Halaman ini memberikan petunjuk untuk mengonfigurasi perangkat VPN pihak ketiga untuk mendukung traffic dual-stack (IPv4 dan IPv6) atau khusus IPv6 dengan Cloud VPN.
Untuk mengaktifkan traffic stack ganda di tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi gateway VPN peer dengan alamat next-hop IPv6. Dalam tunnel VPN HA dengan traffic stack ganda yang diaktifkan, rute IPv4 dan IPv6 ditukarkan melalui sesi BGP menggunakan BGP multiprotokol (MP-BGP) dengan alamat IPv4 link lokal. Cloud Router dan gateway VPN peer Anda memerlukan konfigurasi next hop IPv6 untuk merutekan traffic IPv6 ke dan dari Virtual Private Cloud (VPC) dan jaringan peer Anda.
Hanya gateway VPN dengan ketersediaan tinggi (HA) yang mendukung traffic stack ganda atau khusus IPv6. VPN klasik tidak mendukung traffic IPv6. Pastikan gateway VPN peer Anda dikonfigurasi untuk menggunakan IKEv2 untuk tunnel VPN dengan ketersediaan tinggi (HA).
Dukungan VPN pihak ketiga untuk traffic stack ganda
Tabel berikut merangkum dukungan perangkat VPN pihak ketiga untuk traffic stack ganda melalui tunnel IPsec.
Platform vendor | Versi yang diuji untuk konfigurasi stack ganda |
Traffic IPv6 melalui tunnel IPv4 IPsec | Traffic khusus IPv6 | Kelompok alamat stack ganda | Konfigurasi interoperabilitas untuk traffic stack ganda |
---|---|---|---|---|---|
Cisco IOS | Tidak didukung | Tidak didukung | Didukung | Tidak didukung | Gunakan tunnel Generic Routing Encapsulation (GRE) dan router virtual untuk membawa traffic IPsec melalui GRE. |
Check Point | Tidak didukung | Tidak didukung | Tidak didukung | Tidak didukung | Gunakan tunnel Generic Routing Encapsulation (GRE) dan router virtual untuk membawa traffic IPsec melalui GRE. |
Juniper JunOS | 20.2R3-S2.5 | Didukung | Tidak didukung | Didukung | Mendukung tunnel VPN dengan ketersediaan tinggi (HA) yang dapat menggunakan traffic IPv4 dan IPv6. |
Palo Alto Networks PAN-OS | 9.1 | Didukung | Tidak didukung | Tidak didukung | Memerlukan tunnel VPN dengan ketersediaan tinggi (HA) terpisah yang dikonfigurasi untuk traffic IPv4 atau IPv6, tetapi tidak keduanya. |
Juniper JunOS
Prosedur berikut menjelaskan cara menyiapkan perangkat Juniper JunOS VPN untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA) Anda.
Meskipun Anda mengonfigurasi alamat IPv6 pada antarmuka tunnel perangkat, alamat IPv6 hanya digunakan untuk konfigurasi IPv6 next hop. Rute IPv6 diiklankan melalui IPv6 Network Layer Reachability Information (NLRI) melalui peering BGP IPv4.
Sebelum memulai
Di Google Cloud, siapkan satu gateway VPN dengan ketersediaan tinggi (HA) stack ganda dan dua tunnel VPN dengan ketersediaan tinggi (HA). Kedua tunnel VPN dengan ketersediaan tinggi (HA) menggunakan traffic IPv4 dan IPv6.
Catat dua alamat IPv4 eksternal yang ditetapkan Google Cloud ke dua antarmuka gateway VPN dengan ketersediaan tinggi (HA).
Catat nilai konfigurasi berikut untuk setiap tunnel:
- Alamat IPv4 link lokal dari BGP peer, yang merupakan perangkat Juniper JunOS Anda
- Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
- Alamat IPv6 next hop yang ditetapkan ke peer atau
peerIpv6NexthopAddress
- ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP Anda
- ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda
- Pre-shared key
Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.
Mengonfigurasi JunOS
Untuk mengonfigurasi perangkat JunOS, selesaikan langkah-langkah berikut:
Untuk setiap antarmuka tunnel VPN, konfigurasikan alamat next hop IPv6 peer BGP yang Anda ambil dari Cloud Router. Antarmuka ini merupakan antarmuka yang sama yang diberi alamat link lokal untuk peering IPv4.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
Ganti nilai berikut:
PEER_BGP_IP_1
: alamat IPv4 BGP dari peer untuk antarmuka tunnel pertama dengan subnet maskPEER_IPV6_NEXT_HOP_ADDRESS_1
: alamat hop next hop IPv6 peer untuk antarmuka tunnel pertama dengan subnet maskPEER_BGP_IP_2
: alamat IPv4 BGP dari peer untuk antarmuka tunnel kedua dengan subnet maskPEER_IPV6_NEXT_HOP_ADDRESS_2
: alamat hop next hop IPv6 peer untuk antarmuka tunnel kedua dengan subnet mask
Contoh:
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
Mengonfigurasi proposal IKE, kebijakan IKE, dan objek gateway IKE.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
Ganti nilai berikut:
HA_VPN_INTERFACE_ADDRESS_0
: alamat IPv4 eksternal dari antarmuka tunnel pertama pada gateway VPN dengan ketersediaan tinggi (HA)HA_VPN_INTERFACE_ADDRESS_1
: alamat IPv4 eksternal dari antarmuka tunnel kedua pada gateway VPN dengan ketersediaan tinggi (HA)SHARED_SECRET
: pre-shared key yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA)
Mengonfigurasi proposal IPsec dan kebijakan IPsec. Contoh:
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
Konfigurasikan konfigurasi gateway VPN IPsec dan ikat ke antarmuka tunnel. Contoh:
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
Membuat pernyataan kebijakan yang mengubah next hop untuk peer IPv6 ke alamat next hop IPv6.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Ganti nilai berikut:
PEER_IPV6_NEXT_HOP_ADDRESS_1
: alamat hop next hop IPv6 peer BGP untuk tunnel pertamaPEER_IPV6_NEXT_HOP_ADDRESS_2
: alamat hop next hop IPv6 peer BGP untuk tunnel kedua
Contoh:
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Konfigurasikan BGP untuk pertukaran rute IPv6.
Saat mengonfigurasi BGP, Anda harus menetapkan
include-mp-next-hop
pernyataan untuk mengirimkan atribut next hop ke peer.Kemudian, ekspor pernyataan kebijakan yang Anda tentukan di langkah sebelumnya untuk mengubah next hop ke alamat IPv6.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
Ganti nilai berikut:
ROUTER_BGP_IP_1
: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel pertamaROUTER_BGP_IP_2
: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel keduaROUTER_ASN
: ASN yang ditetapkan ke Cloud Router untuk sesi BGP Anda.PEER_ASN
: ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda.
Contoh berikut menunjukkan pernyataan
include-mp-next-hop
danexport
dalam teks tebal:set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
Verifikasi konektivitas BGP.
show route protocol bgp
Palo Alto Networks PAN-OS
Bagian ini menjelaskan cara menyiapkan perangkat Palo Alto Networks PAN-OS untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA).
PAN-OS mendukung transport traffic IPv6 melalui IPv4. Namun, PAN-OS tidak mendukung kelompok alamat stack ganda. Oleh karena itu, Anda harus menyiapkan tunnel VPN terpisah yang menggunakan salah satu dari traffic IPv4 atau traffic IPv6.
Untuk informasi selengkapnya tentang cara mengonfigurasi perangkat PAN-OS untuk digunakan dengan VPN, lihat Dokumentasi VPN Palo Alto PAN OS.
Sebelum memulai
Di Google Cloud, siapkan dua gateway VPN dengan ketersediaan tinggi (HA) dan empat tunnel VPN dengan ketersediaan tinggi (HA). Dua tunnel untuk traffic IPv6 dan dua tunnel untuk traffic IPv4.
Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv4. Buat hal berikut:
- Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack khusus IPv4
- Dua tunnel VPN yang dapat menggunakan traffic IPv4
Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv6. Buat hal berikut:
- Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack stack ganda
- Dua tunnel VPN yang dapat menggunakan traffic IPv6
- Mengaktifkan IPv6 di sesi BGP untuk tunnel IPv6
Catat alamat IPv4 eksternal yang ditetapkan Google Cloud ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA).
Catat nilai konfigurasi berikut untuk setiap tunnel:
- Alamat IPv4 link lokal dari peer BGP, yang merupakan sisi PAN-OS dari sesi BGP
- Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
- ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat PAN-OS Anda
- ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP Anda
- Pre-shared key
Untuk setiap tunnel IPv6, catat juga
peerIpv6NexthopAddress
, yang merupakan alamat IPv6 next hop yang ditetapkan ke peer BGP. Google Cloud mungkin telah otomatis menetapkan alamat ini untuk Anda, atau Anda mungkin telah menentukan alamat secara manual saat membuat tunnel VPN.
Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.
Konfigurasi PAN-OS
Untuk mengonfigurasi perangkat Palo Alto Networks, lakukan langkah-langkah berikut di Antarmuka Web PAN-OS.
Aktifkan firewall IPv6.
Pilih Perangkat > Penyiapan > Setelan Sesi.
- Pilih Aktifkan firewall IPv6.
Membuat antarmuka loopback untuk IPv4 dan IPv6.
- Pilih Jaringan > Antarmuka > Antarmuka loopback dan buat loopback baru.
- Membuat antarmuka loopback. Contoh,
loopback.10
. - Pada tab Konfig, setel Virtual Router ke
external
dan tetapkan Security Zone keZONE_EXTERNAL
. - Pada tab IPv4, tetapkan antarmuka loopback dengan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
- Pada tab IPv6, pilih EAktifkan IPv6 pada antarmuka, dan tambahkan rentang alamat IPv6 yang sesuai untuk jaringan lokal Anda.
- Pada tab Advanced, tetapkan Profil Management untuk antarmuka loopback. Pastikan profil yang ditetapkan mengizinkan ping agar Anda dapat memverifikasi konektivitas.
Buat empat tunnel gateway IKE, dua tunnel untuk traffic IPv6, dan dua tunnel untuk traffic IPv4. Setiap tunnel terhubung ke antarmuka di gateway VPN dengan ketersediaan tinggi (HA).
- Buat dua tunnel untuk traffic IPv6.
- Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
- Tentukan nama untuk tunnel pertama. Contoh,
tunnel.1
. - Pada tab Konfig, setel Virtual Router ke
external
dan tetapkan Security Zone keZONE_EXTERNAL
. - Pada tab IPv4, tetapkan alamat link lokal peer BGP yang
Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA).
Contoh,
169.254.0.2/30
. - Pada tab IPv6, pilih Aktifkan IPv6 pada antarmuka, dan tetapkan alamat
IPv6 next hop yang dikonfigurasi untuk peer BGP. Contohnya,
2600:2D00:0:2::2/125
. - Pada tab Advanced, setel MTU ke
1460
. - Ulangi prosedur ini untuk tunnel kedua. Misalnya,
tunnel.2
. Pada tab IPv4 dan IPv6, tetapkan nilai yang sesuai untuk kolom BGP peer dan IPv6 next hop. Gunakan nilai yang cocok dengan tunnel kedua dari stack ganda VPN dengan ketersediaan tinggi (HA). Misalnya,169.254.1.2/30
dan2600:2D00:0:3::3/125
.
- Buat dua tunnel untuk traffic IPv4.
- Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
- Tentukan nama untuk tunnel ketiga. Misalnya,
tunnel.3
. - Pada tab Konfig, setel Virtual Router ke
external
dan tetapkan Security Zone keZONE_EXTERNAL
. - Pada tab IPv4, tetapkan alamat link lokal peer BGP yang
Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA).
Contoh,
169.254.2.2/30
. - Lewati konfigurasi tab IPv6.
- Pada tab Advanced, setel MTU ke
1460
. - Ulangi prosedur ini untuk tunnel keempat. Misalnya,
tunnel.4
. Pada tab IPv4, tetapkan nilai yang sesuai untuk peer BGP yang cocok dengan tunnel kedua dari VPN dengan ketersediaan tinggi (HA) khusus IPv4. Contohnya,169.254.3.2/30
.
- Buat dua tunnel untuk traffic IPv6.
Buat profil kripto IPsec.
- Pilih Jaringan > Kripto IPSec dan buat profil baru.
- Masukkan nilai untuk kolom berikut:
- Nama: Masukkan nama profil. Contoh,
ha-vpn
. - IPSec Protocol: Pilih ESP.
- Enkripsi: Tambahkan cipher IKE yang didukung.
- Autentikasi: Tentukan fungsi hash. Contoh,
sha512
. - Grup DH: Pilih grup DH. Misalnya, group14.
- Masa aktif: Pilih Jam dan masukkan
3
.
- Nama: Masukkan nama profil. Contoh,
- Klik Oke.
Buat profil kripto IKE.
- Pilih Jaringan > Kripto IKE.
- Masukkan nilai untuk kolom berikut:
- Nama: Masukkan nama profil. Contoh,
ha-vpn
. - Grup DH: Pastikan grup DH yang Anda pilih untuk profil Kripto IPsec muncul dalam daftar.
- Autentikasi: Tentukan fungsi hash. Contoh,
sha512
. - Enkripsi: Tambahkan cipher IKE yang didukung.
- Nama: Masukkan nama profil. Contoh,
- Di panel Timer, pilih Jam untuk Masa Aktif Kunci dan masukkan
10
. - Klik Oke.
Setelah membuat empat tunnel IKE, buat empat gateway IKE, satu untuk setiap tunnel.
- Pilih Jaringan > Gateway IKE, dan buat gateway baru.
- Pada tab General, masukkan nilai untuk
kolom berikut:
- Nama: Nama gateway IKE untuk tunnel pertama.
Contoh,
havpn-v6-tunnel1
. - Versi: Pilih
IKEv2 only mode
. - Jenis Alamat: Pilih
IPv4
. - Antarmuka: Tetapkan antarmuka loopback yang Anda buat di
awal prosedur ini. Contoh,
loopback.10
. - Alamat IP Lokal: Tetapkan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
- Jenis Alamat IP Peer: Pilih
IP
. - Alamat Peer: Tetapkan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) pertama untuk tunnel.
- Autentikasi: Pilih
Pre-Shared Key
. - Pre-shared key, Konfirmasi Pre-shared key: Masukkan rahasia bersama yang Anda konfigurasi di Google Cloud untuk tunnel.
- Identifikasi Lokal: Pilih Alamat IP, dan tentukan alamat IPv4 yang sesuai untuk jaringan lokal Anda.
- Identifikasi: Pilih Alamat IP, dan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) untuk tunnel.
- Nama: Nama gateway IKE untuk tunnel pertama.
Contoh,
- Pilih tab Opsi Lanjutan.
- Untuk Profil Kripto IKE, pilih profil yang Anda buat
sebelumnya. Contoh,
ha-vpn
. - Aktifkan Pemeriksaan Keaktifan dan masukkan
5
untuk Interval (dtk). - Klik Oke.
- Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai
untuk kolom berikut:
- Nama: Nama gateway IKE untuk tunnel.
Misalnya,
havpn-v6-tunnel2
,havpn-v4-tunnel1
, atauhavpn-v4-tunnel2
. - Alamat IP Lokal / Identifikasi Lokal: Tentukan alamat IPv4 yang tidak digunakan dan sesuai untuk jaringan lokal Anda.
- Alamat Peer / Identifikasi Peer: Tentukan alamat IPv4 eksternal untuk antarmuka VPN dengan ketersediaan tinggi (HA) yang cocok pada tunnel.
- Pre-shared key: Menentukan rahasia bersama yang dikonfigurasi untuk tunnel.
- Nama: Nama gateway IKE untuk tunnel.
Misalnya,
Buat empat tunnel IPsec.
- Pilih Jaringan > Tunnel IPSec dan buat tunnel baru.
- Masukkan nilai untuk kolom berikut:
- Nama: Nama unik untuk tunnel. Contoh,
hapvpn-tunnel-1
. - Tunnel Antarmuka: Pilih antarmuka tunnel untuk tunnel gateway IKE
yang Anda buat sebelumnya. Contoh,
tunnel.1
. - Jenis: Pilih Kunci Otomatis.
- Jenis Alamat: Pilih IPv4.
- Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya.
Contoh,
havpn-v6-tunnel
. - Profil Kriptografi IPSec: Pilih profil yang Anda buat sebelumnya.
Contoh,
ha-vpn
.
- Nama: Nama unik untuk tunnel. Contoh,
- Jangan konfigurasikan ID Proxy.
- Klik Oke.
- Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai
untuk kolom berikut:
- Name: Nama unik untuk tunnel IPsec.
Misalnya,
havpn-tunnel2
,havpn-tunnel3
, atauhavpn-tunnel4
. - Tunnel Antarmuka: Pilih antarmuka tunnel yang tidak digunakan untuk tunnel gateway IKE
yang Anda buat sebelumnya. Misalnya,
tunnel.2
,tunnel.3
atautunnel.4
. - Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya.
Misalnya,
havpn-v6-tunnel2
,havpn-v4-tunnel1
, atauhavpn-v4-tunnel2
.
- Name: Nama unik untuk tunnel IPsec.
Misalnya,
Opsional: Mengonfigurasi ECMP.
- Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > ECMP.
- Pada tab ECMP, pilih Aktifkan.
- Klik Oke.
Konfigurasi BGP
- Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP.
- Pada tab General, pilih Aktifkan.
- Pada kolom ID Router masukkan alamat IPv4 link-lokal yang ditetapkan ke peer BGP, yang merupakan sisi PAN-OS dari sesi BGP. peer.
- Di kolom AS Number field, enter the masukkan ASN untuk sisi PAN-OS dari sesi BGP.
- Untuk Opsi, pastikan Instal Route yang dipilih.
- Klik Oke.
Membuat peer group BGP dengan satu peer BGP untuk tiap tunnel IPv6. Anda membuat grup peer BGP terpisah untuk setiap tunnel IPv6 sehingga Anda dapat mengonfigurasi alamat next hop IPv6 yang berbeda setiap tunnel.
- Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
- Pada tab Grup Peer, buat grup peer baru untuk tunnel IPv6 pertama.
- Di kolom Nama, masukkan nama untuk peer grup. Contoh,
havpn-bgp-v6-tunnel1
. - Pilih Aktifkan.
- Pilih Jalur AS yang diakui Agregat.
- Dalam daftar Jenis, pilih EBGP.
- Untuk Import Next Hop, pilih Original.
- Untuk Export Next Hop, pilih Resolve.
- Pilih Hapus AS Pribadi.
- Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
- Di dialog Peer, masukkan nilai berikut:
- Nama: Nama untuk peer. Contoh,
havpn-v6-tunnel1
. - Pilih Aktifkan.
- Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
- Pada tab Alamat, konfigurasikan opsi berikut:
- Pilih Aktifkan MP-BGP Extension.
- Untuk Address Family Type, pilih IPv6.
- Di Alamat Lokal, untuk Antarmuka pilih tunnel pertama
yang Anda tentukan saat membuat gateway IKE. Contohnya,
tunnel.1
. - Untuk IP, pilih alamat IPv4 link lokal dari peer BGP.
Contoh,
169.254.0.2./30
. - Di Alamat Peer, untuk Jenis, pilih IP.
- Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh,
169.254.0.1
.
- Klik Oke.
- Nama: Nama untuk peer. Contoh,
- Setelah Anda selesai menambahkan peer, klik Oke.
- Ulangi prosedur ini untuk tunnel IPv6 lainnya, tetapi ganti nilai yang sesuai
untuk kolom berikut:
- Name: Nama unik untuk grup peer BGP.
Contoh,
havpn-bgp-v6-tunnel2
. - Di dialog Peer, masukkan nilai yang sesuai untuk tunnel di
kolom berikut:
- Nama: Nama untuk peer. Contoh,
havpn-v6-tunnel1
. - Di Alamat Lokal, untuk Antarmuka pilih tunnel kedua
yang Anda tentukan saat membuat gateway IKE. Contohnya,
tunnel.2
. - Untuk IP, pilih alamat IPv4 link lokal dari peer BGP untuk tunnel kedua. Contoh,
169.254.1.2./30
. - Di bagian Alamat Peer, untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini.
Contoh,
169.254.1.1
.
- Nama: Nama untuk peer. Contoh,
- Name: Nama unik untuk grup peer BGP.
Contoh,
Buat peer group BGP untuk tunnel IPv4.
- Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
- Pada tab Peer Group, buat peer grup baru untuk tunnel IPv4.
- Di kolom Nama, masukkan nama untuk peer grup. Contoh,
havpn-bgp-v4
. - Pilih Aktifkan.
- Pilih Jalur AS yang diakui Agregat.
- Dalam daftar Jenis, pilih EBGP.
- Untuk Import Next Hop, pilih Original.
- Untuk Export Next Hop, pilih Resolve.
- Pilih Hapus AS Pribadi.
- Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
- Di dialog Peer, masukkan nilai berikut:
- Nama: Masukkan nama peer Contoh,
havpn-v4-tunnel1
. - Pilih Aktifkan.
- Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
- Pada tab Alamat, konfigurasikan opsi berikut:
- Jangan memilih Aktifkan MP-BGP Extensions.
- Untuk Address Family Type, pilih
IPv4
. - Di Alamat Lokal, untuk Antarmuka pilih tunnel ketiga
yang Anda tentukan saat membuat gateway IKE. Contohnya,
tunnel.3
. - Untuk IP, pilih alamat IPv4 link lokal dari peer BGP.
Contoh,
169.254.2.2./30
. - Di Alamat Peer, pilih
IP
untuk Jenis. - Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh,
169.254.2.1
.
- Klik Oke.
- Nama: Masukkan nama peer Contoh,
- Di panel Peer, klik Tambahkan untuk menambahkan peer kedua ke grup peer BGP.
- Di dialog Peer, masukkan nilai berikut:
- Nama: Masukkan nama peer Contoh,
havpn-v4-tunnel2
. - Pilih Aktifkan.
- Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
- Pada tab Alamat, konfigurasikan opsi berikut:
- Jangan memilih Aktifkan MP-BGP Extensions.
- Untuk Address Family Type, pilih IPv4.
- Di Alamat Lokal, untuk Antarmuka pilih tunnel keempat
yang Anda tentukan saat membuat gateway IKE. Contohnya,
tunnel.4
. - Untuk IP, pilih alamat IPv4 link lokal dari peer BGP.
Contoh,
169.254.3.2./30
. - Di Alamat Peer, untuk Jenis, pilih IP.
- Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh,
169.254.3.1
.
- Nama: Masukkan nama peer Contoh,
- Klik Oke.
- Setelah Anda selesai menambahkan kedua pembanding, klik OK.
Ekspor aturan konfigurasi BGP ke grup peer BGP untuk tunnel IPv6. Langkah ini memungkinkan Anda menetapkan alamat IPv6 next hop yang berbeda ke tunnel.
- Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Ekspor.
- Pada dialog Export Rule, masukkan nama di kolom
Rules. Contoh,
havpn-tunnel1-v6
. - Pilih Aktifkan.
- Di panel Used By, klik
Add untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 pertama.
Contohnya,
havpn-bgp-v6-tunnel1
- Pada tab Match, pilih Unicast dalam daftar Tabel Route.
- Di Awalan Alamat, tambahkan awalan alamat untuk alamat IPv6 yang digunakan di jaringan lokal Anda.
- Pada tab Tindakan, konfigurasikan opsi berikut:
- Dalam daftar Tindakan, pilih Izinkan.
- Di Next Hop, masukkan alamat next hop IPv6 yang ditetapkan
ke peer BGP saat Anda membuat tunnel. Contoh,
2600:2D00:0:2::2
.
- Klik Oke.
- Ulangi prosedur ini untuk grup peer BGP yang digunakan oleh tunnel IPv6 kedua,
tetapi ganti nilai yang sesuai untuk kolom berikut:
- Pada dialog Export Rule, masukkan nama unik di kolom
Rules. Contoh,
havpn-tunnel2-v6
. - Di panel Used By, klik
Tambahkan untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 kedua.
Contohnya,
havpn-bgp-v6-tunnel1
- Pada dialog Export Rule, masukkan nama unik di kolom
Rules. Contoh,
- Pada tab Tindakan, konfigurasikan kolom Next Hop,
masukkan alamat next hop IPv6 yang ditetapkan ke peer BGP untuk tunnel ini.
Contoh,
2600:2D00:0:3::3
.