werden. In diesem Beispiel werden169.254.0.2
undfdff:1::2
verwendet.MASK_LENGTH
: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse die Maskenlänge von64
an.PEER_NAME_GW2_IF0_ipv4
: Ein Name, der den BGP-PeerPEER_NAME_GW2_IF0_ipv6
beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF0
bezieht, ist hilfreich.PEER_IPV4_ADDRESS_3
undPEER_IPV6_ADDRESS_3
: die BGP-IPv4- oder -IPv6-Adressen, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurden. Führen Siegcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie die Werte, die im FeldipAddress
für die BGP-Peers angezeigt werden, die Sie fürTUNNEL_NAME_GW1_IF0
erstellt haben. In diesem Beispiel werden169.254.0.1
undfdff:1::1
verwendet.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW2_IF0
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und die IPv4-Adresse manuell zu konfigurieren:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IPV4_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION
Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und die IPv6-Adresse manuell zu konfigurieren:
gcloud compute routers add-interface ROUTER_NAME_1 \ --interface-name=ROUTER_2_INTERFACE_NAME_0 \ --ip-address=IPV6_ADDRESS_3 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \ --region=REGION \
BGP-Peers für
TUNNEL_NAME_GW2_IF0
erstellenMit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0_ipv4 \ --interface=ROUTER_2_INTERFACE_NAME_0_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF0_ipv6 \ --interface=ROUTER_2_INTERFACE_NAME_0_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_3 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.
Sie können MP-BGP in dieser Konfiguration nicht verwenden.
Erstellen Sie sowohl Schnittstellen als auch BGP-Peers in
ROUTER_NAME_2
für den TunnelTUNNEL_NAME_GW2_IF1
.Die beiden Schnittstellen verbinden
TUNNEL_NAME_GW2_IF0
aufinterface 0
vonGW_2
nachinterface 0
vonGW_1
.Sie müssen die Schnittstellen- und BGP-Peering-Adressen manuell auf diesem Cloud Router konfigurieren,da die entsprechenden Adressen bereits auf dem anderen Cloud Router
ROUTER_NAME_1
konfiguriert wurden.Die beiden Schnittstellen verbinden
TUNNEL_NAME_GW2_IF1
aufinterface 1
vonGW_2
nachinterface 1
vonGW_1
.Ersetzen Sie in den aufgeführten Befehlen Folgendes:
ROUTER_2_INTERFACE_NAME_1_ipv4
undROUTER_2_INTERFACE_NAME_1_ipv6
sind die Namen der Cloud Router-Schnittstellen. Die Verwendung von Namen im Zusammenhang mitTUNNEL_NAME_GW2_IF1
ist hilfreich.IPV4_ADDRESS_4
undIPV6_ADDRESS_4
: die BGP-IPv4- und IPv6-Adressen, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurden. Wenn Sie die Peer-BGP-IP-Adresse beim Erstellen der Schnittstelle und des BGP-Peers fürTUNNEL_NAME_GW1_IF1
aufROUTER_NAME_1
automatisch zugewiesen haben, müssen Sie diese zugewiesenen Adressen manuell alsIPV4_ADDRESS_4
undIPV6_ADDRESS_4
angben. Führen Sie den Befehlgcloud compute routers describe ROUTER_NAME_1
aus, um herauszufinden, welche Adressen von Google Cloud zugewiesen wurden. Verwenden Sie in der Ausgabe für den BGP-Peer die Werte, die im FeldpeerIpAddress
angezeigt werden. In diesem Beispiel werden169.254.1.2
undfdff:1::1:2
verwendet.MASK_LENGTH
: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse30
an, da der Cloud Router eine eindeutige/30
-CIDR aus demselben169.254.0.0/16
-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse die Maskenlänge von64
an.PEER_NAME_GW2_IF1_ipv4
: Ein Name, der den BGP-PeerPEER_NAME_GW2_IF1_ipv6
beschreibt. Die Verwendung eines Namens, der sich aufTUNNEL_NAME_GW2_IF1
bezieht, ist hilfreich.PEER_IPV4_ADDRESS_4
undPEER_IPV6_ADDRESS_4
: sind die IP-Adresse, die Sie alsIPV4_ADDRESS_2
undIPV6_ADDRESS_2
angegeben haben, und das, wenn Sie das erste Gateway und die erste Schnittstelle konfiguriert haben. Führen Siegcloud compute routers describe ROUTER_NAME_1
aus und verwenden Sie die Werte, die im FeldipAddress
für den BGP-Peer angezeigt werden, den Sie fürTUNNEL_NAME_GW2_IF1
erstellt haben. In diesem Beispiel werden169.254.1.1
undfdff:1::1:1
verwendet.PEER_ASN_1
: Die ASN-Nummer, die für alle Schnittstellen inROUTER_NAME_1
verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer65001
verwendet.
Cloud Router-Schnittstellen für
TUNNEL_NAME_GW2_IF1
erstellenFühren Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und die IPv4-Adresse manuell zu konfigurieren:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IPV4_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und die IPv6-Adresse manuell zu konfigurieren:
gcloud compute routers add-interface ROUTER_NAME_2 \ --interface-name=ROUTER_2_INTERFACE_NAME_1 \ --ip-address=IPV6_ADDRESS_4 \ --mask-length=MASK_LENGTH \ --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \ --region=REGION
BGP-Peers für
TUNNEL_NAME_GW2_IF1
erstellenMit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1_ipv4 \ --interface=ROUTER_2_INTERFACE_NAME_1_ipv4 \ --peer-ip-address=PEER_IPV4_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:
gcloud compute routers add-bgp-peer ROUTER_NAME_2 \ --peer-name=PEER_NAME_GW2_IF1_ipv6 \ --interface=ROUTER_2_INTERFACE_NAME_1_ipv6 \ --peer-ip-address=PEER_IPV6_ADDRESS_4 \ --peer-asn=PEER_ASN_1 \ --region=REGION
Prüfen Sie die Einstellungen für
ROUTER_NAME_2
:gcloud compute routers describe ROUTER_NAME_2 \ --region=REGION
Die Befehlsausgabe sieht dann ungefähr so aus:
bgp: advertisemode: DEFAULT asn: 65002 keepaliveInterval: 20 bgpPeers: — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-0_ipv4 ipAddress: 169.254.0.2 name: bgp-peer-tunnel-b-to-a-if-0_ipv4 peerAsn: 65002 peerIpAddress: 169.254.0.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-1_ipv4 ipAddress: 169.254.1.2 name: bgp-peer-tunnel-b-to-a-if-1_ipv4 peerAsn: 65001 peerIpAddress: 169.254.1.1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-0_ipv6 ipAddress: fdff:1::2 name: bgp-peer-tunnel-b-to-a-if-0_ipv6 peerAsn: 65001 peerIpAddress: fdff:1::1 — bfd: minReceiveInterval: 1000 minTransmitInterval: 1000 mode: DISABLED multiplier: 5 sessionInitializationMode: DISABLED enable: 'TRUE' interfaceName: if-tunnel-b-to-a-if-1_ipv6 ipAddress: fdff:1::2 name: bgp-peer-tunnel-b-to-a-if-1_ipv6 peerAsn: 65001 peerIpAddress: fdff:1::1 creationTimestamp: '2021-10-19T14:31:52.639-07:00' id: '4047683710114914215' interfaces: — ipRange: 169.254.0.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: 169.254.1.2/30 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0 name: if-tunnel-b-to-a-if-0 — ipRange: fdff:1::2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 — ipRange: fdff:1::1:2/126 linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1 name: if-tunnel-b-to-a-if-1 kind: compute#router name: router-b network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1 selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
API
Wenn Sie mehrere Cloud Router-Schnittstellen erstellen möchten, stellen Sie entweder eine
PATCH
- oder eineUPDATE
-Anfrage mit der Methoderouters.patch
oderrouters.update
-Methode.PATCH
aktualisiert nur die Parameter, die Sie angeben.UPDATE
aktualisiert alle Parameter für Cloud Router.Der von Ihnen angegebene BGP-Adressbereich muss für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.
Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel, der auf jedem HA VPN-Gateway definiert ist. Für ein HA VPN-Gateway zur HA VPN-Bereitstellung bedeutet dies vier HA VPN-Tunnelkonfigurationen.
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "169.254.0.1/30" }, { "name": "if-tunnel-a-to-b-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipRange": "fdff:1::1/126" } ] }
Im folgenden Beispiel wird eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse demselben
linkedVpnTunnel
hinzugefügt. Der Befehl weist den Schnittstellen IPv4- und IPv6-Adressen automatisch zu:PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "interfaces": [ { "name": "if-tunnel-a-to-b-if-0_ipv4", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV4" }, { "name": "if-tunnel-a-to-b-if-0_ipv6", "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0", "ipVersion": "IPV6" } ] }
Wenn Sie dem Cloud Router für jeden VPN-Tunnel BGP-Peers hinzufügen möchten, senden Sie entweder eine
PATCH
- oder eineUPDATE
-Anfrage mit der Methoderouters.patch
. oder der Methoderouters.update
. Wiederholen Sie diesen Befehl für jeden VPN-Tunnel und ändern Sie alle Optionen nach Bedarf.Beispiel:
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME { "bgpPeers": [ { "interfaceName": "if-tunnel-a-to-b-if-0_ipv4", "ipAddress": "169.254.0.1", "name": "bgp-peer-tunnel-a-to-b-if-0_ipv4", "peerAsn": 65002, "peerIpAddress": "169.254.0.2", "advertiseMode": "DEFAULT" }, { "interfaceName": "if-tunnel-a-to-b-if-0_ipv6", "ipAddress": fdff:1::1", "name": "bgp-peer-tunnel-a-to-b-if-0_ipv6", "peerAsn": 65002, "peerIpAddress": "fdff:1::2", "advertiseMode": "DEFAULT" } ] }
Konfiguration prüfen
Console
Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:
- Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
- Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen. Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.
gcloud
Informationen zum Prüfen der Cloud Router-Konfigurationen finden Sie in den Bestätigungsschritten auf dem gcloud
-Tab in BGP-Sitzungen erstellen.
API
Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET
mit der Methode routers.getRouterStatus
und verwenden Sie einen leeren Anfragetext:
GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen
Console
Wenn Sie ein SLA mit 99,99 % Verfügbarkeit erhalten möchten, konfigurieren Sie auf jeder Seite einer HA VPN-zu-HA VPN-Gateway-Konfiguration einen Tunnel auf jeder HA VPN-Schnittstelle.
Wenn Sie einen Tunnel auf einem HA VPN-Gateway zu einem anderen HA VPN-Gateway konfiguriert haben, aber ein SLA mit einer Verfügbarkeit von 99,99 % erhalten möchten, müssen Sie einen zweiten Tunnel konfigurieren.
Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem anderen HA VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.
Priorität der beworbenen Route festlegen (optional)
Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.
Verwenden Sie die Konfiguration dokumentiert unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind für Aktiv/Aktiv-Routingkonfigurationen, bei denen die Routenprioritäten für das Advertising von den beiden Tunneln auf beiden Seiten übereinstimmen. Wenn Sie die Priorität der beworbenen Route (--advertised-route-priority
) weglassen, führt dies zu denselben Routenprioritäten für das Advertising für beide BGP-Peers.
Für Aktiv/Passiv-Routingkonfigurationen können Sie auch die beworbene Routenpriorität der to Google Cloud
-Routen steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt, indem Sie die beworbene Routenpriorität (--advertised-route-priority
) festlegen, wenn Sie einen BGP-Peer hinzufügen oder aktualisieren. Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung und den entsprechenden VPN-Tunnel als für die andere BGP-Sitzung und den VPN-Tunnel fest.
Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.
Sie können die beworbenen Routen auch mit benutzerdefiniertem Advertising optimieren:
- Fügen Sie das
--advertisement-mode=CUSTOM
- (gcloud
) oder dasadvertiseMode: custom
(API)-Flag hinzu. - Geben Sie IP-Adressbereiche mit dem
--set-advertisement-ranges
(gcloud
)- oder demadvertisedIpRanges
(API)- Flag an.
Konfiguration abschließen
Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:
- Konfigurieren Sie Firewallregeln in Google Cloud für Ihre VPC-Netzwerke.
- Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.
Nächste Schritte
- Informationen zum Steuern der zulässigen IP-Adressen für Peer-VPN-Gateways finden Sie unter IP-Adressen für Peer-VPN-Gateways einschränken.
- Unter Erweiterte Konfigurationen finden Sie Szenarien mit Hochverfügbarkeit und hohem Durchsatz bzw. Szenarien mit mehreren Subnetzen.
- Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.