Questa pagina fornisce istruzioni per configurare dispositivi VPN di terze parti per supportare il traffico dual-stack (IPv4 e IPv6) o solo IPv6 con Cloud VPN.
Per abilitare il traffico a doppio stack nei tunnel VPN ad alta disponibilità, devi configurare il gateway VPN peer con indirizzi hop successivo IPv6. Nei tunnel VPN ad alta disponibilità con traffico a doppio stack abilitato, i route IPv4 e IPv6 vengono scambiati tramite sessioni BGP utilizzando BGP multiprotocollo (MP-BGP) con indirizzi IPv4 link-local. Sia il router Cloud sia il gateway VPN peer devono essere configurati con l'hop successivo IPv6 per instradare il traffico IPv6 verso e da Virtual Private Cloud (VPC) e le reti peer.
Solo i gateway VPN ad alta disponibilità supportano il traffico dual-stack o solo IPv6. La VPN classica non supporta il traffico IPv6. Assicurati che il gateway VPN peer sia configurato per utilizzare IKEv2 per i suoi tunnel VPN ad alta disponibilità.
Supporto VPN di terze parti per il traffico dual-stack
La seguente tabella riassume il supporto dei dispositivi VPN di terze parti per il traffico dual-stack tramite i tunnel IPsec.
Piattaforma del fornitore | Versione testata per la configurazione dual-stack |
Traffico IPv6 tramite tunnel IPsec IPv4 | Traffico solo IPv6 | Famiglia di indirizzi dual-stack | Configurazione interoperabile per il traffico dual-stack |
---|---|---|---|---|---|
Cisco IOS | Non supportata | Non supportata | Supportato | Non supportata | Utilizza i tunnel GRE (Generic Routing Encapsulation) e un router virtuale per trasportare il traffico IPsec tramite GRE. |
Check Point | Non supportata | Non supportata | Non supportata | Non supportata | Utilizza i tunnel GRE (Generic Routing Encapsulation) e un router virtuale per trasportare il traffico IPsec tramite GRE. |
Juniper JunOS | 20.2R3-S2.5 | Supportato | Non supportata | Supportato | Supporta i tunnel VPN ad alta disponibilità che possono trasportare sia il traffico IPv4 sia quello IPv6. |
Palo Alto Networks PAN-OS | 9.1 | Supportato | Non supportata | Non supportata | Richiede tunnel VPN ad alta disponibilità separati configurati per il traffico IPv4 o IPv6, ma non per entrambi. |
Juniper JunOS
La procedura seguente descrive come configurare il dispositivo VPN Juniper JunOS per supportare il traffico IPv4 e IPv6 nei tunnel VPN ad alta disponibilità.
Sebbene tu configuri gli indirizzi IPv6 sulle interfacce dei tunnel del dispositivo, gli indirizzi IPv6 vengono utilizzati esclusivamente per la configurazione dell'hop successivo IPv6. Le route IPv6 vengono pubblicizzate tramite informazioni sulla raggiungibilità del livello di rete IPv6 (NLRI) su IPv4 BGP peering.
Prima di iniziare
In Google Cloud, configura un gateway VPN ad alta disponibilità dual-stack e due tunnel VPN ad alta disponibilità. Entrambi i tunnel VPN ad alta disponibilità trasportano traffico IPv4 e IPv6.
Registra i due indirizzi IPv4 esterni assegnati da Google Cloud alle due interfacce del gateway VPN ad alta disponibilità.
Registra i seguenti valori di configurazione per ogni tunnel:
- L'indirizzo IPv4 locale rispetto al collegamento del peer BGP, ovvero il tuo dispositivo Juniper JunOS
- L'indirizzo IPv4 locale del router Cloud utilizzato per il peering BGP
- L'indirizzo dell'hop successivo IPv6 assegnato al peer o
peerIpv6NexthopAddress
- L'ASN che hai assegnato al router Cloud per le sessioni BGP
- L'ASN assegnato al peer BGP, ovvero il tuo dispositivo Juniper JunOS
- La chiave pre-condivisa
Per trovare i dettagli della configurazione della sessione BGP, consulta Visualizzare la configurazione della sessione BGP.
Configura JunOS
Per configurare i dispositivi JunOS, completa i seguenti passaggi:
Per ogni interfaccia del tunnel VPN, configura gli indirizzi hop successivo IPv6 del peer BGP recuperati dal router Cloud. Queste interfacce sono le stesse a cui vengono assegnati indirizzi link-local per il peering IPv4.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
Sostituisci i seguenti valori:
PEER_BGP_IP_1
: l'indirizzo IPv4 BGP del peer per la prima interfaccia del tunnel con la relativa subnet maskPEER_IPV6_NEXT_HOP_ADDRESS_1
: l'indirizzo IPv6 dell'hop successivo del peer per la prima interfaccia del tunnel con la relativa subnet maskPEER_BGP_IP_2
: l'indirizzo IPv4 BGP del peer per la seconda interfaccia del tunnel con la relativa subnet maskPEER_IPV6_NEXT_HOP_ADDRESS_2
: l'indirizzo IPv6 hop successivo del peer per la seconda interfaccia del tunnel con la relativa subnet mask
Ad esempio:
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
Configura gli oggetti proposta IKE, criterio IKE e gateway IKE.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
Sostituisci i seguenti valori:
HA_VPN_INTERFACE_ADDRESS_0
: l'indirizzo IPv4 esterno della prima interfaccia del tunnel sul gateway VPN ad alta disponibilitàHA_VPN_INTERFACE_ADDRESS_1
: l'indirizzo IPv4 esterno della seconda interfaccia del tunnel sul gateway VPN ad alta disponibilitàSHARED_SECRET
: la chiave precompartita configurata per il tunnel VPN ad alta disponibilità
Configura la proposta IPsec e il criterio IPsec. Ad esempio:
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
Configura le configurazioni del gateway VPN IPsec e associale alle interfacce del tunnel. Ad esempio:
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
Crea le istruzioni del criterio che modificano l'hop successivo per i peer IPv6 negli indirizzi dell'hop successivo IPv6.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Sostituisci i seguenti valori:
PEER_IPV6_NEXT_HOP_ADDRESS_1
: l'indirizzo IPv6 dell'hop successivo del peer BGP per il primo tunnelPEER_IPV6_NEXT_HOP_ADDRESS_2
: l'indirizzo IPv6 dell'hop successivo del peer BGP per il secondo tunnel
Ad esempio:
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Configura BGP per lo scambio di route IPv6.
Quando configuri BGP, devi specificare stmt
include-mp-next-hop
per inviare l'attributo hop successivo al peer.Poi esporta l'istruzione di criteri che hai definito nel passaggio precedente per modificare l'hop successivo nell'indirizzo IPv6.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
Sostituisci i seguenti valori:
ROUTER_BGP_IP_1
: l'indirizzo IPv4 assegnato al router Cloud per il primo tunnelROUTER_BGP_IP_2
: l'indirizzo IPv4 assegnato al router Cloud per il secondo tunnelROUTER_ASN
: l'ASN assegnato al router Cloud per le tue sessioni BGP.PEER_ASN
: l'ASN che hai assegnato al peer BGP, ovvero il tuo dispositivo Juniper JunOS.
L'esempio seguente mostra le istruzioni
include-mp-next-hop
eexport
in grassetto:set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
Verifica la connettività BGP.
show route protocol bgp
Palo Alto Networks PAN-OS
Questa sezione descrive come configurare il dispositivo PAN-OS di Palo Alto Networks per supportare il traffico IPv4 e IPv6 nei tunnel VPN ad alta disponibilità.
PAN-OS supporta il trasporto del traffico IPv6 su IPv4. Tuttavia, PAN-OS non supporta le famiglie di indirizzi dual stack. Di conseguenza, devi configurare tunnel VPN separati che trasportano traffico IPv4 o IPv6.
Per ulteriori informazioni sulla configurazione dei dispositivi PAN-OS per l'utilizzo con la VPN, consulta la documentazione VPN di Palo Alto PAN OS.
Prima di iniziare
In Google Cloud, configura due gateway VPN ad alta disponibilità e quattro tunnel VPN ad alta disponibilità. Due tunnel sono per il traffico IPv6 e due per il traffico IPv4.
Crea il gateway VPN ad alta disponibilità e i tunnel per il traffico IPv4. Crea quanto segue:
- Un gateway VPN ad alta disponibilità che utilizza il tipo di stack solo IPv4
- Due tunnel VPN in grado di trasportare traffico IPv4
Crea il gateway e i tunnel VPN ad alta disponibilità per il traffico IPv6. Crea quanto segue:
- Un gateway VPN ad alta disponibilità che utilizza il tipo di stack dual-stack
- Due tunnel VPN in grado di trasportare traffico IPv6
- Attiva IPv6 nelle sessioni BGP per i tunnel IPv6
Registra gli indirizzi IPv4 esterni assegnati da Google Cloud a ogni interfaccia del gateway VPN ad alta disponibilità.
Registra i seguenti valori di configurazione per ogni tunnel:
- L'indirizzo IPv4 locale rispetto al collegamento del peer BGP, ovvero il lato PAN-OS della sessione BGP
- L'indirizzo IPv4 locale del router Cloud utilizzato per il peering BGP
- L'ASN assegnato al peer BGP, ovvero il tuo dispositivo PAN-OS
- L'ASN che hai assegnato al router Cloud per le sessioni BGP
- La chiave pre-condivisa
Per ogni tunnel IPv6, registra anche
peerIpv6NexthopAddress
, ovvero l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP. È possibile che Google Cloud abbia assegnato automaticamente questo indirizzo oppure che tu abbia specificato manualmente gli indirizzi quando hai creato il tunnel VPN.
Per trovare i dettagli della configurazione della sessione BGP, consulta Visualizzare la configurazione della sessione BGP.
Configurare PAN-OS
Per configurare il dispositivo Palo Alto Networks, svolgi i seguenti passaggi nell'interfaccia web PAN-OS.
Attiva il firewall IPv6.
Seleziona Dispositivo > Configurazione > Impostazioni sessione.
- Seleziona Attiva il firewall IPv6.
Crea un'interfaccia loopback per IPv4 e IPv6.
- Seleziona Rete > Interfacce > Interfaccia loopback e crea una nuova interfaccia loopback.
- Crea un'interfaccia loopback. Ad esempio,
loopback.10
. - Nella scheda Config, imposta Virtual Router su
external
e Security Zone suZONE_EXTERNAL
. - Nella scheda IPv4, assegna all'interfaccia loopback gli intervalli di indirizzi IPv4 appropriati per la tua rete on-premise.
- Nella scheda IPv6, seleziona Abilita IPv6 sull'interfaccia e aggiungi un intervallo di indirizzi IPv6 appropriato per la tua rete on-premise.
- Nella scheda Avanzate, specifica un profilo di gestione per l'interfaccia loopback. Assicurati che il profilo specificato consenta il ping per poter verificare la connettività.
Crea quattro tunnel del gateway IKE, due per il traffico IPv6 e due per il traffico IPv4. Ogni tunnel si connette a un'interfaccia su un gateway VPN ad alta disponibilità.
- Crea due tunnel per il traffico IPv6.
- Seleziona Rete > Interfacce > Tunnel e crea un nuovo tunnel.
- Specifica un nome per il primo tunnel. Ad esempio,
tunnel.1
. - Nella scheda Config, imposta Virtual Router su
external
e Security Zone suZONE_EXTERNAL
. - Nella scheda IPv4, specifica l'indirizzo link-local del peer BGP configurato durante la creazione dei tunnel VPN per la VPN ad alta disponibilità.
Ad esempio,
169.254.0.2/30
. - Nella scheda IPv6, seleziona Abilita IPv6 sull'interfaccia e specifica l'indirizzo IPv6 dell'hop successivo configurato per il peer BGP. Ad esempio,
2600:2D00:0:2::2/125
. - Nella scheda Avanzate, imposta MTU su
1460
. - Ripeti questa procedura per il secondo tunnel. Ad esempio,
tunnel.2
. Nelle schede IPv4 e IPv6, specifica i valori appropriati per i campi peer BGP e hop successivo IPv6. Utilizza i valori corrispondenti al secondo tunnel della VPN ad alta disponibilità dual-stack. Ad esempio,169.254.1.2/30
e2600:2D00:0:3::3/125
.
- Crea due tunnel per il traffico IPv4.
- Seleziona Rete > Interfacce > Tunnel e crea un nuovo tunnel.
- Specifica un nome per il terzo tunnel. Ad esempio,
tunnel.3
. - Nella scheda Config, imposta Virtual Router su
external
e Security Zone suZONE_EXTERNAL
. - Nella scheda IPv4, specifica l'indirizzo link-local del peer BGP configurato durante la creazione dei tunnel VPN per la VPN ad alta disponibilità.
Ad esempio,
169.254.2.2/30
. - Salta la configurazione della scheda IPv6.
- Nella scheda Avanzate, imposta MTU su
1460
. - Ripeti questa procedura per il quarto tunnel. Ad esempio,
tunnel.4
. Nella scheda IPv4, specifica i valori appropriati per il peer BGP che corrisponde al secondo tunnel della VPN ad alta disponibilità solo IPv4. Ad esempio,169.254.3.2/30
.
- Crea due tunnel per il traffico IPv6.
Crea un profilo di crittografia IPsec.
- Seleziona Rete > Crittografia IPSec e crea un nuovo profilo.
- Inserisci i valori per i seguenti campi:
- Nome: inserisci un nome per il profilo. Ad esempio,
ha-vpn
. - Protocollo IPSec: seleziona ESP.
- Crittografia: aggiungi un tipo di crittografia IKE supportato.
- Autenticazione: specifica una funzione di hashing. Ad esempio,
sha512
. - Gruppo DH: seleziona un gruppo DH. Ad esempio, group14.
- Per tutta la vita: seleziona Ore e inserisci
3
.
- Nome: inserisci un nome per il profilo. Ad esempio,
- Fai clic su OK.
Crea un profilo crittografico IKE.
- Seleziona Rete > IKE Crypto.
- Inserisci i valori per i seguenti campi:
- Nome: inserisci un nome per il profilo. Ad esempio,
ha-vpn
. - Gruppo DH: verifica che il gruppo DH selezionato per il profilo di crittografia IPsec sia presente nell'elenco.
- Autenticazione: specifica una funzione di hashing. Ad esempio,
sha512
. - Crittografia: aggiungi un tipo di crittografia IKE supportato.
- Nome: inserisci un nome per il profilo. Ad esempio,
- Nel riquadro Timer, seleziona Ore per Durata della chiave e inserisci
10
. - Fai clic su OK.
Dopo aver creato quattro tunnel IKE, crea quattro gateway IKE, uno per ogni tunnel.
- Seleziona Rete > Gateway IKE e crea un nuovo gateway.
- Nella scheda Generali, inserisci i valori per i seguenti campi:
- Nome: il nome del gateway IKE per il primo tunnel.
Ad esempio,
havpn-v6-tunnel1
. - Versione: seleziona
IKEv2 only mode
. - Tipo di indirizzo: seleziona
IPv4
. - Interfaccia: specifica l'interfaccia loopback creata all'inizio di questa procedura. Ad esempio,
loopback.10
. - Indirizzo IP locale: specifica un intervallo di indirizzi IPv4 appropriato per la tua rete on-premise.
- Tipo di indirizzo IP peer: seleziona
IP
. - Indirizzo peer: specifica l'indirizzo IPv4 esterno della prima interfaccia VPN ad alta disponibilità per il tunnel.
- Autenticazione: seleziona
Pre-Shared Key
. - Chiave precondivisa, Conferma chiave precondivisa: inserisci il segreto condiviso configurato in Google Cloud per il tunnel.
- Identificazione locale: seleziona Indirizzo IP e specifica un indirizzo IPv4 appropriato per la tua rete on-premise.
- Identificazione peer: seleziona Indirizzo IP e l'indirizzo IPv4 esterno dell'interfaccia VPN ad alta disponibilità per il tunnel.
- Nome: il nome del gateway IKE per il primo tunnel.
Ad esempio,
- Seleziona la scheda Opzioni avanzate.
- Per Profilo crittografia IKE, seleziona il profilo creato precedentemente. Ad esempio,
ha-vpn
. - Attiva Controllo dell'attività e inserisci
5
per Intervallo (sec). - Fai clic su OK.
- Ripeti questa procedura per gli altri tre tunnel, ma sostituisci i valori appropriati per i seguenti campi:
- Nome: il nome del gateway IKE per il tunnel.
Ad esempio,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ohavpn-v4-tunnel2
. - Indirizzo IP locale / Identificazione locale: specifica un indirizzo IPv4 inutilizzato appropriato per la tua rete on-premise.
- Indirizzo peer / Identificazione peer: specifica l'indirizzo IPv4 esterno per l'interfaccia VPN ad alta disponibilità corrispondente del tunnel.
- Chiave precondivisa: specifica il segreto condiviso configurato per il tunnel.
- Nome: il nome del gateway IKE per il tunnel.
Ad esempio,
Crea quattro tunnel IPsec.
- Seleziona Rete > Tunnel IPsec e crea un nuovo tunnel.
- Inserisci i valori per i seguenti campi:
- Nome: nome univoco del tunnel. Ad esempio,
hapvpn-tunnel-1
. - Interfaccia tunnel: seleziona un'interfaccia tunnel per il tunnel del gateway IKE creato in precedenza. Ad esempio,
tunnel.1
. - Tipo: seleziona Auto Key.
- Tipo di indirizzo: seleziona IPv4.
- IKE Gateway: seleziona uno degli IKE Gateway che hai creato in precedenza.
Ad esempio,
havpn-v6-tunnel
. - Profilo crittografia IPSec: seleziona il profilo creato in precedenza.
Ad esempio,
ha-vpn
.
- Nome: nome univoco del tunnel. Ad esempio,
- Non configurare gli ID proxy.
- Fai clic su OK.
- Ripeti questa procedura per gli altri tre tunnel, ma sostituisci i valori appropriati per i seguenti campi:
- Nome: nome univoco per il tunnel IPsec.
Ad esempio,
havpn-tunnel2
,havpn-tunnel3
ohavpn-tunnel4
. - Interfaccia tunnel: seleziona un'interfaccia tunnel non utilizzata per il tunnel del gateway IKE creato in precedenza. Ad esempio,
tunnel.2
,tunnel.3
otunnel.4
. - IKE Gateway: seleziona uno degli IKE Gateway che hai creato in precedenza.
Ad esempio,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ohavpn-v4-tunnel2
.
- Nome: nome univoco per il tunnel IPsec.
Ad esempio,
(Facoltativo) Configura ECMP.
- Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > ECMP.
- Nella scheda ECMP, seleziona Attiva.
- Fai clic su OK.
Configura BGP.
- Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP.
- Nella scheda Generale, seleziona Attiva.
- Nel campo ID router, inserisci l'indirizzo IPv4 locale rispetto al collegamento assegnato al peer BGP, ovvero il lato PAN-OS della sessione BGP.
- Nel campo Numero AS, inserisci l'ASN per il lato PAN-OS della sessione BGP.
- In Opzioni, assicurati che sia selezionata l'opzione Installa percorso.
- Fai clic su OK.
Crea un gruppo di peer BGP con un peer BGP per ogni tunnel IPv6. Devi creare un gruppo di peer BGP separato per ogni tunnel IPv6 in modo da poter configurare un indirizzo dell'hop successivo IPv6 diverso per ogni tunnel.
- Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Gruppo di peer.
- Nella scheda Gruppo di peer, crea un nuovo gruppo di peer per il primo tunnel IPv6.
- Nel campo Nome, inserisci un nome per il gruppo di pari. Ad esempio,
havpn-bgp-v6-tunnel1
. - Seleziona Attiva.
- Seleziona Percorso AS aggregato confederato.
- Nell'elenco Tipo, seleziona EBGP.
- In Importa hop successivo, seleziona Originale.
- Per Esporta hop successivo, seleziona Risolvi.
- Seleziona Rimuovi dominio privato.
- Nel riquadro Peer, fai clic su Aggiungi per aggiungere un peer al gruppo di peer BGP.
- Nella finestra di dialogo Peer, inserisci i seguenti valori:
- Nome: il nome del peer. Ad esempio,
havpn-v6-tunnel1
. - Seleziona Attiva.
- AS peer: l'ASN assegnato al router Cloud per la sessione BGP.
- Nella scheda Indirizzi, configura le seguenti opzioni:
- Seleziona Attiva estensioni MP-BGP.
- Per Tipo di famiglia di indirizzi, seleziona IPv6.
- In Indirizzo locale, per Interfaccia seleziona il primo tunnel
che hai definito durante la creazione dei tunnel del gateway IKE. Ad esempio,
tunnel.1
. - In IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP.
Ad esempio,
169.254.0.2./30
. - In Indirizzo peer, seleziona IP per Tipo.
- Per Indirizzo, seleziona l'indirizzo IPv4 link-local del router Cloud per questa sessione BGP. Ad esempio,
169.254.0.1
.
- Fai clic su OK.
- Nome: il nome del peer. Ad esempio,
- Al termine dell'aggiunta del peer, fai clic su OK.
- Ripeti questa procedura per l'altro tunnel IPv6, ma sostituisci i valori appropriati per i seguenti campi:
- Nome: nome univoco per il gruppo di peer BGP.
Ad esempio,
havpn-bgp-v6-tunnel2
. - Nella finestra di dialogo Peer, inserisci i valori appropriati per il tunnel nei seguenti campi:
- Nome: il nome del peer. Ad esempio,
havpn-v6-tunnel1
. - In Indirizzo locale, per Interfaccia seleziona il secondo tunnel
che hai definito durante la creazione dei tunnel del gateway IKE. Ad esempio,
tunnel.2
. - In IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP per il
secondo tunnel. Ad esempio,
169.254.1.2./30
. - In Indirizzo peer, in Indirizzo, seleziona l'indirizzo IPv4 locale del router Cloud per questa sessione BGP.
Ad esempio:
169.254.1.1
.
- Nome: il nome del peer. Ad esempio,
- Nome: nome univoco per il gruppo di peer BGP.
Ad esempio,
Crea un gruppo di peer BGP per i tunnel IPv4.
- Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Gruppo di peer.
- Nella scheda Gruppo di peer, crea un nuovo gruppo di peer per il tunnel IPv4.
- Nel campo Nome, inserisci un nome per il gruppo di pari. Ad esempio,
havpn-bgp-v4
. - Seleziona Attiva.
- Seleziona Percorso AS aggregato confederato.
- Nell'elenco Tipo, seleziona EBGP.
- In Importa hop successivo, seleziona Originale.
- Per Esporta hop successivo, seleziona Risolvi.
- Seleziona Rimuovi dominio privato.
- Nel riquadro Peer, fai clic su Aggiungi per aggiungere un peer al gruppo di peer BGP.
- Nella finestra di dialogo Peer, inserisci i seguenti valori:
- Nome: inserisci un nome per il peer. Ad esempio,
havpn-v4-tunnel1
. - Seleziona Attiva.
- AS peer: l'ASN assegnato al router Cloud per la sessione BGP.
- Nella scheda Indirizzi, configura le seguenti opzioni:
- Non selezionare Attiva estensioni MP-BGP.
- In Tipo di famiglia di indirizzi, seleziona
IPv4
. - In Indirizzo locale, per Interfaccia seleziona il terzo tunnel
che hai definito durante la creazione dei tunnel del gateway IKE. Ad esempio,
tunnel.3
. - In IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP.
Ad esempio,
169.254.2.2./30
. - In Indirizzo peer, seleziona
IP
per Tipo. - Per Indirizzo, seleziona l'indirizzo IPv4 link-local del router Cloud per questa sessione BGP. Ad esempio,
169.254.2.1
.
- Fai clic su OK.
- Nome: inserisci un nome per il peer. Ad esempio,
- Nel riquadro Peer, fai clic su Aggiungi per aggiungere il secondo peer al gruppo di peer BGP.
- Nella finestra di dialogo Peer, inserisci i seguenti valori:
- Nome: inserisci un nome per il peer. Ad esempio,
havpn-v4-tunnel2
. - Seleziona Attiva.
- AS peer: l'ASN assegnato al router Cloud per la sessione BGP.
- Nella scheda Indirizzi, configura le seguenti opzioni:
- Non selezionare Attiva estensioni MP-BGP.
- Per Tipo di famiglia di indirizzi, seleziona IPv4.
- In Indirizzo locale, per Interfaccia seleziona il quarto tunnel
che hai definito durante la creazione dei tunnel del gateway IKE. Ad esempio,
tunnel.4
. - In IP, seleziona l'indirizzo IPv4 locale rispetto al collegamento del peer BGP.
Ad esempio,
169.254.3.2./30
. - In Indirizzo peer, seleziona IP per Tipo.
- Per Indirizzo, seleziona l'indirizzo IPv4 link-local del router Cloud per questa sessione BGP. Ad esempio,
169.254.3.1
.
- Nome: inserisci un nome per il peer. Ad esempio,
- Fai clic su OK.
- Dopo aver aggiunto entrambi i peer, fai clic su OK.
Esporta le regole di configurazione BGP nei gruppi di peer BGP per i tunnel IPv6. Questo passaggio ti consente di assegnare indirizzi di hop successivo IPv6 diversi ai tunnel.
- Seleziona Rete > Router virtuali > ROUTER_NAME > Impostazioni router > BGP > Esporta.
- Nella finestra di dialogo Regola di esportazione, inserisci un nome nel campo Regole. Ad esempio:
havpn-tunnel1-v6
. - Seleziona Attiva.
- Nel riquadro Utilizzato da, fai clic su
Aggiungi per aggiungere il gruppo di peer BGP creato per il primo tunnel IPv6.
Ad esempio:
havpn-bgp-v6-tunnel1
. - Nella scheda Corrispondenza, seleziona Unicast nell'elenco Tabella di routing.
- In Prefisso indirizzo, aggiungi il prefisso indirizzo per gli indirizzi IPv6 utilizzati nella tua rete on-premise.
- Nella scheda Azione, configura le seguenti opzioni:
- Nell'elenco Azione, seleziona Consenti.
- In Hop successivo, inserisci l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP quando hai creato il tunnel. Ad esempio,
2600:2D00:0:2::2
.
- Fai clic su OK.
- Ripeti questa procedura per il gruppo di peer BGP utilizzato dal secondo tunnel IPv6, ma sostituisci i valori appropriati per i seguenti campi:
- Nella finestra di dialogo Regola di esportazione, inserisci un nome univoco nel campo Regole. Ad esempio:
havpn-tunnel2-v6
. - Nel riquadro Utilizzato da, fai clic su
Aggiungi per aggiungere il gruppo di peer BGP che hai creato per il secondo tunnel IPv6.
Ad esempio:
havpn-bgp-v6-tunnel1
.
- Nella finestra di dialogo Regola di esportazione, inserisci un nome univoco nel campo Regole. Ad esempio:
- Nella scheda Azione, configura il campo Hop successivo,
inserisci l'indirizzo dell'hop successivo IPv6 assegnato al peer BGP per questo tunnel.
Ad esempio:
2600:2D00:0:3::3
.