Auf dieser Seite wird beschrieben, wie Sie VPN-Geräte von Drittanbietern für die Unterstützung von IPv4- und IPv6-Traffic (Dual-Stack) mit Cloud VPN konfigurieren.
Zum Austausch von Dual-Stack-Traffic in Ihren Cloud VPN-Tunneln müssen Sie Ihr Peer-VPN-Gateway-Gerät mit IPv6-Adressen für den nächsten Hop konfigurieren. In Dual-Stack-HA VPN-Tunneln werden sowohl IPv4- als auch IPv6-Routenaustausch über BGP-Sitzungen mit MP-BGP ausgeführt, die mit Link-Local-IPv4-Adressen konfiguriert sind. Sowohl der Cloud Router als auch das Peer-VPN-Gerät erfordern eine IPv6-Konfiguration für den nächsten Hop, um IPv6-Traffic an die Virtual Private Cloud- und Peer-Netzwerke weiterzuleiten.
Nur HA VPN-Gateways unterstützen Dual-Stack-Konfigurationen. Klassisches VPN unterstützt keinen IPv6-Traffic. Außerdem müssen Sie Ihr Peer-VPN-Gerät so konfigurieren, dass IKEv2 für seine HA VPN-Tunnel verwendet wird.
Unterstützung von Drittanbietern für Dual-Stack-Traffic
In der folgenden Tabelle ist die Unterstützung von VPN-Geräten von Drittanbietern für Dual-Stack-Traffic über IPsec-Tunnel zusammengefasst.
Anbieterplattform | Version, die für die -Dual-Stack-Konfiguration getestet wurde |
IPv6-Traffic über IPv4-IPsec-Tunnel | Dual-Stack-Adressfamilie | Interoperabilitätskonfiguration für Dual-Stack-Traffic |
---|---|---|---|---|
Cisco IOS/IOS-XE | – | Nicht unterstützt | Nicht unterstützt | Verwenden Sie GRE-Tunnel und einen virtuellen Router für den Übertragung von IPsec-Traffic über GRE. |
Check Point | – | Nicht unterstützt | Nicht unterstützt | Verwenden Sie GRE-Tunnel und einen virtuellen Router für den Übertragung von IPsec-Traffic über GRE. |
Juniper JunOS | 20.2R3-S2.5 | Unterstützt | Unterstützt | Unterstützt HA VPN-Tunnel, die sowohl IPv4- als auch IPv6-Traffic übertragen können |
Logo: Palo Alto Networks PAN-OS | 9.1 | Unterstützt | Nicht unterstützt | Erfordert separate HA VPN-Tunnel, die für IPv4- oder IPv6-Traffic konfiguriert sind, aber nicht beides. |
Juniper JunOS
Im folgenden Verfahren wird beschrieben, wie Sie Ihr Juniper JunOS-VPN-Gerät so einrichten, dass IPv4- und IPv6-Traffic in Ihren HA VPN-Tunneln unterstützt wird.
Obwohl Sie IPv6-Adressen auf den Tunnelschnittstellen des Geräts konfigurieren, werden die IPv6-Adressen ausschließlich für die IPv6-Konfiguration des nächsten Hops verwendet. IPv6-Routen werden über IPv6 NLRI über IPv4-BGP-Peering beworben.
Hinweis
Richten Sie in Google Cloud ein Dual-Stack-HA VPN-Gateway und zwei HA VPN-Tunnel ein. Beide HA VPN-Tunnel übertragen IPv4- und IPv6-Traffic.
Notieren Sie sich die beiden externen IPv4-Adressen, die Google Cloud den beiden HA VPN-Gateway-Schnittstellen zuweist.
Notieren Sie für jeden Tunnel die folgenden Konfigurationswerte:
- Die Link-Local-IPv4-Adresse des BGP-Peers, also Ihres Juniper JunOS-Geräts
- Die Link-Local-IPv4-Adresse des Cloud Routers, der für das BGP-Peering verwendet wird
- Die IPv6-Adresse des nächsten Hops, die dem Peer oder
peerIpv6NexthopAddress
zugewiesen ist - Die ASN, die Sie dem Cloud Router für Ihre BGP-Sitzungen zugewiesen haben.
- Die ASN, die Sie dem BGP-Peer zugewiesen haben, also Ihrem Juniper JunOS-Gerät.
- Der vorinstallierte Schlüssel
Weitere Informationen zur Konfiguration der BGP-Sitzung finden Sie unter BGP-Sitzungskonfiguration anzeigen.
JunOS konfigurieren
Führen Sie die folgenden Schritte aus, um JunOS-Geräte zu konfigurieren:
Konfigurieren Sie für jede VPN-Tunnel-Schnittstelle die BGP-Peer-IPv6-Adressen für den nächsten Hop, die Sie vom Cloud Router abgerufen haben. Dies sind dieselben Schnittstellen, denen Link-Local-Adressen für IPv4-Peering zugewiesen sind.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
Ersetzen Sie die folgenden Werte:
PEER_BGP_IP_1
: die BGP-IP-Adresse des Peers für die erste Tunnelschnittstelle mit ihrer SubnetzmaskePEER_IPV6_NEXT_HOP_ADDRESS_1
: die IPv6-Adresse des nächsten Hops des Peers für die erste Tunnelschnittstelle mit ihrer SubnetzmaskePEER_BGP_IP_2
: die BGP-IP-Adresse des Peers für die zweite Tunnelschnittstelle mit ihrer SubnetzmaskePEER_IPV6_NEXT_HOP_ADDRESS_2
: die IPv6-Adresse des nächsten Hops des Peers für die zweite Tunnelschnittstelle mit seiner Subnetzmaske.
Beispiel:
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
Konfigurieren Sie das IKE-Angebot, die IKE-Richtlinie und die IKE-Gateway-Objekte.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
Ersetzen Sie die folgenden Werte:
HA_VPN_INTERFACE_ADDRESS_0
: die externe IPv4-Adresse der ersten Tunnelschnittstelle auf dem HA VPN-GatewayHA_VPN_INTERFACE_ADDRESS_1
: die externe IPv4-Adresse der zweiten Tunnelschnittstelle auf dem HA VPN-GatewaySHARED_SECRET
: der vorinstallierte Schlüssel, den Sie für den HA VPN-Tunnel konfiguriert haben
IPsec-Angebot und IPsec-Richtlinie konfigurieren. Beispiel:
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
Konfigurieren Sie die IPsec-VPN-Gateway-Konfigurationen und binden Sie sie an die Tunnelschnittstellen. Beispiel:
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
Erstellen Sie die Richtlinienanweisungen, die den nächsten Hop für IPv6-Peers in die Adressen des nächsten Hops von IPv6 ändern.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Ersetzen Sie die folgenden Werte:
PEER_IPV6_NEXT_HOP_ADDRESS_1
: die IPv6-Adresse des nächsten Hops des BGP-Peers für den ersten TunnelPEER_IPV6_NEXT_HOP_ADDRESS_2
: die IPv6-Adresse des nächsten Hops des BGP-Peers für den zweiten Tunnel
Beispiel:
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Konfigurieren Sie BGP für IPv6-Routenaustausch.
Beim Konfigurieren von BGP müssen Sie
include-mp-next-hop
-Anweisungen angeben, um das nächste Hop-Attribut an den Peer zu senden.Anschließend exportieren Sie die im vorherigen Schritt definierte Richtlinienanweisung, um den nächsten Hop in die IPv6-Adresse zu ändern.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
Ersetzen Sie die folgenden Werte:
ROUTER_BGP_IP_1
: die IPv4-Adresse, die dem Cloud Router für den ersten Tunnel zugewiesen istROUTER_BGP_IP_2
: die IPv4-Adresse, die dem Cloud Router für den zweiten Tunnel zugewiesen wurdeROUTER_ASN
: Die ASN, die dem Cloud Router für Ihre BGP-Sitzungen zugewiesen ist.PEER_ASN
: Die ASN, die Sie dem BGP-Peer zugewiesen haben, also Ihr Juniper JunOS-Gerät.
Im folgenden Beispiel sind die Anweisungen
include-mp-next-hop
undexport
fett formatiert:set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
Überprüfen Sie die BGP-Konnektivität.
show route protocol bgp
Logo: Palo Alto Networks PAN-OS
In diesem Abschnitt wird beschrieben, wie Sie Ihr PAN-OS-Gerät im Palo Alto Networks so einrichten, dass IPv4- und IPv6-Traffic in Ihren HA VPN-Tunneln unterstützt wird.
PAN-OS unterstützt den Transport von IPv6-Traffic über IPv4. PAN-OS unterstützt jedoch keine Dual-Stack-Adressfamilien. Daher müssen Sie separate VPN-Tunnel einrichten, die entweder IPv4- oder IPv6-Traffic übertragen.
Weitere Informationen zum Konfigurieren von PAN-OS-Geräten für die Verwendung mit VPN finden Sie in der Palo Alto PAN OS-VPN-Dokumentation.
Hinweis
Richten Sie in Google Cloud zwei HA VPN-Gateways und vier HA VPN-Tunnel ein. Zwei Tunnel sind für IPv6-Traffic und zwei Tunnel für IPv4-Traffic.
Erstellen Sie das HA VPN-Gateway und die Tunnel für IPv4-Traffic. Erstellen Sie Folgendes:
- Ein HA VPN-Gateway, das den reinen IPv4-Stack-Typ verwendet
- Zwei VPN-Tunnel, die IPv4-Traffic übertragen können
Erstellen Sie das HA VPN-Gateway und die Tunnel für IPv6-Traffic. Erstellen Sie Folgendes:
- Ein HA VPN-Gateway, das den Stack-Typ IPv4 und IPv6 (Dual-Stack) verwendet
- Zwei VPN-Tunnel, die IPv6-Traffic übertragen können
- IPv6 in den BGP-Sitzungen für die IPv6-Tunnel aktivieren
Notieren Sie sich die externen IPv4-Adressen, die Google Cloud jeder HA VPN-Gateway-Schnittstelle zuweist.
Notieren Sie für jeden Tunnel die folgenden Konfigurationswerte:
- Die Link-Local-IPv4-Adresse des BGP-Peers, der die PAN-OS-Seite der BGP-Sitzung ist.
- Die Link-Local-IPv4-Adresse des Cloud Routers, der für das BGP-Peering verwendet wird
- Die ASN, die Sie dem BGP-Peer zugewiesen haben, Ihrem PAN-OS-Gerät.
- Die ASN, die Sie dem Cloud Router für Ihre BGP-Sitzungen zugewiesen haben.
- Der vorinstallierte Schlüssel
Notieren Sie für jeden IPv6-Tunnel auch die
peerIpv6NexthopAddress
. Dies ist die IPv6-Adresse des nächsten Hops, die dem BGP-Peer zugewiesen ist. Google Cloud hat diese Adresse möglicherweise automatisch zugewiesen oder Sie haben die Adressen beim Erstellen des VPN-Tunnels manuell angegeben.
Weitere Informationen zur Konfiguration der BGP-Sitzung finden Sie unter BGP-Sitzungskonfiguration anzeigen.
PAN-OS konfigurieren
Führen Sie die folgenden Schritte in der PAN-OS-Weboberfläche aus, um Ihr Palo Alto Networks-Gerät zu konfigurieren.
IPv6-Firewall aktivieren
Wählen Sie Gerät > Einrichtung > Sitzungseinstellungen aus.
- Wählen Sie IPv6-Firewall aktivieren aus.
Erstellen Sie eine Loopback-Schnittstelle für IPv4 und IPv6.
- Wählen Sie Netzwerk > Schnittstellen > Loopback-Schnittstelle aus und erstellen Sie eine neue Loopback-Oberfläche.
- Erstellen Sie eine Loopback-Schnittstelle. Beispiel:
loopback.10
. - Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf
external
und Sicherheitszone aufZONE_EXTERNAL
. - Weisen Sie auf dem Tab IPv4 die Loopback-Schnittstelle mit IPv4-Adressbereichen zu, die für Ihr lokales Netzwerk geeignet sind.
- Wählen Sie auf dem Tab IPv6 die Option IPv6 auf der Schnittstelle aktivieren aus und fügen Sie einen IPv6-Adressbereich für Ihr lokales Netzwerk hinzu.
- Geben Sie auf dem Tab Erweitert ein Verwaltungsprofil für die Loopback-Schnittstelle an. Achten Sie darauf, dass das von Ihnen angegebene Profil Pingen zulässt, damit Sie die Konnektivität prüfen können.
Erstellen Sie vier IKE-Gateway-Tunnel, zwei Tunnel für IPv6-Traffic und zwei Tunnel für IPv4-Traffic. Jeder Tunnel stellt eine Verbindung zu einer Schnittstelle auf einem HA VPN-Gateway her.
- Erstellen Sie zwei Tunnel für IPv6-Traffic.
- Wählen Sie Netzwerk > Schnittstellen > Tunnel aus und erstellen Sie einen neuen Tunnel.
- Geben Sie einen Namen für den ersten Tunnel an. Beispiel:
tunnel.1
. - Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf
external
und Sicherheitszone aufZONE_EXTERNAL
. - Geben Sie auf dem Tab IPv4 die Link-Local-Adresse des BGP-Peers an, den Sie beim Erstellen der VPN-Tunnel für das HA VPN eingerichtet haben.
Beispiel:
169.254.0.2/30
. - Wählen Sie auf dem Tab IPv6 die Option IPv6 auf der Schnittstelle aktivieren aus und geben Sie die IPv6-Adresse des nächsten Hops an, die für den BGP-Peer konfiguriert ist. Beispiel:
2600:2D00:0:2::2/125
. - Legen Sie auf dem Tab Erweitert für MTU den Wert
1460
fest. - Wiederholen Sie diesen Vorgang für den zweiten Tunnel. Beispiel:
tunnel.2
. Geben Sie auf den Tabs IPv4 und IPv6 die entsprechenden Werte für die BGP-Peer- und IPv6-Felder des nächsten Hops an. Verwenden Sie die Werte, die dem zweiten Tunnel des Dual-Stack-HA-VPN entsprechen. Zum Beispiel:169.254.1.2/30
und2600:2D00:0:3::3/125
- Erstellen Sie zwei Tunnel für IPv4-Traffic.
- Wählen Sie Netzwerk > Schnittstellen > Tunnel aus und erstellen Sie einen neuen Tunnel.
- Geben Sie einen Namen für den dritten Tunnel an. Beispiel:
tunnel.3
. - Setzen Sie auf dem Tab Konfiguration den Wert Virtual Router auf
external
und Sicherheitszone aufZONE_EXTERNAL
. - Geben Sie auf dem Tab IPv4 die Link-Local-Adresse des BGP-Peers an, den Sie beim Erstellen der VPN-Tunnel für das HA VPN eingerichtet haben.
Beispiel:
169.254.2.2/30
. - Überspringen Sie die Konfiguration des Tabs IPv6.
- Legen Sie auf dem Tab Erweitert für MTU den Wert
1460
fest. - Wiederholen Sie diesen Vorgang für den vierten Tunnel. Beispiel:
tunnel.4
. Geben Sie auf dem Tab IPv4 die entsprechenden Werte für den BGP-Peer an, die mit dem zweiten Tunnel des reinen IPv4-HA-VPN übereinstimmen. Beispiel:169.254.3.2/30
.
- Erstellen Sie zwei Tunnel für IPv6-Traffic.
Erstellen Sie ein IPsec-Crypto-Profil.
- Wählen Sie Netzwerk > IPSec Crypto aus und erstellen Sie ein neues Profil.
- Geben Sie Werte für die folgenden Felder ein:
- Name: Geben Sie einen Profilnamen ein. Beispiel:
ha-vpn
. - IPSec Protocol: Wählen Sie ESP aus.
- Verschlüsselung: Fügen Sie eine unterstützte IKE-Chiffre hinzu.
- Authentifizierung: Geben Sie eine Hash-Funktion an. Beispiel:
sha512
. - DH-Gruppe: Wählen Sie eine DH-Gruppe aus. Beispiel: group14.
- Lifetime: Wählen Sie Stunden aus und geben Sie
3
ein.
- Name: Geben Sie einen Profilnamen ein. Beispiel:
- Klicken Sie auf OK.
Erstellen Sie ein IKE-Crypto-Profil.
- Wählen Sie Netzwerk > IKE Crypto aus.
- Geben Sie Werte für die folgenden Felder ein:
- Name: Geben Sie einen Profilnamen ein. Beispiel:
ha-vpn
. - DH-Gruppe: Prüfen Sie, ob die DH-Gruppe, die Sie für das IPSec-Crypto-Profil ausgewählt haben, in der Liste angezeigt wird.
- Authentifizierung: Geben Sie eine Hash-Funktion an. Beispiel:
sha512
. - Verschlüsselung: Fügen Sie eine unterstützte IKE-Chiffre hinzu.
- Name: Geben Sie einen Profilnamen ein. Beispiel:
- Wählen Sie im Bereich Timer die Option Stunden für Schlüssellebensdauer aus und geben Sie
10
ein. - Klicken Sie auf OK.
Nachdem Sie vier IKE-Tunnel erstellt haben, erstellen Sie vier IKE-Gateways, eines für jeden Tunnel.
- Wählen Sie Netzwerk > IKE-Gateways aus und erstellen Sie ein neues Gateway.
- Geben Sie auf dem Tab Allgemein Werte für die folgenden Felder ein:
- Name: Name des IKE-Gateways für den ersten Tunnel.
Beispiel:
havpn-v6-tunnel1
. - Version: Wählen Sie
IKEv2 only mode
aus. - Adresstyp: Wählen Sie
IPv4
aus. - Schnittstelle: Geben Sie die Loopback-Schnittstelle an, die Sie zu Beginn dieses Verfahrens erstellt haben. Beispiel:
loopback.10
. - Lokale IP-Adresse: Geben Sie einen IPv4-Adressbereich an, der für Ihr lokales Netzwerk geeignet ist.
- Peer-IP-Adresstyp: Wählen Sie
IP
aus. - Peer-Adresse: Geben Sie die externe IPv4-Adresse der ersten HA VPN-Schnittstelle für den Tunnel an.
- Authentifizierung: Wählen Sie
Pre-Shared Key
aus. - Vorinstallierter Schlüssel, Vorinstallierte Schlüssel bestätigen: Geben Sie das gemeinsame Secret ein, das Sie in Google Cloud für den Tunnel konfiguriert haben.
- Lokale Identifizierung: Wählen Sie IP-Adresse aus und geben Sie eine IPv4-Adresse an, die für Ihr lokales Netzwerk geeignet ist.
- Peer-Identifikation: Wählen Sie IP-Adresse und die externe IPv4-Adresse der HA VPN-Schnittstelle für den Tunnel aus.
- Name: Name des IKE-Gateways für den ersten Tunnel.
Beispiel:
- Klicken Sie auf den Tab Advanced Options (Erweiterte Optionen).
- Wählen Sie für das IKE Crypto Profile das zuvor erstellte Profil aus. Beispiel:
ha-vpn
. - Aktivieren Sie Aktivitätsprüfung und geben Sie
5
als Intervall (Sek.) ein. - Klicken Sie auf OK.
- Wiederholen Sie diesen Vorgang für die anderen drei Tunnel, ersetzen Sie jedoch folgende Werte durch die entsprechenden Werte:
- Name: Name des IKE-Gateways für den Tunnel.
Beispiel:
havpn-v6-tunnel2
,havpn-v4-tunnel1
oderhavpn-v4-tunnel2
. - Lokale IP-Adresse / Lokale Identifikation: Geben Sie eine nicht verwendete IPv4-Adresse an, die für Ihr lokales Netzwerk geeignet ist.
- Peer-Adresse / Peer-Identifikation: Geben Sie die externe IPv4-Adresse für die übereinstimmende HA VPN-Schnittstelle des Tunnels an.
- Vorinstallierter Schlüssel: Geben Sie das für den Tunnel konfigurierte gemeinsame Secret an.
- Name: Name des IKE-Gateways für den Tunnel.
Beispiel:
Erstellen Sie vier IPsec-Tunnel.
- Wählen Sie Netzwerk > IPSec-Tunnel aus und erstellen Sie einen neuen Tunnel.
- Geben Sie Werte für die folgenden Felder ein:
- Name: Eindeutiger Name für den Tunnel. Beispiel:
hapvpn-tunnel-1
. - Tunnelschnittstelle: Wählen Sie eine Tunnelschnittstelle für den zuvor erstellten IKE-Gateway-Tunnel aus. Beispiel:
tunnel.1
. - Typ: Wählen Sie Automatischer Schlüssel aus.
- Adresstyp: Wählen Sie IPv4 aus.
- IKE Gateway: Wählen Sie eines der zuvor erstellten IKE-Gateways aus.
Beispiel:
havpn-v6-tunnel
. - IPSec Crypto Profile: Wählen Sie das Profil aus, das Sie zuvor erstellt haben.
Beispiel:
ha-vpn
.
- Name: Eindeutiger Name für den Tunnel. Beispiel:
- Konfigurieren Sie keine Proxy-IDs
- Klicken Sie auf OK.
- Wiederholen Sie diesen Vorgang für die anderen drei Tunnel, ersetzen Sie jedoch folgende Werte durch die entsprechenden Werte:
- Name: Eindeutiger Name für den IPsec-Tunnel.
Beispiel:
havpn-tunnel2
,havpn-tunnel3
oderhavpn-tunnel4
. - Tunnelschnittstelle: Wählen Sie eine nicht verwendete Tunnelschnittstelle für den IKE-Gateway-Tunnel aus, den Sie zuvor erstellt haben. Beispiel:
tunnel.2
,tunnel.3
odertunnel.4
. - IKE Gateway: Wählen Sie eines der zuvor erstellten IKE-Gateways aus.
Beispiel:
havpn-v6-tunnel2
,havpn-v4-tunnel1
oderhavpn-v4-tunnel2
.
- Name: Eindeutiger Name für den IPsec-Tunnel.
Beispiel:
Optional: ECMP konfigurieren.
- Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > ECMP aus.
- Wählen Sie auf dem Tab ECMP die Option Aktivieren aus.
- Klicken Sie auf OK.
Konfigurieren Sie BGP.
- Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP aus.
- Wählen Sie auf dem Tab Allgemein die Option Aktivieren aus.
- Geben Sie im Feld Router-ID die Link-Local-IPv4-Adresse ein, die dem BGP-Peer zugewiesen ist. Dies ist die PAN-OS-Seite der BGP-Sitzung. Peer.
- Geben Sie im Feld AS-Nummer die ASN für die PAN-OS-Seite der BGP-Sitzung ein.
- Achten Sie darauf, dass unter Optionen die Option Route installieren ausgewählt ist.
- Klicken Sie auf OK.
Erstellen Sie eine BGP-Peer-Gruppe mit einem BGP-Peer für jeden IPv6-Tunnel. Sie erstellen für jeden IPv6-Tunnel eine separate BGP-Peer-Gruppe, sodass Sie pro Tunnel eine andere IPv6-Adresse für den nächsten Hop konfigurieren können.
- Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Peering-Gruppe aus.
- Erstellen Sie auf dem Tab Peer-Gruppe eine neue Peer-Gruppe für den ersten IPv6-Tunnel.
- Geben Sie im Feld Name einen Namen für die Peer-Gruppe ein. Beispiel:
havpn-bgp-v6-tunnel1
- Wählen Sie Aktivieren aus.
- Wählen Sie Aggregierter Confed AS-Pfad aus.
- Wählen Sie in der Liste Typ die Option EBGP aus.
- Wählen Sie für Nächsten Hop importierenOriginal aus.
- Wählen Sie für Nächsten Hop exportieren die Option Klären aus.
- Wählen Sie Private AS entfernen aus.
- Klicken Sie im Bereich Peer auf Hinzufügen, um einen Peer zur BGP-Peer-Gruppe hinzuzufügen.
- Geben Sie im Dialogfeld Peer die folgenden Werte ein:
- Name: Name des Peers. Beispiel:
havpn-v6-tunnel1
. - Wählen Sie Aktivieren aus.
- Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
- Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
- Wählen Sie MP-BGP-Erweiterungen aktivieren aus.
- Wählen Sie als Adressfamilientyp die Option IPv6 aus.
- Wählen Sie unter Lokale Adresse für Schnittstelle den ersten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel:
tunnel.1
. - Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus.
Beispiel:
169.254.0.2./30
. - Wählen Sie unter Peer-Adresse für Typ die Option IP aus.
- Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel:
169.254.0.1
.
- Klicken Sie auf OK.
- Name: Name des Peers. Beispiel:
- Nachdem Sie das Hinzufügen des Peers abgeschlossen haben, klicken Sie auf OK.
- Wiederholen Sie diesen Vorgang für den anderen IPv6-Tunnel. Ersetzen Sie dabei durch die folgenden Werte die entsprechenden Werte:
- Name: Eindeutiger Name für die BGP-Peer-Gruppe.
Beispiel:
havpn-bgp-v6-tunnel2
. - Geben Sie im Dialogfeld Peer in die folgenden Felder die entsprechenden Werte für den Tunnel ein:
- Name: Name des Peers. Beispiel:
havpn-v6-tunnel1
. - Wählen Sie unter Lokale Adresse für Schnittstelle den zweiten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel:
tunnel.2
. - Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers für den zweiten Tunnel aus. Beispiel:
169.254.1.2./30
. - Wählen Sie unter Peer-Adresse für Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus.
Beispiel:
169.254.1.1
- Name: Name des Peers. Beispiel:
- Name: Eindeutiger Name für die BGP-Peer-Gruppe.
Beispiel:
Erstellen Sie eine BGP-Peer-Gruppe für die IPv4-Tunnel.
- Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Peering-Gruppe aus.
- Erstellen Sie auf dem Tab Peer-Gruppe eine neue Peer-Gruppe für den IPv4-Tunnel.
- Geben Sie im Feld Name einen Namen für die Peer-Gruppe ein. Beispiel:
havpn-bgp-v4
- Wählen Sie Aktivieren aus.
- Wählen Sie Aggregierter Confed AS-Pfad aus.
- Wählen Sie in der Liste Typ die Option EBGP aus.
- Wählen Sie für Nächsten Hop importierenOriginal aus.
- Wählen Sie für Nächsten Hop exportieren die Option Klären aus.
- Wählen Sie Private AS entfernen aus.
- Klicken Sie im Bereich Peer auf Hinzufügen, um einen Peer zur BGP-Peer-Gruppe hinzuzufügen.
- Geben Sie im Dialogfeld Peer die folgenden Werte ein:
- Name: Geben Sie einen Namen für den Peer ein. Beispiel:
havpn-v4-tunnel1
. - Wählen Sie Aktivieren aus.
- Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
- Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
- Wählen Sie nicht MP-BGP-Erweiterungen aktivieren aus.
- Wählen Sie für Addressfamilientyp die Option
IPv4
aus. - Wählen Sie unter Lokale Adresse für Schnittstelle den dritten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel:
tunnel.3
. - Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus.
Beispiel:
169.254.2.2./30
. - Wählen Sie unter Peer-Adresse für Typ die Option
IP
aus. - Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel:
169.254.2.1
.
- Klicken Sie auf OK.
- Name: Geben Sie einen Namen für den Peer ein. Beispiel:
- Klicken Sie im Bereich Peer auf Hinzufügen, um der zweiten Peer-Gruppe der BGP-Peer-Gruppe hinzuzufügen.
- Geben Sie im Dialogfeld Peer die folgenden Werte ein:
- Name: Geben Sie einen Namen für den Peer ein. Beispiel:
havpn-v4-tunnel2
. - Wählen Sie Aktivieren aus.
- Peer-AS: Die ASN, die dem Cloud Router für die BGP-Sitzung zugewiesen ist.
- Konfigurieren Sie auf dem Tab Adressierung die folgenden Optionen:
- Wählen Sie nicht MP-BGP-Erweiterungen aktivieren aus.
- Wählen Sie als Adressfamilientyp die Option IPv4 aus.
- Wählen Sie unter Lokale Adresse für Schnittstelle den vierten Tunnel aus, den Sie beim Erstellen der IKE-Gateway-Tunnel definiert haben. Beispiel:
tunnel.4
. - Wählen Sie als IP die Link-Local-IPv4-Adresse des BGP-Peers aus.
Beispiel:
169.254.3.2./30
. - Wählen Sie unter Peer-Adresse für Typ die Option IP aus.
- Wählen Sie als Adresse die Link-Local-IPv4-Adresse des Cloud Routers für diese BGP-Sitzung aus. Beispiel:
169.254.3.1
.
- Name: Geben Sie einen Namen für den Peer ein. Beispiel:
- Klicken Sie auf OK.
- Nachdem Sie beide Peers hinzugefügt haben, klicken Sie auf OK.
Exportieren Sie BGP-Konfigurationsregeln in die BGP-Peer-Gruppen für die IPv6-Tunnel. Mit diesem Schritt können Sie den Tunneln unterschiedliche IPv6-Adressen für den nächsten Hop zuweisen.
- Wählen Sie Netzwerk > Virtuelle Router > ROUTER_NAME > Routereinstellungen > BGP > Exportieren aus.
- Geben Sie im Dialogfeld Exportregel einen Namen in das Feld Regeln ein. Beispiel:
havpn-tunnel1-v6
- Wählen Sie Aktivieren aus.
- Klicken Sie im Bereich Verwendet von auf
Hinzufügen, um die BGP-Peer-Gruppe hinzuzufügen, die Sie für den ersten IPv6-Tunnel erstellt haben.
Beispiel:
havpn-bgp-v6-tunnel1
- Wählen Sie auf dem Tab Abgleich in der Liste Routentabelle die Option Unicast aus.
- Fügen Sie unter Adresspräfix das Adresspräfix für die IPv6-Adressen hinzu, die in Ihrem lokalen Netzwerk verwendet werden.
- Konfigurieren Sie auf dem Tab Aktion die folgenden Optionen:
- Wählen Sie in der Liste Aktion die Option Zulassen aus.
- Geben Sie unter Nächster Hop die IPv6-Adresse des nächsten Hops ein, die dem BGP-Peer beim Erstellen des Tunnels zugewiesen ist. Beispiel:
2600:2D00:0:2::2
.
- Klicken Sie auf OK.
- Wiederholen Sie diesen Vorgang für die BGP-Peer-Gruppe, die vom zweiten IPv6-Tunnel verwendet wird. Ersetzen Sie dabei jedoch die entsprechenden Werte für die folgenden Felder:
- Geben Sie im Dialogfeld Exportregel einen eindeutigen Namen in das Feld Regeln ein. Beispiel:
havpn-tunnel2-v6
- Klicken Sie im Bereich Verwendet von auf
Hinzufügen, um die BGP-Peer-Gruppe hinzuzufügen, die Sie für den zweiten IPv6-Tunnel erstellt haben.
Beispiel:
havpn-bgp-v6-tunnel1
- Geben Sie im Dialogfeld Exportregel einen eindeutigen Namen in das Feld Regeln ein. Beispiel:
- Konfigurieren Sie auf dem Tab Aktion das Feld Nächster Hop und geben Sie die Adresse des nächsten IPv6-Hops ein, die dem BGP-Peer für diesen Tunnel zugewiesen ist.
Beispiel:
2600:2D00:0:3::3