Configurar VPNs de terceros para el tráfico IPv4 e IPv6

En esta página se explica cómo configurar dispositivos VPN de terceros para que admitan tráfico de pila dual (IPv4 e IPv6) o solo IPv6 con Cloud VPN.

Para habilitar el tráfico de pila dual en tus túneles de VPN de alta disponibilidad, debes configurar tu pasarela de VPN de par con direcciones de salto siguiente IPv6. En los túneles de VPN de alta disponibilidad con tráfico de doble pila habilitado, las rutas IPv4 e IPv6 se intercambian a través de sesiones de BGP mediante BGP multiprotocolo (MP-BGP) con direcciones IPv4 locales de enlace. Tanto Cloud Router como tu gateway de VPN de la red de emparejamiento necesitan una configuración de salto siguiente IPv6 para enrutar el tráfico IPv6 hacia y desde la nube privada virtual (VPC) y tus redes de emparejamiento.

Solo las puertas de enlace de VPN de alta disponibilidad admiten tráfico de pila dual o solo IPv6. La VPN clásica no admite el tráfico IPv6. Comprueba que la pasarela de VPN de tu par esté configurada para usar IKEv2 en sus túneles de VPN de alta disponibilidad.

Compatibilidad con VPNs de terceros para el tráfico de pila dual

En la siguiente tabla se resume la compatibilidad de dispositivos VPN de terceros con el tráfico de pila dual a través de túneles IPsec.

Plataforma de proveedor	Versión probada para la configuración de pila dual de	Tráfico IPv6 a través de un túnel IPsec IPv4	Tráfico solo IPv6	Familia de direcciones de pila dual	Configuración interoperable para el tráfico de pila dual
Cisco IOS	No compatible	No compatible	Compatible	No compatible	Usa túneles de encapsulación de enrutamiento genérico (GRE) y un router virtual para transportar tráfico IPsec a través de GRE.
Check Point	No compatible	No compatible	No compatible	No compatible	Usa túneles de encapsulación de enrutamiento genérico (GRE) y un router virtual para transportar tráfico IPsec a través de GRE.
Juniper JunOS	20.2R3-S2.5	Compatible	No compatible	Compatible	Admite túneles de VPN de alta disponibilidad que pueden transportar tráfico IPv4 e IPv6.
PAN-OS de Palo Alto Networks	9.1	Compatible	No compatible	No compatible	Requiere que se configuren túneles de VPN de alta disponibilidad independientes para el tráfico IPv4 o IPv6, pero no para ambos.

Juniper JunOS

En el siguiente procedimiento se describe cómo configurar tu dispositivo VPN Juniper JunOS para que admita tráfico IPv4 e IPv6 en tus túneles VPN de alta disponibilidad.

Aunque configures direcciones IPv6 en las interfaces de túnel del dispositivo, estas direcciones solo se usan para la configuración del siguiente salto de IPv6. Las rutas IPv6 se anuncian a través de la información de accesibilidad de la capa de red (NLRI) IPv6 mediante el intercambio de tráfico (peering) BGP IPv4.

Antes de empezar

En Google Cloud, configura una pasarela de VPN de alta disponibilidad de doble pila y dos túneles de VPN de alta disponibilidad. Ambos túneles de VPN de alta disponibilidad transportan tráfico IPv4 e IPv6.

Anota las dos direcciones IPv4 externas que Google Cloud asigna a las dos interfaces de la pasarela de VPN de alta disponibilidad.

Anota los siguientes valores de configuración de cada túnel:

• La dirección IPv4 local de enlace del par de BGP, que es tu dispositivo Juniper JunOS
• Dirección IPv4 local de enlace de Cloud Router usada para el emparejamiento BGP
• Dirección IPv6 del siguiente salto asignada al peer o peerIpv6NexthopAddress
• El ASN que has asignado al router de Cloud para tus sesiones BGP
• El ASN que has asignado al peer de BGP, que es tu dispositivo Juniper JunOS
• La clave precompartida

Para consultar los detalles de la configuración de tu sesión de BGP, consulta Ver la configuración de la sesión de BGP.

Configurar JunOS

Para configurar dispositivos JunOS, sigue estos pasos:

1. En cada interfaz de túnel VPN, configura las direcciones de siguiente salto IPv6 del par BGP que has obtenido del router de Cloud. Estas interfaces son las mismas a las que se les asignan direcciones locales de enlace para el peering de IPv4.

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
   set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
   set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
   

   Sustituye los siguientes valores:

   • PEER_BGP_IP_1: la dirección IPv4 BGP del par de la primera interfaz de túnel con su máscara de subred
   • PEER_IPV6_NEXT_HOP_ADDRESS_1: la dirección IPv6 del siguiente salto del peer de la primera interfaz de túnel con su máscara de subred
   • PEER_BGP_IP_2: la dirección IPv4 BGP del peer de la segunda interfaz de túnel con su máscara de subred
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: la dirección IPv6 del siguiente salto del peer de la segunda interfaz de túnel con su máscara de subred

   Por ejemplo:

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address 169.254.0.2/30
   set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address 169.254.1.2/30
   set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
   

2. Configura los objetos de propuesta IKE, política IKE y pasarela IKE.

   # IKE proposal
   set security ike proposal ike_prop authentication-method pre-shared-keys
   set security ike proposal ike_prop dh-group group2
   set security ike proposal ike_prop authentication-algorithm sha-256
   set security ike proposal ike_prop encryption-algorithm aes-256-cbc
   set security ike proposal ike_prop lifetime-seconds 36000
   
   # IKE policy
   set security ike policy ike_pol mode main
   set security ike policy ike_pol proposals ike_prop
   set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
   
   # IKE gateway objects
   set security ike gateway gw1 ike-policy ike_pol
   set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
   set security ike gateway gw1 local-identity inet 142.215.100.60
   set security ike gateway gw1 external-interface ge-0/0/0
   set security ike gateway gw1 version v2-only
   set security ike gateway gw2 ike-policy ike_pol
   set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
   set security ike gateway gw2 local-identity inet 142.215.100.60
   set security ike gateway gw2 external-interface ge-0/0/0
   set security ike gateway gw2 version v2-only
   

   Sustituye los siguientes valores:

   • HA_VPN_INTERFACE_ADDRESS_0: la dirección IPv4 externa de la primera interfaz de túnel de la pasarela de VPN de alta disponibilidad
   • HA_VPN_INTERFACE_ADDRESS_1: la dirección IPv4 externa de la segunda interfaz de túnel de la pasarela de VPN de alta disponibilidad
   • SHARED_SECRET: la clave precompartida que has configurado para el túnel de VPN de alta disponibilidad

3. Configura la propuesta y la política de IPsec. Por ejemplo:

   set security ipsec proposal ipsec_prop protocol esp
   set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
   set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
   set security ipsec proposal ipsec_prop lifetime-seconds 10800
   

4. Configura las configuraciones de la pasarela de VPN IPsec y vincúlalas a las interfaces de túnel. Por ejemplo:

   set security ipsec vpn vpn1 bind-interface st0.1
   set security ipsec vpn vpn1 ike gateway gw1
   set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn1 establish-tunnels immediately
   set security ipsec vpn vpn2 bind-interface st0.2
   set security ipsec vpn vpn2 ike gateway gw2
   set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn2 establish-tunnels immediately
   

5. Crea las instrucciones de la política que cambien el siguiente salto de los peers IPv6 a las direcciones del siguiente salto IPv6.

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

   Sustituye los siguientes valores:

   • PEER_IPV6_NEXT_HOP_ADDRESS_1: la dirección IPv6 del siguiente salto del par BGP del primer túnel
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: la dirección IPv6 del siguiente salto del par BGP del segundo túnel

   Por ejemplo:

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

6. Configura el BGP para el intercambio de rutas IPv6.

   Al configurar BGP, debes especificar instrucciones include-mp-next-hop para enviar el atributo de salto siguiente al peer.

   A continuación, exporta la declaración de política que has definido en el paso anterior para cambiar el siguiente salto a la dirección IPv6.

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as ROUTER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address ROUTER_IP_2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as ROUTER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
   

   Sustituye los siguientes valores:

   • ROUTER_BGP_IP_1: la dirección IPv4 asignada a Cloud Router para el primer túnel
   • ROUTER_BGP_IP_2: la dirección IPv4 asignada a Cloud Router para el segundo túnel
   • ROUTER_ASN: el ASN asignado a Cloud Router para tus sesiones BGP.
   • PEER_ASN: el ASN que has asignado al peer de BGP, que es tu dispositivo Juniper JunOS.

   En el siguiente ejemplo se muestran las instrucciones include-mp-next-hop y export en negrita:

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as 16550
   set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
   set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address 169.254.1.2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as 16550
   set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
   set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
   

7. Verifica la conectividad BGP.

   show route protocol bgp
   

PAN-OS de Palo Alto Networks

En esta sección se describe cómo configurar tu dispositivo Palo Alto Networks PAN-OS para que admita el tráfico IPv4 e IPv6 en tus túneles VPN de alta disponibilidad.

PAN-OS admite el transporte de tráfico IPv6 a través de IPv4. Sin embargo, PAN-OS no admite familias de direcciones de pila dual. Por lo tanto, debe configurar túneles VPN independientes que transporten tráfico IPv4 o IPv6.

Para obtener más información sobre cómo configurar dispositivos PAN-OS para usarlos con VPN, consulta la documentación de VPN de Palo Alto PAN OS.

Antes de empezar

En Google Cloud, configura dos pasarelas de VPN de alta disponibilidad y cuatro túneles de VPN de alta disponibilidad. Dos túneles son para el tráfico IPv6 y dos para el tráfico IPv4.

1. Crea la pasarela y los túneles de VPN de alta disponibilidad para el tráfico IPv4. Crea lo siguiente:

   • Una pasarela de VPN de alta disponibilidad que usa el tipo de pila solo IPv4
   • Dos túneles VPN que pueden transportar tráfico IPv4

2. Crea la pasarela de VPN de alta disponibilidad y los túneles para el tráfico IPv6. Crea lo siguiente:

   • Una pasarela de VPN de alta disponibilidad que usa el tipo de pila de doble pila
   • Dos túneles VPN que pueden transportar tráfico IPv6
   • Habilita IPv6 en las sesiones de BGP de los túneles IPv6

3. Anota las direcciones IPv4 externas que Google Cloud asigna a cada interfaz de pasarela VPN de alta disponibilidad.

4. Anota los siguientes valores de configuración de cada túnel:

   • Dirección IPv4 local de enlace del par de BGP, que es el lado de PAN-OS de la sesión de BGP
   • Dirección IPv4 local de enlace de Cloud Router usada para el emparejamiento BGP
   • El ASN que has asignado al peer de BGP, que es tu dispositivo PAN-OS
   • El ASN que has asignado al router de Cloud para tus sesiones BGP
   • La clave precompartida

5. En cada túnel IPv6, anota también el peerIpv6NexthopAddress, que es la dirección IPv6 del siguiente salto asignada al peer de BGP. Google Cloud puede haberte asignado esta dirección automáticamente, o bien puedes haber especificado las direcciones manualmente al crear el túnel VPN.

Para consultar los detalles de la configuración de tu sesión de BGP, consulta Ver la configuración de la sesión de BGP.

Configurar PAN-OS

Para configurar tu dispositivo Palo Alto Networks, sigue estos pasos en la interfaz web de PAN-OS.

1. Habilita el cortafuegos IPv6.

2. Selecciona Dispositivo > Configuración > Configuración de la sesión.

   1. Selecciona Habilitar firewall IPv6.

3. Crea una interfaz de bucle de retorno para IPv4 e IPv6.

   1. Selecciona Red > Interfaces > Interfaz de bucle de retorno y crea una interfaz de bucle de retorno.
   2. Crea una interfaz de bucle invertido. Por ejemplo, loopback.10.
   3. En la pestaña Config (Configuración), selecciona Virtual Router (Router virtual) external y Security Zone (Zona de seguridad) ZONE_EXTERNAL.
   4. En la pestaña IPv4, asigna a la interfaz de bucle de retorno intervalos de direcciones IPv4 que sean adecuados para tu red local.
   5. En la pestaña IPv6, selecciona Habilitar IPv6 en la interfaz y añade un intervalo de direcciones IPv6 adecuado para tu red local.
   6. En la pestaña Avanzado, especifica un Perfil de gestión para la interfaz de bucle de retorno. Asegúrate de que el perfil que especifiques permita el ping para que puedas verificar la conectividad.

4. Crea cuatro túneles de pasarela IKE: dos para el tráfico IPv6 y dos para el tráfico IPv4. Cada túnel se conecta a una interfaz de una pasarela de VPN de alta disponibilidad.

   • Crea dos túneles para el tráfico IPv6.
     1. Selecciona Red > Interfaces > Túnel y crea un túnel.
     2. Especifica un nombre para el primer túnel. Por ejemplo, tunnel.1.
     3. En la pestaña Config (Configuración), selecciona Virtual Router (Router virtual) external y Security Zone (Zona de seguridad) ZONE_EXTERNAL.
     4. En la pestaña IPv4, especifica la dirección local de enlace del par de BGP que configuraste al crear los túneles VPN para la VPN de alta disponibilidad. Por ejemplo, 169.254.0.2/30.
     5. En la pestaña IPv6, selecciona Habilitar IPv6 en la interfaz y especifica la dirección IPv6 del siguiente salto configurada para el peer de BGP. Por ejemplo, 2600:2D00:0:2::2/125.
     6. En la pestaña Avanzada, define MTU como 1460.
     7. Repite este procedimiento con el segundo túnel. Por ejemplo, tunnel.2. En las pestañas IPv4 y IPv6, especifica los valores adecuados para los campos de peer de BGP y de siguiente salto de IPv6. Usa los valores que coincidan con el segundo túnel de la VPN de alta disponibilidad de doble pila. Por ejemplo, 169.254.1.2/30 y 2600:2D00:0:3::3/125.
   • Crea dos túneles para el tráfico IPv4.
     1. Selecciona Red > Interfaces > Túnel y crea un túnel.
     2. Especifica un nombre para el tercer túnel. Por ejemplo, tunnel.3.
     3. En la pestaña Config (Configuración), selecciona Virtual Router (Router virtual) external y Security Zone (Zona de seguridad) ZONE_EXTERNAL.
     4. En la pestaña IPv4, especifica la dirección local de enlace del par de BGP que configuraste al crear los túneles VPN de la VPN de alta disponibilidad. Por ejemplo, 169.254.2.2/30.
     5. Omite la configuración de la pestaña IPv6.
     6. En la pestaña Avanzada, define MTU como 1460.
     7. Repite este procedimiento con el cuarto túnel. Por ejemplo, tunnel.4. En la pestaña IPv4, especifique los valores adecuados para el par BGP que coincidan con el segundo túnel de la VPN de alta disponibilidad solo IPv4. Por ejemplo, 169.254.3.2/30.

5. Crea un perfil criptográfico de IPsec.

   1. Selecciona Red > Cifrado IPSec y crea un perfil.
   2. Introduce valores en los siguientes campos:
      • Nombre: introduce un nombre de perfil. Por ejemplo, ha-vpn.
      • Protocolo IPSec: selecciona ESP.
      • Cifrado: añade un cifrado IKE compatible.
      • Autenticación: especifica una función hash. Por ejemplo, sha512.
      • Grupo de canales: selecciona un grupo de canales. Por ejemplo, group14.
      • Tiempo de vida: selecciona Horas e introduce 3.
   3. Haz clic en Aceptar.

6. Crea un perfil criptográfico IKE.

   1. Selecciona Red > Cifrado IKE.
   2. Introduce valores en los siguientes campos:
      • Nombre: introduce un nombre de perfil. Por ejemplo, ha-vpn.
      • Grupo DH: comprueba que el grupo DH que has seleccionado para el perfil criptográfico de IPsec aparece en la lista.
      • Autenticación: especifica una función hash. Por ejemplo, sha512.
      • Cifrado: añade un cifrado IKE compatible.
   3. En el panel Temporizadores, selecciona Horas en Tiempo de vida de la clave e introduce 10.
   4. Haz clic en Aceptar.

7. Después de crear cuatro túneles IKE, crea cuatro pasarelas IKE, una para cada túnel.

   1. Selecciona Red > Pasarelas IKE y crea una nueva pasarela.
   2. En la pestaña General, introduce los valores de los siguientes campos:
      • Nombre: nombre de la pasarela IKE del primer túnel. Por ejemplo, havpn-v6-tunnel1.
      • Versión: selecciona IKEv2 only mode.
      • Tipo de dirección: selecciona IPv4.
      • Interfaz: especifica la interfaz de bucle invertido que has creado al principio de este procedimiento. Por ejemplo, loopback.10.
      • Dirección IP local: especifica un intervalo de direcciones IPv4 adecuado para tu red local.
      • Tipo de dirección IP del peer: selecciona IP.
      • Dirección del par: especifica la dirección IPv4 externa de la primera interfaz de VPN de alta disponibilidad del túnel.
      • Autenticación: selecciona Pre-Shared Key.
      • Clave precompartida y Confirmar clave precompartida: introduce el secreto compartido que has configurado en Google Cloud para el túnel.
      • Identificación local: selecciona Dirección IP y especifica una dirección IPv4 adecuada para tu red local.
      • Identificación del par: selecciona Dirección IP y la dirección IPv4 externa de la interfaz de VPN de alta disponibilidad del túnel.
   3. Selecciona la pestaña Opciones avanzadas.
   4. En Perfil criptográfico de IKE, selecciona el perfil que has creado anteriormente. Por ejemplo, ha-vpn.
   5. Habilita Prueba de vida e introduce 5 en Intervalo (seg.).
   6. Haz clic en Aceptar.
   7. Repite este procedimiento con los otros tres túneles, pero sustituye los valores adecuados en los siguientes campos:
      • Nombre: nombre de la pasarela IKE del túnel. Por ejemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.
      • Dirección IP local / Identificación local: especifica una dirección IPv4 sin usar que sea adecuada para tu red local.
      • Dirección del par / Identificación del par: especifica la dirección IPv4 externa de la interfaz de VPN de alta disponibilidad correspondiente del túnel.
      • Clave precompartida: especifica el secreto compartido configurado para el túnel.

8. Crea cuatro túneles IPsec.

   1. Selecciona Red > Túneles IPSec y crea un túnel.
   2. Introduce valores en los siguientes campos:
      • Nombre: nombre único del túnel. Por ejemplo, hapvpn-tunnel-1.
      • Interfaz de túnel: selecciona una interfaz de túnel para el túnel de la pasarela IKE que has creado anteriormente. Por ejemplo, tunnel.1.
      • Tipo: selecciona Clave automática.
      • Tipo de dirección: selecciona IPv4.
      • Pasarela IKE: selecciona una de las pasarelas IKE que hayas creado anteriormente. Por ejemplo, havpn-v6-tunnel.
      • Perfil criptográfico de IPSec: selecciona el perfil que has creado anteriormente. Por ejemplo, ha-vpn.
   3. No configures los IDs de proxy.
   4. Haz clic en Aceptar.
   5. Repite este procedimiento con los otros tres túneles, pero sustituye los valores adecuados en los siguientes campos:
      • Nombre: nombre único del túnel IPsec. Por ejemplo, havpn-tunnel2, havpn-tunnel3 o havpn-tunnel4.
      • Interfaz de túnel: selecciona una interfaz de túnel que no se esté usando para el túnel de la pasarela IKE que has creado anteriormente. Por ejemplo, tunnel.2, tunnel.3 o tunnel.4.
      • Pasarela IKE: selecciona una de las pasarelas IKE que hayas creado anteriormente. Por ejemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.

9. Opcional: Configura ECMP.

   1. Selecciona Red > Routers virtuales > ROUTER_NAME > Configuración del router > ECMP.
   2. En la pestaña ECMP, selecciona Habilitar.
   3. Haz clic en Aceptar.

10. Configura BGP.

    1. Selecciona Red > Routers virtuales > ROUTER_NAME > Ajustes del router > BGP.
    2. En la pestaña General, selecciona Habilitar.
    3. En el campo ID de router, introduce la dirección IPv4 local con enlace asignada al par de BGP, que es el lado de PAN-OS de la sesión de BGP.
    4. En el campo Número de AS, introduce el ASN del lado de PAN-OS de la sesión BGP.
    5. En Opciones, asegúrate de que esté seleccionada la opción Instalar ruta.
    6. Haz clic en Aceptar.

11. Cree un grupo de peers de BGP con un peer de BGP por cada túnel IPv6. Crea un grupo de peers de BGP independiente para cada túnel IPv6, de forma que puedas configurar una dirección de salto siguiente IPv6 diferente por túnel.

    1. Selecciona Red > Routers virtuales > ROUTER_NAME > Ajustes del router > BGP > Grupo de peers.
    2. En la pestaña Grupo de aplicaciones similares, crea un grupo de aplicaciones similares para el primer túnel IPv6.
    3. En el campo Nombre, introduce el nombre del grupo de actividad. Por ejemplo, havpn-bgp-v6-tunnel1.
    4. Selecciona Habilitar.
    5. Selecciona Ruta de AS de Confed agregada.
    6. En la lista Tipo, selecciona EBGP.
    7. En Importar siguiente salto, selecciona Original.
    8. En Exportar siguiente salto, selecciona Resolver.
    9. Selecciona Quitar AS privado.
    10. En el panel Peer (Peer), haz clic en Add (Añadir) para añadir un peer al grupo de peers de BGP.
    11. En el cuadro de diálogo Peer (Peer), introduce los siguientes valores:
        • Nombre: nombre del elemento del mismo nivel. Por ejemplo, havpn-v6-tunnel1.
        • Selecciona Habilitar.
        • AS del peer: el ASN asignado al router de Cloud para la sesión BGP.
        • En la pestaña Direcciones, configure las siguientes opciones:
          • Selecciona Habilitar extensiones MP-BGP.
          • En Tipo de familia de direcciones, selecciona IPv6.
          • En Dirección local, en Interfaz, selecciona el primer túnel que definiste al crear los túneles de la pasarela IKE. Por ejemplo, tunnel.1.
          • En IP, selecciona la dirección IPv4 local con enlace del par de BGP. Por ejemplo, 169.254.0.2./30.
          • En Dirección del peer, en Tipo, selecciona IP.
          • En Dirección, selecciona la dirección IPv4 local con enlace del router de Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.0.1.
        • Haz clic en Aceptar.
    12. Cuando hayas terminado de añadir el elemento del mismo nivel, haz clic en Aceptar.
    13. Repite este procedimiento con el otro túnel IPv6, pero sustituye los valores adecuados en los siguientes campos:
        • Nombre: nombre único del grupo de peers de BGP. Por ejemplo, havpn-bgp-v6-tunnel2.
        • En el cuadro de diálogo Peer (Peer), introduce los valores adecuados para el túnel en los siguientes campos:
          • Nombre: nombre del elemento del mismo nivel. Por ejemplo, havpn-v6-tunnel1.
          • En Dirección local, en Interfaz, selecciona el segundo túnel que has definido al crear los túneles de la pasarela IKE. Por ejemplo, tunnel.2.
          • En IP, selecciona la dirección IPv4 local con enlace del par de BGP del segundo túnel. Por ejemplo, 169.254.1.2./30.
          • En Dirección del par, en Dirección, selecciona la dirección IPv4 local con enlace del router de Cloud Router para esta sesión BGP. Por ejemplo, 169.254.1.1.

12. Crea un grupo de peers de BGP para los túneles IPv4.

    1. Selecciona Red > Routers virtuales > ROUTER_NAME > Ajustes del router > BGP > Grupo de peers.
    2. En la pestaña Grupo de aplicaciones similares, cree un grupo de aplicaciones similares para el túnel IPv4.
    3. En el campo Nombre, introduce el nombre del grupo de actividad. Por ejemplo, havpn-bgp-v4.
    4. Selecciona Habilitar.
    5. Selecciona Ruta de AS de Confed agregada.
    6. En la lista Tipo, selecciona EBGP.
    7. En Importar siguiente salto, selecciona Original.
    8. En Exportar siguiente salto, selecciona Resolver.
    9. Selecciona Quitar AS privado.
    10. En el panel Peer (Peer), haz clic en Add (Añadir) para añadir un peer al grupo de peers de BGP.
    11. En el cuadro de diálogo Peer (Peer), introduce los siguientes valores:
        • Nombre: introduce un nombre para el elemento del mismo nivel. Por ejemplo, havpn-v4-tunnel1.
        • Selecciona Habilitar.
        • AS del peer: el ASN asignado al router de Cloud para la sesión BGP.
        • En la pestaña Direcciones, configure las siguientes opciones:
          • No selecciones Habilitar extensiones MP-BGP.
          • En Address Family Type (Tipo de familia de direcciones), selecciona IPv4.
          • En Dirección local, en Interfaz, selecciona el tercer túnel que definiste al crear los túneles de la pasarela IKE. Por ejemplo, tunnel.3.
          • En IP, selecciona la dirección IPv4 local con enlace del par de BGP. Por ejemplo, 169.254.2.2./30.
          • En Dirección del peer, selecciona IP en Tipo.
          • En Dirección, selecciona la dirección IPv4 local con enlace del router de Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.2.1.
        • Haz clic en Aceptar.
    12. En el panel Peer (Peer), haz clic en Add (Añadir) para añadir el segundo peer al grupo de peers de BGP.
    13. En el cuadro de diálogo Peer (Peer), introduce los siguientes valores:
        • Nombre: introduce un nombre para el elemento del mismo nivel. Por ejemplo, havpn-v4-tunnel2.
        • Selecciona Habilitar.
        • AS del peer: el ASN asignado al router de Cloud para la sesión BGP.
        • En la pestaña Direcciones, configure las siguientes opciones:
          • No selecciones Habilitar extensiones MP-BGP.
          • En Tipo de familia de direcciones, selecciona IPv4.
          • En Dirección local, en Interfaz, selecciona el cuarto túnel que has definido al crear los túneles de la pasarela IKE. Por ejemplo, tunnel.4.
          • En IP, selecciona la dirección IPv4 local con enlace del par de BGP. Por ejemplo, 169.254.3.2./30.
          • En Dirección del peer, en Tipo, selecciona IP.
          • En Dirección, selecciona la dirección IPv4 local con enlace del router de Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.3.1.
    14. Haz clic en Aceptar.
    15. Cuando hayas terminado de añadir ambos editores, haz clic en Aceptar.

13. Exporta las reglas de configuración de BGP a los grupos de peers de BGP de los túneles IPv6. En este paso se asignan diferentes direcciones de siguiente salto IPv6 a los túneles.

    1. Selecciona Red > Routers virtuales > ROUTER_NAME > Configuración del router > BGP > Exportar.
    2. En el cuadro de diálogo Export Rule (Exportar regla), introduce un nombre en el campo Rules (Reglas). Por ejemplo, havpn-tunnel1-v6.
    3. Selecciona Habilitar.
    4. En el panel Usado por, haga clic en Añadir para añadir el grupo de peers de BGP que ha creado para el primer túnel IPv6. Por ejemplo, havpn-bgp-v6-tunnel1.
    5. En la pestaña Coincidencia, selecciona Unicast en la lista Tabla de rutas.
    6. En Prefijo de dirección, añade el prefijo de dirección de las direcciones IPv6 que se usan en tu red local.
    7. En la pestaña Acción, configure las siguientes opciones:
       • En la lista Acción, selecciona Permitir.
       • En Siguiente salto, introduce la dirección IPv6 del siguiente salto asignada al peer de BGP al crear el túnel. Por ejemplo, 2600:2D00:0:2::2.
    8. Haz clic en Aceptar.
    9. Repite este procedimiento para el grupo de peers de BGP que usa el segundo túnel IPv6, pero sustituye los valores adecuados en los siguientes campos:
       • En el cuadro de diálogo Export Rule (Exportar regla), introduce un nombre único en el campo Rules (Reglas). Por ejemplo, havpn-tunnel2-v6.
       • En el panel Usado por, haz clic en Añadir para añadir el grupo de peers de BGP que has creado para el segundo túnel IPv6. Por ejemplo, havpn-bgp-v6-tunnel1.
    10. En la pestaña Acción, configura el campo Siguiente salto e introduce la dirección IPv6 del siguiente salto asignada al par de BGP de este túnel. Por ejemplo, 2600:2D00:0:3::3.