Nesta página, você verá instruções sobre como configurar dispositivos VPN de terceiros para oferecer suporte a tráfego de pilha dupla (IPv4 e IPv6) ou somente IPv6 com o Cloud VPN.
Para ativar o tráfego de pilha dupla nos túneis de VPN de alta disponibilidade, configure o gateway de VPN de peering com endereços IPv6 de próximo salto. Em túneis VPN de alta disponibilidade com tráfego de pilha dupla ativado, as rotas IPv4 e IPv6 são trocadas em sessões BGP usando BGP multiprotocolo (MP-BGP) com endereços IPv4 de link local. O Cloud Router e o gateway de VPN de peering precisam da configuração do próximo salto IPv6 para rotear o tráfego IPv6 de e para a nuvem privada virtual (VPC) e suas redes de peering.
Somente os gateways de VPN de alta disponibilidade são compatíveis com tráfego de pilha dupla ou somente IPv6. A VPN clássica não é compatível com o tráfego IPv6. Verifique se o gateway de VPN de peering está configurado para usar o IKEv2 nos túneis de VPN de alta disponibilidade.
Suporte de VPN de terceiros para o tráfego de pilha dupla
A tabela a seguir resume o suporte de dispositivos VPN de terceiros para o tráfego de pilha dupla em túneis IPsec.
Plataforma do fornecedor | Versão testada para a configuração de pilha dupla |
Tráfego IPv6 no túnel IPsec IPv4 | Tráfego somente IPv6 | Família de endereços de pilha dupla | Configuração interoperável do tráfego de pilha dupla |
---|---|---|---|---|---|
Cisco para iOS | Sem suporte | Sem suporte | Compatível | Sem suporte | Use túneis de encapsulamento de roteamento genérico (GRE, na sigla em inglês) e um roteador virtual para transportar o tráfego IPsec pelo GRE. |
Check Point | Sem suporte | Sem suporte | Sem suporte | Sem suporte | Use túneis de encapsulamento de roteamento genérico (GRE, na sigla em inglês) e um roteador virtual para transportar o tráfego IPsec pelo GRE. |
Juniper JunOS | 20.2R3-S2.5 | Compatível | Incompatível | Compatível | Compatível com túneis de VPN de alta disponibilidade que podem realizar tráfego IPv4 e IPv6. |
Palo Alto Networks PAN-OS | 9.1 | Compatível | Sem suporte | Sem suporte | Exige túneis de VPN de alta disponibilidade separados configurados para tráfego IPv4 ou IPv6, mas não ambos. |
Juniper JunOS
O procedimento a seguir descreve como configurar o suporte do dispositivo de VPN Juniper JunOS ao tráfego IPv4 e IPv6 nos túneis de VPN de alta disponibilidade.
Embora você configure endereços IPv6 nas interfaces do túnel do dispositivo, os endereços IPv6 são usados apenas para a configuração do próximo salto do IPv6. As rotas IPv6 são anunciadas por meio de informações de acessibilidade da camada de rede (NLRI, na sigla em inglês) IPv6 por peering do BGP IPv4.
Antes de começar
No Google Cloud, configure um gateway de VPN de alta disponibilidade de pilha dupla e dois túneis de VPN de alta disponibilidade. Ambos os túneis de VPN de alta disponibilidade realizam o tráfego IPv4 e IPv6.
Registre os dois endereços IPv4 externos que o Google Cloud atribui às duas interfaces de gateway da VPN de alta disponibilidade.
Registre os seguintes valores de configuração para cada túnel:
- O endereço IPv4 link-local do peering do BGP, que é o dispositivo Juniper JunOS
- O endereço IPv4 link-local do Cloud Router usado para o peering do BGP
- O endereço IPv6 do próximo salto atribuído ao peering ou
peerIpv6NexthopAddress
- O ASN que você atribuiu ao Cloud Router para as sessões do BGP
- O ASN que você atribuiu ao peering do BGP, que é o dispositivo Juniper JunOS
- A chave pré-compartilhada
Para encontrar os detalhes da configuração da sessão do BGP, consulte Ver configuração da sessão do BGP.
Configurar o JunOS
Para configurar dispositivos JunOS, siga estas etapas:
Para cada interface de túnel de VPN, configure os endereços IPv6 de próximo salto de peering do BGP que você recuperou do Cloud Router. Essas interfaces são mesmas que receberam os endereços link-local para peering de IPv4.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
Substitua os seguintes valores:
PEER_BGP_IP_1
: o endereço IPv4 do BGP do peering para a interface do primeiro túnel com a respectiva máscara de sub-redePEER_IPV6_NEXT_HOP_ADDRESS_1
: o endereço IPv6 do próximo salto do peering para a interface do primeiro túnel com a respectiva máscara de sub-redePEER_BGP_IP_2
: o endereço IPv4 do BGP do peering para a interface do segundo túnel com a respectiva máscara de sub-redePEER_IPV6_NEXT_HOP_ADDRESS_2
: o endereço IPv6 do próximo salto do peering para a interface do segundo túnel com a respectiva máscara de sub-rede
Exemplo:
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
Configure a proposta, a política e os objetos do gateway IKE.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
Substitua os seguintes valores:
HA_VPN_INTERFACE_ADDRESS_0
: o endereço IPv4 externo da interface do primeiro túnel no gateway de VPN de alta disponibilidadeHA_VPN_INTERFACE_ADDRESS_1
: o endereço IPv4 externo da interface do segundo túnel no gateway da VPN de alta disponibilidadeSHARED_SECRET
: a chave pré-compartilhada configurada para o túnel de VPN de alta disponibilidade
Configure a proposta e a política IPsec. Exemplo:
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
Defina as configurações de gateway da VPN IPsec e vincule-as às interfaces do túnel. Exemplo:
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
Crie as instruções de política que alteram o próximo salto de peering de IPv6 para endereços IPv6 de próximo salto.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Substitua os seguintes valores:
PEER_IPV6_NEXT_HOP_ADDRESS_1
: o endereço IPv6 do próximo salto do peering do BGP para o primeiro túnelPEER_IPV6_NEXT_HOP_ADDRESS_2
: o endereço IPv6 do próximo salto do peering do BGP para o segundo túnel
Exemplo:
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Configure o BGP para troca de rotas IPv6.
Ao configurar o BGP, especifique instruções
include-mp-next-hop
para enviar o atributo do próximo salto para o peering.Depois, exporte a instrução da política definida na etapa anterior para alterar o próximo salto para o endereço IPv6.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
Substitua os seguintes valores:
ROUTER_BGP_IP_1
: o endereço IPv4 atribuído ao Cloud Router para o primeiro túnelROUTER_BGP_IP_2
: o endereço IPv4 atribuído ao Cloud Router para o segundo túnelROUTER_ASN
: o ASN atribuído ao Cloud Router para as sessões do BGPPEER_ASN
: o ASN que você atribuiu ao peering do BGP, que é o dispositivo Juniper JunOS
O exemplo a seguir mostra as instruções
include-mp-next-hop
eexport
em negrito:set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
Verifique a conectividade do BGP.
show route protocol bgp
Palo Alto Networks PAN-OS
Nesta seção, descrevemos como configurar o suporte do dispositivo Palo Alto Networks PAN-OS ao tráfego IPv4 e IPv6 nos túneis de VPN de alta disponibilidade.
O PAN-OS é compatível com o transporte de tráfego IPv6 por IPv4. No entanto, o PAN-OS não é compatível com famílias de endereços de pilha dupla. Por isso, é necessário configurar túneis VPN separados que realizam um dos tráfegos: IPv4 ou IPv6.
Para mais informações sobre como configurar dispositivos PAN-OS para uso com VPN, consulte a documentação da VPN Palo Alto PAN-OS.
Antes de começar
No Google Cloud, configure dois gateways de VPN de alta disponibilidade e quatro túneis de VPN de alta disponibilidade. Dois túneis são para tráfego IPv6 e dois túneis para tráfego IPv4.
Crie o gateway e os túneis de VPN de alta disponibilidade para o tráfego IPv4. Crie o seguinte:
- Um gateway de VPN de alta disponibilidade que usa o tipo de pilha única IPv4
- Dois túneis de VPN que podem realizar tráfego IPv4
Crie o gateway e os túneis de VPN de alta disponibilidade para o tráfego IPv6. Crie o seguinte:
- Um gateway de VPN de alta disponibilidade que usa o tipo de pilha dupla
- Dois túneis de VPN que podem realizar tráfego IPv6
- Ative IPv6 nas sessões do BGP para os túneis IPv6
Registre os endereços IPv4 externos que o Google Cloud atribui a cada interface de gateway da VPN de alta disponibilidade.
Registre os seguintes valores de configuração para cada túnel:
- O endereço IPv4 link-local do peering do BGP, que é o lado do PAN-OS da sessão do BGP
- O endereço IPv4 link-local do Cloud Router usado para o peering do BGP
- O ASN que você atribuiu ao peering do BGP, que é o dispositivo PAN-OS
- O ASN que você atribuiu ao Cloud Router para as sessões do BGP
- A chave pré-compartilhada
Para cada túnel IPv6, registre também o
peerIpv6NexthopAddress
, que é o endereço do próximo salto IPv6 atribuído ao peering do BGP. Ao criar o túnel de VPN, esse endereço pode ser atribuído automaticamente pelo Google Cloud ou especificado manualmente por você.
Para encontrar os detalhes da configuração da sessão do BGP, consulte Ver configuração da sessão do BGP.
Configurar o PAN-OS
Para configurar o dispositivo Palo Alto Networks, siga as etapas a seguir na interface da Web do PAN-OS.
Ative o firewall IPv6.
Selecione Dispositivo > Configuração > Configurações da sessão.
- Selecione Ativar firewall IPv6.
Criar uma interface de loopback para IPv4 e IPv6.
- Selecione Rede > Interfaces > Interface de loopback e crie uma nova interface de loopback.
- Crie uma interface de loopback. Por exemplo,
loopback.10
. - Na guia Configuração, defina o Roteador virtual como
external
e a Zona de segurança comoZONE_EXTERNAL
. - Na guia IPv4, atribua a interface de loopback com intervalos de endereços IPv4 apropriados para a rede no local.
- Na guia IPv6, selecione IPv6 e adicione um intervalo de endereços IPv6 apropriado para a rede no local.
- Na guia Avançado, especifique um Perfil de gerenciamento para a interface de loopback. Verifique se o perfil que você especificou permite o ping para verificar a conectividade.
Crie quatro túneis de gateway IKE, dois túneis para o tráfego IPv6 e dois túneis para o tráfego IPv4. Cada túnel se conecta a uma interface em um gateway de VPN de alta disponibilidade.
- Criar dois túneis para o tráfego IPv6.
- Selecione Rede > Interfaces > Túnel e crie um novo túnel.
- Especifique um nome para o primeiro túnel. Por exemplo,
tunnel.1
. - Na guia Configuração, defina o Roteador virtual como
external
e a Zona de segurança comoZONE_EXTERNAL
. - Na guia IPv4, especifique o endereço link-local do peering do BGP que você configurou ao criar os túneis de VPN de alta disponibilidade.
Por exemplo,
169.254.0.2/30
. - Na guia IPv6, selecione IPv6 e especifique o endereço IPv6 do próximo salto configurado para o peering do BGP. Por exemplo,
2600:2D00:0:2::2/125
. - Na guia Avançado, defina a MTU como
1460
. - Repita esse procedimento para o segundo túnel. Por exemplo,
tunnel.2
. Nas guias IPv4 e IPv4, especifique os valores apropriados para os campos de peering do BGP e próximo salto IPv6. Use os valores que correspondem ao segundo túnel da VPN de alta disponibilidade de pilha dupla. Por exemplo,169.254.1.2/30
e2600:2D00:0:3::3/125
.
- Criar dois túneis para o tráfego IPv4.
- Selecione Rede > Interfaces > Túnel e crie um novo túnel.
- Especifique um nome para o terceiro túnel. Por exemplo,
tunnel.3
. - Na guia Configuração, defina o Roteador virtual como
external
e a Zona de segurança comoZONE_EXTERNAL
. - Na guia IPv4, especifique o endereço link-local do peering do BGP que você configurou ao criar os túneis de VPN de alta disponibilidade.
Por exemplo,
169.254.2.2/30
. - Pule a configuração da guia IPv6.
- Na guia Avançado, defina a MTU como
1460
. - Repita esse procedimento no quarto túnel. Por exemplo,
tunnel.4
. Na guia IPv4, especifique os valores apropriados para o peering do BGP que corresponde ao segundo túnel da VPN de alta disponibilidade somente IPv4. Por exemplo,169.254.3.2/30
.
- Criar dois túneis para o tráfego IPv6.
Crie um perfil de criptografia IPsec.
- Selecione Rede > Criptografia IPSec e crie um novo perfil.
- Insira valores nos campos a seguir:
- Nome: digite o nome do perfil. Por exemplo,
ha-vpn
. - Protocolo IPSec: selecione ESP.
- Criptografia: adicione uma criptografia IKE compatível.
- Autenticação: especifique uma função hash. Por exemplo,
sha512
. - Grupo DH: selecione um grupo DH. Por exemplo, group14.
- Ciclo de vida: selecione Horas e insira
3
.
- Nome: digite o nome do perfil. Por exemplo,
- Clique em OK.
Crie um perfil de criptografia IKE.
- Selecione Rede > Criptografia IKE.
- Insira valores nos campos a seguir:
- Nome: digite o nome do perfil. Por exemplo,
ha-vpn
. - Grupo DH: verifique se o grupo DH selecionado para o perfil de criptografia IPsec aparece na lista.
- Autenticação: especifique uma função hash. Por exemplo,
sha512
. - Criptografia: adicione uma criptografia IKE compatível.
- Nome: digite o nome do perfil. Por exemplo,
- No painel Temporizadores, selecione Horas para Ciclo de vida de chaves e digite
10
. - Clique em OK.
Depois de criar quatro túneis IKE, crie quatro gateways IKE, um para cada túnel.
- Selecione Rede > Gateways IKE e crie um novo gateway.
- Na guia Geral, insira valores nos campos a seguir:
- Nome: nome do gateway IKE para o primeiro túnel.
Por exemplo,
havpn-v6-tunnel1
. - Versão: selecione
IKEv2 only mode
. - Tipo de endereço: selecione
IPv4
. - Interface: especifique a interface de loopback criada no início deste procedimento. Por exemplo,
loopback.10
. - Endereço IP local: especifique um intervalo de endereços IPv4 apropriado para a rede no local.
- Tipo de endereço IP de peering: selecione
IP
. - Endereço de peering: especifique o endereço IPv4 externo da primeira interface de VPN de alta disponibilidade para o túnel.
- Autenticação: selecione
Pre-Shared Key
. - Chave pré-compartilhada, Confirmar chave pré-compartilhada: insira a senha secreta que você configurou no Google Cloud para o túnel.
- Identificação local: selecione endereço IP e especifique um endereço IPv4 apropriado para a rede no local.
- Identificação de peering: selecione o endereço IP e o endereço IPv4 externo da interface de VPN de alta disponibilidade para o túnel.
- Nome: nome do gateway IKE para o primeiro túnel.
Por exemplo,
- Selecione a guia Opções avançadas.
- Para o Perfil de criptografia IKE, selecione o perfil que você criou anteriormente. Por exemplo,
ha-vpn
. - Ative a Verificação de atividade e digite
5
para o Intervalo (segundos). - Clique em OK.
- Repita esse procedimento para os outros três túneis, mas substitua os valores apropriados nos campos a seguir:
- Nome: nome do gateway IKE para o túnel.
Por exemplo,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ouhavpn-v4-tunnel2
. - Endereço IP local / Identificação local: especifique um endereço IPv4 não utilizado apropriado para a rede no local.
- Endereço de peering / Identificação de peering: especifique o endereço IPv4 externo para a interface de VPN de alta disponibilidade correspondente do túnel.
- Chave pré-compartilhada: especifique a senha secreta configurada para o túnel.
- Nome: nome do gateway IKE para o túnel.
Por exemplo,
Crie quatro túneis IPsec.
- Selecione Rede > Túneis IPSec e crie um novo túnel.
- Insira valores nos campos a seguir:
- Nome: um nome exclusivo para o túnel. Por exemplo,
hapvpn-tunnel-1
. - Interface do túnel: selecione uma interface para o túnel de gateway IKE que você criou anteriormente. Por exemplo,
tunnel.1
. - Tipo: selecione Chave automática.
- Tipo de endereço: selecione IPv4.
- Gateway de IKE: selecione um dos gateways IKE que você criou anteriormente.
Por exemplo,
havpn-v6-tunnel
. - Perfil de criptografia IPSec: selecione o perfil que você criou anteriormente.
Por exemplo,
ha-vpn
.
- Nome: um nome exclusivo para o túnel. Por exemplo,
- Não configure IDs de proxy.
- Clique em OK.
- Repita esse procedimento para os outros três túneis, mas substitua os valores apropriados nos campos a seguir:
- Nome: um nome exclusivo para o túnel IPsec.
Por exemplo,
havpn-tunnel2
,havpn-tunnel3
ouhavpn-tunnel4
. - Interface do túnel: selecione uma interface não utilizada para o túnel de gateway IKE que você criou anteriormente. Por exemplo,
tunnel.2
,tunnel.3
outunnel.4
. - Gateway de IKE: selecione um dos gateways IKE que você criou anteriormente.
Por exemplo,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ouhavpn-v4-tunnel2
.
- Nome: um nome exclusivo para o túnel IPsec.
Por exemplo,
Opcional: Configure o ECMP.
- Selecione Rede > Roteadores virtuais > ROUTER_NAME > Configurações do roteador > ECMP.
- Na guia ECMP, selecione ECMP.
- Clique em OK.
Configure o BGP.
- Selecione Rede > Roteadores virtuais > ROUTER_NAME > Configurações do roteador > BGP.
- Na guia Geral, selecione Ativar.
- No campo ID do roteador, insira o endereço IPv4 link-local atribuído ao peering do BGP, que é o lado do PAN-OS da sessão do BGP.
- No campo Número do AS, insira o ASN para o lado do PAN-OS da sessão do BGP.
- Em Opções, verifique se a opção Instalar rota está selecionada.
- Clique em OK.
Crie um grupo de peering do BGP com um peering do BGP para cada túnel IPv6. Crie um grupo de peering do BGP separado para cada túnel IPv6 para configurar um endereço IPv6 do próximo salto diferente por túnel.
- Selecione Rede > Roteadores virtuais > ROUTER_NAME > Configurações do roteador > BGP > Grupo de peering.
- Na guia Grupo de peering, crie um novo grupo de peering para o primeiro túnel IPv6.
- No campo Nome, digite um nome para o grupo de peering. Por exemplo,
havpn-bgp-v6-tunnel1
. - Selecione Ativar.
- Selecione Caminho do AS confed agregado.
- Na lista Tipo, selecione EBGP.
- Em Importar próximo salto, selecione Original.
- Em Exportar próximo salto, selecione Resolver.
- Selecione Remover AS particular.
- No painel Peering, clique em Adicionar para adicionar um peering ao grupo de peering do BGP.
- Na caixa de diálogo Peering, insira estes valores:
- Nome: nome do peering. Por exemplo,
havpn-v6-tunnel1
. - Selecione Ativar.
- AS do peering: o ASN atribuído ao Cloud Router para a sessão do BGP.
- Na guia Endereçamento, configure estas opções:
- Selecione Ativar extensões MP-BGP.
- Em Tipo de família de endereços, selecione IPv6.
- Em Endereço local, em Interface, selecione o primeiro túnel que você definiu ao criar os túneis de gateway IKE. Por exemplo,
tunnel.1
. - Em IP, selecione o endereço IPv4 link-local do peering do BGP.
Por exemplo,
169.254.0.2./30
. - Em Endereço de peering, em Tipo, selecione IP.
- Em Endereço, selecione o endereço IPv4 link-local do Cloud Router para essa sessão do BGP. Por exemplo,
169.254.0.1
.
- Clique em OK.
- Nome: nome do peering. Por exemplo,
- Depois de terminar de adicionar o peering, clique em OK.
- Repita este procedimento para o outro túnel IPv6, mas substitua os valores apropriados nos campos a seguir:
- Nome: um nome exclusivo para o grupo de peering do BGP.
Por exemplo,
havpn-bgp-v6-tunnel2
. - Na caixa de diálogo Peering, insira os valores apropriados para o túnel nos campos a seguir:
- Nome: nome do peering. Por exemplo,
havpn-v6-tunnel1
. - Em Endereço local, em Interface, selecione o segundo túnel que você definiu ao criar os túneis de gateway IKE. Por exemplo,
tunnel.2
. - Em IP, selecione o endereço IPv4 link-local do peering do BGP para o segundo túnel. Por exemplo,
169.254.1.2./30
. - Em Endereço de peering, em Endereço, selecione o endereço IPv4 link-local do Cloud Router para essa sessão do BGP.
Por exemplo,
169.254.1.1
.
- Nome: nome do peering. Por exemplo,
- Nome: um nome exclusivo para o grupo de peering do BGP.
Por exemplo,
Crie um grupo de peering do BGP para os túneis IPv4.
- Selecione Rede > Roteadores virtuais > ROUTER_NAME > Configurações do roteador > BGP > Grupo de peering.
- Na guia Grupo de peering, crie um novo grupo de peering para o túnel IPv4.
- No campo Nome, digite um nome para o grupo de peering. Por exemplo,
havpn-bgp-v4
. - Selecione Ativar.
- Selecione Caminho do AS confed agregado.
- Na lista Tipo, selecione EBGP.
- Em Importar próximo salto, selecione Original.
- Em Exportar próximo salto, selecione Resolver.
- Selecione Remover AS particular.
- No painel Peering, clique em Adicionar para adicionar um peering ao grupo de peering do BGP.
- Na caixa de diálogo Peering, insira estes valores:
- Nome: insira um nome para o peering. Por exemplo,
havpn-v4-tunnel1
. - Selecione Ativar.
- AS do peering: o ASN atribuído ao Cloud Router para a sessão do BGP.
- Na guia Endereçamento, configure estas opções:
- Não selecione Ativar extensões MP-BGP.
- Em Tipo de família de endereços, selecione
IPv4
. - Em Endereço local, em Interface, selecione o terceiro túnel que você definiu ao criar os túneis de gateway IKE. Por exemplo,
tunnel.3
. - Em IP, selecione o endereço IPv4 link-local do peering do BGP.
Por exemplo,
169.254.2.2./30
. - Em Endereço de peering, selecione
IP
para Tipo. - Em Endereço, selecione o endereço IPv4 link-local do Cloud Router para essa sessão do BGP. Por exemplo,
169.254.2.1
.
- Clique em OK.
- Nome: insira um nome para o peering. Por exemplo,
- No painel Peering, clique em Adicionar para adicionar o segundo peering ao grupo de peering do BGP.
- Na caixa de diálogo Peering, insira estes valores:
- Nome: insira um nome para o peering. Por exemplo,
havpn-v4-tunnel2
. - Selecione Ativar.
- AS do peering: o ASN atribuído ao Cloud Router para a sessão do BGP.
- Na guia Endereçamento, configure estas opções:
- Não selecione Ativar extensões MP-BGP.
- Em Tipo de família de endereços, selecione IPv4.
- Em Endereço local, em Interface, selecione o quarto túnel que você definiu ao criar os túneis de gateway IKE. Por exemplo,
tunnel.4
. - Em IP, selecione o endereço IPv4 link-local do peering do BGP.
Por exemplo,
169.254.3.2./30
. - Em Endereço de peering, em Tipo, selecione IP.
- Em Endereço, selecione o endereço IPv4 link-local do Cloud Router para essa sessão do BGP. Por exemplo,
169.254.3.1
.
- Nome: insira um nome para o peering. Por exemplo,
- Clique em OK.
- Depois de terminar de adicionar os dois peers, clique em OK.
Exporte as regras de configuração do BGP para os grupos de peering do BGP dos túneis IPv6. Nesta etapa, você atribui diferentes endereços IPv6 de próximo salto aos túneis.
- Selecione Rede > Roteadores virtuais > ROUTER_NAME > Configurações do roteador > BGP > Exportar.
- Na caixa de diálogo Exportar regra, digite um nome no campo Regras. Por exemplo,
havpn-tunnel1-v6
. - Selecione Ativar.
- No painel Usado por, clique em Adicionar para adicionar o grupo de peering do BGP que você criou para o primeiro túnel IPv6.
Por exemplo,
havpn-bgp-v6-tunnel1
. - Na guia Correspondência, selecione Unicast na lista Tabela de rotas.
- Em Prefixo do endereço, adicione o prefixo dos endereços IPv6 usados na rede no local.
- Na guia Ação, configure estas opções:
- Na lista Ação, selecione Permitir.
- No Próximo salto, insira o endereço IPv6 do próximo salto atribuído ao peering do BGP quando você criou o túnel. Por exemplo,
2600:2D00:0:2::2
.
- Clique em OK.
- Repita este procedimento para o grupo de peering do BGP usado pelo segundo túnel IPv6, mas substitua os valores apropriados nos campos a seguir:
- Na caixa de diálogo Exportar regra, digite um nome exclusivo no campo Regras. Por exemplo,
havpn-tunnel2-v6
. - No painel Usado por, clique em Adicionar para adicionar o grupo de peering do BGP que você criou para o segundo túnel IPv6.
Por exemplo,
havpn-bgp-v6-tunnel1
.
- Na caixa de diálogo Exportar regra, digite um nome exclusivo no campo Regras. Por exemplo,
- Na guia Ação, configure o campo Próximo salto e insira o endereço IPv6 do próximo salto atribuído ao peering do BGP para esse túnel.
Por exemplo,
2600:2D00:0:3::3
.