Crea un gateway VPN ad alta disponibilità connesso a un gateway VPN peer

Questa pagina descrive come creare un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer.

I gateway VPN ad alta disponibilità utilizzano l'API VPN ad alta disponibilità e forniscono uno SLA del 99,99%. Questa configurazione utilizza una coppia di tunnel, con un tunnel su ogni interfaccia gateway VPN ad alta disponibilità. Per ricevere uno SLA del 99,99%, devi configurare i tunnel VPN su entrambe le interfacce del gateway VPN ad alta disponibilità.

Devi configurare due componenti gateway per la VPN ad alta disponibilità:

Un gateway VPN ad alta disponibilità in Google Cloud.
Gateway o gateway VPN peer: uno o più gateway VPN fisici o applicazioni software nella rete peer a cui si connette il gateway VPN ad alta disponibilità. Il gateway peer può essere un gateway VPN on-premise o ospitato da un altro cloud provider.

Crea una risorsa gateway VPN esterno in Google Cloud per ogni dispositivo o servizio gateway peer. Tutti gli scenari di gateway peer sono rappresentati in Google Cloud da un'unica risorsa VPN peer esterna.

Per maggiori informazioni su Cloud VPN, consulta le seguenti risorse:

Per i diagrammi di questa topologia, consulta Gateway VPN peer ad alta disponibilità.
Per le best practice da prendere in considerazione prima di configurare Cloud VPN, consulta le best practice.
Per ulteriori informazioni su Cloud VPN, consulta la panoramica su Cloud VPN.
Per le definizioni dei termini utilizzati in questa pagina, consulta la sezione Termini chiave.

Se vuoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect.

Requisiti

Tipi di ridondanza

L'API VPN ad alta disponibilità contiene un'opzione per REDUNDANCY_TYPE, che rappresenta il numero di interfacce configurate per la risorsa gateway VPN esterno.

Quando configuri una risorsa gateway VPN esterno, i comandi gcloud deduceno automaticamente i seguenti valori di REDUNDANCY_TYPE dal numero di interfacce fornite nell'ID interfaccia:

Un'interfaccia VPN esterna è SINGLE_IP_INTERNALLY_REDUNDANT.
Due interfacce VPN esterne sono TWO_IPS_REDUNDANCY.
FOUR_IPS_REDUNDANCY interfacce VPN esterne.

Quando configuri gateway VPN esterni, utilizza i seguenti numeri di identificazione dell'interfaccia per il numero indicato di interfacce VPN esterne:

Per un'interfaccia VPN esterna, utilizza il valore 0.
Per due interfacce VPN esterne, utilizza i valori 0 e 1.
Per quattro interfacce VPN esterne, utilizza i valori 0,1,2 e 3.

Creazione di router Cloud

Quando configuri un nuovo gateway VPN ad alta disponibilità, puoi creare un nuovo router Cloud oppure puoi utilizzare un router Cloud esistente con tunnel Cloud VPN o collegamenti VLAN esistenti. Tuttavia, il router Cloud che utilizzi non deve gestire già una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect a causa dei requisiti ASN specifici del collegamento.

Prima di iniziare

Esamina le informazioni sul funzionamento del routing dinamico in Google Cloud.

Assicurati che il tuo gateway VPN peer supporti il protocollo BGP (Border Gateway Protocol).

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Nella pagina del selettore di progetti della console Google Cloud, seleziona o crea un progetto Google Cloud.

Vai al selettore progetti

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Installa Google Cloud CLI.

Per initialize gcloud CLI, esegui questo comando:

gcloud init

Se utilizzi Google Cloud CLI, imposta l'ID progetto con il comando seguente. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di inviare comandi.
```
    gcloud config set project PROJECT_ID
    
```

Puoi anche visualizzare un ID progetto che è già stato impostato eseguendo questo comando:
```
    gcloud config list --format='text(core.project)'
    
```

Crea una rete VPC e una subnet personalizzate

Prima di creare un gateway VPN ad alta disponibilità e una coppia di tunnel, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella regione in cui si trova il gateway VPN ad alta disponibilità:

Per creare una rete VPC in modalità personalizzata (consigliato), consulta Creazione di una rete VPC in modalità personalizzata.
Per creare le subnet, vedi Utilizzo delle subnet.

Per abilitare IPv6 per i gateway VPN ad alta disponibilità, devi abilitare l'allocazione degli indirizzi interni IPv6 quando crei il VPC. Inoltre, devi configurare le subnet in modo che utilizzino gli indirizzi interni IPv6.

Devi anche configurare IPv6 sulle VM nella subnet.

Per creare una rete VPC in modalità personalizzata con indirizzi IPv6 interni, consulta Creare una rete VPC in modalità personalizzata con almeno una subnet a doppio stack.
Per creare una subnet con IPv6 abilitato, consulta Aggiungere una subnet a doppio stack.
Per abilitare IPv6 in una subnet esistente, consulta l'articolo Convertire una subnet IPv4 in una subnet a doppio stack.
Per creare VM con IPv6 abilitato, consulta Configurazione di IPv6 per istanze e modelli di istanza.

La subnet VPC deve essere configurata in modo da utilizzare indirizzi IPv6 interni. Quando utilizzi gcloud CLI, configuri la subnet con il flag --ipv6-access-type=INTERNAL. Il router Cloud non annuncia dinamicamente route per subnet configurate per l'utilizzo di indirizzi IPv6 esterni (--ipv6-access-type=EXTERNAL).

Per informazioni sull'utilizzo degli intervalli IPv6 interni nella rete VPC e nelle subnet, consulta le specifiche IPv6 interne.

Gli esempi in questo documento utilizzano anche la modalità di routing dinamico globale VPC, che si comporta nel seguente modo:

Tutte le istanze del router Cloud applicano le route to on-premises che apprendono a tutte le subnet della rete VPC.
Le route a tutte le subnet nella rete VPC sono condivise con i router on-premise.

Crea una coppia di gateway VPN ad alta disponibilità e tunnel a una VPN peer

Segui le istruzioni in questa sezione per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, una coppia di tunnel e sessioni BGP.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

compute.vpnGateways.get
compute.vpnGateways.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.vpnGateways.create
compute.vpnGateways.delete
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnGateways.setLabels
compute.externalVpnGateways.create
compute.externalVpnGateways.delete
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.externalVpnGateways.setLabels

Ruoli

roles/compute.networkAdmin

Crea un gateway VPN ad alta disponibilità

Console

La configurazione guidata della VPN include tutti i passaggi di configurazione necessari per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, tunnel e sessioni BGP.

Per creare un gateway VPN ad alta disponibilità:

Nella console Google Cloud, vai alla pagina VPN.

Vai alla VPN
Se è la prima volta che crei un gateway, fai clic su Crea connessione VPN.
Seleziona la configurazione guidata della VPN.
Se disponi già di un gateway VPN ad alta disponibilità, seleziona il pulsante di opzione per quel gateway.
Fai clic su Continua.
Specifica un nome gateway VPN.
In Rete VPC, seleziona una rete esistente o la rete predefinita.
Seleziona una Regione.
Seleziona un tipo di stack per il gateway VPN: IPv4 (stack singolo) o IPv4 e IPv6 (stack doppio).
Fai clic su Crea e continua.
La pagina della console si aggiorna e mostra le informazioni del gateway. A ciascuna interfaccia del gateway vengono automaticamente assegnati due indirizzi IP esterni. Per i passaggi di configurazione futuri, prendi nota dei dettagli della configurazione del gateway.

gcloud

Per creare un gateway VPN ad alta disponibilità, esegui i comandi riportati di seguito. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IP esterni, uno per ogni interfaccia del gateway.

Per supportare solo i carichi di lavoro IPv4, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV4_ONLY.
Per supportare i carichi di lavoro IPv4 e IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6.
Per supportare solo i carichi di lavoro IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV6_ONLY, disponibile per l'anteprima solo utilizzando l'API o l'interfaccia a riga di comando Google Cloud.

Per creare un gateway VPN ad alta disponibilità con interfacce IPv4, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv4 esterni, uno per ogni interfaccia del gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --stack-type=IP_STACK

Puoi anche specificare --gateway-ip-version=IPV4. Tuttavia, questo flag non è obbligatorio. Se non specifichi questo flag, per impostazione predefinita il gateway VPN ad alta disponibilità utilizza indirizzi IPv4 esterni.

Per creare un gateway VPN ad alta disponibilità con interfacce IPv6, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv6 esterni, uno per ogni interfaccia del gateway.

gcloud beta compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

Sostituisci quanto segue:

GW_NAME: il nome del gateway
NETWORK: il nome della tua rete Google Cloud
REGION: la regione Google Cloud in cui crei il gateway e il tunnel
IP_STACK: facoltativo: lo stack IP da utilizzare. Specifica IPV4_ONLY, IPV4_IPV6 o IPV6_ONLY(anteprima). Se non specifichi questo flag, il tipo di stack predefinito è IPV4_ONLY per i gateway VPN ad alta disponibilità con interfacce IPv4 e IPV4_IPV6 per i gateway con interfacce IPv6.

Il gateway che crei è simile all'output dell'esempio seguente. Se specifichi "--gateway-ip-version=IPV6", vengono assegnate le interfacce IPv6. Altrimenti, a ciascuna interfaccia gateway viene assegnato automaticamente un indirizzo IPv4 esterno:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1

API

Per creare la configurazione completa per un gateway VPN ad alta disponibilità, utilizza i comandi API riportati nelle sezioni seguenti. Tutti i valori dei campi utilizzati in queste sezioni sono valori di esempio.

Per creare un gateway VPN ad alta disponibilità, effettua una richiesta POST utilizzando il metodo vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }

   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }

Quando crei un gateway VPN ad alta disponibilità con interfacce IPv4, i campi gatewayIpVersion e stackType sono facoltativi.
- Se non specifichi gatewayIpVersion, il valore predefinito è IPV4.
- Gli unici valori stackType validi per un gateway con gatewayIpVersion di IPV4 sono IPV4_IPV6 o IPV4_ONLY.
Se non specifichi stackType, il valore predefinito è IPV4_ONLY.
Quando assegni indirizzi IPv6 esterni al gateway VPN ad alta disponibilità, devi specificare IPV6 come valore gatewayIpVersion. Il campo stackType è facoltativo.
- Se non specifichi stackType, il valore predefinito è IPV4_IPV6.
- Gli unici valori stackType validi per un gateway con gatewayIpVersion pari a IPV6 sono IPV4_IPV6 o IPV6_ONLY(Anteprima).

Crea una risorsa gateway VPN peer

Console

La risorsa gateway VPN peer rappresenta il tuo gateway non Google Cloud in Google Cloud.

Per creare una risorsa gateway VPN peer, segui questi passaggi:

Nella pagina Crea una VPN, in Gateway VPN peer, seleziona On-prem o non Google Cloud.
In Nome gateway VPN peer, scegli un gateway peer esistente o fai clic su Crea un nuovo gateway VPN peer.

Se scegli un gateway esistente, la console Google Cloud seleziona il numero di tunnel da configurare in base al numero di interfacce peer che hai configurato sul gateway peer esistente.

Per creare un nuovo gateway peer:
1. Specifica un nome per il gateway VPN peer.
2. In Interfacce gateway VPN peer, seleziona le interfacce one, two o four, a seconda del tipo di interfaccia del gateway peer. Per esempi di ciascun tipo, consulta la pagina Topologie.
3. Nel campo di ogni interfaccia VPN peer, specifica l'indirizzo IP esterno utilizzato per l'interfaccia. Per maggiori informazioni, consulta Configurare il gateway VPN peer.
4. Fai clic su Crea.

gcloud

Crea una risorsa gateway VPN esterno che fornisca a Google Cloud informazioni sui gateway o sui gateway VPN peer. A seconda dei suggerimenti per l'alta disponibilità per il tuo gateway VPN peer, puoi creare risorse gateway VPN esterne per i seguenti tipi diversi di gateway VPN on-premise:

Due dispositivi gateway VPN peer separati in cui i due dispositivi sono ridondanti tra loro e ogni dispositivo ha un proprio indirizzo IP esterno.
Un singolo gateway VPN peer che utilizza due interfacce separate, ciascuna con il proprio indirizzo IP esterno. Per questo tipo di gateway peer, puoi creare un singolo gateway VPN esterno con due interfacce.
Un singolo gateway VPN peer con un singolo indirizzo IP esterno.

Opzione 1: crea una risorsa gateway VPN esterno per due dispositivi gateway VPN peer separati

Per questo tipo di gateway peer, ogni interfaccia del gateway VPN esterno ha un indirizzo IP esterno e ogni indirizzo proviene da uno dei dispositivi gateway VPN peer:
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
Sostituisci quanto segue:
- PEER_GW_NAME: un nome che rappresenta il gateway peer
- PEER_GW_IP_0: l'indirizzo IP esterno di un gateway peer
- PEER_GW_IP_1: l'indirizzo IP esterno di un altro gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 e PEER_GW_IP_1 mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME      INTERFACE0    INTERFACE1
peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
```

Opzione 2: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con due interfacce separate

Per questo tipo di gateway peer, crea un singolo gateway VPN esterno con due interfacce:
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
```
Sostituisci quanto segue:
- PEER_GW_NAME: un nome che rappresenta il gateway peer
- PEER_GW_IP_0: l'indirizzo IP esterno di un'interfaccia dal gateway peer
- PEER_GW_IP_1: l'indirizzo IP esterno di un'altra interfaccia del gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 e PEER_GW_IP_1 mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME     INTERFACE0    INTERFACE1
peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
```

Opzione 3: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con un singolo indirizzo IP esterno

Per questo tipo di gateway peer, crea un gateway VPN esterno con una interfaccia:
```
gcloud compute external-vpn-gateways create PEER_GW_NAME \
   --interfaces 0=PEER_GW_IP_0
```
Sostituisci quanto segue:
- PEER_GW_NAME: un nome che rappresenta il gateway peer
- PEER_GW_IP_0: l'indirizzo IP esterno per l'interfaccia del gateway peer
La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 mostra gli effettivi indirizzi IP esterni dell'interfaccia del gateway peer:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
NAME       INTERFACE0
peer-gw    PEER_GW_IP_0
```

API

Per creare una risorsa gateway VPN esterno, effettua una richiesta POST utilizzando il metodo externalVpnGateways.insert.

Per un gateway VPN esterno (peer) con un'interfaccia, utilizza l'esempio seguente, ma specifica solo un ID interfaccia e un ipAddress, con redundancyType pari a SINGLE_IP_INTERNALLY_REDUNDANT.
Per un gateway VPN esterno con due interfacce o due gateway VPN esterni con un'interfaccia ciascuno, utilizza l'esempio TWO_IPS_REDUNDANCY.

Per uno o più gateway VPN esterni con quattro interfacce VPN esterne, ad esempio Amazon Web Services (AWS), utilizza l'esempio seguente, ma specifica quattro istanze dell'ID interfaccia e ipAddress, quindi utilizza un valore redundancyType pari a FOUR_IPS_REDUNDANCY.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
 {
   "name": "my-peer-gateway",
   "interfaces": [
     {
       "id": 0,
       "ipAddress": "192.0.2.1"
     },
     {
       "id": 1,
       "ipAddress": "192.0.2.2"
     }
   ],
   "redundancyType": "TWO_IPS_REDUNDANCY"
 }

Crea un router Cloud

Console

In Router Cloud, se non l'hai già fatto, crea un router Cloud specificando le opzioni seguenti. Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT.

Per creare un nuovo router Cloud, specifica quanto segue:
- Un nome
- Una descrizione facoltativa
- Un ASN Google per il nuovo router.
Puoi utilizzare qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non usi altrove nella tua rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non puoi modificarlo in un secondo momento.
Per creare il nuovo router, fai clic su Crea.

gcloud

Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.

Per creare un router Cloud, esegui questo comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Sostituisci quanto segue:

ROUTER_NAME: il nome del router Cloud nella stessa regione del gateway Cloud VPN
REGION: la regione Google Cloud in cui crei il gateway e il tunnel
NETWORK: il nome della tua rete VPC
GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento

Il router creato è simile al seguente output di esempio:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Puoi utilizzare un router Cloud esistente purché non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.

Per creare un router Cloud, effettua una richiesta POST utilizzando il metodo routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Crea tunnel VPN

Console

Se hai configurato la risorsa gateway VPN peer con un'unica interfaccia, nella pagina Crea VPN configura il tuo tunnel singolo nella finestra di dialogo Tunnel VPN singolo. Per uno SLA del 99,99%, devi creare un secondo tunnel.

Se hai configurato la risorsa gateway VPN peer con due o quattro interfacce, configura le finestre di dialogo associate che vengono visualizzate nella parte inferiore della pagina Crea VPN.

Per creare tunnel VPN, segui questi passaggi:

Se applicabile, in Interfaccia gateway VPN Cloud associata, seleziona la combinazione di interfaccia VPN ad alta disponibilità e indirizzo IP da associare all'interfaccia gateway VPN peer per questo tunnel.
In Interfaccia gateway VPN peer associata, seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare al tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere all'interfaccia del router peer effettivo.
1. Specifica un nome per il tunnel.
2. Specifica una descrizione facoltativa.
3. Specifica la versione IKE. Ti consigliamo IKE v2, l'impostazione predefinita, se il tuo router peer la supporta. Per consentire il traffico IPv6, devi selezionare IKEv2.
4. Specifica una chiave precondivisa IKE utilizzando la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in una posizione sicura perché non può essere recuperata dopo aver creato i tunnel VPN.
5. Fai clic su Fine.
6. Nella pagina Crea VPN, ripeti i passaggi di creazione del tunnel per tutte le finestre di dialogo del tunnel rimanenti.
Dopo aver configurato tutti i tunnel, fai clic su Crea e continua.

gcloud

Creare due tunnel VPN, uno per ogni interfaccia sul gateway VPN ad alta disponibilità. Quando crei tunnel VPN, specifica il lato peer dei tunnel VPN come gateway VPN esterno creato in precedenza. A seconda del tipo di ridondanza del gateway VPN esterno, configura i tunnel utilizzando una delle due opzioni seguenti.

Opzione 1: se il gateway VPN esterno è costituito da due dispositivi gateway VPN peer separati o da un singolo dispositivo con due indirizzi IP

In questo caso, un tunnel VPN deve connettersi alla rete interface 0 del gateway VPN esterno, mentre l'altro tunnel VPN deve connettersi a interface 1 del gateway VPN esterno.

Nota: i tunnel VPN che crei non sono disponibili finché non vengono creati i tunnel partner corrispondenti sul gateway o sui gateway VPN peer.
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
Sostituisci quanto segue:
- TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: un nome per il tunnel; la denominazione dei tunnel includendo il nome dell'interfaccia del gateway può essere utile per identificare i tunnel in un secondo momento
- PEER_GW_NAME: un nome del gateway peer esterno creato in precedenza
- PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: il numero di interfaccia configurato in precedenza sul gateway peer esterno
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2; se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci --ike-version 2 con --ike-version 1. Per consentire il traffico IPv6, devi specificare IKEv2.
- SHARED_SECRET: la chiave precondivisa (secret condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che hai creato sul gateway peer. Per i suggerimenti, consulta Generare una chiave precondivisa efficace
- GW_NAME: nome del gateway VPN ad alta disponibilità
- INT_NUM_0: il numero 0 per la prima interfaccia sul gateway VPN ad alta disponibilità creato in precedenza
- INT_NUM_1: il numero 1 per la seconda interfaccia sul gateway VPN ad alta disponibilità creato in precedenza
- Facoltativo: --vpn-gateway-region è la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata del comando.
L'output comando è simile al seguente esempio:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
```

Opzione 2: se il gateway VPN esterno è un singolo gateway VPN peer con un singolo indirizzo IP esterno

In questo caso, entrambi i tunnel VPN devono connettersi a interface 0 del gateway VPN esterno.

Nota: i tunnel VPN che crei non sono disponibili finché non vengono creati i tunnel partner corrispondenti sui gateway o sui gateway VPN peer.
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_0
```
```
gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
   --peer-external-gateway=PEER_GW_NAME \
   --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
   --region=REGION \
   --ike-version=IKE_VERS \
   --shared-secret=SHARED_SECRET \
   --router=ROUTER_NAME \
   --vpn-gateway=GW_NAME \
   --interface=INT_NUM_1
```
Sostituisci quanto segue:
- TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: un nome per il tunnel; la denominazione dei tunnel includendo il nome dell'interfaccia del gateway può essere utile per identificare i tunnel in un secondo momento
- PEER_GW_NAME: il nome del gateway peer esterno creato in precedenza
- PEER_EXT_GW_IF0: il numero di interfaccia configurato in precedenza sul gateway peer esterno
- Facoltativo: --vpn-gateway-region è la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata del comando.
- IKE_VERS: 1 per IKEv1 o 2 per IKEv2. Se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci --ike-version 2 con --ike-version 1. Per consentire il traffico IPv6, devi specificare IKEv2.
- SHARED_SECRET: la chiave precondivisa (secret condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che hai creato sul gateway peer. Per i suggerimenti, consulta Generare una chiave precondivisa efficace
- INT_NUM_0: il numero 0 per la prima interfaccia sul gateway VPN ad alta disponibilità creato in precedenza
- INT_NUM_1: il numero 1 per la seconda interfaccia sul gateway VPN ad alta disponibilità creato in precedenza
L'output comando è simile al seguente esempio:
```
Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
```

API

Per creare due tunnel VPN, uno per ogni interfaccia sul gateway VPN ad alta disponibilità, effettua una richiesta POST utilizzando il metodo vpnTunnels.insert. Per ottenere uno SLA con uptime del 99,99%, devi creare un tunnel su ciascuna interfaccia del gateway VPN ad alta disponibilità.

Per creare il primo tunnel, esegui questo comando:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
   {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
     "peerExternalGatewayInterface": 0,
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SHARED_SECRET",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
   }

Se prevedi di abilitare IPv6 nella sessione BGP associata a questo tunnel, devi specificare 2 per ikeVersion.

Per creare il secondo tunnel, ripeti questo comando, ma modifica i seguenti parametri:
- name
- peerExternalGatewayInterface
- sharedSecret o sharedSecretHash(se necessario)
- vpnGatewayInterface: modifica il valore dell'altra interfaccia del gateway VPN ad alta disponibilità. In questo esempio, modifica questo valore in 1

Crea sessioni BGP

Per ogni tunnel VPN ad alta disponibilità, puoi creare una sessione BGP IPv4, una sessione BGP IPv6 (anteprima) oppure entrambe.

Per visualizzare istruzioni specifiche, seleziona il tipo di sessione BGP appropriato per il traffico di rete VPC e VPN ad alta disponibilità.

Tipo di sessione BGP	Gateway VPN ad alta disponibilità	Rete VPC	MP-BGP consentito?
Sessioni BGP IPv4	Solo IPv4 o a doppio stack	Solo IPv4 o a doppio stack	sì
Sessioni BGP IPv6	doppio stack	doppio stack	sì
Sessioni BGP sia IPv4 che IPv6	doppio stack	doppio stack	no

Per utilizzare MP-BGP nelle sessioni BGP dei tunnel VPN ad alta disponibilità, devi utilizzare gateway VPN ad alta disponibilità a doppio stack.

Devi inoltre utilizzare un gateway VPN ad alta disponibilità a doppio stack per configurare le sessioni BGP IPv4 e IPv6 nello stesso tunnel VPN ad alta disponibilità. Tuttavia, non puoi abilitare MP-BGP nelle singole sessioni BGP IPv4 e IPv6.

Sessioni BGP IPv4

Console

Per creare sessioni BGP, segui questi passaggi:

Se non vuoi configurare le sessioni BGP ora, fai clic su Configura le sessioni BGP in seguito per aprire la pagina Riepilogo e promemoria.
Se vuoi configurare ora le sessioni BGP, fai clic su Configura sul primo tunnel VPN.
Nella pagina Crea sessione BGP, completa i seguenti passaggi:
1. Specifica un nome per la sessione BGP.
2. Specifica l'ASN peer configurato per il gateway VPN peer.
3. (Facoltativo) Specifica la Priorità delle route annunciate.
4. (Facoltativo) Seleziona la casella di controllo Abilita IPv6 per consentire lo scambio di prefissi di indirizzi IPv6 sulla sessione BGP.
5. Specifica l'indirizzo IP BGP del router Cloud e l'indirizzo IP del peer BGP. Assicurati che gli indirizzi IPv4 soddisfino i seguenti requisiti:
  - Ogni indirizzo IPv4 BGP deve appartenere alla stessa subnet /30 che rientra nell'intervallo 169.254.0.0/16.
  - Ogni indirizzo IPv4 BGP è il primo o il secondo host della subnet /30. Il primo e l'ultimo indirizzo IP della subnet sono riservati agli indirizzi di rete e di trasmissione.
  - Ogni intervallo di indirizzi BGP per ogni sessione BGP deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.
6. (Facoltativo) Se hai abilitato IPv6, puoi allocare gli indirizzi dell'hop successivo IPv6 automaticamente o manualmente. Per assegnare gli indirizzi manualmente:
  1. Seleziona Manualmente.
  2. Inserisci l'indirizzo IPv6 per l'hop successivo IPv6 del router Cloud. Questo indirizzo è l'indirizzo di hop successivo per le route IPv6 pubblicizzate dal router Cloud. L'indirizzo deve essere compreso nell'intervallo 2600:2d00:0:2::/63.
  3. Inserisci l'indirizzo IPv6 per l'hop successivo IPv6 peer. Questo indirizzo è l'indirizzo dell'hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP. L'indirizzo deve essere compreso nell'intervallo 2600:2d00:0:2::/63.
7. (Facoltativo) Per Autenticazione MD5, seleziona Attivata. Ciò consente di autenticare le sessioni BGP tra un router Cloud e i suoi peer. Per istruzioni su come configurare l'autenticazione MD5, vedi Utilizzare l'autenticazione MD5. Puoi anche scegliere di attivare l'autenticazione MD5 in un secondo momento.
8. (Facoltativo) Fai clic sull'elenco Route annunciate e crea route personalizzate.
9. Fai clic su Salva e continua.
Ripeti i passaggi precedenti per gli altri tunnel configurati nel gateway. Per ogni tunnel, utilizza un indirizzo IP BGP del router Cloud e un indirizzo IP peer BGP diversi.
Dopo aver configurato tutte le sessioni BGP, fai clic su Salva configurazione BGP.

gcloud

Per creare un'interfaccia del router Cloud e un peer BGP per ogni tunnel che hai configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.

Nei comandi, sostituisci quanto segue:

ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: un nome per l'interfaccia del router Cloud; può essere utile utilizzare nomi relativi ai nomi dei tunnel configurati in precedenza
TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato
IP_VERSION: specifica IPV4 o non specificare. Se non specificato, il valore predefinito è IPV4.
IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzate
AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

Assegna indirizzi IPv4 per una sessione BGP

Scegli il metodo di configurazione automatica o manuale per configurare gli indirizzi per BGP. Questi comandi non abilitano IPv6 per BGP.

Se vuoi abilitare IPv6, esegui i comandi elencati in Assegna indirizzi IPv6 all'hop successivo.

Automatica

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv4 BGP locali rispetto al collegamento, completa i passaggi seguenti.

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

Per impostazione predefinita, se non specifichi una versione IP, il comando assegna un indirizzo IPv4 all'interfaccia.

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi la configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN del peer e sostituisci PEER_ASN con l'ASN del peer BGP:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION
```
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Facoltativamente, puoi utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.

Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag --md5-authentication-key. Utilizza questo campo per fornire la tua chiave segreta:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --md5-authentication-key=AUTHENTICATION_KEY
```
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Per il secondo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION
```
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler configurare le stesse route nel secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_1 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_1 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --md5-authentication-key=AUTHENTICATION_KEY
```

Manuale

Per assegnare manualmente gli indirizzi BGP IPv4 associati all'interfaccia del router Cloud e al peer BGP, completa i seguenti passaggi.

Per ogni tunnel VPN, decidi una coppia di indirizzi IPv4 locali rispetto al collegamento in un blocco /30 dall'intervallo 169.254.0.0/16 (per un totale di quattro subnet /30, una per ogni VPN ad alta disponibilità). Le subnet IPv4 specificate devono essere univoche tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna uno di questi indirizzi IPv4 BGP al router Cloud e l'altro indirizzo IPv4 BGP al tuo gateway VPN peer. Configura il dispositivo VPN peer in modo da utilizzare l'indirizzo IPv4 BGP del peer.

Sostituisci quanto segue nei comandi seguenti:

GOOGLE_BGP_IP_0: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IP_0 rappresenta l'indirizzo IPv4 BGP del suo peer
GOOGLE_BGP_IP_1: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IP_1 rappresenta l'indirizzo IPv4 BGP del suo peer
MASK_LENGTH: 30; il router Cloud deve utilizzare una subnet /30 univoca nell'intervallo 169.254.0.0/16

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0 con un nome per l'interfaccia:

gcloud compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --ip-address=GOOGLE_BGP_IP_0 \
  --mask-length 30 \
  --region=REGION

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_0 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --peer-ip-address=PEER_BGP_IP_0 \
 --region=REGION
```
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Facoltativamente, puoi utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.

Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_0 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION \
  --md5-authentication-key=AUTHENTICATION_KEY
```
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Per il secondo tunnel VPN

Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1 con un nome per l'interfaccia:

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IP_1 \
 --mask-length 30 \
 --region=REGION

Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_1 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --peer-ip-address=PEER_BGP_IP_1 \
 --region=REGION
```
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler specificare le stesse route per il secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_1 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_1 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_1 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --peer-ip-address=PEER_BGP_IP_0 \
  --region=REGION \
  --md5-authentication-key=AUTHENTICATION_KEY
```

Assegna indirizzi IPv6 all'hop successivo

Utilizza i comandi in questa sezione solo se vuoi che i tunnel VPN utilizzino MP-BGP e scambino traffico sia IPv4 sia IPv6. Se non vuoi instradare il traffico IPv6 su questo tunnel o se prevedi di aggiungere una singola sessione BGP IPv6 a questo tunnel in un secondo momento, puoi utilizzare i comandi elencati in Assegna indirizzi BGP IPv4.

Automatica

Se crei una sessione BGP IPv4 che utilizza MP-BGP, Google Cloud può assegnare automaticamente indirizzi all'hop successivo IPv6. Google Cloud assegna indirizzi inutilizzati dall'intervallo 2600:2d00:0:2::/63.

Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale per gli indirizzi IPv4 del router Cloud e del peer BGP. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare indirizzi IPv4 IPv4 e BGP del peer utilizzando i flag --ip-address e --peer-ip-address descritti in Assegnare indirizzi BGP IPv4.

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --enable-ipv6
```
Se specifichi il flag --enable-ipv6, abiliti lo scambio di route IPv6 in questa sessione BGP IPv4, necessaria per assegnare gli indirizzi dell'hop successivo IPv6. Puoi disabilitare lo scambio di route IPv6 in un secondo momento. Per ulteriori informazioni, consulta Configurare il BGP multiprotocollo nelle sessioni IPv4 o IPv6.

L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Per il secondo tunnel VPN

Aggiungi una seconda interfaccia al router Cloud:

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --enable-ipv6
```

Manuale

Quando crei una sessione BGP IPv4 che utilizza MP-BGP, puoi configurare manualmente gli indirizzi dell'hop successivo IPv6 sia per il router Cloud che per il peer BGP.

Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale degli indirizzi IPv4 del router Cloud e del peer BGP. Per esempi su come configurare manualmente questi indirizzi, consulta Assegnare indirizzi BGP IPv4.

Per ogni tunnel VPN, decidi una coppia di indirizzi dell'hop successivo IPv6. Gli indirizzi dell'hop successivo IPv6 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC e devono essere selezionati dagli intervalli IPv6 interni preallocati da Google: 2600:2d00:0:2::/63.

Per assegnare manualmente gli indirizzi dell'hop successivo IPv6 BGP, completa i passaggi seguenti.

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel.
```
gcloud compute routers add-bgp-peerROUTER_NAME \
  --peer-name=PEER_NAME_0 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --region=REGION \
  --enable-ipv6 \
  --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
  --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
```
Nei comandi, sostituisci quanto segue:
- PEER_NAME_0 con un nome per l'interfaccia VPN peer
- PEER_ASN con l'ASN configurato per il gateway VPN peer
- IPV6_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv6 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64
- PEER_IPV6_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv6 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo 2600:2d00:0:2::/64 o 2600:2d00:0:3::/64
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```
Per il secondo tunnel VPN

Aggiungere una seconda interfaccia al router Cloud.

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION

Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel.
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
  --peer-name=PEER_NAME_1 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_1 \
  --region=REGION \
  --enable-ipv6 \
  --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
  --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
```
Nei comandi, sostituisci quanto segue:
- PEER_NAME_1 con un nome per l'interfaccia VPN peer
- PEER_ASN con l'ASN configurato per il gateway VPN peer
- IPV6_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv6 pubblicizzate dal router Cloud
- PEER_IPV6_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP

API

Per creare un'interfaccia del router Cloud, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o routers.update. PATCH aggiorna solo i parametri che includi. UPDATE aggiorna tutti i parametri per il router Cloud.

Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv4 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

Ripeti questo passaggio e il comando per ogni tunnel VPN sul secondo gateway VPN ad alta disponibilità.
```
PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "169.254.0.1/30"
    }
  ]
}
```

Per aggiungere una configurazione peer BGP all'interfaccia di un router Cloud per un tunnel VPN, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni tranne namee peerAsn.

Ad esempio:

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT"
  }
]
}

Il seguente comando fornisce un esempio di aggiunta di un peer BGP IPv4 con scambio di route IPv6 abilitato e indirizzi dell'hop successivo IPv6 configurati manualmente. Se ometti ipv6NexthopAddress e peerIpv6NexthopAddress, gli indirizzi dell'hop successivo IPv6 vengono assegnati automaticamente.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "enableIpv6": true,
   "ipv6NexthopAddress: "2600:2d00:0:2::1"
   "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
  }
]
}

Se vuoi specificare route apprese personalizzate per il peer, definisci i prefissi IP per le route. Facoltativamente, puoi impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "enableIpv6": true,
   "ipv6NexthopAddress": "2600:2d00:0:2::1",
   "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
   "customLearnedRoutePriority": 200,
   "customLearnedIpRanges": [
      {
        "range": "1.2.3.4"
      },
      {
        "range": "6.7.0.0/16"
      },
      {
        "range": "2001:db8:abcd:12::/64"
      }
     ]
    }
  ]
}

Se vuoi configurare la sessione in modo che utilizzi l'autenticazione MD5, la richiesta deve includere una chiave di autenticazione, il che significa che deve fornire sia la chiave sia un nome per la chiave. Deve anche fare riferimento alla chiave per nome durante la creazione della sessione di peering BGP. Ad esempio:

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "md5AuthenticationKeys": [
  {
   "name": "bgppeer-1-key",
   "key": "secret_key_value"
   }
  ],
}
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT",
   "md5AuthenticationKeyName": "bgppeer-1-key"
  }
]
}

Sessioni BGP IPv6

gcloud

Per creare un'interfaccia del router Cloud IPv6 e un peer BGP per ogni tunnel che hai configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.

Nei comandi, sostituisci quanto segue:

ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: un nome per l'interfaccia del router Cloud; può essere utile utilizzare nomi relativi ai nomi dei tunnel configurati in precedenza
TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato
IP_VERSION: IPV6. Questo parametro è obbligatorio solo se vuoi che Google Cloud assegni automaticamente l'indirizzo IPv6 per questa interfaccia. Se assegni manualmente un indirizzo IPv6 a questa interfaccia, puoi omettere questo flag.
IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzate
AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

(Facoltativo) Assegna un intervallo di identificatori BGP

Quando aggiungi la prima interfaccia a un router Cloud, al router Cloud viene assegnato automaticamente un intervallo di identificatori BGP. Se preferisci definire un intervallo di identificatori BGP per un router Cloud, puoi crearne uno personalizzato. Puoi anche modificare questo intervallo in un secondo momento. Per maggiori informazioni, consulta Configurare l'intervallo di identificatori BGP per un router Cloud.

Assegna indirizzi BGP IPv6

Le seguenti procedure creano sessioni BGP IPv6 con indirizzi IPv6 BGP IPv6 e BGP configurati automaticamente o configurati manualmente.

Se vuoi utilizzare BGP IPv6 con MP-BGP, esegui i comandi elencati in Assegna indirizzi IPv4 all'hop successivo.

Automatica

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv6 per la sessione BGP, completa i passaggi seguenti.

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud beta compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION \
   --ip-version=IPV6

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION
```
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Facoltativamente, puoi utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.

Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --set-custom-learned-route-ranges=IP_PREFIXES \
   --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag --md5-authentication-key. Utilizza questo campo per fornire la tua chiave segreta:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --md5-authentication-key=AUTHENTICATION_KEY
```
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Per il secondo tunnel VPN

Aggiungi una seconda interfaccia al router Cloud:

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_1 \
  --vpn-tunnel=TUNNEL_NAME_1 \
  --region=REGION \
  --ip-version=IPV6

Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION
```
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler configurare le stesse route nel secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --set-custom-learned-route-ranges=IP_PREFIXES \
 --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --md5-authentication-key=AUTHENTICATION_KEY
```

Manuale

Per assegnare manualmente indirizzi IPv6 alla sessione BGP associata all'interfaccia del router Cloud e al peer BGP, completa i seguenti passaggi.

Per ogni tunnel VPN, decidi una coppia di indirizzi IPv6 appropriati per la sessione BGP in base al tipo di sessione BGP che stai configurando.

Gli indirizzi IPv6 devono essere indirizzi locali univoci (ULA) dall'intervallo fdff:1::/64 con una lunghezza della maschera pari o inferiore a /126. Ad esempio: fdff:1:1:1::/112.

Gli indirizzi IPv6 della sessione BGP specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna uno di questi indirizzi IPv6 al router Cloud e l'altro indirizzo IPv6 al gateway VPN peer. Configura il dispositivo VPN peer in modo da utilizzare l'indirizzo IPv6 peer della sessione BGP.

Sostituisci quanto segue nei comandi seguenti:

GOOGLE_BGP_IPV6_0: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV6_0 rappresenta l'indirizzo IPv6 del suo peer BGP e deve corrispondere alla versione IP di GOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV6_1: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV6_1 rappresenta l'indirizzo IPv6 del suo peer BGP e deve corrispondere alla versione IP di GOOGLE_BGP_IPV6_1

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0 con un nome per l'interfaccia:

gcloud beta compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_0 \
 --vpn-tunnel=TUNNEL_NAME_0 \
 --ip-address=GOOGLE_BGP_IPV6_0 \
 --mask-length=MASK_LENGTH  \
 --region=REGION \

Sostituisci MASK_LENGTH con un valore pari o inferiore a 126.

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia; sostituisci PEER_NAME_0with a name for the peer, and replacePEER_ASN" con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --peer-ip-address=PEER_BGP_IPV6_0 \
 --region=REGION
```
Se vuoi specificare route apprese personalizzate per il peer, aggiungi il flag --set-custom-learned-route-ranges. Facoltativamente, puoi utilizzare il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni su questa funzionalità, consulta Route apprese personalizzate.

Ad esempio, per aggiungere route apprese personalizzate e impostare una priorità per le route, esegui questo comando:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --region=REGION \
 --set-custom-learned-route-ranges=IPV6_PREFIXES \
 --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0 \
 --peer-ip-address=PEER_BGP_IPV6_0 \
 --region=REGION \
 --md5-authentication-key=AUTHENTICATION_KEY
```
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```

Per il secondo tunnel VPN

Aggiungi una seconda interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1 con un nome per l'interfaccia:

gcloud beta compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IPV6_1 \
 --mask-length=MASK_LENGTH \
 --region=REGION \

Sostituisci MASK_LENGTH con un valore pari o inferiore a 126.

Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_1 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --peer-ip-address=PEER_BGP_IPV6_1 \
 --region=REGION
```
Se hai configurato route apprese personalizzate sul primo tunnel, potresti voler specificare le stesse route per il secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel come parte di una route ECMP (a uguale costo), assegna alle route la stessa priorità che avevano sul primo tunnel. In ogni caso, usa un comando come questo:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --region=REGION \
 --set-custom-learned-route-ranges=IPV6_PREFIXES \
 --custom-learned-route-priority=PRIORITY
```
Se vuoi utilizzare l'autenticazione MD5, usa il flag --md5-authentication-key per fornire la chiave segreta:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1 \
 --peer-ip-address=PEER_BGP_IPV6_1 \
 --region=REGION \
 --md5-authentication-key=AUTHENTICATION_KEY
```

Assegna indirizzi IPv4 all'hop successivo

Utilizza i comandi in questa sezione solo se vuoi tunnel VPN che utilizzano MP-BGP. Con MP-BGP, puoi scambiare route IPv4 su sessioni BGP IPv6.

Se non prevedi di utilizzare MP-BGP nella sessione BGP per il tunnel, utilizza i comandi elencati in Assegna indirizzi BGP IPv6.

Puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 o IPv6 del peer BGP dell'hop successivo.

Automatica

Se crei una sessione BGP IPv6 che utilizza MP-BGP, Google Cloud può assegnare automaticamente indirizzi IPv4 all'hop successivo. Google Cloud assegna indirizzi inutilizzati dall'intervallo 169.254.0.0/16.

Questa configurazione non tiene conto della configurazione automatica o manuale degli indirizzi IPv6 del router Cloud e del peer BGP. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare gli indirizzi IPv6 alle interfacce del router Cloud e ai peer BGP utilizzando i flag --ip-address e --peer-ip-address descritti in Assegnare indirizzi IP BGP IPv6.

Per il primo tunnel VPN

Aggiungi un'interfaccia al router Cloud:

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --region=REGION \
  --ip-version=IPV6

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:

gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0 \
   --region=REGION \
   --enable-ipv4

L'output comando è simile al seguente esempio:

Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.

Per il secondo tunnel VPN

Aggiungi una seconda interfaccia al router Cloud:

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_1 \
  --vpn-tunnel=TUNNEL_NAME_1 \
  --region=REGION \
  --ip-version=IPV6

Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_1 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_1 \
   --region=REGION \
   --enable-ipv4
```

Manuale

Quando crei sessioni BGP IPv6 che utilizzano MP-BGP, puoi configurare manualmente gli indirizzi dell'hop successivo IPv4 sia per il router Cloud che per il peer BGP.

Questa configurazione non ha alcuna relazione con la scelta della configurazione automatica o manuale del router Cloud e degli indirizzi IPv6 per le sessioni BGP. Per esempi su come configurare manualmente questi indirizzi, consulta Assegnare indirizzi BGP IPv6.

Per ogni tunnel VPN, decidi una coppia di indirizzi dell'hop successivo IPv4. Gli indirizzi dell'hop successivo IPv4 specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC e devono essere selezionati da intervalli IPv4 locali rispetto al collegamento, 169.254.0.0/16.

Per assegnare manualmente gli indirizzi dell'hop successivo IPv4 BGP, completa i passaggi seguenti.

Per il primo tunnel VPN

Aggiungere un'interfaccia al router Cloud.

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --region=REGION \
  --ip-version=IPV6

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP all'interfaccia per il primo tunnel.
```
gcloud beta compute routers add-bgp-peerROUTER_NAME \
  --peer-name=PEER_NAME_0 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_0 \
  --region=REGION \
  --enable-ipv4 \
  --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
  --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
```
Nei comandi, sostituisci quanto segue:
- PEER_NAME_0 con un nome per l'interfaccia VPN peer
- PEER_ASN con l'ASN configurato per il gateway VPN peer
- IPV4_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo 169.254.0.0/16
- PEER_IPV4_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv4 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo 169.254.0.0/16
L'output comando è simile al seguente esempio:
```
Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
```
Per il secondo tunnel VPN

Aggiungere una seconda interfaccia al router Cloud.

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_1 \
  --vpn-tunnel=TUNNEL_NAME_1 \
  --region=REGION \
  --ip-version=IPV6

Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel.
```
gcloud beta compute routers add-bgp-peerROUTER_NAME \
  --peer-name=PEER_NAME_1 \
  --peer-asn=PEER_ASN \
  --interface=ROUTER_INTERFACE_NAME_1 \
  --region=REGION \
  --enable-ipv4 \
  --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
  --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
```
Sostituisci quanto segue nei comandi seguenti:
- PEER_NAME_1 con un nome per l'interfaccia VPN peer
- PEER_ASN con l'ASN configurato per il gateway VPN peer
- IPV4_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve essere compreso nell'intervallo 169.254.0.0/16
- PEER_IPV4_NEXTHOP_ADDRESS: l'indirizzo dell'hop successivo per le route IPv4 che vengono apprese dal router Cloud dal peer BGP; l'indirizzo deve essere compreso nell'intervallo 169.254.0.0/16

API

Per creare un'interfaccia del router Cloud e assegnarle un indirizzo IPv6, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. PATCH aggiorna solo i parametri che includi. UPDATE aggiorna tutti i parametri per il router Cloud.

L'esempio seguente crea un'interfaccia con un indirizzo IPv6 configurato manualmente.
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "fdff:1:1:1::/112"
    }
  ]
}
```
Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv6 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

Come ulteriore esempio, il comando seguente crea un'interfaccia con un indirizzo IPv6 assegnato automaticamente.
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipVersion": "IPV6"
    }
  ]
}
```
Ripeti questo passaggio per ogni tunnel VPN sul gateway VPN ad alta disponibilità.

Aggiungi una configurazione peer BGP a un router Cloud per un tunnel VPN, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o routers.update. Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni tranne namee peerAsn.

Ad esempio:

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "fdff:1:1:1::1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "fdff:1:1:1::2",
   "advertiseMode": "DEFAULT"
  }
]
}

Il seguente comando fornisce un esempio di aggiunta di un peer BGP per l'interfaccia BGP IPv6 con lo scambio di route IPv4 abilitato e gli indirizzi dell'hop successivo IPv4 configurati manualmente. Se ometti ipv4NexthopAddress e peerIpv4NexthopAddress, gli indirizzi IPv4 dell'hop successivo vengono assegnati automaticamente.

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "fdff:1:1:1::1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "fdff:1:1:1::2",
   "advertiseMode": "DEFAULT",
   "enableIpv4": true,
   "ipv4NexthopAddress: "169.254.0.1",
   "peerIpv4NexthopAddress: "169.254.0.2"
  }
]
}

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "fdff:1:1:1::1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "fdff:1:1:1::2",
   "advertiseMode": "DEFAULT",
   "enableIpv4": true,
   "ipv4NexthopAddress: "169.254.0.1",
   "peerIpv4NexthopAddress: "169.254.0.2"
   "customLearnedRoutePriority": 200,
   "customLearnedIpRanges": [
      {
        "range": "1.2.3.4"
      },
      {
        "range": "6.7.0.0/16"
      },
      {
        "range": "2001:db8:abcd:12::/64"
      }
     ]
    }
  ]
}

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "md5AuthenticationKeys": [
  {
   "name": "bgppeer-1-key",
   "key": "secret_key_value"
   }
  ],
}
{
 "bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0",
   "ipAddress": "fdff:1:1:1::1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
   "peerAsn": 65002,
   "peerIpAddress": "fdff:1:1:1::2",
   "advertiseMode": "DEFAULT",
   "md5AuthenticationKeyName": "bgppeer-1-key"
  }
]
}

Sessioni BGP IPv4 e IPv6

Usa i passaggi seguenti per creare una sessione BGP IPv4 e una sessione BGP IPv6 (anteprima) in esecuzione in parallelo nello stesso tunnel VPN ad alta disponibilità.

Per creare questa configurazione, aggiungi due interfacce BGP e due peer BGP sul router Cloud e le colleghi allo stesso tunnel VPN. Devi utilizzare le sessioni BGP a singolo stack con un gateway VPN ad alta disponibilità a doppio stack. Non puoi utilizzare MP-BGP.

gcloud

Per creare due interfacce BGP del router Cloud e due peer BGP per ciascun tunnel configurato in precedenza sulle interfacce del gateway VPN ad alta disponibilità, segui questi passaggi.

Nei comandi, sostituisci quanto segue:

ROUTER_INTERFACE_NAME_0_ipv4e ROUTER_INTERFACE_NAME_0_ipv6: nomi per la prima coppia di interfacce BGP del router Cloud che condividono lo stesso tunnel; può essere utile usare nomi relativi ai nomi dei tunnel configurati in precedenza
ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: nomi del secondo insieme di interfacce BGP del router Cloud
TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato
IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP; per saperne di più su questa funzionalità, consulta Route apprese personalizzate
AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per ulteriori informazioni su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

Inoltre, puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 e IPv6 per le interfacce del router Cloud e i peer BGP.

(Facoltativo) Assegna un intervallo di identificatori BGP

Quando aggiungi la prima interfaccia con un indirizzo IPv6 a un router Cloud, un intervallo di identificatori BGP viene assegnato automaticamente al router Cloud. Se preferisci definire un intervallo di identificatori BGP personalizzato per un router Cloud, puoi creare il tuo intervallo. Puoi anche modificare questo intervallo in un secondo momento. Per maggiori informazioni, consulta Configurare l'intervallo di identificatori BGP per un router Cloud.

Automatica

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi BGP, completa i passaggi seguenti.

Per il primo tunnel VPN

Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud.

gcloud beta compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION
   --ip-version=IPV4

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una seconda interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:

gcloud beta compute routers add-interface ROUTER_NAME \
   --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
   --vpn-tunnel=TUNNEL_NAME_0 \
   --region=REGION \
   --ip-version=IPV6

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/beta/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi una configurazione peer BGP alla prima interfaccia con l'indirizzo IPv4 per il primo tunnel; sostituisci PEER_NAME_0_ipv4 con il nome dell'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0_ipv4 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
   --region=REGION
```
Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il primo tunnel; sostituisci PEER_NAME_0_ipv6 con il nome dell'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0_ipv6 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
   --region=REGION
```
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.

Per il secondo tunnel VPN

Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud:

gcloud beta compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION
 --ip-version=IPV4

Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:

gcloud beta compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --region=REGION \
 --ip-version=IPV6

Aggiungi una configurazione peer BGP alla prima interfaccia con l'indirizzo IPv4 per il secondo tunnel; sostituisci PEER_NAME_1_ipv4 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1_ipv4 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
 --region=REGION
```
Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il secondo tunnel; sostituisci PEER_NAME_1_ipv6 con il nome dell'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_1_ipv6 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
   --region=REGION
```
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.

Manuale

Per assegnare manualmente gli indirizzi IPv4 e IPv6 associati alle interfacce del router Cloud e ai peer BGP, completa i passaggi seguenti.

Per ogni tunnel VPN, decidi una coppia di indirizzi BGP appropriati in base al tipo di sessione BGP che stai configurando. Devi selezionare quattro indirizzi IP in totale per ogni tipo di sessione.

Per le sessioni BGP IPv4, i quattro indirizzi IPv4 devono essere indirizzi IPv4 locali rispetto al collegamento in un blocco /30 dall'intervallo 169.254.0.0/16. Ad esempio: 169.254.0.1/30.
Per le sessioni BGP IPv6 (anteprima), i quattro indirizzi IPv6 devono essere indirizzi locali univoci (ULA) dell'intervallo fdff:1::/64 con una lunghezza massima di /126. Ad esempio: fdff:1:1:1::/112.

Gli indirizzi BGP specificati devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna gli indirizzi IPv6 BGP al router Cloud. Configura il dispositivo VPN peer in modo da utilizzare gli indirizzi IPv6 del peer BGP.

Sostituisci quanto segue nei comandi seguenti:

GOOGLE_BGP_IPV4_0: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV4_0 rappresenta l'indirizzo IPv4 del suo peer BGP, corrisponde a GOOGLE_BGP_IPV4_0
GOOGLE_BGP_IPV6_0: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV6_0 rappresenta l'indirizzo IPv6 del suo peer BGP, corrisponde a GOOGLE_BGP_IPV6_0
GOOGLE_BGP_IPV4_1: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV4_1 rappresenta l'indirizzo IPv4 del suo peer BGP, corrisponde a GOOGLE_BGP_IPV4_1
GOOGLE_BGP_IPV6_1: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV6_1 rappresenta l'indirizzo IPv6 del suo peer BGP, corrisponde a GOOGLE_BGP_IPV6_1

Per il primo tunnel VPN

Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0_ipv4 con un nome per l'interfaccia:

gcloud compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --ip-address=GOOGLE_BGP_IPV4_0 \
  --mask-length 30 \
  --region=REGION

L'output comando è simile al seguente esempio:

Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].

Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci ROUTER_INTERFACE_NAME_0_ipv6 con un nome per l'interfaccia:

gcloud beta compute routers add-interface ROUTER_NAME \
  --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
  --vpn-tunnel=TUNNEL_NAME_0 \
  --ip-address=GOOGLE_BGP_IPV6_0 \
  --mask-length=MASK_LENGTH  \
  --region=REGION \

Sostituisci MASK_LENGTH con un valore pari o inferiore a 126.

Aggiungi una configurazione peer BGP alla prima interfaccia per il primo tunnel; sostituisci PEER_NAME_0_ipv4 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_0_ipv4 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
 --peer-ip-address=PEER_BGP_IPV4_0 \
 --region=REGION
```
Aggiungi una configurazione peer BGP alla seconda interfaccia per il primo tunnel; sostituisci PEER_NAME_0_ipv6 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_0_ipv6 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
   --peer-ip-address=PEER_BGP_IPV6_0 \
   --region=REGION
```
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia della rete on-premise.

Per il secondo tunnel VPN

Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1_ipv4 con un nome per l'interfaccia:

gcloud compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IPV4_1 \
 --mask-length MASK_LENGTH \
 --region=REGION

Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci ROUTER_INTERFACE_NAME_1_ipv6 con un nome per l'interfaccia:

gcloud beta compute routers add-interface ROUTER_NAME \
 --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
 --vpn-tunnel=TUNNEL_NAME_1 \
 --ip-address=GOOGLE_BGP_IPV6_1 \
 --mask-length=MASK_LENGTH \
 --region=REGION \

Sostituisci MASK_LENGTH con un valore pari o inferiore a 126.

Aggiungi una configurazione peer BGP alla prima interfaccia per il secondo tunnel; sostituisci PEER_NAME_1_ipv4 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

gcloud compute routers add-bgp-peer ROUTER_NAME \
 --peer-name=PEER_NAME_1_ipv4 \
 --peer-asn=PEER_ASN \
 --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
 --peer-ip-address=PEER_BGP_IPV4_1 \
 --region=REGION

Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci PEER_NAME_1_ipv6 con un nome per l'interfaccia VPN peer e PEER_ASN con l'ASN configurato per il gateway VPN peer:
```
gcloud beta compute routers add-bgp-peer ROUTER_NAME \
   --peer-name=PEER_NAME_1_ipv6 \
   --peer-asn=PEER_ASN \
   --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
   --peer-ip-address=PEER_BGP_IPV6_1 \
   --region=REGION
```
Nella maggior parte dei casi, PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia della rete on-premise.

API

Per creare due interfacce del router Cloud, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o routers.update. PATCH aggiorna solo i parametri che includi. UPDATE aggiorna tutti i parametri del router Cloud.

Creare due interfacce del router Cloud per il primo tunnel VPN sul gateway VPN ad alta disponibilità. Crei un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6. Puoi configurare sia le interfacce sia i relativi peer BGP nella stessa richiesta PATCH o UPDATE. Le interfacce sono associate allo stesso linkedVpnTunneltunnel e i peer BGP vengono quindi associati alle interfacce.

Gli intervalli di indirizzi BGP per ogni interfaccia devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

Ripeti questo passaggio e questo comando per ogni tunnel VPN sul gateway VPN ad alta disponibilità.

Nell'esempio seguente, allo stesso linkedVpnTunnel viene aggiunta un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6. Il comando di esempio specifica manualmente gli indirizzi BGP IPv4 e IPv6:
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "169.254.0.1/30"
    },
    {
     "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipRange": "fdff:1:1:1::/112"
    }

  ]
}
```
L'esempio seguente aggiunge un'interfaccia BGP IPv4 e un'interfaccia BGP IPv6 alla stessa linkedVpnTunnel con indirizzi BGP IPv4 e IPv6 assegnati automaticamente:
```
PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
 "interfaces": [
   {
     "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipVersion": "IPV4"
    },
    {
     "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
     "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
     "ipVersion": "IPV6"
    }

  ]
}
```

Per aggiungere i peer BGP al router Cloud per ogni tunnel VPN, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. Ripeti questo comando per gli altri tunnel VPN, modificando tutte le opzioni in base alle esigenze.

Ad esempio:

PATCH https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
{
"bgpPeers": [
 {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
   "ipAddress": "169.254.0.1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
   "peerAsn": 65002,
   "peerIpAddress": "169.254.0.2",
   "advertiseMode": "DEFAULT"
  },
  {
   "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
   "ipAddress": fdff:1:1:1::1",
   "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
   "peerAsn": 65002,
   "peerIpAddress": "fdff:1:1:1::2",
   "advertiseMode": "DEFAULT"
  }
]
}

Verificare la configurazione

Console

Per verificare la configurazione, vai alla pagina Riepilogo e promemoria:

La sezione Riepilogo di questa pagina elenca le informazioni per il gateway VPN ad alta disponibilità e il profilo del gateway VPN peer. Per ogni tunnel VPN, puoi visualizzare lo stato del tunnel VPN, il nome della sessione BGP, lo stato della sessione BGP e il valore MED (priorità delle route pubblicizzata).
La sezione Promemoria di questa pagina elenca i passaggi da completare per avere una connessione VPN completamente operativa tra Cloud VPN e la tua VPN peer.
Se vuoi scaricare un modello di configurazione per il dispositivo VPN peer, fai clic su Scarica configurazione. Per istruzioni su come selezionare il modello e visualizzare un elenco dei fornitori supportati, consulta Scaricare un modello di configurazione VPN peer. Puoi anche scaricare il modello di configurazione in un secondo momento visitando la pagina Gateway VPN peer.
Dopo aver esaminato le informazioni in questa pagina, fai clic su OK.

gcloud

Per verificare la configurazione del router Cloud, segui questi passaggi:

Elenca gli indirizzi IP della sessione BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a un router Cloud esistente, gli indirizzi IPv4 o IPv6 BGP per la nuova interfaccia potrebbero essere elencati con il numero di indice più alto. Utilizza l'indirizzo IPv6 IPv4 o BGP del protocollo BGP peerIpAddress per configurare il tuo gateway VPN peer:
```
gcloud compute routers get-status ROUTER_NAME \
   --region=REGION \
   --format='flattened(result.bgpPeerStatus[].name,
     result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
```
L'output previsto per un router Cloud che gestisce due tunnel Cloud VPN (indice 0 e indice 1) è simile al seguente esempio, in cui si verifica quanto segue:
- GOOGLE_BGP_IP_0 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IP_0 rappresenta l'indirizzo IP BGP del suo peer.
- GOOGLE_BGP_IP_1 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IP_1 rappresenta l'indirizzo IP BGP del suo peer.
```
  result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
  result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
  result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
  result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
  result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
  result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
```

Puoi anche utilizzare il comando seguente per ottenere un elenco completo della configurazione del router Cloud:

gcloud compute routers describe ROUTER_NAME \
   --region=REGION

La scheda completa è simile al seguente esempio:

bgp:
  advertiseMode: DEFAULT
  asn: 65001
bgpPeers:
- interfaceName: if-tunnel-a-to-on-prem-if-0
  ipAddress: 169.254.0.1
  name: bgp-peer-tunnel-a-to-on-prem-if-0
  peerAsn: 65002
  peerIpAddress: 169.254.0.2
- interfaceName: if-tunnel-a-to-on-prem-if-1
  ipAddress: 169.254.1.1
  name: bgp-peer-tunnel-a-to-on-prem-if-1
  peerAsn: 65004
  peerIpAddress: 169.254.1.2
creationTimestamp: '2018-10-18T11:58:41.704-07:00'
id: '4726715617198303502'
interfaces:
- ipRange: 169.254.0.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
  name: if-tunnel-a-to-on-prem-if-0
- ipRange: 169.254.1.1/30
  linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
  name: if-tunnel-a-to-on-prem-if-1
  kind: compute#router
  name: router-a
  network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
  region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
  selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a

API

Per verificare la configurazione del router Cloud, effettua una richiesta GET utilizzando il metodo routers.getRouterStatus e utilizza un corpo della richiesta vuoto:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crea un tunnel aggiuntivo su un gateway a tunnel singolo

Console

Per ricevere uno SLA con uptime del 99,99%, configura un tunnel su ciascuna interfaccia VPN ad alta disponibilità di un gateway VPN ad alta disponibilità.

Configura un secondo tunnel nei seguenti casi:

Se hai configurato un gateway VPN ad alta disponibilità per un gateway VPN peer con un'unica interfaccia VPN peer.
Se in precedenza hai configurato un singolo tunnel su una VPN ad alta disponibilità per un gateway VPN peer che contiene un numero qualsiasi di interfacce, ma ora vuoi uno SLA con uptime del 99,99% per il gateway VPN ad alta disponibilità.

Per configurare un secondo tunnel, segui la procedura descritta in Aggiungere un tunnel da un gateway VPN ad alta disponibilità a un gateway VPN peer.

(Facoltativo) Imposta la priorità della route annunciata di base

Le sessioni BGP create consentono a ogni router Cloud di pubblicizzare le route a reti peer. Gli annunci utilizzano priorità di base non modificate.

Utilizza la configurazione documentata in Creazione di una coppia di gateway VPN ad alta disponibilità e tunnel a una VPN peer per le configurazioni di routing attivo/attivo in cui le priorità di route annunciate dei due tunnel VPN dal lato Google Cloud e dal lato peer corrispondono. Per configurare le stesse priorità di route annunciate da Google Cloud a entrambi i peer BGP, ometti la priorità delle route annunciate sul lato Google Cloud.

Per creare una configurazione attiva/passiva, configura priorità di route annunciate disuguali per i due tunnel VPN ad alta disponibilità. Una priorità di route annunciata deve essere superiore all'altra. Ad esempio:

Sessione BGP1/tunnel1, priorità route = 10
Sessione2/tunnel2 BGP, priorità route = 20

Per ulteriori informazioni sulla priorità delle route di base pubblicizzate, consulta Prefissi e priorità annunciati.

Puoi anche specificare quali route vengono annunciate utilizzando annunci personalizzati:

Aggiungi il flag --advertisement-mode=CUSTOM (gcloud) o il flag advertiseMode: custom (API).
Specifica gli intervalli di indirizzi IP con il flag --set-advertisement-ranges (gcloud) o advertisedIpRanges (API).

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e i relativi tunnel VPN associati, completa i seguenti passaggi:

Imposta il gateway VPN peer e configura il tunnel o i tunnel corrispondenti da lì. Per le istruzioni, vedi quanto segue:
- Per indicazioni sulla configurazione specifiche per determinati dispositivi VPN peer, consulta Utilizzare VPN di terze parti.
- Per le topologie peer supportate, consulta Topologie Cloud VPN.
- Per i parametri di configurazione generali, consulta Configurare il gateway VPN peer.
Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.

Passaggi successivi

Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta Limitare gli indirizzi IP per i gateway VPN peer.
Per utilizzare scenari di alta disponibilità e velocità effettiva elevata o scenari con più subnet, consulta Configurazioni avanzate.
Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta Risoluzione dei problemi.