Menyiapkan VPN pihak ketiga untuk traffic IPv4 dan IPv6

Halaman ini memberikan petunjuk untuk mengonfigurasi perangkat VPN pihak ketiga untuk mendukung traffic dual-stack (IPv4 dan IPv6) atau khusus IPv6 dengan Cloud VPN.

Untuk mengaktifkan traffic stack ganda di tunnel VPN dengan ketersediaan tinggi (HA), Anda harus mengonfigurasi gateway VPN peer dengan alamat next-hop IPv6. Dalam tunnel VPN HA dengan traffic stack ganda yang diaktifkan, rute IPv4 dan IPv6 ditukarkan melalui sesi BGP menggunakan BGP multiprotokol (MP-BGP) dengan alamat IPv4 link lokal. Cloud Router dan gateway VPN peer Anda memerlukan konfigurasi next hop IPv6 untuk merutekan traffic IPv6 ke dan dari Virtual Private Cloud (VPC) dan jaringan peer Anda.

Hanya gateway VPN dengan ketersediaan tinggi (HA) yang mendukung traffic stack ganda atau khusus IPv6. VPN klasik tidak mendukung traffic IPv6. Pastikan gateway VPN peer Anda dikonfigurasi untuk menggunakan IKEv2 untuk tunnel VPN dengan ketersediaan tinggi (HA).

Dukungan VPN pihak ketiga untuk traffic stack ganda

Tabel berikut merangkum dukungan perangkat VPN pihak ketiga untuk traffic stack ganda melalui tunnel IPsec.

Platform vendor Versi yang diuji untuk
konfigurasi stack ganda
Traffic IPv6 melalui tunnel IPv4 IPsec Traffic khusus IPv6 Kelompok alamat stack ganda Konfigurasi interoperabilitas untuk traffic stack ganda
Cisco IOS Tidak didukung Tidak didukung Didukung Tidak didukung Gunakan tunnel Generic Routing Encapsulation (GRE) dan router virtual untuk membawa traffic IPsec melalui GRE.
Check Point Tidak didukung Tidak didukung Tidak didukung Tidak didukung Gunakan tunnel Generic Routing Encapsulation (GRE) dan router virtual untuk membawa traffic IPsec melalui GRE.
Juniper JunOS 20.2R3-S2.5 Didukung Tidak didukung Didukung Mendukung tunnel VPN dengan ketersediaan tinggi (HA) yang dapat menggunakan traffic IPv4 dan IPv6.
Palo Alto Networks PAN-OS 9.1 Didukung Tidak didukung Tidak didukung Memerlukan tunnel VPN dengan ketersediaan tinggi (HA) terpisah yang dikonfigurasi untuk traffic IPv4 atau IPv6, tetapi tidak keduanya.

Juniper JunOS

Prosedur berikut menjelaskan cara menyiapkan perangkat Juniper JunOS VPN untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA) Anda.

Meskipun Anda mengonfigurasi alamat IPv6 pada antarmuka tunnel perangkat, alamat IPv6 hanya digunakan untuk konfigurasi IPv6 next hop. Rute IPv6 diiklankan melalui IPv6 Network Layer Reachability Information (NLRI) melalui peering BGP IPv4.

Sebelum memulai

Di Google Cloud, siapkan satu gateway VPN dengan ketersediaan tinggi (HA) stack ganda dan dua tunnel VPN dengan ketersediaan tinggi (HA). Kedua tunnel VPN dengan ketersediaan tinggi (HA) menggunakan traffic IPv4 dan IPv6.

Catat dua alamat IPv4 eksternal yang ditetapkan Google Cloud ke dua antarmuka gateway VPN dengan ketersediaan tinggi (HA).

Catat nilai konfigurasi berikut untuk setiap tunnel:

  • Alamat IPv4 link lokal dari BGP peer, yang merupakan perangkat Juniper JunOS Anda
  • Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
  • Alamat IPv6 next hop yang ditetapkan ke peer atau peerIpv6NexthopAddress
  • ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP Anda
  • ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda
  • Pre-shared key

Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.

Mengonfigurasi JunOS

Untuk mengonfigurasi perangkat JunOS, selesaikan langkah-langkah berikut:

  1. Untuk setiap antarmuka tunnel VPN, konfigurasikan alamat next hop IPv6 peer BGP yang Anda ambil dari Cloud Router. Antarmuka ini merupakan antarmuka yang sama yang diberi alamat link lokal untuk peering IPv4.

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
    set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
    set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
    

    Ganti nilai berikut:

    • PEER_BGP_IP_1: alamat IPv4 BGP dari peer untuk antarmuka tunnel pertama dengan subnet mask
    • PEER_IPV6_NEXT_HOP_ADDRESS_1: alamat hop next hop IPv6 peer untuk antarmuka tunnel pertama dengan subnet mask
    • PEER_BGP_IP_2: alamat IPv4 BGP dari peer untuk antarmuka tunnel kedua dengan subnet mask
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: alamat hop next hop IPv6 peer untuk antarmuka tunnel kedua dengan subnet mask

    Contoh:

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address 169.254.0.2/30
    set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address 169.254.1.2/30
    set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
    
  2. Mengonfigurasi proposal IKE, kebijakan IKE, dan objek gateway IKE.

    # IKE proposal
    set security ike proposal ike_prop authentication-method pre-shared-keys
    set security ike proposal ike_prop dh-group group2
    set security ike proposal ike_prop authentication-algorithm sha-256
    set security ike proposal ike_prop encryption-algorithm aes-256-cbc
    set security ike proposal ike_prop lifetime-seconds 36000
    
    # IKE policy
    set security ike policy ike_pol mode main
    set security ike policy ike_pol proposals ike_prop
    set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
    
    # IKE gateway objects
    set security ike gateway gw1 ike-policy ike_pol
    set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
    set security ike gateway gw1 local-identity inet 142.215.100.60
    set security ike gateway gw1 external-interface ge-0/0/0
    set security ike gateway gw1 version v2-only
    set security ike gateway gw2 ike-policy ike_pol
    set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
    set security ike gateway gw2 local-identity inet 142.215.100.60
    set security ike gateway gw2 external-interface ge-0/0/0
    set security ike gateway gw2 version v2-only
    

    Ganti nilai berikut:

    • HA_VPN_INTERFACE_ADDRESS_0: alamat IPv4 eksternal dari antarmuka tunnel pertama pada gateway VPN dengan ketersediaan tinggi (HA)
    • HA_VPN_INTERFACE_ADDRESS_1: alamat IPv4 eksternal dari antarmuka tunnel kedua pada gateway VPN dengan ketersediaan tinggi (HA)
    • SHARED_SECRET: pre-shared key yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA)
  3. Mengonfigurasi proposal IPsec dan kebijakan IPsec. Contoh:

    set security ipsec proposal ipsec_prop protocol esp
    set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
    set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec_prop lifetime-seconds 10800
    
  4. Konfigurasikan konfigurasi gateway VPN IPsec dan ikat ke antarmuka tunnel. Contoh:

    set security ipsec vpn vpn1 bind-interface st0.1
    set security ipsec vpn vpn1 ike gateway gw1
    set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn1 establish-tunnels immediately
    set security ipsec vpn vpn2 bind-interface st0.2
    set security ipsec vpn vpn2 ike gateway gw2
    set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn2 establish-tunnels immediately
    
  5. Membuat pernyataan kebijakan yang mengubah next hop untuk peer IPv6 ke alamat next hop IPv6.

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

    Ganti nilai berikut:

    • PEER_IPV6_NEXT_HOP_ADDRESS_1: alamat hop next hop IPv6 peer BGP untuk tunnel pertama
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: alamat hop next hop IPv6 peer BGP untuk tunnel kedua

    Contoh:

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

  6. Konfigurasikan BGP untuk pertukaran rute IPv6.

    Saat mengonfigurasi BGP, Anda harus menetapkan include-mp-next-hop pernyataan untuk mengirimkan atribut next hop ke peer.

    Kemudian, ekspor pernyataan kebijakan yang Anda tentukan di langkah sebelumnya untuk mengubah next hop ke alamat IPv6.

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as ROUTER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address ROUTER_IP_2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as ROUTER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
    

    Ganti nilai berikut:

    • ROUTER_BGP_IP_1: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel pertama
    • ROUTER_BGP_IP_2: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel kedua
    • ROUTER_ASN: ASN yang ditetapkan ke Cloud Router untuk sesi BGP Anda.
    • PEER_ASN: ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda.

    Contoh berikut menunjukkan pernyataan include-mp-next-hop dan export dalam teks tebal:

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as 16550
    set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
    set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address 169.254.1.2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as 16550
    set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
    set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
    

  7. Verifikasi konektivitas BGP.

    show route protocol bgp
    

Palo Alto Networks PAN-OS

Bagian ini menjelaskan cara menyiapkan perangkat Palo Alto Networks PAN-OS untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA).

PAN-OS mendukung transport traffic IPv6 melalui IPv4. Namun, PAN-OS tidak mendukung kelompok alamat stack ganda. Oleh karena itu, Anda harus menyiapkan tunnel VPN terpisah yang menggunakan salah satu dari traffic IPv4 atau traffic IPv6.

Untuk informasi selengkapnya tentang cara mengonfigurasi perangkat PAN-OS untuk digunakan dengan VPN, lihat Dokumentasi VPN Palo Alto PAN OS.

Sebelum memulai

Di Google Cloud, siapkan dua gateway VPN dengan ketersediaan tinggi (HA) dan empat tunnel VPN dengan ketersediaan tinggi (HA). Dua tunnel untuk traffic IPv6 dan dua tunnel untuk traffic IPv4.

  1. Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv4. Buat hal berikut:

    • Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack khusus IPv4
    • Dua tunnel VPN yang dapat menggunakan traffic IPv4
  2. Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv6. Buat hal berikut:

    • Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack stack ganda
    • Dua tunnel VPN yang dapat menggunakan traffic IPv6
    • Mengaktifkan IPv6 di sesi BGP untuk tunnel IPv6
  3. Catat alamat IPv4 eksternal yang ditetapkan Google Cloud ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA).

  4. Catat nilai konfigurasi berikut untuk setiap tunnel:

    • Alamat IPv4 link lokal dari peer BGP, yang merupakan sisi PAN-OS dari sesi BGP
    • Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
    • ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat PAN-OS Anda
    • ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP Anda
    • Pre-shared key
  5. Untuk setiap tunnel IPv6, catat juga peerIpv6NexthopAddress, yang merupakan alamat IPv6 next hop yang ditetapkan ke peer BGP. Google Cloud mungkin telah otomatis menetapkan alamat ini untuk Anda, atau Anda mungkin telah menentukan alamat secara manual saat membuat tunnel VPN.

Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.

Konfigurasi PAN-OS

Untuk mengonfigurasi perangkat Palo Alto Networks, lakukan langkah-langkah berikut di Antarmuka Web PAN-OS.

  1. Aktifkan firewall IPv6.

  2. Pilih Perangkat > Penyiapan > Setelan Sesi.

    1. Pilih Aktifkan firewall IPv6.
  3. Membuat antarmuka loopback untuk IPv4 dan IPv6.

    1. Pilih Jaringan > Antarmuka > Antarmuka loopback dan buat loopback baru.
    2. Membuat antarmuka loopback. Contoh, loopback.10.
    3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
    4. Pada tab IPv4, tetapkan antarmuka loopback dengan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
    5. Pada tab IPv6, pilih EAktifkan IPv6 pada antarmuka, dan tambahkan rentang alamat IPv6 yang sesuai untuk jaringan lokal Anda.
    6. Pada tab Advanced, tetapkan Profil Management untuk antarmuka loopback. Pastikan profil yang ditetapkan mengizinkan ping agar Anda dapat memverifikasi konektivitas.
  4. Buat empat tunnel gateway IKE, dua tunnel untuk traffic IPv6, dan dua tunnel untuk traffic IPv4. Setiap tunnel terhubung ke antarmuka di gateway VPN dengan ketersediaan tinggi (HA).

    • Buat dua tunnel untuk traffic IPv6.
      1. Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
      2. Tentukan nama untuk tunnel pertama. Contoh, tunnel.1.
      3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
      4. Pada tab IPv4, tetapkan alamat link lokal peer BGP yang Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA). Contoh, 169.254.0.2/30.
      5. Pada tab IPv6, pilih Aktifkan IPv6 pada antarmuka, dan tetapkan alamat IPv6 next hop yang dikonfigurasi untuk peer BGP. Contohnya, 2600:2D00:0:2::2/125.
      6. Pada tab Advanced, setel MTU ke 1460.
      7. Ulangi prosedur ini untuk tunnel kedua. Misalnya, tunnel.2. Pada tab IPv4 dan IPv6, tetapkan nilai yang sesuai untuk kolom BGP peer dan IPv6 next hop. Gunakan nilai yang cocok dengan tunnel kedua dari stack ganda VPN dengan ketersediaan tinggi (HA). Misalnya, 169.254.1.2/30 dan 2600:2D00:0:3::3/125.
    • Buat dua tunnel untuk traffic IPv4.
      1. Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
      2. Tentukan nama untuk tunnel ketiga. Misalnya, tunnel.3.
      3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
      4. Pada tab IPv4, tetapkan alamat link lokal peer BGP yang Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA). Contoh, 169.254.2.2/30.
      5. Lewati konfigurasi tab IPv6.
      6. Pada tab Advanced, setel MTU ke 1460.
      7. Ulangi prosedur ini untuk tunnel keempat. Misalnya, tunnel.4. Pada tab IPv4, tetapkan nilai yang sesuai untuk peer BGP yang cocok dengan tunnel kedua dari VPN dengan ketersediaan tinggi (HA) khusus IPv4. Contohnya, 169.254.3.2/30.
  5. Buat profil kripto IPsec.

    1. Pilih Jaringan > Kripto IPSec dan buat profil baru.
    2. Masukkan nilai untuk kolom berikut:
      • Nama: Masukkan nama profil. Contoh, ha-vpn.
      • IPSec Protocol: Pilih ESP.
      • Enkripsi: Tambahkan cipher IKE yang didukung.
      • Autentikasi: Tentukan fungsi hash. Contoh, sha512.
      • Grup DH: Pilih grup DH. Misalnya, group14.
      • Masa aktif: Pilih Jam dan masukkan 3.
    3. Klik Oke.
  6. Buat profil kripto IKE.

    1. Pilih Jaringan > Kripto IKE.
    2. Masukkan nilai untuk kolom berikut:
      • Nama: Masukkan nama profil. Contoh, ha-vpn.
      • Grup DH: Pastikan grup DH yang Anda pilih untuk profil Kripto IPsec muncul dalam daftar.
      • Autentikasi: Tentukan fungsi hash. Contoh, sha512.
      • Enkripsi: Tambahkan cipher IKE yang didukung.
    3. Di panel Timer, pilih Jam untuk Masa Aktif Kunci dan masukkan 10.
    4. Klik Oke.
  7. Setelah membuat empat tunnel IKE, buat empat gateway IKE, satu untuk setiap tunnel.

    1. Pilih Jaringan > Gateway IKE, dan buat gateway baru.
    2. Pada tab General, masukkan nilai untuk kolom berikut:
      • Nama: Nama gateway IKE untuk tunnel pertama. Contoh, havpn-v6-tunnel1.
      • Versi: Pilih IKEv2 only mode.
      • Jenis Alamat: Pilih IPv4.
      • Antarmuka: Tetapkan antarmuka loopback yang Anda buat di awal prosedur ini. Contoh, loopback.10.
      • Alamat IP Lokal: Tetapkan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
      • Jenis Alamat IP Peer: Pilih IP.
      • Alamat Peer: Tetapkan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) pertama untuk tunnel.
      • Autentikasi: Pilih Pre-Shared Key.
      • Pre-shared key, Konfirmasi Pre-shared key: Masukkan rahasia bersama yang Anda konfigurasi di Google Cloud untuk tunnel.
      • Identifikasi Lokal: Pilih Alamat IP, dan tentukan alamat IPv4 yang sesuai untuk jaringan lokal Anda.
      • Identifikasi: Pilih Alamat IP, dan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) untuk tunnel.
    3. Pilih tab Opsi Lanjutan.
    4. Untuk Profil Kripto IKE, pilih profil yang Anda buat sebelumnya. Contoh, ha-vpn.
    5. Aktifkan Pemeriksaan Keaktifan dan masukkan 5 untuk Interval (dtk).
    6. Klik Oke.
    7. Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Nama: Nama gateway IKE untuk tunnel. Misalnya, havpn-v6-tunnel2, havpn-v4-tunnel1, atau havpn-v4-tunnel2.
      • Alamat IP Lokal / Identifikasi Lokal: Tentukan alamat IPv4 yang tidak digunakan dan sesuai untuk jaringan lokal Anda.
      • Alamat Peer / Identifikasi Peer: Tentukan alamat IPv4 eksternal untuk antarmuka VPN dengan ketersediaan tinggi (HA) yang cocok pada tunnel.
      • Pre-shared key: Menentukan rahasia bersama yang dikonfigurasi untuk tunnel.
  8. Buat empat tunnel IPsec.

    1. Pilih Jaringan > Tunnel IPSec dan buat tunnel baru.
    2. Masukkan nilai untuk kolom berikut:
      • Nama: Nama unik untuk tunnel. Contoh, hapvpn-tunnel-1.
      • Tunnel Antarmuka: Pilih antarmuka tunnel untuk tunnel gateway IKE yang Anda buat sebelumnya. Contoh, tunnel.1.
      • Jenis: Pilih Kunci Otomatis.
      • Jenis Alamat: Pilih IPv4.
      • Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya. Contoh, havpn-v6-tunnel.
      • Profil Kriptografi IPSec: Pilih profil yang Anda buat sebelumnya. Contoh, ha-vpn.
    3. Jangan konfigurasikan ID Proxy.
    4. Klik Oke.
    5. Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Name: Nama unik untuk tunnel IPsec. Misalnya, havpn-tunnel2, havpn-tunnel3, atau havpn-tunnel4.
      • Tunnel Antarmuka: Pilih antarmuka tunnel yang tidak digunakan untuk tunnel gateway IKE yang Anda buat sebelumnya. Misalnya, tunnel.2, tunnel.3 atau tunnel.4.
      • Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya. Misalnya, havpn-v6-tunnel2, havpn-v4-tunnel1, atau havpn-v4-tunnel2.
  9. Opsional: Mengonfigurasi ECMP.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > ECMP.
    2. Pada tab ECMP, pilih Aktifkan.
    3. Klik Oke.
  10. Konfigurasi BGP

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP.
    2. Pada tab General, pilih Aktifkan.
    3. Pada kolom ID Router masukkan alamat IPv4 link-lokal yang ditetapkan ke peer BGP, yang merupakan sisi PAN-OS dari sesi BGP. peer.
    4. Di kolom AS Number field, enter the masukkan ASN untuk sisi PAN-OS dari sesi BGP.
    5. Untuk Opsi, pastikan Instal Route yang dipilih.
    6. Klik Oke.
  11. Membuat peer group BGP dengan satu peer BGP untuk tiap tunnel IPv6. Anda membuat grup peer BGP terpisah untuk setiap tunnel IPv6 sehingga Anda dapat mengonfigurasi alamat next hop IPv6 yang berbeda setiap tunnel.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
    2. Pada tab Grup Peer, buat grup peer baru untuk tunnel IPv6 pertama.
    3. Di kolom Nama, masukkan nama untuk peer grup. Contoh, havpn-bgp-v6-tunnel1.
    4. Pilih Aktifkan.
    5. Pilih Jalur AS yang diakui Agregat.
    6. Dalam daftar Jenis, pilih EBGP.
    7. Untuk Import Next Hop, pilih Original.
    8. Untuk Export Next Hop, pilih Resolve.
    9. Pilih Hapus AS Pribadi.
    10. Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
    11. Di dialog Peer, masukkan nilai berikut:
      • Nama: Nama untuk peer. Contoh, havpn-v6-tunnel1.
      • Pilih Aktifkan.
      • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
      • Pada tab Alamat, konfigurasikan opsi berikut:
        • Pilih Aktifkan MP-BGP Extension.
        • Untuk Address Family Type, pilih IPv6.
        • Di Alamat Lokal, untuk Antarmuka pilih tunnel pertama yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.1.
        • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.0.2./30.
        • Di Alamat Peer, untuk Jenis, pilih IP.
        • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.0.1.
      • Klik Oke.
    12. Setelah Anda selesai menambahkan peer, klik Oke.
    13. Ulangi prosedur ini untuk tunnel IPv6 lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Name: Nama unik untuk grup peer BGP. Contoh, havpn-bgp-v6-tunnel2.
      • Di dialog Peer, masukkan nilai yang sesuai untuk tunnel di kolom berikut:
        • Nama: Nama untuk peer. Contoh, havpn-v6-tunnel1.
        • Di Alamat Lokal, untuk Antarmuka pilih tunnel kedua yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.2.
        • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP untuk tunnel kedua. Contoh, 169.254.1.2./30.
        • Di bagian Alamat Peer, untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.1.1.
  12. Buat peer group BGP untuk tunnel IPv4.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
    2. Pada tab Peer Group, buat peer grup baru untuk tunnel IPv4.
    3. Di kolom Nama, masukkan nama untuk peer grup. Contoh, havpn-bgp-v4.
    4. Pilih Aktifkan.
    5. Pilih Jalur AS yang diakui Agregat.
    6. Dalam daftar Jenis, pilih EBGP.
    7. Untuk Import Next Hop, pilih Original.
    8. Untuk Export Next Hop, pilih Resolve.
    9. Pilih Hapus AS Pribadi.
    10. Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
    11. Di dialog Peer, masukkan nilai berikut:
      • Nama: Masukkan nama peer Contoh, havpn-v4-tunnel1.
      • Pilih Aktifkan.
      • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
      • Pada tab Alamat, konfigurasikan opsi berikut:
        • Jangan memilih Aktifkan MP-BGP Extensions.
        • Untuk Address Family Type, pilih IPv4.
        • Di Alamat Lokal, untuk Antarmuka pilih tunnel ketiga yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.3.
        • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.2.2./30.
        • Di Alamat Peer, pilih IP untuk Jenis.
        • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.2.1.
      • Klik Oke.
    12. Di panel Peer, klik Tambahkan untuk menambahkan peer kedua ke grup peer BGP.
    13. Di dialog Peer, masukkan nilai berikut:
      • Nama: Masukkan nama peer Contoh, havpn-v4-tunnel2.
      • Pilih Aktifkan.
      • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
      • Pada tab Alamat, konfigurasikan opsi berikut:
        • Jangan memilih Aktifkan MP-BGP Extensions.
        • Untuk Address Family Type, pilih IPv4.
        • Di Alamat Lokal, untuk Antarmuka pilih tunnel keempat yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.4.
        • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.3.2./30.
        • Di Alamat Peer, untuk Jenis, pilih IP.
        • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.3.1.
    14. Klik Oke.
    15. Setelah Anda selesai menambahkan kedua pembanding, klik OK.
  13. Ekspor aturan konfigurasi BGP ke grup peer BGP untuk tunnel IPv6. Langkah ini memungkinkan Anda menetapkan alamat IPv6 next hop yang berbeda ke tunnel.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Ekspor.
    2. Pada dialog Export Rule, masukkan nama di kolom Rules. Contoh, havpn-tunnel1-v6.
    3. Pilih Aktifkan.
    4. Di panel Used By, klik Add untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 pertama. Contohnya, havpn-bgp-v6-tunnel1
    5. Pada tab Match, pilih Unicast dalam daftar Tabel Route.
    6. Di Awalan Alamat, tambahkan awalan alamat untuk alamat IPv6 yang digunakan di jaringan lokal Anda.
    7. Pada tab Tindakan, konfigurasikan opsi berikut:
      • Dalam daftar Tindakan, pilih Izinkan.
      • Di Next Hop, masukkan alamat next hop IPv6 yang ditetapkan ke peer BGP saat Anda membuat tunnel. Contoh, 2600:2D00:0:2::2.
    8. Klik Oke.
    9. Ulangi prosedur ini untuk grup peer BGP yang digunakan oleh tunnel IPv6 kedua, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Pada dialog Export Rule, masukkan nama unik di kolom Rules. Contoh, havpn-tunnel2-v6.
      • Di panel Used By, klik Tambahkan untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 kedua. Contohnya, havpn-bgp-v6-tunnel1
    10. Pada tab Tindakan, konfigurasikan kolom Next Hop, masukkan alamat next hop IPv6 yang ditetapkan ke peer BGP untuk tunnel ini. Contoh, 2600:2D00:0:3::3.