Configure VPNs de terceiros para tráfego IPv4 e IPv6

Esta página fornece instruções para configurar dispositivos VPN de terceiros para suportar tráfego de pilha dupla (IPv4 e IPv6) ou apenas IPv6 com a VPN na nuvem.

Para ativar o tráfego de pilha dupla nos túneis de VPN de alta disponibilidade, tem de configurar o gateway de VPN de pares com endereços de próximo salto IPv6. Nos túneis de VPN de HA com o tráfego de pilha dupla ativado, as rotas IPv4 e IPv6 são trocadas através de sessões BGP com o BGP multiprotocolo (MP-BGP) com endereços IPv4 locais de ligação. O Cloud Router e o gateway VPN do seu par precisam da configuração do próximo salto IPv6 para encaminhar o tráfego IPv6 para e a partir da nuvem virtual privada (VPC) e das suas redes de pares.

Apenas os gateways de VPN de alta disponibilidade suportam tráfego de pilha dupla ou apenas IPv6. A VPN clássica não suporta tráfego IPv6. Certifique-se de que o gateway de VPN de pares está configurado para usar o IKEv2 para os respetivos túneis de VPN de HA.

Suporte de VPNs de terceiros para tráfego de pilha dupla

A tabela seguinte resume o suporte de dispositivos VPN de terceiros para tráfego de pilha dupla através de túneis IPsec.

Plataforma do fornecedor Versão testada para a configuração de pilha dupla
 Tráfego IPv6 através do túnel IPsec IPv4 Tráfego apenas IPv6 Família de endereços de pilha dupla Configuração interoperável para tráfego de pilha dupla
Cisco IOS Não suportado Não suportado Suportado Não suportado Use túneis de encapsulamento de encaminhamento genérico (GRE) e um router virtual para transportar tráfego IPsec através de GRE.
Check Point Não suportado Não suportado Não suportado Não suportado Use túneis de encapsulamento de encaminhamento genérico (GRE) e um router virtual para transportar tráfego IPsec através de GRE.
Juniper JunOS 20.2R3-S2.5 Suportado Não suportado Suportado Suporta túneis de VPN de alta disponibilidade que podem transportar tráfego IPv4 e IPv6.
Palo Alto Networks PAN-OS 9.1 Suportado Não suportado Não suportado Requer túneis de VPN de HA separados configurados para tráfego IPv4 ou IPv6, mas não ambos.

Juniper JunOS

O procedimento seguinte descreve como configurar o seu dispositivo VPN Juniper JunOS para suportar o tráfego IPv4 e IPv6 nos seus túneis de VPN de alta disponibilidade.

Embora configure endereços IPv6 nas interfaces de túnel do dispositivo, os endereços IPv6 são usados exclusivamente para a configuração do próximo salto IPv6. As rotas IPv6 são anunciadas através de informações de acessibilidade da camada de rede (NLRI) IPv6 sobre o intercâmbio de tráfego BGP IPv4.

Antes de começar

Em Google Cloud, configure um gateway de HA VPN de pilha dupla e dois túneis de HA VPN. Ambos os túneis de VPN de alta disponibilidade transportam tráfego IPv4 e IPv6.

Registe os dois endereços IPv4 externos que Google Cloud atribui às duas interfaces do gateway de VPN de alta disponibilidade.

Registe os seguintes valores de configuração para cada túnel:

  • O endereço IPv4 local de ligação do par BGP, que é o seu dispositivo Juniper JunOS
  • O endereço IPv4 local de ligação do Cloud Router usado para a interligação BGP
  • O endereço do próximo salto IPv6 atribuído ao par ou peerIpv6NexthopAddress
  • O ASN que atribuiu ao Cloud Router para as suas sessões de BGP
  • O ASN que atribuiu ao par BGP, que é o seu dispositivo Juniper JunOS
  • A chave pré-partilhada

Para encontrar os detalhes da configuração da sessão de BGP, consulte o artigo Veja a configuração da sessão de BGP.

Configure o JunOS

Para configurar dispositivos JunOS, conclua os seguintes passos:

  1. Para cada interface de túnel VPN, configure os endereços de próximo salto IPv6 do par BGP que obteve do Cloud Router. Estas interfaces são as mesmas interfaces que têm endereços locais de ligação atribuídos para o peering IPv4.

    set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2

    Substitua os seguintes valores:

    • PEER_BGP_IP_1: o endereço IPv4 BGP do par para a primeira interface do túnel com a respetiva máscara de sub-rede
    • PEER_IPV6_NEXT_HOP_ADDRESS_1: o endereço do próximo salto IPv6 do par para a primeira interface de túnel com a respetiva máscara de sub-rede
    • PEER_BGP_IP_2: o endereço IPv4 BGP do par para a segunda interface do túnel com a respetiva máscara de sub-rede
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: o endereço de próximo salto IPv6 do par para a segunda interface de túnel com a respetiva máscara de sub-rede

    Por exemplo:

    set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address 169.254.0.2/30
set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address 169.254.1.2/30
set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125

  2. Configure a proposta IKE, a política IKE e os objetos de gateway IKE.

    # IKE proposal
set security ike proposal ike_prop authentication-method pre-shared-keys
set security ike proposal ike_prop dh-group group2
set security ike proposal ike_prop authentication-algorithm sha-256
set security ike proposal ike_prop encryption-algorithm aes-256-cbc
set security ike proposal ike_prop lifetime-seconds 36000

# IKE policy
set security ike policy ike_pol mode main
set security ike policy ike_pol proposals ike_prop
set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET

# IKE gateway objects
set security ike gateway gw1 ike-policy ike_pol
set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
set security ike gateway gw1 local-identity inet 142.215.100.60
set security ike gateway gw1 external-interface ge-0/0/0
set security ike gateway gw1 version v2-only
set security ike gateway gw2 ike-policy ike_pol
set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
set security ike gateway gw2 local-identity inet 142.215.100.60
set security ike gateway gw2 external-interface ge-0/0/0
set security ike gateway gw2 version v2-only

    Substitua os seguintes valores:

    • HA_VPN_INTERFACE_ADDRESS_0: o endereço IPv4 externo da primeira interface do túnel no gateway de HA VPN
    • HA_VPN_INTERFACE_ADDRESS_1: o endereço IPv4 externo da segunda interface do túnel no gateway de HA VPN
    • SHARED_SECRET: a chave pré-partilhada que configurou para o túnel de VPN de alta disponibilidade

  3. Configure a proposta IPSec e a política IPSec. Por exemplo:

    set security ipsec proposal ipsec_prop protocol esp
set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
set security ipsec proposal ipsec_prop lifetime-seconds 10800

  4. Configure as configurações do gateway de VPN IPsec e associe-as às interfaces de túnel. Por exemplo:

    set security ipsec vpn vpn1 bind-interface st0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn1 establish-tunnels immediately
set security ipsec vpn vpn2 bind-interface st0.2
set security ipsec vpn vpn2 ike gateway gw2
set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn2 establish-tunnels immediately

  5. Crie as declarações de políticas que alteram o próximo salto para pares IPv6 para os endereços do próximo salto IPv6.

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

    Substitua os seguintes valores:

    • PEER_IPV6_NEXT_HOP_ADDRESS_1: o endereço do próximo salto IPv6 do par BGP para o primeiro túnel
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: o endereço do próximo salto IPv6 do par BGP para o segundo túnel

    Por exemplo: 

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

  6. Configure o BGP para a troca de rotas IPv6.

    Quando configura o BGP, tem de especificar declarações include-mp-next-hop para enviar o atributo do próximo salto ao par.

    Em seguida, exporta a declaração de política que definiu no passo anterior para alterar o próximo salto para o endereço IPv6.

    set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as ROUTER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address ROUTER_IP_2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as ROUTER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop

    Substitua os seguintes valores:

    • ROUTER_BGP_IP_1: o endereço IPv4 atribuído ao Cloud Router para o primeiro túnel
    • ROUTER_BGP_IP_2: o endereço IPv4 atribuído ao Cloud Router para o segundo túnel
    • ROUTER_ASN: o ASN atribuído ao Cloud Router para as suas sessões de BGP.
    • PEER_ASN: O ASN que atribuiu ao par BGP, que é o seu dispositivo Juniper JunOS.

    O exemplo seguinte mostra as declarações include-mp-next-hop e export em texto a negrito: 

    set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as 16550
set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address 169.254.1.2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as 16550
set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop

  7. Verifique a conetividade BGP.

    show route protocol bgp

Palo Alto Networks PAN-OS

Esta secção descreve como configurar o seu dispositivo Palo Alto Networks PAN-OS para suportar o tráfego IPv4 e IPv6 nos seus túneis de VPN de HA.

O PAN-OS suporta o transporte de tráfego IPv6 através de IPv4. No entanto, o PAN-OS não suporta famílias de endereços de pilha dupla. Como resultado, tem de configurar túneis de VPN separados que transportem tráfego IPv4 ou tráfego IPv6.

Para mais informações sobre a configuração de dispositivos PAN-OS para utilização com a VPN, consulte a documentação da VPN do PAN OS da Palo Alto.

Antes de começar

Em Google Cloud, configure dois gateways de VPN de alta disponibilidade e quatro túneis de VPN de alta disponibilidade. Dois túneis destinam-se ao tráfego IPv6 e dois túneis destinam-se ao tráfego IPv4.

  1. Crie o gateway de VPN de alta disponibilidade e os túneis para o tráfego IPv4. Crie o seguinte:

    • Um gateway de VPN de HA que usa o tipo de pilha apenas IPv4
    • Dois túneis de VPN que podem transportar tráfego IPv4

  2. Crie o gateway de VPN de alta disponibilidade e os túneis para o tráfego IPv6. Crie o seguinte:

    • Um gateway de VPN de HA que usa o tipo de pilha de pilha dupla
    • Dois túneis de VPN que podem transportar tráfego IPv6
    • Ative o IPv6 nas sessões de BGP para os túneis IPv6

  3. Registe os endereços IPv4 externos que Google Cloud atribui a cada interface do gateway de VPN de alta disponibilidade.

  4. Registe os seguintes valores de configuração para cada túnel:

    • O endereço IPv4 local do link do par de BGP, que é o lado do PAN-OS da sessão de BGP
    • O endereço IPv4 local de ligação do Cloud Router usado para a interligação BGP
    • O ASN que atribuiu ao par BGP, que é o seu dispositivo PAN-OS
    • O ASN que atribuiu ao Cloud Router para as suas sessões de BGP
    • A chave pré-partilhada

  5. Para cada túnel IPv6, registe também o peerIpv6NexthopAddress, que é o endereço de próximo salto IPv6 atribuído ao par BGP.O Google Cloud pode ter atribuído automaticamente este endereço ou pode ter especificado manualmente os endereços quando criou o túnel VPN.

Para encontrar os detalhes da configuração da sessão de BGP, consulte o artigo Veja a configuração da sessão de BGP.

Configure o PAN-OS

Para configurar o seu dispositivo Palo Alto Networks, siga estes passos na interface Web do PAN-OS.

  1. Ative a firewall IPv6.

  2. Selecione Dispositivo > Configuração > Definições da sessão.

    1. Selecione Ativar firewall IPv6.

  3. Crie uma interface de loopback para IPv4 e IPv6.

    1. Selecione Rede > Interfaces > Interface de loopback e crie uma nova interface de loopback.
    2. Crie uma interface de loopback. Por exemplo, loopback.10.
    3. No separador Configuração, defina Router virtual como external e defina Zona de segurança como ZONE_EXTERNAL.
    4. No separador IPv4, atribua a interface de loopback com intervalos de endereços IPv4 adequados para a sua rede no local.
    5. No separador IPv6, selecione Ativar IPv6 na interface e adicione um intervalo de endereços IPv6 adequado para a sua rede no local.
    6. No separador Avançadas, especifique um Perfil de gestão para a interface de loopback. Certifique-se de que o perfil especificado permite o envio de pings para poder validar a conetividade.

  4. Crie quatro túneis de gateway IKE, dois túneis para tráfego IPv6 e dois túneis para tráfego IPv4. Cada túnel estabelece ligação a uma interface num gateway de VPN de HA.

    • Crie dois túneis para o tráfego IPv6.
      1. Selecione Rede > Interfaces > Túnel e crie um novo túnel.
      2. Especifique um nome para o primeiro túnel. Por exemplo, tunnel.1.
      3. No separador Configuração, defina Router virtual como external e defina Zona de segurança como ZONE_EXTERNAL.
      4. No separador IPv4, especifique o endereço local do link do par BGP que configurou quando criou os túneis de VPN para a VPN de HA. Por exemplo, 169.254.0.2/30.
      5. No separador IPv6, selecione Ativar IPv6 na interface e especifique o endereço de salto seguinte IPv6 configurado para o par BGP. Por exemplo, 2600:2D00:0:2::2/125.
      6. No separador Avançadas, defina a MTU como 1460.
      7. Repita este procedimento para o segundo túnel. Por exemplo, tunnel.2. Nos separadores IPv4 e IPv6, especifique os valores adequados para os campos do ponto de troca BGP e do próximo salto IPv6. Use os valores que correspondem ao segundo túnel da VPN de alta disponibilidade de pilha dupla. Por exemplo, 169.254.1.2/30 e 2600:2D00:0:3::3/125.
    • Crie dois túneis para o tráfego IPv4.
      1. Selecione Rede > Interfaces > Túnel e crie um novo túnel.
      2. Especifique um nome para o terceiro túnel. Por exemplo, tunnel.3.
      3. No separador Configuração, defina Router virtual como external e defina Zona de segurança como ZONE_EXTERNAL.
      4. No separador IPv4, especifique o endereço local do link do par BGP que configurou quando criou os túneis de VPN para a VPN de HA. Por exemplo, 169.254.2.2/30.
      5. Ignore a configuração do separador IPv6.
      6. No separador Avançadas, defina a MTU como 1460.
      7. Repita este procedimento para o quarto túnel. Por exemplo, tunnel.4. No separador IPv4, especifique os valores adequados para o par BGP que correspondem ao segundo túnel da VPN de HA apenas IPv4. Por exemplo, 169.254.3.2/30.

  5. Crie um perfil de criptografia IPsec.

    1. Selecione Rede > IPSec Crypto e crie um novo perfil.
    2. Introduza valores para os seguintes campos:
      • Nome: introduza um nome de perfil. Por exemplo, ha-vpn.
      • Protocolo IPSec: selecione ESP.
      • Encriptação: adicione uma cifra IKE suportada.
      • Autenticação: especifique uma função hash. Por exemplo, sha512.
      • Grupo de DH: selecione um grupo de DH. Por exemplo, group14.
      • Duração: selecione Horas e introduza 3.
    3. Clique em OK.

  6. Crie um perfil de criptografia IKE.

    1. Selecione Rede > IKE Crypto.
    2. Introduza valores para os seguintes campos:
      • Nome: introduza um nome de perfil. Por exemplo, ha-vpn.
      • Grupo DH: verifique se o grupo DH que selecionou para o perfil de criptografia IPsec aparece na lista.
      • Autenticação: especifique uma função hash. Por exemplo, sha512.
      • Encriptação: adicione uma cifra IKE suportada.
    3. No painel Temporizadores, selecione Horas para Tempo de vida da chave e introduza 10.
    4. Clique em OK.

  7. Depois de criar quatro túneis IKE, crie quatro gateways IKE, um para cada túnel.

    1. Selecione Rede > Gateways IKE e crie um novo gateway.
    2. No separador Geral, introduza valores para os seguintes campos:
      • Nome: nome do gateway IKE para o primeiro túnel. Por exemplo, havpn-v6-tunnel1.
      • Versão: selecione IKEv2 only mode.
      • Tipo de morada: selecione IPv4.
      • Interface: especifique a interface de loopback que criou no início deste procedimento. Por exemplo, loopback.10.
      • Endereço IP local: especifique um intervalo de endereços IPv4 adequado para a sua rede no local.
      • Tipo de endereço IP do par: selecione IP.
      • Endereço do par: especifique o endereço IPv4 externo da primeira interface da VPN de alta disponibilidade para o túnel.
      • Autenticação: selecione Pre-Shared Key.
      • Chave pré-partilhada, Confirmar chave pré-partilhada: introduza o segredo partilhado que configurou em Google Cloud para o túnel.
      • Identificação local: selecione Endereço IP e especifique um endereço IPv4 adequado para a sua rede no local.
      • Identificação do par: selecione Endereço IP e o endereço IPv4 externo da interface do HA VPN para o túnel.
    3. Selecione o separador Opções avançadas.
    4. Para o perfil de criptografia IKE, selecione o perfil que criou anteriormente. Por exemplo, ha-vpn.
    5. Ative a Verificação de vitalidade e introduza 5 para o Intervalo (segundos).
    6. Clique em OK.
    7. Repita este procedimento para os outros três túneis, mas substitua os valores adequados nos seguintes campos:
      • Nome: nome do gateway IKE para o túnel. Por exemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 ou havpn-v4-tunnel2.
      • Endereço IP local / Identificação local: especifique um endereço IPv4 não usado adequado para a sua rede no local.
      • Endereço do par / Identificação do par: especifique o endereço IPv4 externo para a interface de VPN de alta disponibilidade correspondente do túnel.
      • Chave pré-partilhada: especifique o segredo partilhado configurado para o túnel.

  8. Crie quatro túneis IPsec.

    1. Selecione Rede > Túneis IPSec e crie um novo túnel.
    2. Introduza valores para os seguintes campos:
      • Nome: nome exclusivo do túnel. Por exemplo, hapvpn-tunnel-1.
      • Interface de túnel: selecione uma interface de túnel para o túnel de gateway IKE que criou anteriormente. Por exemplo, tunnel.1.
      • Tipo: selecione Chave automática.
      • Tipo de endereço: selecione IPv4.
      • Gateway IKE: selecione um dos gateways IKE que criou anteriormente. Por exemplo, havpn-v6-tunnel.
      • Perfil de criptografia IPSec: selecione o perfil que criou anteriormente. Por exemplo, ha-vpn.
    3. Não configure IDs de proxy.
    4. Clique em OK.
    5. Repita este procedimento para os outros três túneis, mas substitua os valores adequados nos seguintes campos:
      • Nome: nome exclusivo para o túnel IPsec. Por exemplo, havpn-tunnel2, havpn-tunnel3 ou havpn-tunnel4.
      • Interface de túnel: selecione uma interface de túnel não utilizada para o túnel de gateway IKE que criou anteriormente. Por exemplo, tunnel.2, tunnel.3 ou tunnel.4.
      • Gateway IKE: selecione um dos gateways IKE que criou anteriormente. Por exemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 ou havpn-v4-tunnel2.

  9. Opcional: configure o ECMP.

    1. Selecione Rede > Routers virtuais > ROUTER_NAME > Definições do router > ECMP.
    2. No separador ECMP, selecione Ativar.
    3. Clique em OK.

  10. Configure o BGP.

    1. Selecione Rede > Routers virtuais > ROUTER_NAME > Definições do router > BGP.
    2. No separador Geral, selecione Ativar.
    3. No campo ID do router, introduza o endereço IPv4 local do link atribuído ao par BGP, que é o lado do PAN-OS do par da sessão BGP.
    4. No campo Número AS, introduza o ASN do lado do PAN-OS da sessão BGP.
    5. Em Opções, certifique-se de que a opção Instalar trajeto está selecionada.
    6. Clique em OK.

  11. Crie um grupo de pares BGP com um par BGP para cada túnel IPv6. Cria um grupo de pares BGP separado para cada túnel IPv6, para que possa configurar um endereço de próximo salto IPv6 diferente por túnel.

    1. Selecione Rede > Routers virtuais > ROUTER_NAME > Definições do router > BGP > Grupo de pares.
    2. No separador Grupo de pares, crie um novo grupo de pares para o primeiro túnel IPv6.
    3. No campo Nome, introduza um nome para o grupo de pares. Por exemplo, havpn-bgp-v6-tunnel1.
    4. Selecione Ativar.
    5. Selecione Caminho AS confederado agregado.
    6. Na lista Tipo, selecione EBGP.
    7. Para Import Next Hop, selecione Original.
    8. Para Exportar próximo salto, selecione Resolver.
    9. Selecione Remover AS privado.
    10. No painel Peer, clique em Adicionar para adicionar um ponto de troca ao grupo de pontos de troca BGP.
    11. Na caixa de diálogo Par, introduza os seguintes valores:
      • Nome: nome do par. Por exemplo, havpn-v6-tunnel1.
      • Selecione Ativar.
      • AS de pares: o ASN atribuído ao Cloud Router para a sessão BGP.
      • No separador Endereçamento, configure as seguintes opções:
        • Selecione Ativar extensões MP-BGP.
        • Para Tipo de família de endereços, selecione IPv6.
        • Em Endereço local, para Interface, selecione o primeiro túnel que definiu quando criou os túneis de gateway IKE. Por exemplo, tunnel.1.
        • Para IP, selecione o endereço IPv4 local do link do ponto de vista do BGP. Por exemplo, 169.254.0.2./30.
        • Em Endereço do par, para Tipo, selecione IP.
        • Para Endereço, selecione o endereço IPv4 local do link do Cloud Router para esta sessão BGP. Por exemplo, 169.254.0.1.
      • Clique em OK.
    12. Depois de terminar de adicionar o par, clique em OK.
    13. Repita este procedimento para o outro túnel IPv6, mas substitua os valores adequados nos seguintes campos:
      • Nome: nome exclusivo do grupo de pares BGP. Por exemplo, havpn-bgp-v6-tunnel2.
      • Na caixa de diálogo Par, introduza os valores adequados para o túnel nos seguintes campos:
        • Nome: nome do par. Por exemplo, havpn-v6-tunnel1.
        • Em Endereço local, para Interface, selecione o segundo túnel que definiu quando criou os túneis de gateway IKE. Por exemplo, tunnel.2.
        • Para IP, selecione o endereço IPv4 local do link do par BGP para o segundo túnel. Por exemplo, 169.254.1.2./30.
        • Em Endereço do par, para Endereço, selecione o endereço IPv4 local do link do Cloud Router para esta sessão BGP. Por exemplo, 169.254.1.1.

  12. Crie um grupo de pares BGP para os túneis IPv4.

    1. Selecione Rede > Routers virtuais > ROUTER_NAME > Definições do router > BGP > Grupo de pares.
    2. No separador Grupo de pares, crie um novo grupo de pares para o túnel IPv4.
    3. No campo Nome, introduza um nome para o grupo de pares. Por exemplo, havpn-bgp-v4.
    4. Selecione Ativar.
    5. Selecione Caminho AS confederado agregado.
    6. Na lista Tipo, selecione EBGP.
    7. Para Import Next Hop, selecione Original.
    8. Para Exportar próximo salto, selecione Resolver.
    9. Selecione Remover AS privado.
    10. No painel Peer, clique em Adicionar para adicionar um ponto de troca ao grupo de pontos de troca BGP.
    11. Na caixa de diálogo Par, introduza os seguintes valores:
      • Nome: introduza um nome para o par. Por exemplo, havpn-v4-tunnel1.
      • Selecione Ativar.
      • AS de pares: o ASN atribuído ao Cloud Router para a sessão BGP.
      • No separador Endereçamento, configure as seguintes opções:
        • Não selecione Ativar extensões MP-BGP.
        • Para Tipo de família de endereços, selecione IPv4.
        • Em Endereço local, para Interface, selecione o terceiro túnel que definiu quando criou os túneis de gateway IKE. Por exemplo, tunnel.3.
        • Para IP, selecione o endereço IPv4 local do link do ponto de vista do BGP. Por exemplo, 169.254.2.2./30.
        • Em Endereço de pares, selecione IP para Tipo.
        • Para Endereço, selecione o endereço IPv4 local do link do Cloud Router para esta sessão BGP. Por exemplo, 169.254.2.1.
      • Clique em OK.
    12. No painel Par, clique em Adicionar para adicionar o segundo par ao grupo de pares BGP.
    13. Na caixa de diálogo Par, introduza os seguintes valores:
      • Nome: introduza um nome para o par. Por exemplo, havpn-v4-tunnel2.
      • Selecione Ativar.
      • AS de pares: o ASN atribuído ao Cloud Router para a sessão BGP.
      • No separador Endereçamento, configure as seguintes opções:
        • Não selecione Ativar extensões MP-BGP.
        • Para Tipo de família de endereços, selecione IPv4.
        • Em Endereço local, para Interface, selecione o quarto túnel que definiu quando criou os túneis de gateway IKE. Por exemplo, tunnel.4.
        • Para IP, selecione o endereço IPv4 local do link do ponto de vista do BGP. Por exemplo, 169.254.3.2./30.
        • Em Endereço do par, para Tipo, selecione IP.
        • Para Endereço, selecione o endereço IPv4 local do link do Cloud Router para esta sessão BGP. Por exemplo, 169.254.3.1.
    14. Clique em OK.
    15. Depois de terminar de adicionar ambos os pares, clique em OK.

  13. Exporte regras de configuração de BGP para os grupos de pares de BGP para os túneis IPv6. Este passo permite-lhe atribuir diferentes endereços de próximo salto IPv6 aos túneis.

    1. Selecione Rede > Routers virtuais > ROUTER_NAME > Definições do router > BGP > Exportar.
    2. Na caixa de diálogo Regra de exportação, introduza um nome no campo Regras. Por exemplo, havpn-tunnel1-v6.
    3. Selecione Ativar.
    4. No painel Usado por, clique em Adicionar para adicionar o grupo de pares BGP que criou para o primeiro túnel IPv6. Por exemplo, havpn-bgp-v6-tunnel1.
    5. No separador Correspondência, selecione Unicast na lista Tabela de rotas.
    6. Em Prefixo de endereço, adicione o prefixo de endereço para os endereços IPv6 usados na sua rede no local.
    7. No separador Ação, configure as seguintes opções:
      • Na lista Ação, selecione Permitir.
      • Em Next Hop, introduza o endereço do próximo salto IPv6 atribuído ao par BGP quando criou o túnel. Por exemplo, 2600:2D00:0:2::2.
    8. Clique em OK.
    9. Repita este procedimento para o grupo de pares BGP usado pelo segundo túnel IPv6, mas substitua os valores adequados para os seguintes campos:
      • Na caixa de diálogo Regra de exportação, introduza um nome exclusivo no campo Regras. Por exemplo, havpn-tunnel2-v6.
      • No painel Usado por, clique em Adicionar para adicionar o grupo de pares BGP que criou para o segundo túnel IPv6. Por exemplo, havpn-bgp-v6-tunnel1.
    10. No separador Ação, configure o campo Próximo salto, introduza o endereço do próximo salto IPv6 atribuído ao par BGP para este túnel. Por exemplo, 2600:2D00:0:3::3.