Configurare VPN di terze parti per il traffico IPv4 e IPv6

Questa pagina fornisce istruzioni per configurare i dispositivi VPN di terze parti per supportare il traffico a doppio stack (IPv4 e IPv6) o solo IPv6 con Cloud VPN.

Per abilitare il traffico a doppio stack nei tunnel VPN ad alta disponibilità, devi configurare il gateway VPN peer con indirizzi dell'hop successivo IPv6. Nel Tunnel VPN ad alta disponibilità con traffico a doppio stack abilitato, IPv4 e IPv6 le route vengono scambiate nelle sessioni BGP utilizzando BGP multiprotocollo (MP-BGP) con indirizzi IPv4 locali rispetto al collegamento. Sia il router Cloud sia il gateway VPN peer è necessaria la configurazione dell'hop successivo IPv6 per instradare il traffico IPv6 da e verso Virtual Private Cloud (VPC) e le tue reti peer.

Solo i gateway VPN ad alta disponibilità supportano Traffico solo IPv6. La VPN classica non supporta il traffico IPv6. Assicurati che il gateway VPN peer sia configurato in modo da utilizzare IKEv2 per i suoi tunnel VPN ad alta disponibilità.

Supporto di VPN di terze parti per il traffico dual stack

La tabella seguente riassume il supporto dei dispositivi VPN di terze parti per il formato dual stack per il traffico sui tunnel IPsec.

Piattaforma fornitore	Versione testata per configurazione a doppio stack	Traffico IPv6 su tunnel IPsec IPv4	Traffico solo IPv6	Famiglia di indirizzi a doppio stack	Configurazione interoperabile per il traffico a doppio stack
iOS di Cisco	Non supportata	Non supportata	Supportato	Non supportata	Usa i tunnel GRE (Generic Routing Encapsulation) e un router virtuale per trasferire il traffico IPsec su GRE.
Check-point	Non supportata	Non supportata	Non supportata	Non supportata	Usa i tunnel GRE (Generic Routing Encapsulation) e un router virtuale per trasferire il traffico IPsec su GRE.
Juniper JunOS	20.2R3-S2.5	Supportato	Non supportata	Supportato	Supporta tunnel VPN ad alta disponibilità che possono trasportare sia IPv4 che IPv6 per via del traffico.
PAN-OS Palo Alto Networks	9,1	Supportato	Non supportata	Non supportata	Richiede tunnel VPN ad alta disponibilità separati configurati Traffico IPv4 o IPv6, ma non entrambi.

Ginepro JunOS

La seguente procedura descrive come configurare il tuo dispositivo VPN Juniper JunOS per supportare il traffico IPv4 e IPv6 nei tunnel VPN ad alta disponibilità.

Anche se configuri gli indirizzi IPv6 sulle interfacce del tunnel del dispositivo, Gli indirizzi IPv6 vengono utilizzati esclusivamente per la configurazione dell'hop successivo IPv6. Route IPv6 vengono pubblicizzati tramite IPv6 Network Layer Reachability Information (NLRI) su Peering BGP IPv4.

Prima di iniziare

In Google Cloud, configura un gateway VPN ad alta disponibilità a doppio stack e due tunnel VPN ad alta disponibilità. Entrambi i tunnel VPN ad alta disponibilità trasportano traffico IPv4 e IPv6.

Registra i due indirizzi IPv4 esterni che Google Cloud assegna all'account due interfacce dei gateway VPN ad alta disponibilità.

Registra i seguenti valori di configurazione per ogni tunnel:

• L'indirizzo IPv4 locale rispetto al collegamento del peer BGP, ovvero il tuo dispositivo JunOS Juniper
• L'indirizzo IPv4 locale rispetto al collegamento del router Cloud utilizzato per il peering BGP
• L'indirizzo dell'hop successivo IPv6 assegnato al peer o peerIpv6NexthopAddress
• L'ASN assegnato al router Cloud per le tue sessioni BGP
• L'ASN assegnato al peer BGP, ovvero il tuo dispositivo JunOS Juniper
• La chiave precondivisa

Per trovare i dettagli della configurazione della sessione BGP, consulta Visualizzare la configurazione delle sessioni BGP.

Configura JunOS

Per configurare i dispositivi JunOS, completa i seguenti passaggi:

1. Per ogni interfaccia del tunnel VPN, configura gli indirizzi dell'hop successivo IPv6 del peer BGP recuperato dal router Cloud. Queste interfacce sono le stesse interfacce a cui sono assegnati indirizzi locali rispetto al collegamento per il peering IPv4.

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
   set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
   set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
   

   Sostituisci i seguenti valori:

   • PEER_BGP_IP_1: l'indirizzo IPv4 BGP del peer per il primo tunnel con la propria subnet mask
   • PEER_IPV6_NEXT_HOP_ADDRESS_1: l'indirizzo dell'hop successivo IPv6 del peer per la prima interfaccia del tunnel con la sua subnet mask
   • PEER_BGP_IP_2: l'indirizzo IPv4 BGP del peer per il secondo tunnel con la propria subnet mask
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: l'indirizzo dell'hop successivo IPv6 del peer per la seconda interfaccia del tunnel con la sua subnet mask

   Ad esempio:

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address 169.254.0.2/30
   set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address 169.254.1.2/30
   set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
   

2. Configura la proposta IKE, il criterio IKE e gli oggetti gateway IKE.

   # IKE proposal
   set security ike proposal ike_prop authentication-method pre-shared-keys
   set security ike proposal ike_prop dh-group group2
   set security ike proposal ike_prop authentication-algorithm sha-256
   set security ike proposal ike_prop encryption-algorithm aes-256-cbc
   set security ike proposal ike_prop lifetime-seconds 36000
   
   # IKE policy
   set security ike policy ike_pol mode main
   set security ike policy ike_pol proposals ike_prop
   set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
   
   # IKE gateway objects
   set security ike gateway gw1 ike-policy ike_pol
   set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
   set security ike gateway gw1 local-identity inet 142.215.100.60
   set security ike gateway gw1 external-interface ge-0/0/0
   set security ike gateway gw1 version v2-only
   set security ike gateway gw2 ike-policy ike_pol
   set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
   set security ike gateway gw2 local-identity inet 142.215.100.60
   set security ike gateway gw2 external-interface ge-0/0/0
   set security ike gateway gw2 version v2-only
   

   Sostituisci i seguenti valori:

   • HA_VPN_INTERFACE_ADDRESS_0: l'indirizzo IPv4 esterno del primo tunnel sul gateway VPN ad alta disponibilità
   • HA_VPN_INTERFACE_ADDRESS_1: l'indirizzo IPv4 esterno del secondo tunnel sul gateway VPN ad alta disponibilità
   • SHARED_SECRET: la chiave precondivisa che hai configurato per Tunnel VPN ad alta disponibilità

3. Configura la proposta IPsec e il criterio IPsec. Ad esempio:

   set security ipsec proposal ipsec_prop protocol esp
   set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
   set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
   set security ipsec proposal ipsec_prop lifetime-seconds 10800
   

4. Configura le configurazioni del gateway VPN IPsec e associale alla interfacce del tunnel. Ad esempio:

   set security ipsec vpn vpn1 bind-interface st0.1
   set security ipsec vpn vpn1 ike gateway gw1
   set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn1 establish-tunnels immediately
   set security ipsec vpn vpn2 bind-interface st0.2
   set security ipsec vpn vpn2 ike gateway gw2
   set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn2 establish-tunnels immediately
   

5. Crea le istruzioni di criterio che modificano l'hop successivo per i peer IPv6 verso il protocollo IPv6 indirizzi dell'hop successivo.

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

   Sostituisci i seguenti valori:

   • PEER_IPV6_NEXT_HOP_ADDRESS_1: indirizzo dell'hop successivo IPv6 del peer BGP per il primo tunnel
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: indirizzo dell'hop successivo IPv6 del peer BGP per il secondo tunnel

   Ad esempio:

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

6. Configura BGP per lo scambio di route IPv6.

   Quando configuri BGP, devi specificare include-mp-next-hop per inviare l'attributo dell'hop successivo al peer.

   Quindi esporterai l'istruzione relativa alle norme che hai definito nel passaggio precedente. per sostituire l'hop successivo con l'indirizzo IPv6.

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as ROUTER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address ROUTER_IP_2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as ROUTER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
   

   Sostituisci i seguenti valori:

   • ROUTER_BGP_IP_1: l'indirizzo IPv4 assegnato al router Cloud per il primo tunnel
   • ROUTER_BGP_IP_2: l'indirizzo IPv4 assegnato al router Cloud per il secondo tunnel
   • ROUTER_ASN: l'ASN assegnato al router Cloud per il tuo e sessioni BGP.
   • PEER_ASN: l'ASN assegnato al peer BGP, ovvero il tuo dispositivo Juniper JunOS.

   L'esempio seguente mostra le istruzioni include-mp-next-hop e export in grassetto:

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as 16550
   set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
   set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address 169.254.1.2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as 16550
   set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
   set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
   

7. Verifica la connettività BGP.

   show route protocol bgp
   

PAN-OS di Palo Alto Networks

Questa sezione descrive come configurare il tuo Palo Alto Networks PAN-OS per supportare il traffico IPv4 e IPv6 nei tunnel VPN ad alta disponibilità.

PAN-OS supporta il trasporto del traffico IPv6 su IPv4. Tuttavia, PAN-OS non supporta le famiglie di indirizzi a doppio stack. Di conseguenza, devi configurare tunnel VPN separati che trasportano traffico IPv4. per il traffico IPv6 o IPv6.

Per ulteriori informazioni sulla configurazione dei dispositivi PAN-OS per l'utilizzo con la VPN, vedi documentazione di Palo Alto PAN OS VPN.

Prima di iniziare

In Google Cloud, configura due gateway VPN ad alta disponibilità tunnel VPN ad alta disponibilità. Due tunnel sono per il traffico IPv6 e due tunnel per il traffico IPv4.

1. Crea gateway e tunnel VPN ad alta disponibilità per il traffico IPv4. Crea quanto segue:

   • Un gateway VPN ad alta disponibilità che utilizza il tipo di stack solo IPv4
   • Due tunnel VPN che possono trasportare il traffico IPv4

2. Crea gateway e tunnel VPN ad alta disponibilità per il traffico IPv6. Crea quanto segue:

   • Un gateway VPN ad alta disponibilità che utilizza il modello a doppio stack tipo di stack
   • Due tunnel VPN che possono trasportare il traffico IPv6
   • Abilita IPv6 nelle sessioni BGP per i tunnel IPv6

3. Registra gli indirizzi IPv4 esterni che Google Cloud assegna a ciascuno l'interfaccia del gateway VPN ad alta disponibilità.

4. Registra i seguenti valori di configurazione per ogni tunnel:

   • L'indirizzo IPv4 locale rispetto al collegamento del peer BGP, che è il lato PAN-OS della Sessione BGP
   • L'indirizzo IPv4 locale rispetto al collegamento del router Cloud utilizzato per il peering BGP
   • L'ASN che hai assegnato al peer BGP, che è il tuo dispositivo PAN-OS
   • L'ASN assegnato al router Cloud per le tue sessioni BGP
   • La chiave precondivisa

5. Per ogni tunnel IPv6, registra anche il peerIpv6NexthopAddress, che corrisponde alla Indirizzo dell'hop successivo IPv6 assegnato al peer BGP. Google Cloud potrebbe assegnato automaticamente l'indirizzo, oppure manualmente specificato gli indirizzi al momento della creazione del tunnel VPN.

Per trovare i dettagli della configurazione della sessione BGP, consulta Visualizzare la configurazione delle sessioni BGP.

Configura PAN-OS

Per configurare il tuo dispositivo Palo Alto Networks, segui questi passaggi nella Interfaccia web PAN-OS.

1. Attiva il firewall IPv6.

2. Seleziona Dispositivo > Configurazione > Impostazioni sessione.

   1. Seleziona Abilita firewall IPv6.

3. Crea un'interfaccia di loopback per IPv4 e IPv6.

   1. Seleziona Rete > Interfacce > Interfaccia di loopback e per creare una nuova interfaccia di loopback.
   2. Crea un'interfaccia di loopback. Ad esempio, loopback.10.
   3. Nella scheda Configurazione, imposta Router virtuale su external e imposta Zona di sicurezza su ZONE_EXTERNAL.
   4. Nella scheda IPv4, assegna l'interfaccia di loopback con IPv4 di indirizzi IP appropriati per la rete on-premise.
   5. Nella scheda IPv6, seleziona Abilita IPv6 nell'interfaccia e aggiungi un Intervallo di indirizzi IPv6 appropriato per la rete on-premise.
   6. Nella scheda Avanzate, specifica un Profilo di gestione per il loopback a riga di comando. Assicurati che il profilo specificato consenta il ping in modo che tu possa e verificare la connettività.

4. Creare quattro tunnel gateway IKE, due tunnel per il traffico IPv6 e due tunnel per Traffico IPv4. Ogni tunnel si connette a un'interfaccia un gateway VPN ad alta disponibilità.

   • Creare due tunnel per il traffico IPv6.
     1. Seleziona Rete > Interfacce > Tunnel e crea un nuovo tunnel.
     2. Specifica un nome per il primo tunnel. Ad esempio, tunnel.1.
     3. Nella scheda Configurazione, imposta Router virtuale su external e imposta Zona di sicurezza su ZONE_EXTERNAL.
     4. Nella scheda IPv4, specifica l'indirizzo locale rispetto al collegamento del peer BGP che imposti durante la creazione dei tunnel VPN per la VPN ad alta disponibilità. Ad esempio, 169.254.0.2/30.
     5. Nella scheda IPv6, seleziona Abilita IPv6 sull'interfaccia e specifica la Indirizzo dell'hop successivo IPv6 configurato per il peer BGP. Ad esempio: 2600:2D00:0:2::2/125.
     6. Nella scheda Avanzate, imposta MTU su 1460.
     7. Ripeti questa procedura per il secondo tunnel. Ad esempio, tunnel.2. Attivato IPv4 e IPv6, specificare valori appropriati per i campi del peer BGP e dell'hop successivo IPv6. Utilizza i valori che corrispondono al secondo tunnel del percorso la VPN ad alta disponibilità a doppio stack. Ad esempio, 169.254.1.2/30 e 2600:2D00:0:3::3/125.
   • Creare due tunnel per il traffico IPv4.
     1. Seleziona Rete > Interfacce > Tunnel e crea un nuovo tunnel.
     2. Specifica un nome per il terzo tunnel. Ad esempio, tunnel.3.
     3. Nella scheda Configurazione, imposta Router virtuale su external e imposta Zona di sicurezza su ZONE_EXTERNAL.
     4. Nella scheda IPv4, specifica l'indirizzo locale rispetto al collegamento del peer BGP a cui durante la creazione dei tunnel VPN per la VPN ad alta disponibilità. Ad esempio, 169.254.2.2/30.
     5. Salta la configurazione della scheda IPv6.
     6. Nella scheda Avanzate, imposta MTU su 1460.
     7. Ripeti questa procedura per il quarto tunnel. Ad esempio, tunnel.4. Nella scheda IPv4, specifica i valori appropriati per il peer BGP che corrisponde al secondo tunnel della VPN ad alta disponibilità solo IPv4. Ad esempio, 169.254.3.2/30.

5. Crea un profilo di crittografia IPsec.

   1. Seleziona Rete > Crittografia IPSec e crea un nuovo profilo.
   2. Inserisci i valori nei seguenti campi:
      • Nome: inserisci un nome per il profilo. Ad esempio, ha-vpn.
      • Protocollo IPSec: seleziona ESP.
      • Crittografia: aggiungi una crittografia IKE supportata.
      • Autenticazione: specifica una funzione hash. Ad esempio, sha512.
      • Gruppo DH: seleziona un gruppo DH. ad esempio group14.
      • Lifetime: seleziona Ore e inserisci 3.
   3. Fai clic su OK.

6. Crea un profilo di crittografia IKE.

   1. Seleziona Network > IKE Crypto.
   2. Inserisci i valori nei seguenti campi:
      • Nome: inserisci un nome per il profilo. Ad esempio, ha-vpn.
      • Gruppo DH: verifica che il gruppo DH selezionato per la Il profilo IPsec Crypto viene visualizzato nell'elenco.
      • Autenticazione: specifica una funzione hash. Ad esempio, sha512.
      • Crittografia: aggiungi una crittografia IKE supportata.
   3. Nel riquadro Timer, seleziona Ore per Durata della chiave e inserisci 10.
   4. Fai clic su OK.

7. Dopo aver creato quattro tunnel IKE, crea quattro gateway IKE, uno per ogni tunnel.

   1. Seleziona Rete > Gateway IKE e crea un nuovo gateway.
   2. Nella scheda Generale, inserisci i valori per i campi seguenti campi:
      .
      • Nome: nome del gateway IKE per il primo tunnel. Ad esempio, havpn-v6-tunnel1.
      • Versione: seleziona IKEv2 only mode.
      • Tipo di indirizzo: seleziona IPv4.
      • Interface: specifica l'interfaccia di loopback creata nella all'inizio di questa procedura. Ad esempio, loopback.10.
      • Indirizzo IP locale: specifica un intervallo di indirizzi IPv4 appropriato per la tua rete on-premise. in ogni rete.
      • Tipo di indirizzo IP peer: seleziona IP.
      • Indirizzo peer: specifica l'indirizzo IPv4 esterno del primo l'interfaccia VPN ad alta disponibilità per il tunnel.
      • Autenticazione: seleziona Pre-Shared Key.
      • Pre-shared Key (Chiave precondivisa), Conferma chiave precondivisa: inserisci il segreto condiviso. configurato in Google Cloud per il tunnel.
      • Local Identification (Identificazione locale): seleziona Indirizzo IP e specifica un indirizzo IPv4 in modo appropriato per la tua rete on-premise.
      • Peer Identification (Identificazione peer): seleziona Indirizzo IP e l'indirizzo IPv4 esterno del l'interfaccia VPN ad alta disponibilità per il tunnel.
   3. Seleziona la scheda Opzioni avanzate.
   4. Per il profilo IKE Crypto, seleziona il profilo che hai creato in precedenza. Ad esempio, ha-vpn.
   5. Attiva Controllo vitalità e inserisci 5 per Intervallo (sec).
   6. Fai clic su OK.
   7. Ripeti questa procedura per gli altri tre tunnel, ma sostituisci le opzioni appropriate per i seguenti campi:
      • Nome: nome del gateway IKE per il tunnel. Ad esempio, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.
      • Indirizzo IP locale / Identificazione locale: specifica un IPv4 inutilizzato l'indirizzo IP appropriato per la tua rete on-premise.
      • Indirizzo peer / Identificazione peer: specifica l'indirizzo esterno. Indirizzo IPv4 per l'interfaccia VPN ad alta disponibilità corrispondente di nel tunnel.
      • Chiave precondivisa: specifica il secret condiviso configurato per il tunnel.

8. Creare quattro tunnel IPsec.

   1. Seleziona Rete > Tunnel IPSec e crea un nuovo tunnel.
   2. Inserisci i valori nei seguenti campi:
      • Nome: nome univoco del tunnel. Ad esempio, hapvpn-tunnel-1.
      • Interfaccia del tunnel: seleziona un'interfaccia del tunnel per il tunnel gateway IKE che hai creato in precedenza. Ad esempio, tunnel.1.
      • Tipo: seleziona Chiave automatica.
      • Tipo di indirizzo: seleziona IPv4.
      • Gateway IKE: seleziona uno dei gateway IKE che hai creato in precedenza. Ad esempio, havpn-v6-tunnel.
      • Profilo Crypto IPSec: seleziona il profilo che hai creato in precedenza. Ad esempio, ha-vpn.
   3. Non configurare gli ID proxy.
   4. Fai clic su OK.
   5. Ripeti questa procedura per gli altri tre tunnel, ma sostituisci le opzioni appropriate per i seguenti campi:
      • Nome: nome univoco del tunnel IPsec. Ad esempio, havpn-tunnel2, havpn-tunnel3 o havpn-tunnel4.
      • Interfaccia del tunnel: seleziona un'interfaccia del tunnel non utilizzata per IKE che hai creato in precedenza. Ad esempio, tunnel.2, tunnel.3 o tunnel.4.
      • Gateway IKE: seleziona uno dei gateway IKE che hai creato in precedenza. Ad esempio, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.

9. (Facoltativo) Configura ECMP.

   1. Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > ECMP.
   2. Nella scheda ECMP, seleziona Abilita.
   3. Fai clic su OK.

10. Configura BGP.

    1. Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP.
    2. Nella scheda Generale, seleziona Attiva.
    3. Nel campo ID router, inserisci l'indirizzo IPv4 locale rispetto al collegamento assegnato a il peer BGP, che è il lato PAN-OS della sessione BGP. peer.
    4. Nel campo Numero AS, inserisci l'ASN per il lato PAN-OS del BGP durante la sessione.
    5. In Opzioni, assicurati che sia selezionata l'opzione Installa route.
    6. Fai clic su OK.

11. Crea un gruppo di peer BGP con un peer BGP per ogni tunnel IPv6. Crea un gruppo di peer BGP separato per ogni tunnel IPv6, in modo da poter configurare Indirizzo dell'hop successivo IPv6 per tunnel.

    1. Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Gruppo di app peer.
    2. Nella scheda Gruppo di app peer, crea un nuovo gruppo di app peer per il primo tunnel IPv6.
    3. Nel campo Nome, inserisci un nome per il gruppo di app peer. Ad esempio: havpn-bgp-v6-tunnel1.
    4. Seleziona Attiva.
    5. Seleziona Percorso AS Confed aggregato.
    6. Nell'elenco Type (Tipo), seleziona EBGP.
    7. In Importa hop successivo, seleziona Originale.
    8. In Esporta hop successivo, seleziona Risolvi.
    9. Seleziona Rimuovi AS privato.
    10. Nel riquadro Peer, fai clic su Aggiungi per aggiungere un peer al gruppo di app peer BGP.
    11. Nella finestra di dialogo Peer, inserisci i seguenti valori:
        .
        • Nome: il nome del peer. Ad esempio, havpn-v6-tunnel1.
        • Seleziona Attiva.
        • ASN peer: l'ASN assegnato al router Cloud per il BGP durante la sessione.
        • Nella scheda Indirizzo, configura le seguenti opzioni:
          .
          • Seleziona Abilita estensioni MP-BGP.
          • Per Tipo di famiglia di indirizzi, seleziona IPv6.
          • In Local Address (Indirizzo locale), per Interface, seleziona il primo tunnel che hai definito durante la creazione dei tunnel gateway IKE. Ad esempio: tunnel.1.
          • Per IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP. Ad esempio, 169.254.0.2./30.
          • In Indirizzo peer, per Tipo seleziona IP.
          • In Indirizzo, seleziona l'indirizzo IPv4 locale rispetto al collegamento del router Cloud per questa sessione BGP. Ad esempio, 169.254.0.1.
        • Fai clic su OK.
    12. Dopo aver aggiunto il peer, fai clic su Ok.
    13. Ripeti questa procedura per l'altro tunnel IPv6, ma sostituisci le opzioni appropriate per i seguenti campi:
        • Nome: nome univoco del gruppo di app peer BGP. Ad esempio, havpn-bgp-v6-tunnel2.
        • Nella finestra di dialogo Peer, inserisci i valori appropriati per il tunnel in nei seguenti campi:
          .
          • Nome: il nome del peer. Ad esempio, havpn-v6-tunnel1.
          • In Local Address (Indirizzo locale), per Interface, seleziona il secondo tunnel che hai definito durante la creazione dei tunnel gateway IKE. Ad esempio: tunnel.2.
          • Per IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP per il nel secondo tunnel. Ad esempio, 169.254.1.2./30.
          • In Indirizzo peer, per Indirizzo, seleziona l'indirizzo IPv4 locale rispetto al collegamento del router Cloud per questa sessione BGP. Ad esempio: 169.254.1.1.

12. Crea un gruppo di peer BGP per i tunnel IPv4.

    1. Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Gruppo di app peer.
    2. Nella scheda Gruppo di app peer, crea un nuovo gruppo di app peer per il tunnel IPv4.
    3. Nel campo Nome, inserisci un nome per il gruppo di app peer. Ad esempio: havpn-bgp-v4.
    4. Seleziona Attiva.
    5. Seleziona Percorso AS Confed aggregato.
    6. Nell'elenco Type (Tipo), seleziona EBGP.
    7. In Importa hop successivo, seleziona Originale.
    8. In Esporta hop successivo, seleziona Risolvi.
    9. Seleziona Rimuovi AS privato.
    10. Nel riquadro Peer, fai clic su Aggiungi per aggiungere un peer al gruppo di app peer BGP.
    11. Nella finestra di dialogo Peer, inserisci i seguenti valori:
        .
        • Nome: inserisci un nome per il peer. Ad esempio, havpn-v4-tunnel1.
        • Seleziona Attiva.
        • ASN peer: l'ASN assegnato al router Cloud per il BGP durante la sessione.
        • Nella scheda Indirizzo, configura le seguenti opzioni:
          .
          • Non selezionare Abilita estensioni MP-BGP.
          • Per Tipo di famiglia di indirizzo, seleziona IPv4.
          • In Local Address (Indirizzo locale), per Interface, seleziona il terzo tunnel che hai definito durante la creazione dei tunnel gateway IKE. Ad esempio: tunnel.3.
          • Per IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP. Ad esempio, 169.254.2.2./30.
          • In Indirizzo peer, seleziona IP per Tipo.
          • In Indirizzo, seleziona l'indirizzo IPv4 locale rispetto al collegamento del router Cloud per questa sessione BGP. Ad esempio, 169.254.2.1.
        • Fai clic su OK.
    12. Nel riquadro Peer, fai clic su Aggiungi per aggiungere il secondo peer al gruppo di app peer BGP.
    13. Nella finestra di dialogo Peer, inserisci i seguenti valori:
        .
        • Nome: inserisci un nome per il peer. Ad esempio, havpn-v4-tunnel2.
        • Seleziona Attiva.
        • ASN peer: l'ASN assegnato al router Cloud per il BGP durante la sessione.
        • Nella scheda Indirizzo, configura le seguenti opzioni:
          .
          • Non selezionare Abilita estensioni MP-BGP.
          • Per Tipo di famiglia di indirizzi, seleziona IPv4.
          • In Local Address (Indirizzo locale), per Interface, seleziona il quarto tunnel che hai definito durante la creazione dei tunnel gateway IKE. Ad esempio: tunnel.4.
          • Per IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP. Ad esempio, 169.254.3.2./30.
          • In Indirizzo peer, per Tipo seleziona IP.
          • In Indirizzo, seleziona l'indirizzo IPv4 locale rispetto al collegamento del router Cloud per questa sessione BGP. Ad esempio, 169.254.3.1.
    14. Fai clic su OK.
    15. Dopo aver aggiunto entrambe le app peer, fai clic su OK.

13. Esporta le regole di configurazione BGP nei gruppi di peer BGP per i tunnel IPv6. Questo passaggio consente di assegnare diversi indirizzi dell'hop successivo IPv6 ai tunnel.

    1. Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Esporta.
    2. Nella finestra di dialogo Esporta regola, inserisci un nome nel campo Regole. . Ad esempio: havpn-tunnel1-v6.
    3. Seleziona Attiva.
    4. Nel riquadro Utilizzato da, fai clic su Aggiungi per aggiungere il gruppo di peer BGP che hai creato per il primo tunnel IPv6. Ad esempio: havpn-bgp-v6-tunnel1.
    5. Nella scheda Match, seleziona Unicast nell'elenco Route Table (Tabella route).
    6. In Prefisso indirizzo, aggiungi il prefisso per gli indirizzi IPv6 utilizzata nella rete on-premise.
    7. Nella scheda Azione, configura le seguenti opzioni:
       .
       • Nell'elenco Azione, seleziona Consenti.
       • Nell'Hop successivo, inserisci l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP quando hai creato il tunnel. Ad esempio, 2600:2D00:0:2::2.
    8. Fai clic su OK.
    9. Ripeti questa procedura per il gruppo di peer BGP utilizzato dal secondo tunnel IPv6, ma sostituisci i valori appropriati per i seguenti campi:
       • Nella finestra di dialogo Esporta regola, inserisci un nome univoco nelle Regole. . Ad esempio: havpn-tunnel2-v6.
       • Nel riquadro Utilizzato da, fai clic su Aggiungi per aggiungere il gruppo di peer BGP che hai creato per il secondo tunnel IPv6. Ad esempio: havpn-bgp-v6-tunnel1.
    10. Nella scheda Action (Azione), configura il campo Next Hop (Hop successivo), inserisci l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP per questo tunnel. Ad esempio: 2600:2D00:0:3::3.