이 페이지에서는 Cloud VPN에서 이중 스택(IPv4 및 IPv6) 또는 IPv6 전용 트래픽을 지원하도록 서드 파티 VPN 기기를 구성하는 방법을 설명합니다.
HA VPN 터널에서 이중 스택 트래픽을 사용 설정하려면 IPv6 다음 홉 주소로 피어 VPN 게이트웨이를 구성해야 합니다. 이중 스택 트래픽이 사용 설정된 HA VPN 터널에서는 링크-로컬 IPv4 주소가 있는 멀티 프로토콜 BGP(MP-BGP)를 사용하여 BGP 세션을 통해 IPv4 및 IPv6 경로를 교환합니다. Virtual Private Cloud (VPC)와 피어 네트워크와 IPv6 트래픽을 라우팅하려면 Cloud Router와 피어 VPN 게이트웨이 모두 IPv6 다음 홉 구성이 필요합니다.
HA VPN 게이트웨이만 이중 스택 또는 IPv6 전용 트래픽을 지원합니다. 기본 VPN은 IPv6 트래픽을 지원하지 않습니다. 피어 VPN 게이트웨이가 HA VPN 터널에 IKEv2를 사용하도록 구성되었는지 확인합니다.
이중 스택 트래픽에 대한 서드 파티 VPN 지원
다음 표에서는 IPsec 터널을 통한 이중 스택 트래픽에 대한 서드 파티 VPN 기기 지원을 요약해서 보여줍니다.
공급업체 플랫폼 | 버전의 이중 스택 구성 테스트 |
IPv4 IPsec 터널을 통한 IPv6 트래픽 | IPv6 전용 트래픽 | 이중 스택 주소 계열 | 이중 스택 트래픽에 대한 상호 운용성 구성 |
---|---|---|---|---|---|
Cisco IOS | 지원되지 않음 | 지원되지 않음 | 지원됨 | 지원되지 않음 | 일반 라우팅 캡슐화(GRE) 터널과 가상 라우터를 사용하여 GRE를 통해 IPsec 트래픽을 전송합니다. |
확인 지점 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 지원되지 않음 | 일반 라우팅 캡슐화(GRE) 터널과 가상 라우터를 사용하여 GRE를 통해 IPsec 트래픽을 전송합니다. |
Juniper JunOS | 20.2R3-S2.5 | 지원됨 | 지원되지 않음 | 지원됨 | IPv4 및 IPv6 트래픽을 모두 전달할 수 있는 HA VPN 터널을 지원합니다. |
Palo Alto Networks PAN-OS | 9.1 | 지원됨 | 지원되지 않음 | 지원되지 않음 | IPv4 또는 IPv6 트래픽 중 하나에 대해 구성된 별도의 HA VPN 터널이 필요합니다. |
Juniper JunOS
다음 절차에서는 HA VPN 터널에서 IPv4 및 IPv6 트래픽을 지원하도록 Juniper JunOS VPN 장치를 설정하는 방법에 대해 설명합니다.
기기의 터널 인터페이스에서 IPv6 주소를 구성하지만 IPv6 주소는 IPv6 다음 홉 구성에만 사용됩니다. IPv6 경로는 IPv4 BGP 피어링을 통해 IPv6 네트워크 레이어 연결 가능성 정보(NLRI)를 통해 공지됩니다.
시작하기 전에
Google Cloud에서 이중 스택 HA VPN 게이트웨이 1개와 HA VPN 터널 2개를 설정합니다. HA VPN 터널 2개 모두 IPv4 및 IPv6 트래픽을 전달합니다.
Google Cloud가 두 HA VPN 게이트웨이 인터페이스에 할당하는 2개의 외부 IPv4 주소를 기록합니다.
각 터널에 대해 다음 구성 값을 기록합니다.
- Juniper JunOS 기기인 BGP 피어의 링크-로컬 IPv4 주소
- BGP 피어링에 사용되는 Cloud Router의 링크-로컬 IPv4 주소
- 피어 또는
peerIpv6NexthopAddress
에 할당된 IPv6 다음 홉 주소 - BGP 세션의 Cloud Router에 할당된 ASN
- Juniper JunOS 기기인 BGP 피어에 할당한 ASN
- 사전 공유 키
BGP 세션 구성의 세부정보를 찾으려면 BGP 세션 구성 보기를 참조하세요.
JunOS 구성
JunOS 기기를 구성하려면 다음 단계를 완료합니다.
각 VPN 터널 인터페이스에 Cloud Router에서 가져온 BGP 피어 IPv6 다음 홉 주소를 구성합니다. 이 인터페이스는 IPv4 피어링을 위해 링크-로컬 주소가 할당된 인터페이스와 동일합니다.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
다음 값을 바꿉니다.
PEER_BGP_IP_1
: 서브넷 마스크가 있는 첫 번째 터널 인터페이스에 대한 피어의 BGP IPv4 주소PEER_IPV6_NEXT_HOP_ADDRESS_1
: 서브넷 마스크가 있는 첫 번째 터널 인터페이스에 대한 피어의 IPv6 다음 홉 주소PEER_BGP_IP_2
: 서브넷 마스크가 있는 두 번째 터널 인터페이스에 대한 피어의 BGP IPv4 주소PEER_IPV6_NEXT_HOP_ADDRESS_2
: 서브넷 마스크가 있는 두 번째 터널 인터페이스에 대한 피어의 IPv6 다음 홉 주소
예를 들면 다음과 같습니다.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
IKE 제안, IKE 정책, IKE 게이트웨이 객체를 구성합니다.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
다음 값을 바꿉니다.
HA_VPN_INTERFACE_ADDRESS_0
: HA VPN 게이트웨이에 있는 첫 번째 터널 인터페이스의 외부 IPv4 주소HA_VPN_INTERFACE_ADDRESS_1
: HA VPN 게이트웨이에 있는 두 번째 터널 인터페이스의 외부 IPv4 주소SHARED_SECRET
: HA VPN 터널에 대해 구성한 사전 공유 키
IPsec 제안 및 IPsec 정책을 구성합니다. 예를 들면 다음과 같습니다.
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
IPsec VPN 게이트웨이 구성을 구성하고 터널 인터페이스에 결합합니다. 예를 들면 다음과 같습니다.
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
IPv6 피어의 다음 홉을 IPv6 다음 홉 주소로 변경하는 정책 문을 만듭니다.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
다음 값을 바꿉니다.
PEER_IPV6_NEXT_HOP_ADDRESS_1
: 첫 번째 터널에 대한 BGP 피어의 IPv6 다음 홉 주소PEER_IPV6_NEXT_HOP_ADDRESS_2
: 두 번째 터널에 대한 BGP 피어의 IPv6 다음 홉 주소
예를 들면 다음과 같습니다.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
IPv6 경로 교환에 대한 BGP 구성입니다.
BGP를 구성할 때
include-mp-next-hop
문을 지정해 다음 홉 속성을 피어에 전송해야 합니다.그런 후 이전 단계에서 정의한 정책 문을 내보내 다음 홉을 IPv6 주소로 변경합니다.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
다음 값을 바꿉니다.
ROUTER_BGP_IP_1
: 첫 번째 터널의 Cloud Router에 할당된 IPv4 주소ROUTER_BGP_IP_2
: 두 번째 터널의 Cloud Router에 할당된 IPv4 주소ROUTER_ASN
: BGP 세션의 Cloud Router에 할당된 ASNPEER_ASN
: Juniper JunOS 기기인 BGP 피어에 할당한 ASN
다음 예시에서는
include-mp-next-hop
및export
문을 굵은 텍스트로 표시합니다.set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
BGP 연결을 확인합니다.
show route protocol bgp
Palo Alto Networks PAN-OS
이 섹션에서는 HA VPN 터널에서 IPv4 및 IPv6 트래픽을 지원하도록 Palo Alto Networks PAN-OS 기기를 설정하는 방법을 설명합니다.
PAN-OS는 IPv4를 통한 IPv6 트래픽 전송을 지원합니다. 하지만 PAN-OS는 이중 스택 주소 계열을 지원하지 않습니다. 따라서 IPv4 트래픽 또는 IPv6 트래픽 중 하나를 전달하는 별도의 VPN 터널을 설정해야 합니다.
VPN에 사용할 PAN-OS 기기 구성에 대한 자세한 내용은 Palo Alto PAN OS VPN 문서를 참조하세요.
시작하기 전에
Google Cloud에서 2개의 HA VPN 게이트웨이와 4개의 HA VPN 터널을 설정합니다. 터널 2개는 IPv6 트래픽용이고 나머지 터널 2개는 IPv4 트래픽용입니다.
IPv4 트래픽을 위한 HA VPN 게이트웨이 및 터널을 만듭니다. 다음을 만듭니다.
- IPv4 전용 스택 유형을 사용하는 HA VPN 게이트웨이 1개
- IPv4 트래픽을 전달할 수 있는 VPN 터널 2개
IPv6 트래픽을 위한 HA VPN 게이트웨이 및 터널을 만듭니다. 다음을 만듭니다.
- 이중 스택 스택 유형을 사용하는 HA VPN 게이트웨이 1개
- IPv6 트래픽을 전달할 수 있는 VPN 터널 2개
- IPv6 터널의 BGP 세션에 IPv6 사용 설정
Google Cloud가 각 HA VPN 게이트웨이 인터페이스에 할당하는 외부 IPv4 주소를 기록합니다.
각 터널에 대해 다음 구성 값을 기록합니다.
- BGP 세션의 PAN-OS 측인 BGP 피어의 링크-로컬 IPv4 주소
- BGP 피어링에 사용되는 Cloud Router의 링크-로컬 IPv4 주소
- PAN-OS 기기인 BGP 피어에 할당한 ASN
- BGP 세션의 Cloud Router에 할당된 ASN
- 사전 공유 키
각 IPv6 터널마다 BGP 피어에 할당된 IPv6 다음 홉 주소인
peerIpv6NexthopAddress
도 기록합니다. Google Cloud에서 이 주소를 자동으로 할당했거나 VPN 터널을 만들 때 사용자가 수동으로 주소를 지정했을 수 있습니다.
BGP 세션 구성의 세부정보를 찾으려면 BGP 세션 구성 보기를 참조하세요.
PAN-OS 구성
Palo Alto Networks 기기를 구성하려면 PAN-OS 웹 인터페이스에서 다음 단계를 수행합니다.
IPv6 방화벽을 사용 설정합니다.
Device(기기) > Setup(설정) > Session Settings(세션 설정)를 선택합니다.
- Enable IPv6 firewalling(IPv6 방화벽 사용 설정)을 선택합니다.
IPv4 및 IPv6용 루프백 인터페이스를 만듭니다.
- Network(네트워크) > Interfaces(인터페이스) > Loopback interface(루프백 인터페이스)를 선택하고 새 루프백 인터페이스를 만듭니다.
- 루프백 인터페이스를 만듭니다. 예를 들면
loopback.10
입니다. - Config(구성) 탭에서 Virtual Router(가상 라우터)를
external
로 설정하고 Security Zone(보안 영역)을ZONE_EXTERNAL
로 설정합니다. - IPv4 탭에서 온프레미스 네트워크에 적합한 IPv4 주소 범위가 있는 루프백 인터페이스를 할당합니다.
- IPv6 탭에서 Enable IPv6 on the interface(인터페이스에서 IPv6 사용 설정)를 선택하고 온프레미스 네트워크에 적합한 IPv6 주소 범위를 추가합니다.
- Advanced(고급) 탭에서 루프백 인터페이스의 Management Profile(관리 프로필)을 지정합니다. 연결을 확인할 수 있도록 지정한 프로필에서 핑을 허용하는지 확인합니다.
IKE 게이트웨이 터널 4개(IPv6 트래픽용 터널 2개 및 IPv4 트래픽용 터널 2개)를 만듭니다. 각 터널은 HA VPN 게이트웨이의 인터페이스에 연결됩니다.
- IPv6 트래픽을 위한 2개의 터널을 만듭니다.
- Network(네트워크) > Interfaces(인터페이스) > Tunnel(터널)을 선택하고 새 터널을 만듭니다.
- 첫 번째 터널의 이름을 지정합니다. 예를 들면
tunnel.1
입니다. - Config(구성) 탭에서 Virtual Router(가상 라우터)를
external
로 설정하고 Security Zone(보안 영역)을ZONE_EXTERNAL
로 설정합니다. - IPv4 탭에서 HA VPN용 VPN 터널을 만들 때 설정한 BGP 피어의 링크-로컬 주소를 지정합니다.
예를 들면
169.254.0.2/30
입니다. - IPv6 탭에서 Enable IPv6 on the interface(인터페이스에서 IPv6 사용 설정)를 선택하고 BGP 피어에 구성된 IPv6 다음 홉 주소를 지정합니다. 예를 들면
2600:2D00:0:2::2/125
입니다. - Advanced(고급) 탭에서 MTU를
1460
으로 설정합니다. - 두 번째 터널에 대해 이 절차를 반복합니다. 예를 들면
tunnel.2
입니다. IPv4 및 IPv6 탭에서 BGP 피어 및 IPv6 다음 홉의 적절한 값을 지정합니다. 이중 스택 HA VPN의 두 번째 터널과 일치하는 값을 사용하세요. 예를 들면169.254.1.2/30
및2600:2D00:0:3::3/125
입니다.
- IPv4 트래픽을 위한 2개의 터널을 만듭니다.
- Network(네트워크) > Interfaces(인터페이스) > Tunnel(터널)을 선택하고 새 터널을 만듭니다.
- 세 번째 터널의 이름을 지정합니다. 예를 들면
tunnel.3
입니다. - Config(구성) 탭에서 Virtual Router(가상 라우터)를
external
로 설정하고 Security Zone(보안 영역)을ZONE_EXTERNAL
로 설정합니다. - IPv4 탭에서 HA VPN용 VPN 터널을 만들 때 설정한 BGP 피어의 링크-로컬 주소를 지정합니다.
예를 들면
169.254.2.2/30
입니다. - IPv6 탭 구성을 건너뜁니다.
- Advanced(고급) 탭에서 MTU를
1460
으로 설정합니다. - 네 번째 터널에 이 절차를 반복합니다. 예를 들면
tunnel.4
입니다. IPv4 탭에서 IPv4 전용 HA VPN의 두 번째 터널과 일치하는 BGP 피어의 적절한 값을 지정합니다. 예를 들면169.254.3.2/30
입니다.
- IPv6 트래픽을 위한 2개의 터널을 만듭니다.
IPsec 암호화 프로필을 만듭니다.
- Network(네트워크) > IPSec Crypto(IPSec 암호화)를 선택하고 새 프로필을 만듭니다.
- 다음 필드에 값을 입력합니다.
- Name(이름): 프로필 이름을 입력합니다. 예를 들면
ha-vpn
입니다. - IPSec Protocol(IPSec 프로토콜): ESP를 선택합니다.
- Encryption(암호화): 지원되는 IKE 암호화를 추가합니다.
- Authentication(인증): 해시 함수를 지정합니다. 예를 들면
sha512
입니다. - DH group(DH 그룹): DH 그룹을 선택합니다. 예를 들어 group14입니다.
- Lifetime(수명): Hours(시간)를 선택하고
3
을 입력합니다.
- Name(이름): 프로필 이름을 입력합니다. 예를 들면
- 확인을 클릭합니다.
IKE 암호화 프로필을 만듭니다.
- Network(네트워크) > IKE Crypto(IKE 암호화)를 선택합니다.
- 다음 필드에 값을 입력합니다.
- Name(이름): 프로필 이름을 입력합니다. 예를 들면
ha-vpn
입니다. - DH group(DH 그룹): IPsec 암호화 프로필에 선택한 DH 그룹이 목록에 표시되는지 확인합니다.
- Authentication(인증): 해시 함수를 지정합니다. 예를 들면
sha512
입니다. - Encryption(암호화): 지원되는 IKE 암호화를 추가합니다.
- Name(이름): 프로필 이름을 입력합니다. 예를 들면
- Timers(타이머) 창에서 Key Lifetime(키 수명)에 Hours(시간)를 선택하고
10
을 입력합니다. - 확인을 클릭합니다.
IKE 터널 4개를 만든 후 터널마다 하나씩 총 4개의 IKE 게이트웨이를 만듭니다.
- Network(네트워크) > IKE Gateways(IKE 게이트웨이)를 선택하고 새 게이트웨이를 만듭니다.
- General(일반) 탭에서 다음 필드의 값을 입력합니다.
- Name(이름): 첫 번째 터널의 IKE 게이트웨이 이름입니다.
예를 들면
havpn-v6-tunnel1
입니다. - Version(버전):
IKEv2 only mode
를 선택합니다. - Address type(주소 유형):
IPv4
를 선택합니다. - Interface(인터페이스): 이 절차의 시작 부분에서 만든 루프백 인터페이스를 지정합니다. 예를 들면
loopback.10
입니다. - Local IP Address(로컬 IP 주소): 온프레미스 네트워크에 적합한 IPv4 주소 범위를 지정합니다.
- Peer IP Address Type(피어 IP 주소 유형):
IP
를 선택합니다. - Peer Address(피어 주소): 터널의 첫 번째 HA VPN 인터페이스에 대한 외부 IPv4 주소를 지정합니다.
- 인증:
Pre-Shared Key
를 선택합니다. - Pre-shared Key(사전 공유 키), Confirm Pre-Shared Key(사전 공유 키 확인): Google Cloud에서 터널에 대해 구성한 공유 비밀번호를 입력합니다.
- Local Identification(로컬 식별): IP address(IP 주소)를 선택하고 온프레미스 네트워크에 적합한 IPv4 주소를 지정합니다.
- Peer Identification(피어 식별): IP address(IP 주소)를 선택하고 터널에 대한 HA VPN 인터페이스의 외부 IPv4 주소를 선택합니다.
- Name(이름): 첫 번째 터널의 IKE 게이트웨이 이름입니다.
예를 들면
- Advanced Options(고급 옵션) 탭을 선택합니다.
- IKE Crypto Profile(IKE 암호화 프로필)에서 이전에 만든 프로필을 선택합니다. 예를 들면
ha-vpn
입니다. - Liveness Check(활성 확인)를 사용 설정하고 Interval (sec)(간격(초))에
5
를 입력합니다. - 확인을 클릭합니다.
- 나머지 3개의 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
- Name(이름): IKE 게이트웨이의 이름입니다.
예를 들면
havpn-v6-tunnel2
,havpn-v4-tunnel1
,havpn-v4-tunnel2
입니다. - Local IP Address(로컬 IP 주소)/Local Identification(로컬 식별): 온프레미스 네트워크에 적합한 사용되지 않은 IPv4 주소를 지정합니다.
- Peer Address(피어 주소)/Peer Identification(피어 식별): 터널의 일치하는 HA VPN 인터페이스에 대한 외부 IPv4 주소를 지정합니다.
- Pre-shared Key(사전 공유 키): 터널에 구성한 공유 비밀번호를 지정합니다.
- Name(이름): IKE 게이트웨이의 이름입니다.
예를 들면
4개의 IPsec 터널을 만듭니다.
- Network(네트워크) > IPSec Tunnels(IPSec 터널)를 선택하고 새 터널을 만듭니다.
- 다음 필드에 값을 입력합니다.
- Name(이름): 터널의 고유한 이름입니다. 예를 들면
hapvpn-tunnel-1
입니다. - Tunnel Interface(터널 인터페이스): 앞에서 만든 IKE 게이트웨이 터널의 터널 인터페이스를 선택합니다. 예를 들면
tunnel.1
입니다. - Type(유형): Auto Key(자동 키)를 선택합니다.
- Address Type(주소 유형): IPv4를 선택합니다.
- IKE Gateway(IKE 게이트웨이): 앞에서 만든 IKE 게이트웨이 중 하나를 선택합니다.
예를 들면
havpn-v6-tunnel
입니다. - IPSec Crypto Profile(IPSec 암호화 프로필): 앞에서 만든 프로필을 선택합니다.
예를 들면
ha-vpn
입니다.
- Name(이름): 터널의 고유한 이름입니다. 예를 들면
- Proxy IDs(프록시 ID)는 구성하지 않습니다.
- 확인을 클릭합니다.
- 나머지 3개의 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
- Name(이름): IPsec 터널의 고유한 이름입니다.
예를 들면
havpn-tunnel2
,havpn-tunnel3
,havpn-tunnel4
입니다. - Tunnel Interface(터널 인터페이스): 앞에서 만든 IKE 게이트웨이 터널에 대한 사용되지 않은 터널 인터페이스를 선택합니다. 예를 들면
tunnel.2
,tunnel.3
,tunnel.4
입니다. - IKE Gateway(IKE 게이트웨이): 앞에서 만든 IKE 게이트웨이 중 하나를 선택합니다.
예를 들면
havpn-v6-tunnel2
,havpn-v4-tunnel1
,havpn-v4-tunnel2
입니다.
- Name(이름): IPsec 터널의 고유한 이름입니다.
예를 들면
(선택사항) ECMP를 구성합니다.
- Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > ECMP를 선택합니다.
- ECMP 탭에서 Enable(사용 설정)을 선택합니다.
- 확인을 클릭합니다.
BGP를 구성합니다.
- Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP를 선택합니다.
- General(일반) 탭에서 Enable(사용 설정)을 선택합니다.
- Router ID(라우터 ID) 필드에서 BGP 세션 피어의 PAN-OS 측인 BGP 피어에 할당된 링크-로컬 IPv4 주소를 입력합니다.
- AS Number(AS 번호) 필드에 BGP 세션의 PAN-OS 측에 대한 ASN을 입력합니다.
- 옵션에서 경로 설치가 선택되어 있는지 확인합니다.
- 확인을 클릭합니다.
각 IPv6 터널마다 BGP 피어 한 개가 있는 BGP 피어 그룹을 만듭니다. 각 IPv6 터널마다 별도의 BGP 피어 그룹을 만들면 터널당 서로 다른 IPv6 다음 홉 주소를 구성할 수 있습니다.
- Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Peer Group(피어 그룹)을 선택합니다.
- Peer Group(피어 그룹) 탭에서 첫 번째 IPv6 터널에 대한 새 피어 그룹을 만듭니다.
- Name(이름) 필드에 피어 그룹의 이름을 입력합니다. 예를 들면
havpn-bgp-v6-tunnel1
입니다. - 사용 설정을 선택합니다.
- Aggregated Confed AS Path(집계된 Confed AS 경로)를 선택합니다.
- Type(유형) 목록에서 EBGP를 선택합니다.
- Import Next Hop(다음 홉 가져오기)에서 Original(원본)을 선택합니다.
- Export Next Hop(다음 홉 내보내기)에서 Resolve(확인)를 선택합니다.
- Remove Private AS(비공개 AS 삭제)를 선택합니다.
- Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 피어를 추가합니다.
- Peer(피어) 대화상자에 다음 값을 입력합니다.
- Name(이름): 피어 이름입니다. 예를 들면
havpn-v6-tunnel1
입니다. - 사용 설정을 선택합니다.
- Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
- Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
- Enable MP-BGP Extensions(MP-BGP 확장 프로그램 사용 설정)를 선택합니다.
- Address Family Type(주소 계열 유형)에서 IPv6을 선택합니다.
- Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 첫 번째 터널을 선택합니다. 예를 들면
tunnel.1
입니다. - IP에 대해 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다.
예를 들면
169.254.0.2./30
입니다. - Peer Address(피어 주소)의 Type(유형)에서 IP를 선택합니다.
- Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면
169.254.0.1
입니다.
- 확인을 클릭합니다.
- Name(이름): 피어 이름입니다. 예를 들면
- 피어 추가를 완료한 후 OK(확인)를 클릭합니다.
- 다른 IPv6 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
- Name(이름): BGP 피어 그룹의 고유한 이름입니다.
예를 들면
havpn-bgp-v6-tunnel2
입니다. - Peer(피어) 대화상자의 다음 필드에 터널에 적절한 값을 입력합니다.
- Name(이름): 피어 이름입니다. 예를 들면
havpn-v6-tunnel1
입니다. - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 두 번째 터널을 선택합니다. 예를 들면
tunnel.2
입니다. - IP에서 두 번째 터널에 대한 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면
169.254.1.2./30
입니다. - Peer Address(피어 주소)의 Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다.
예를 들면
169.254.1.1
입니다.
- Name(이름): 피어 이름입니다. 예를 들면
- Name(이름): BGP 피어 그룹의 고유한 이름입니다.
예를 들면
IPv4 터널용 BGP 피어 그룹을 만듭니다.
- Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Peer Group(피어 그룹)을 선택합니다.
- Peer Group(피어 그룹) 탭에서 IPv4 터널에 대한 새 피어 그룹을 만듭니다.
- Name(이름) 필드에 피어 그룹의 이름을 입력합니다. 예를 들면
havpn-bgp-v4
입니다. - 사용 설정을 선택합니다.
- Aggregated Confed AS Path(집계된 Confed AS 경로)를 선택합니다.
- Type(유형) 목록에서 EBGP를 선택합니다.
- Import Next Hop(다음 홉 가져오기)에서 Original(원본)을 선택합니다.
- Export Next Hop(다음 홉 내보내기)에서 Resolve(확인)를 선택합니다.
- Remove Private AS(비공개 AS 삭제)를 선택합니다.
- Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 피어를 추가합니다.
- Peer(피어) 대화상자에 다음 값을 입력합니다.
- Name(이름): 피어 이름을 입력합니다. 예를 들면
havpn-v4-tunnel1
입니다. - 사용 설정을 선택합니다.
- Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
- Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
- Enable MP-BGP Extensions(MP-BGP 확장 프로그램 사용 설정)를 선택하지 마세요.
- Address Family Type(주소 계열 유형)에서
IPv4
를 선택합니다. - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 세 번째 터널을 선택합니다. 예를 들면
tunnel.3
입니다. - IP에 대해 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다.
예를 들면
169.254.2.2./30
입니다. - Peer Address(피어 주소)에서 Type(유형)에
IP
를 선택합니다. - Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면
169.254.2.1
입니다.
- 확인을 클릭합니다.
- Name(이름): 피어 이름을 입력합니다. 예를 들면
- Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 두 번째 피어를 추가합니다.
- Peer(피어) 대화상자에 다음 값을 입력합니다.
- Name(이름): 피어 이름을 입력합니다. 예를 들면
havpn-v4-tunnel2
입니다. - 사용 설정을 선택합니다.
- Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
- Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
- Enable MP-BGP Extensions(MP-BGP 확장 프로그램 사용 설정)를 선택하지 마세요.
- Address Family Type(주소 계열 유형)에서 IPv4를 선택합니다.
- Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 네 번째 터널을 선택합니다. 예를 들면
tunnel.4
입니다. - IP에 대해 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다.
예를 들면
169.254.3.2./30
입니다. - Peer Address(피어 주소)의 Type(유형)에서 IP를 선택합니다.
- Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면
169.254.3.1
입니다.
- Name(이름): 피어 이름을 입력합니다. 예를 들면
- 확인을 클릭합니다.
- 두 피어의 추가를 완료한 후 OK(확인)를 클릭합니다.
IPv6 터널의 BGP 피어 그룹으로 BGP 구성 규칙을 내보냅니다. 이 단계에서는 터널에 서로 다른 IPv6 다음 홉 주소를 할당할 수 있습니다.
- Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Export(내보내기)를 선택합니다.
- Export Rule(규칙 내보내기) 대화상자의 Rules(규칙) 필드에 이름을 입력합니다. 예를 들면
havpn-tunnel1-v6
입니다. - 사용 설정을 선택합니다.
- Used By(사용 주체) 창에서
Add(추가)를 클릭하여 첫 번째 IPv6 터널용으로 만든 BGP 피어 그룹을 추가합니다.
예를 들면
havpn-bgp-v6-tunnel1
입니다. - Match(일치) 탭의 Route Table(경로 테이블) 목록에서 Unicast(유니캐스트)를 선택합니다.
- Address Prefix(주소 프리픽스)에 온프레미스 네트워크에서 사용되는 IPv6 주소의 주소 프리픽스를 추가합니다.
- Action(작업) 탭에서 다음 옵션을 구성합니다.
- Action(작업) 목록에서 Allow(허용)를 선택합니다.
- Next Hop(다음 홉)에서 터널을 만들 때 BGP 피어에 할당한 IPv6 다음 홉 주소를 입력합니다. 예를 들면
2600:2D00:0:2::2
입니다.
- 확인을 클릭합니다.
- 두 번째 IPv6 터널에서 사용되는 BGP 피어 그룹에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
- Export Rule(규칙 내보내기) 대화상자의 Rules(규칙) 필드에 고유한 이름을 입력합니다. 예를 들면
havpn-tunnel2-v6
입니다. - Used By(사용 주체) 창에서
Add(추가)를 클릭하여 두 번째 IPv6 터널용으로 만든 BGP 피어 그룹을 추가합니다.
예를 들면
havpn-bgp-v6-tunnel1
입니다.
- Export Rule(규칙 내보내기) 대화상자의 Rules(규칙) 필드에 고유한 이름을 입력합니다. 예를 들면
- Action(작업) 탭에서 Next Hop(다음 홉) 필드를 구성하고 이 터널의 BGP 피어에 할당된 IPv6 다음 홉 주소를 입력합니다.
예를 들면
2600:2D00:0:3::3
입니다.