为 IPv4 和 IPv6 流量设置第三方 VPN

本页介绍了如何配置第三方 VPN 设备,以通过 Cloud VPN 支持双栈(IPv4 和 IPv6)或仅限 IPv6 流量。

如需在高可用性 VPN 隧道中启用双栈流量,您必须使用 IPv6 下一个跃点地址配置对等 VPN 网关。在启用了双栈流量的高可用性 VPN 隧道中,IPv4 和 IPv6 路由使用具有链路本地 IPv4 地址的多协议 BGP (MP-BGP) 通过 BGP 会话交换。Cloud Router 路由器和对等 VPN 网关都需要使用 IPv6 下一个跃点配置,以将 IPv6 流量路由到 Virtual Private Cloud (VPC) 和对等网络或从中路由 IPv6 流量。

只有高可用性 VPN 网关支持双栈或仅限 IPv6 的流量。传统 VPN 不支持 IPv6 流量。 确保对等 VPN 网关配置为使用 IKEv2 作为其高可用性 VPN 隧道。

对双栈流量的第三方 VPN 支持

下表汇总了第三方 VPN 设备对通过 IPsec 隧道的双栈流量的支持。

供应商平台 针对双栈配置
测试的版本
通过 IPv4 IPsec 隧道的 IPv6 流量 仅限 IPv6 流量 双栈地址系列 双栈流量的互操作配置
Cisco IOS 不支持 不支持 支持 不支持 使用通用路由封装 (GRE) 隧道和虚拟路由器通过 GRE 传输 IPsec 流量。
Check Point 不支持 不支持 不支持 不支持 使用通用路由封装 (GRE) 隧道和虚拟路由器通过 GRE 传输 IPsec 流量。
Juniper JunOS 20.2R3-S2.5 支持 不支持 支持 支持可同时传输 IPv4 和 IPv6 流量的高可用性 VPN 隧道。
Palo Alto Networks PAN-OS 9.1 支持 不支持 不支持 需要为 IPv4 或 IPv6 流量配置单独的高可用性 VPN 隧道,但不能同时为两者配置。

Juniper JunOS

以下过程介绍了如何设置 Juniper JunOS VPN 设备,以支持 IPv4 和 IPv6 流量通过高可用性 VPN 隧道。

虽然在设备的隧道接口上配置 IPv6 地址,但 IPv6 地址仅用于 IPv6 下一个跃点配置。 IPv6 路由通过 IPv4 BGP 对等互连借助 IPv6 网络层可达性信息 (NLRI) 通告。

准备工作

在 Google Cloud 中,设置一个双栈高可用性 VPN 网关和两个高可用性 VPN 隧道。高可用性 VPN 隧道都传输 IPv4 和 IPv6 流量。

记录 Google Cloud 分配给两个高可用性 VPN 网关接口的两个外部 IPv4 地址。

记录每个隧道的以下配置值:

  • BGP 对等方(即您的 Juniper JunOS 设备)的链路本地 IPv4 地址
  • 用于 BGP 对等互连的 Cloud Router 路由器的链路本地 IPv4 地址
  • 分配给对等方的 IPv6 下一个跃点地址,也就是 peerIpv6NexthopAddress
  • 您为 BGP 会话分配给 Cloud Router 的 ASN
  • 您分配给 BGP 对等方(即您的 Juniper JunOS 设备)的 ASN
  • 预共享密钥

如需查找 BGP 会话配置的详细信息,请参阅查看 BGP 会话配置

配置 JunOS

如需配置 JunOS 设备,请完成以下步骤:

  1. 对于每个 VPN 隧道接口,请配置从 Cloud Router 路由器检索的 BGP 对等方 IPv6 下一个跃点地址。这些接口与为 IPv4 对等互连分配链路本地地址的接口相同。

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
    set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
    set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
    

    替换以下值:

    • PEER_BGP_IP_1:将第一个隧道接口的对等方的 BGP IPv4 地址替换为其子网掩码
    • PEER_IPV6_NEXT_HOP_ADDRESS_1:将第一个隧道的对等方的 IPv6 下一个跃点地址替换为其子网掩码
    • PEER_BGP_IP_2:将第二个隧道接口的对等方的 BGP IPv4 地址替换为其子网掩码
    • PEER_IPV6_NEXT_HOP_ADDRESS_2:将第二个隧道的对等方的 IPv6 下一个跃点地址替换为其子网掩码

    例如:

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address 169.254.0.2/30
    set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address 169.254.1.2/30
    set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
    
  2. 配置 IKE 提案、IKE 政策和 IKE 网关对象。

    # IKE proposal
    set security ike proposal ike_prop authentication-method pre-shared-keys
    set security ike proposal ike_prop dh-group group2
    set security ike proposal ike_prop authentication-algorithm sha-256
    set security ike proposal ike_prop encryption-algorithm aes-256-cbc
    set security ike proposal ike_prop lifetime-seconds 36000
    
    # IKE policy
    set security ike policy ike_pol mode main
    set security ike policy ike_pol proposals ike_prop
    set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
    
    # IKE gateway objects
    set security ike gateway gw1 ike-policy ike_pol
    set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
    set security ike gateway gw1 local-identity inet 142.215.100.60
    set security ike gateway gw1 external-interface ge-0/0/0
    set security ike gateway gw1 version v2-only
    set security ike gateway gw2 ike-policy ike_pol
    set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
    set security ike gateway gw2 local-identity inet 142.215.100.60
    set security ike gateway gw2 external-interface ge-0/0/0
    set security ike gateway gw2 version v2-only
    

    替换以下值:

    • HA_VPN_INTERFACE_ADDRESS_0:高可用性 VPN 网关上第一个隧道接口的外部 IPv4 地址
    • HA_VPN_INTERFACE_ADDRESS_1:高可用性 VPN 网关上的第二个隧道接口的外部 IPv4 地址
    • SHARED_SECRET:您为高可用性 VPN 隧道配置的预共享密钥
  3. 配置 IPsec 提案和 IPsec 政策。例如:

    set security ipsec proposal ipsec_prop protocol esp
    set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
    set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec_prop lifetime-seconds 10800
    
  4. 配置 IPsec VPN 网关配置并将其绑定到隧道接口。例如:

    set security ipsec vpn vpn1 bind-interface st0.1
    set security ipsec vpn vpn1 ike gateway gw1
    set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn1 establish-tunnels immediately
    set security ipsec vpn vpn2 bind-interface st0.2
    set security ipsec vpn vpn2 ike gateway gw2
    set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn2 establish-tunnels immediately
    
  5. 创建政策语句,以将 IPv6 对等方的下一个跃点更改为 IPv6 下一个跃点地址。

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

    替换以下值:

    • PEER_IPV6_NEXT_HOP_ADDRESS_1:第一个隧道的 BGP 对等体的 IPv6 下一个跃点地址
    • PEER_IPV6_NEXT_HOP_ADDRESS_2:第二个隧道的 BGP 对等端的 IPv6 下一个跃点地址

    例如:

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

  6. 为 IPv6 路由交换配置 BGP。

    配置 BGP 时,必须指定 include-mp-next-hop 语句以将下一个跃点属性发送到对等方。

    然后,导出您在上一步定义的政策语句,将下一个跃点更改为 IPv6 地址。

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as ROUTER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address ROUTER_IP_2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as ROUTER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
    

    替换以下值:

    • ROUTER_BGP_IP_1:分配给第一个隧道的 Cloud Router 路由器的 IPv4 地址
    • ROUTER_BGP_IP_2:分配给第二个隧道的 Cloud Router 路由器的 IPv4 地址
    • ROUTER_ASN:分配给 BGP 会话的 Cloud Router 路由器的 ASN。
    • PEER_ASN:您分配给 BGP 对等方(即您的 Juniper JunOS 设备)的 ASN。

    以下示例以粗体显示 include-mp-next-hopexport 语句:

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as 16550
    set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
    set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address 169.254.1.2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as 16550
    set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
    set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
    

  7. 验证 BGP 连接。

    show route protocol bgp
    

Palo Alto Networks PAN-OS

本部分介绍了如何设置 Palo Alto Networks PAN-OS 设备,以支持 IPv4 和 IPv6 流量通过高可用性 VPN 隧道。

PAN-OS 支持通过 IPv4 传输 IPv6 流量。但是,PAN-OS 不支持双栈地址系列。因此,您必须设置传送 IPv4 流量或 IPv6 流量的独立 VPN 隧道。

如需详细了解如何配置 PAN-OS 设备以用于 VPN,请参阅 Palo Alto PAN OS VPN 文档

准备工作

在 Google Cloud 中,设置两个高可用性 VPN 网关和四个高可用性 VPN 隧道。两个隧道用于 IPv6 流量,两个隧道用于 IPv4 流量。

  1. 为 IPv4 流量创建高可用性 VPN 网关和隧道。创建以下代码:

    • 一个高可用性 VPN 网关使用 IPv4 专用堆栈类型
    • 两个 VPN 隧道可传输 IPv4 流量
  2. 为 IPv6 流量创建高可用性 VPN 网关和隧道。创建以下代码:

    • 一个高可用性 VPN 网关使用双栈堆栈类型
    • 两个 VPN 隧道可传输 IPv6 流量
    • 在 BGP 会话中为 IPv6 隧道启用 IPv6
  3. 记录 Google Cloud 分配给每个高可用性 VPN 网关接口的外部 IPv4 地址。

  4. 记录每个隧道的以下配置值:

    • BGP 对等方的链路本地 IPv4 地址,即 BGP 会话的 PAN-OS 端
    • 用于 BGP 对等互连的 Cloud Router 路由器的链路本地 IPv4 地址
    • 您分配给 BGP 对等方(即您的 PAN-OS 设备)的 ASN
    • 您为 BGP 会话分配给 Cloud Router 的 ASN
    • 预共享密钥
  5. 对于每个 IPv6 隧道,亦请记录 peerIpv6NexthopAddress,这是分配给 BGP 对等方的 IPv6 下一个跃点地址。Google Cloud 可能已自动为您分配此地址,或者您可能在创建 VPN 隧道时手动指定地址。

如需查找 BGP 会话配置的详细信息,请参阅查看 BGP 会话配置

配置 PAN-OS

如需配置 Palo Alto Networks 设备,请在 PAN-OS 网页界面中执行以下步骤。

  1. 启用 IPv6 防火墙。

  2. 选择设备 > 设置 > 会话设置

    1. 选择启用 IPv6 防火墙
  3. 为 IPv4 和 IPv6 创建环回接口。

    1. 选择网络 > 接口 > 环回接口并创建新的环回接口。
    2. 创建环回接口。例如 loopback.10
    3. 配置标签页上,将虚拟路由器设置为 external,并将安全区域设置为 ZONE_EXTERNAL
    4. IPv4 标签页上,使用适合本地网络的 IPv4 地址范围分配环回接口。
    5. IPv6 标签页上,选择IPv6,并添加适合您的本地网络的 IPv6 地址范围。
    6. 高级标签页上,为环回界面指定管理配置文件。确保您指定的配置文件允许 ping 以便您可以验证连接。
  4. 创建四个 IKE 网关隧道:两个用于 IPv6 流量的隧道,两个用于 IPv4 流量的隧道。每个隧道都连接到高可用性 VPN 网关上的接口。

    • 为 IPv6 流量创建两个隧道。
      1. 选择网络 > 接口 > 隧道,然后创建新隧道。
      2. 为第一个隧道指定名称。例如 tunnel.1
      3. 配置标签页上,将虚拟路由器设置为 external,并将安全区域设置为 ZONE_EXTERNAL
      4. IPv4 标签页上,指定您在为高可用性 VPN 创建 VPN 隧道时设置的 BGP 对等方的链路本地地址。例如 169.254.0.2/30
      5. IPv6 标签页上,选择IPv6,并指定为 BGP 对等方配置的 IPv6 下一个跃点地址。例如 2600:2D00:0:2::2/125
      6. 高级标签页上,将 MTU 设置为 1460
      7. 对第二个隧道重复此过程。例如 tunnel.2。在 IPv4IPv4 标签页上,为 BGP 对等方和 IPv6 下一个跃点字段指定适当的值。使用与双栈高可用性 VPN 的第二个隧道匹配的值。例如 169.254.1.2/302600:2D00:0:3::3/125
    • 为 IPv4 流量创建两个隧道。
      1. 选择网络 > 接口 > 隧道,然后创建新隧道。
      2. 为第三个隧道指定名称。例如 tunnel.3
      3. 配置标签页上,将虚拟路由器设置为 external,并将安全区域设置为 ZONE_EXTERNAL
      4. IPv4 标签页上,指定您在为高可用性 VPN 创建 VPN 隧道时设置的 BGP 对等方的链路本地地址。例如 169.254.2.2/30
      5. 跳过 IPv6 标签页配置。
      6. 高级标签页上,将 MTU 设置为 1460
      7. 对第四个隧道重复此过程。例如 tunnel.4。在 IPv4 标签页上,为与 IPv4 专用的高可用性 VPN 的第二个隧道匹配的 BGP 对等端指定适当的值。例如 169.254.3.2/30
  5. 创建 IPsec 加密配置文件。

    1. 选择网络 > IPSec 加密并创建新的配置文件。
    2. 输入以下字段的值:
      • 名称:输入配置文件名称。例如 ha-vpn
      • IPSec 协议:选择 ESP
      • 加密:添加支持的 IKE 加密方式
      • 身份验证:指定哈希函数。例如 sha512
      • DH 组:选择一个 DH 组。例如 group14
      • 生命周期:选择小时,然后输入 3
    3. 点击确定
  6. 创建 IKE 加密配置文件。

    1. 选择网络 > IKE 加密
    2. 输入以下字段的值:
      • 名称:输入配置文件名称。例如 ha-vpn
      • DH 组:验证您为 IPsec 加密配置文件选择的 DH 组是否显示在列表中。
      • 身份验证:指定哈希函数。例如 sha512
      • 加密:添加支持的 IKE 加密方式
    3. 计时器窗格中,为密钥生命周期选择小时,然后输入 10
    4. 点击确定
  7. 创建四个 IKE 隧道后,创建四个 IKE 网关,每个隧道创建一个。

    1. 选择网络 > IKE 网关,并创建一个新网关。
    2. 常规标签页上,输入以下字段的值:
      • 名称:第一个隧道的 IKE 网关的名称。例如 havpn-v6-tunnel1
      • 版本:选择 IKEv2 only mode
      • 地址类型:选择 IPv4
      • 接口:指定您在此过程开始时创建的环回接口。例如 loopback.10
      • 本地 IP 地址:指定适用于本地网络的 IPv4 地址范围。
      • 对等 IP 地址类型:选择 IP
      • 对等地址:指定隧道的第一个高可用性 VPN 接口的外部 IPv4 地址。
      • 鉴别:选择 Pre-Shared Key
      • 预共享密钥确认预共享密钥:输入您在 Google Cloud 中为隧道配置的共享密钥。
      • 本地识别:选择 IP 地址,并指定适合您的本地网络的 IPv4 地址。
      • 对等识别:选择隧道的高可用性 VPN 接口的 IP 地址和外部 IPv4 地址。
    3. 选择高级选项标签页。
    4. 对于 IKE 加密配置文件,请选择您之前创建的配置文件。例如 ha-vpn
    5. 启用活动性检查,然后输入 5 作为间隔(秒)
    6. 点击确定
    7. 对其他三个隧道重复此过程,但请将以下字段替换为适当的值:
      • 名称:隧道的 IKE 网关的名称。例如 havpn-v6-tunnel2havpn-v4-tunnel1havpn-v4-tunnel2
      • 本地 IP 地址 / 本地识别:指定适合您的本地网络的未使用 IPv4 地址。
      • 对等地址 / 对等标识:为隧道的匹配高可用性 VPN 接口指定外部 IPv4 地址。
      • 预共享密钥:指定为隧道配置的共享密钥。
  8. 创建四个 IPsec 隧道。

    1. 选择网络 > IPSec 隧道,然后创建一个新隧道。
    2. 输入以下字段的值:
      • 名称:隧道的唯一名称。例如 hapvpn-tunnel-1
      • 隧道接口:为您之前创建的 IKE 网关隧道选择隧道接口。例如 tunnel.1
      • 类型:选择自动密钥
      • 地址类型:选择 IPv4
      • IKE 网关:选择您之前创建的其中一个 IKE 网关。例如 havpn-v6-tunnel
      • IPSec 加密配置文件:选择您之前创建的配置文件。例如 ha-vpn
    3. 请勿配置代理 ID
    4. 点击确定
    5. 对其他三个隧道重复此过程,但请将以下字段替换为适当的值:
      • 名称:IPsec 隧道的唯一名称。例如 havpn-tunnel2havpn-tunnel3havpn-tunnel4
      • 隧道接口:为您之前创建的 IKE 网关隧道选择未使用的隧道接口。例如 tunnel.2tunnel.3tunnel.4
      • IKE 网关:选择您之前创建的其中一个 IKE 网关。例如 havpn-v6-tunnel2havpn-v4-tunnel1havpn-v4-tunnel2
  9. 可选:配置 ECMP。

    1. 选择网络 > 虚拟路由器 > ROUTER_NAME >路由器设置 > ECMP
    2. ECMP 标签页上,选择ECMP
    3. 点击确定
  10. 配置 BGP。

    1. 选择网络 > 虚拟路由器 > ROUTER_NAME >路由器设置 > BGP
    2. 常规标签页上,选择启用
    3. 路由器 ID 字段上,输入分配给 BGP 对等方的链路本地 IPv4 地址,即 BGP 会话的 PAN-OS 端。
    4. AS 编号字段中,输入 BGP 会话的 PAN-OS 端的 ASN。
    5. 选项部分,确保选中安装路由
    6. 点击确定
  11. 创建一个 BGP 对等组,并为每个 IPv6 隧道创建一个 BGP 对等方。您可以为每个 IPv6 隧道创建单独的 BGP 对等组,以便为每个隧道配置不同的 IPv6 下一个跃点地址。

    1. 选择网络 > 虚拟路由器 > ROUTER_NAME > 路由器设置 > BGP > 对等组
    2. 对等组标签页上,为第一个 IPv6 隧道创建新的对等组。
    3. 名称字段中,输入对等组的名称。例如 havpn-bgp-v6-tunnel1
    4. 选择启用
    5. 选择聚合配置 AS 路径
    6. 类型列表中,选择 EBGP
    7. 对于导入下一个跃点,选择原始
    8. 对于导出下一个跃点,选择解决
    9. 选择移除专用 AS
    10. 对等方窗格中,点击 添加,向 BGP 对等组添加对等方。
    11. 对等方对话框中,输入以下值:
      • 名称:对等方的名称。例如 havpn-v6-tunnel1
      • 选择启用
      • 对等方 AS:分配给 BGP 会话的 Cloud Router 路由器的 ASN。
      • 寻址标签页上,配置以下选项:
        • 选择启用 MP-BGP 扩展程序
        • 对于地址系列类型,选择 IPv6
        • 本地地址中,为接口选择您在创建 IKE 网关隧道时定义的第一个隧道。例如 tunnel.1
        • 对于 IP,选择 BGP 对等体的链路本地 IPv4 地址。例如 169.254.0.2./30
        • 对等地址中,对于类型,选择 IP
        • 对于地址,选择此 BGP 会话的 Cloud Router 路由器的链路本地 IPv4 地址。例如 169.254.0.1
      • 点击确定
    12. 添加完对等方后,点击确定
    13. 对其他 IPv6 隧道重复此过程,但请将以下字段替换为适当的值:
      • 名称:BGP 对等组的唯一名称。例如 havpn-bgp-v6-tunnel2
      • 对等方对话框的以下字段中输入隧道的适当值:
        • 名称:对等方的名称。例如 havpn-v6-tunnel1
        • 本地地址中,为接口选择您在创建 IKE 网关隧道时定义的第二个隧道。例如 tunnel.2
        • 对于 IP,选择第二个隧道的 BGP 对等方的链路本地 IPv4 地址。例如 169.254.1.2./30
        • 对等地址中,对于地址,选择此 BGP 会话的 Cloud Router 路由器的链路本地 IPv4 地址。例如 169.254.1.1
  12. 为 IPv4 隧道创建 BGP 对等组。

    1. 选择网络 > 虚拟路由器 > ROUTER_NAME > 路由器设置 > BGP > 对等组
    2. 对等组标签页上,为 IPv4 隧道创建新的对等组。
    3. 名称字段中,输入对等组的名称。例如 havpn-bgp-v4
    4. 选择启用
    5. 选择聚合配置 AS 路径
    6. 类型列表中,选择 EBGP
    7. 对于导入下一个跃点,选择原始
    8. 对于导出下一个跃点,选择解决
    9. 选择移除专用 AS
    10. 对等方窗格中,点击 添加,向 BGP 对等组添加对等方。
    11. 对等方对话框中,输入以下值:
      • 名称:输入对等方的名称。例如 havpn-v4-tunnel1
      • 选择启用
      • 对等方 AS:分配给 BGP 会话的 Cloud Router 路由器的 ASN。
      • 寻址标签页上,配置以下选项:
        • 请勿选择 Enable MP-BGP Extensions
        • 对于地址系列类型,请选择 IPv4
        • 本地地址中,为接口选择您在创建 IKE 网关隧道时定义的第三个隧道。例如 tunnel.3
        • 对于 IP,选择 BGP 对等体的链路本地 IPv4 地址。例如 169.254.2.2./30
        • 对等地址中,为类型选择 IP
        • 对于地址,选择此 BGP 会话的 Cloud Router 路由器的链路本地 IPv4 地址。例如 169.254.2.1
      • 点击确定
    12. 对等方窗格中,点击 添加,将第二个对等方添加到 BGP 对等组。
    13. 对等方对话框中,输入以下值:
      • 名称:输入对等方的名称。例如 havpn-v4-tunnel2
      • 选择启用
      • 对等方 AS:分配给 BGP 会话的 Cloud Router 路由器的 ASN。
      • 寻址标签页上,配置以下选项:
        • 请勿选择 Enable MP-BGP Extensions
        • 对于地址系列类型,选择 IPv4
        • 本地地址中,为接口选择您在创建 IKE 网关隧道时定义的第四个隧道。例如 tunnel.4
        • 对于 IP,选择 BGP 对等体的链路本地 IPv4 地址。例如 169.254.3.2./30
        • 对等地址中,对于类型,选择 IP
        • 对于地址,选择此 BGP 会话的 Cloud Router 路由器的链路本地 IPv4 地址。例如 169.254.3.1
    14. 点击确定
    15. 添加完两个对等体后,点击确定
  13. 将 BGP 配置规则导出到 IPv6 隧道的 BGP 对等组。此步骤允许您为隧道分配不同的 IPv6 下一个跃点地址。

    1. 选择网络 > 虚拟路由器 > ROUTER_NAME > 路由器设置 > BGP > 导出
    2. 导出规则对话框的规则字段中输入名称。例如 havpn-tunnel1-v6
    3. 选择启用
    4. 使用者窗格中,点击 添加,添加您为第一个 IPv6 隧道创建的 BGP 对等组。例如 havpn-bgp-v6-tunnel1
    5. 匹配标签页上,选择路由表列表中的单播
    6. 地址前缀中,添加本地网络中使用的 IPv6 地址的地址前缀。
    7. 操作标签页上,配置以下选项:
      • 操作列表中,选择允许
      • 下一个跃点中,输入在创建隧道时分配给 BGP 对等方的 IPv6 下一个跃点地址。例如 2600:2D00:0:2::2
    8. 点击确定
    9. 对第二个 IPv6 隧道使用的 BGP 对等组重复此过程,但为以下字段替换适当的值:
      • 导出规则对话框的规则字段中输入一个唯一名称。例如 havpn-tunnel2-v6
      • 使用者窗格中,点击 添加,添加您为第二个 IPv6 隧道创建的 BGP 对等组。例如 havpn-bgp-v6-tunnel1
    10. 操作标签页上,配置下一个跃点字段,输入分配给此隧道的 BGP 对等方的 IPv6 下一个跃点地址。例如 2600:2D00:0:3::3