Configura las VPNs de terceros para el tráfico IPv4 e IPv6

En esta página, se proporcionan instrucciones para configurar dispositivos VPN de terceros que admitan el tráfico de pila doble (IPv4 o IPv6) o solo IPv6 con Cloud VPN.

Para habilitar el tráfico de pila doble en los túneles VPN con alta disponibilidad, debes configurar la puerta de enlace de VPN de intercambio de tráfico con direcciones IPv6 de siguiente salto. En los túneles VPN con alta disponibilidad con tráfico de pila doble habilitado, IPv4 e IPv6 las rutas se intercambian por las sesiones de BGP a través de BGP multiprotocolo (MP-BGP) con direcciones IPv4 de vínculo local. Tanto Cloud Router como la puerta de enlace de VPN de intercambio de tráfico necesitan la configuración del siguiente salto IPv6 para enrutar el tráfico IPv6 desde y hacia la nube privada virtual (VPC) y las redes de intercambio de tráfico.

Solo las puertas de enlace de VPN con alta disponibilidad admiten la pila doble o el tráfico solo de IPv6. La VPN clásica no es compatible con tráfico IPv6. Asegúrate de que la puerta de enlace de VPN de intercambio de tráfico esté configurada para usar IKEv2 para sus túneles VPN con alta disponibilidad.

Compatibilidad con VPN de terceros para el tráfico de pila doble

En la siguiente tabla, se resume la compatibilidad de dispositivos VPN de terceros con el tráfico de pila doble en túneles IPsec.

Plataforma del proveedor Versión probada para la
configuración de pila doble
Tráfico IPv6 a través del túnel IPsec IPv4 Tráfico solo IPv6 Familia de direcciones de pila doble Configuración interoperable para tráfico de pila doble
Cisco iOS No compatible No compatible Admitido No compatible Usa túneles de encapsulamiento de enrutamiento genérico (GRE) y un router virtual para transportar el tráfico IPsec a través de GRE.
Check Point No compatible No compatible No compatible No compatible Usa túneles de encapsulamiento de enrutamiento genérico (GRE) y un router virtual para transportar el tráfico IPsec a través de GRE.
Juniper JunOS 20.2R3-S2.5 Admitido No compatible Admitido Admite túneles VPN con alta disponibilidad que pueden transportar tráfico IPv4 e IPv6.
Palo Alto Networks PAN-OS 9.1 Admitido No compatible No compatible Se requieren túneles VPN con alta disponibilidad independientes configurados para tráfico IPv4 o IPv6, pero no ambos.

Juniper JunOS

En el siguiente procedimiento, se describe cómo configurar tu dispositivo VPN Juniper JunOS para admitir el tráfico IPv4 e IPv6 en tus túneles VPN con alta disponibilidad.

Aunque configures direcciones IPv6 en las interfaces de túnel del dispositivo, las direcciones IPv6 solo se usan para la configuración de siguiente salto IPv6. Las rutas IPv6 se anuncian a través de la información de accesibilidad de la capa de red IPv6 (NLRI) a través del intercambio de tráfico de BGP IPv4.

Antes de comenzar

En Google Cloud, configura una puerta de enlace de VPN con alta disponibilidad de pila doble y dos túneles VPN con alta disponibilidad. Ambos túneles VPN con alta disponibilidad llevan tráfico IPv4 e IPv6.

Registra las dos direcciones IPv4 externas que asigna Google Cloud a las dos interfaces de puerta de enlace de VPN con alta disponibilidad.

Registra los valores de configuración siguientes para cada túnel:

  • La dirección IPv4 de vínculo local del par de BGP, que es tu dispositivo de Juniper JunOS
  • La dirección IPv4 de vínculo local del Cloud Router que se usa para el intercambio de tráfico de BGP
  • La dirección de siguiente salto IPv6 asignada al par o peerIpv6NexthopAddress
  • El ASN que asignaste al Cloud Router para tus sesiones de BGP
  • El ASN que asignaste al par de BGP, que es tu dispositivo de Juniper JunOS
  • La clave precompartida

Para encontrar los detalles de la configuración de tu sesión de BGP, consulta Ve la configuración de la sesión de BGP.

Configura JunOS

Para configurar dispositivos JunOS, sigue estos pasos:

  1. Para cada interfaz de túnel VPN, configura las direcciones de siguiente salto IPv6 de par de BGP que recuperaste del Cloud Router. Estas son las mismas interfaces que tienen asignadas direcciones de vínculo local para el intercambio de tráfico de IPv4.

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
    set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
    set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
    

    Reemplaza los siguientes valores:

    • PEER_BGP_IP_1: la dirección IPv4 de BGP del intercambio de tráfico para la primera interfaz de túnel con su máscara de subred
    • PEER_IPV6_NEXT_HOP_ADDRESS_1: la dirección IPv6 de siguiente salto del par para la primera interfaz de túnel con su máscara de subred
    • PEER_BGP_IP_2: la dirección IPv4 de BGP del intercambio de tráfico para la segunda interfaz del túnel con su máscara de subred
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: la dirección IPv6 de siguiente salto del par para la segunda interfaz del túnel con la máscara de subred

    Por ejemplo:

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address 169.254.0.2/30
    set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address 169.254.1.2/30
    set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
    
  2. Configura la propuesta de IKE, la política de IKE y los objetos de puerta de enlace de IKE.

    # IKE proposal
    set security ike proposal ike_prop authentication-method pre-shared-keys
    set security ike proposal ike_prop dh-group group2
    set security ike proposal ike_prop authentication-algorithm sha-256
    set security ike proposal ike_prop encryption-algorithm aes-256-cbc
    set security ike proposal ike_prop lifetime-seconds 36000
    
    # IKE policy
    set security ike policy ike_pol mode main
    set security ike policy ike_pol proposals ike_prop
    set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
    
    # IKE gateway objects
    set security ike gateway gw1 ike-policy ike_pol
    set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
    set security ike gateway gw1 local-identity inet 142.215.100.60
    set security ike gateway gw1 external-interface ge-0/0/0
    set security ike gateway gw1 version v2-only
    set security ike gateway gw2 ike-policy ike_pol
    set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
    set security ike gateway gw2 local-identity inet 142.215.100.60
    set security ike gateway gw2 external-interface ge-0/0/0
    set security ike gateway gw2 version v2-only
    

    Reemplaza los siguientes valores:

    • HA_VPN_INTERFACE_ADDRESS_0: la dirección IPv4 externa de la primera interfaz de túnel en la puerta de enlace de VPN con alta disponibilidad.
    • HA_VPN_INTERFACE_ADDRESS_1: la dirección IPv4 externa de la segunda interfaz de túnel en la puerta de enlace de VPN con alta disponibilidad.
    • SHARED_SECRET: la clave precompartida que configuraste para el túnel VPN con alta disponibilidad.
  3. Configura la propuesta y la política de IPsec Por ejemplo:

    set security ipsec proposal ipsec_prop protocol esp
    set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
    set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec_prop lifetime-seconds 10800
    
  4. Establece las configuraciones de la puerta de enlace de VPN con IPsec y vincúlalas a las interfaces de túnel Por ejemplo:

    set security ipsec vpn vpn1 bind-interface st0.1
    set security ipsec vpn vpn1 ike gateway gw1
    set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn1 establish-tunnels immediately
    set security ipsec vpn vpn2 bind-interface st0.2
    set security ipsec vpn vpn2 ike gateway gw2
    set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn2 establish-tunnels immediately
    
  5. Crea las instrucciones de la política que cambian el siguiente salto para los pares IPv6 a las direcciones de siguiente salto IPv6.

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

    Reemplaza los siguientes valores:

    • PEER_IPV6_NEXT_HOP_ADDRESS_1: la dirección de siguiente salto IPv6 del par de BGP para el primer túnel
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: la dirección de siguiente salto IPv6 del par de BGP para el segundo túnel

    Por ejemplo:

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

  6. Configura BGP para el intercambio de rutas IPv6

    Cuando configuras BGP, debes especificar declaraciones include-mp-next-hop para enviar el atributo de siguiente salto al par.

    Luego, exporta la declaración de política que definiste en el paso anterior para cambiar el siguiente salto a la dirección IPv6.

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as ROUTER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address ROUTER_IP_2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as ROUTER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
    

    Reemplaza los siguientes valores:

    • ROUTER_BGP_IP_1: la dirección IPv4 asignada al Cloud Router para el primer túnel.
    • ROUTER_BGP_IP_2: la dirección IPv4 asignada al Cloud Router para el segundo túnel
    • ROUTER_ASN: el ASN asignado al Cloud Router para tus sesiones de BGP.
    • PEER_ASN: El ASN que asignaste al par de BGP, que es tu dispositivo de Juiper JunOS.

    En el siguiente ejemplo, se muestran las declaraciones include-mp-next-hop y export en texto en negrita:

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as 16550
    set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
    set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address 169.254.1.2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as 16550
    set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
    set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
    

  7. Verifica la conectividad de BGP

    show route protocol bgp
    

Palo Alto Networks PAN-OS

En esta sección, se describe cómo configurar tu dispositivo Palo Alto Networks PAN-OS para admitir tráfico IPv4 e IPv6 en los túneles VPN con alta disponibilidad.

PAN-OS admite el transporte de tráfico IPv6 a través de IPv4. Sin embargo, PAN-OS no admite familias de direcciones de pila doble. Como resultado, debes configurar túneles VPN independientes que lleven tráfico IPv4 o IPv6.

Si deseas obtener más información sobre la configuración de dispositivos PAN-OS para usar con VPN, consulta la documentación de VPN de Palo Alto PAN.

Antes de empezar

En Google Cloud, configura dos puertas de enlace de VPN con alta disponibilidad y cuatro túneles VPN con alta disponibilidad. Dos túneles son para el tráfico IPv6 y dos túneles para el tráfico IPv4.

  1. Crea la puerta de enlace y los túneles de VPN con alta disponibilidad para el tráfico IPv4. Crea lo siguiente:

    • Una puerta de enlace de VPN con alta disponibilidad que usa el tipo de pila solo IPv4
    • Dos túneles VPN que pueden transportar tráfico IPv4
  2. Crea la puerta de enlace y los túneles de VPN con alta disponibilidad para el tráfico IPv6. Crea lo siguiente:

    • Una puerta de enlace de VPN con alta disponibilidad que usa la pila doble como el tipo de pila
    • Dos túneles VPN que pueden transportar tráfico IPv6
    • Habilita IPv6 en las sesiones de BGP para los túneles IPv6
  3. Registra las direcciones IPv4 externas que asigna Google Cloud a cada interfaz de puerta de enlace de VPN con alta disponibilidad.

  4. Registra los valores de configuración siguientes para cada túnel:

    • La dirección IPv4 de vínculo local del par de BGP, que es el lado de PAN-OS de la sesión de BGP
    • La dirección IPv4 de vínculo local del Cloud Router que se usa para el intercambio de tráfico de BGP
    • El ASN que asignaste al par de BGP, que es tu dispositivo PAN-OS
    • El ASN que asignaste al Cloud Router para tus sesiones de BGP
    • La clave precompartida
  5. Para cada túnel IPv6, también registra el peerIpv6NexthopAddress, que es la dirección de siguiente salto IPv6 asignada al par de BGP. Es posible que Google Cloud te haya asignado esta dirección de forma automática o que hayas especificado las direcciones de forma manual cuando creaste el túnel VPN.

Para encontrar los detalles de la configuración de tu sesión de BGP, consulta Ve la configuración de la sesión de BGP.

Configura PAN-OS

Para configurar tu dispositivo Palo Alto Networks, haz los siguientes pasos en la interfaz web de PAN-OS.

  1. Habilita el firewall IPv6.

  2. Elige Device > Setup > Session Settings.

    1. Elige Habilitar firewall IPv6.
  3. Crea una interfaz de bucle invertido para IPv4 y, también, IPv6.

    1. Selecciona Red > Interfaces > Interfaz de bucle invertido y crea un nuevo bucle invertido.
    2. Crea una interfaz de bucle invertido. Por ejemplo, loopback.10.
    3. En la pestaña Configuración, configura Router virtual como external y Zona de seguridad como ZONE_EXTERNAL.
    4. En la pestaña IPv4, asigna la interfaz de bucle invertido con rangos de direcciones IPv4 que sean adecuados para tu red local.
    5. En la pestaña IPv6, elige Habilitar IPv6 en la interfaz y agrega un rango de direcciones IPv6 adecuado para tu red local.
    6. En la pestaña Avanzado, especifica un Perfil de administración para la interfaz de bucle invertido. Asegúrate de que el perfil que especifiques permita el ping para que puedas verificar la conectividad.
  4. Crea cuatro túneles de puerta de enlace de IKE, dos túneles para el tráfico IPv6 y dos túneles para el tráfico IPv4. Cada túnel se conecta a una interfaz en una puerta de enlace de VPN con alta disponibilidad.

    • Crea dos túneles para el tráfico IPv6.
      1. Elige Red > Interfaces > Túnel y crea un túnel nuevo.
      2. Especifica un nombre para el primer túnel. Por ejemplo, tunnel.1.
      3. En la pestaña Configuración, configura Router virtual como external y Zona de seguridad como ZONE_EXTERNAL.
      4. En la pestaña IPv4, especifica la dirección de vínculo local del par de BGP que configuraste cuando creaste los túneles VPN para la VPN con alta disponibilidad. Por ejemplo, 169.254.0.2/30.
      5. En la pestaña IPv6, elige Habilitar IPv6 en la interfaz y especifica la dirección de siguiente salto IPv6 configurada para el par de BGP. Por ejemplo, 2600:2D00:0:2::2/125.
      6. En la pestaña Advanced, configura MTU como 1460.
      7. Repite este procedimiento para el segundo túnel. Por ejemplo, tunnel.2. En las pestañas IPv4 e IPv6, especifica los valores adecuados para los campos de par de BGP e IPv6 de siguiente salto. Usa los valores que coincidan con el segundo túnel de la VPN con alta disponibilidad de pila doble. Por ejemplo, usa las etiquetas 169.254.1.2/30 y 2600:2D00:0:3::3/125.
    • Crea dos túneles para el tráfico IPv4.
      1. Elige Red > Interfaces > Túnel y crea un túnel nuevo.
      2. Especifica un nombre para el tercer túnel. Por ejemplo, tunnel.3.
      3. En la pestaña Configuración, configura Router virtual como external y Zona de seguridad como ZONE_EXTERNAL.
      4. En la pestaña IPv4, especifica la dirección de vínculo local del par de BGP que configuraste cuando creaste los túneles VPN para la VPN con alta disponibilidad. Por ejemplo, 169.254.2.2/30.
      5. Salta la configuración de la pestaña IPv6.
      6. En la pestaña Advanced, configura MTU como 1460.
      7. Repite este procedimiento para el cuarto túnel. Por ejemplo, tunnel.4. En la pestaña IPv4, especifica los valores adecuados para el par de BGP que coinciden con el segundo túnel de la VPN con alta disponibilidad solo IPv4. Por ejemplo, 169.254.3.2/30.
  5. Crea un perfil criptográfico de IPsec.

    1. Elige Red > IPSec Crypto y crea un nuevo perfil.
    2. Escribe los valores para los siguientes campos:
      • Nombre: Escribe un nombre de perfil. Por ejemplo, ha-vpn.
      • Protocolo IPSec: Elige ESP.
      • Encriptación: Agrega un algoritmo de IKE admitido.
      • Autenticación: Especifica una función de hash. Por ejemplo, sha512.
      • Grupo DH: Selecciona un grupo DH. Por ejemplo, group14.
      • Ciclo de vida: Elige Horas y luego escribe 3.
    3. Haz clic en Aceptar.
  6. Crea un perfil criptográfico de IKE.

    1. Selecciona Red > IKE Crypto.
    2. Escribe los valores para los siguientes campos:
      • Nombre: Escribe un nombre de perfil. Por ejemplo, ha-vpn
      • Grupo DH: Verifica que el grupo DH que elegiste para el perfil de criptografía de IPSec aparezca en la lista.
      • Autenticación: Especifica una función de hash. Por ejemplo, sha512.
      • Encriptación: Agrega un algoritmo de IKE admitido.
    3. En el panel Temporizadores, elige Horas en Curación máxima clave y, luego, escribe 10.
    4. Haz clic en Aceptar.
  7. Después de crear cuatro túneles de IKE, crea cuatro puertas de enlace de IKE, una para cada túnel.

    1. Elige Red > IKE Gateways y crea una puerta de enlace nueva.
    2. En la pestaña Configuración, escribe los valores para los siguientes campos:
      • Nombre: Nombre de la puerta de enlace IKE para el primer túnel. Por ejemplo, havpn-v6-tunnel1.
      • Versión: Selecciona IKEv2 only mode.
      • Tipo de dirección: Elige IPv4.
      • Interfaz: Especifica la interfaz de bucle invertido que creaste al empezar este procedimiento. Por ejemplo, loopback.10
      • Dirección IP local: Especifica un rango de direcciones IPv4 adecuado para tu red local.
      • Tipo de dirección IP de par: elige IP.
      • Dirección de intercambio de tráfico: Especifica la dirección IPv4 externa de la primera interfaz de VPN con alta disponibilidad del túnel.
      • Autenticación: Elige Pre-Shared Key.
      • Clave compartida con anterioridad, Confirmar clave precompartida: Escribe el secreto compartido que configuraste en Google Cloud para el túnel.
      • Identificación local: Selecciona dirección IP y especifica una dirección IPv4 adecuada para tu red local.
      • Identificación de intercambio de tráfico: Selecciona la dirección IP y la dirección IPv4 externa de la interfaz de VPN con alta disponibilidad del túnel.
    3. Elige la pestaña Opciones avanzadas.
    4. En el Perfil criptográfico de IKE, elige el perfil que creaste antes. Por ejemplo, ha-vpn.
    5. Habilita Verificaciones en funcionamiento y luego escribe 5 para el Intervalo (s).
    6. Haz clic en Aceptar.
    7. Repite este procedimiento para los otros tres túneles, pero sustituye los valores adecuados por los siguientes campos:
      • Nombre: Nombre de la puerta de enlace IKE para el túnel. Por ejemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.
      • Dirección IP local/Identificación local: especifica una dirección IPv4 sin usar adecuada para tu red local.
      • Dirección de intercambio de tráfico/Identificación de par: Especifica la dirección IPv4 externa para la interfaz de VPN con alta disponibilidad coincidente del túnel.
      • Clave compartida con anterioridad: Especifica el secreto compartido configurado para el túnel.
  8. Crea cuatro túneles IPsec.

    1. Elige Red > Túneles IPSec y crea un túnel nuevo.
    2. Escribe los valores para los siguientes campos:
      • Nombre: Nombre único para el túnel. Por ejemplo, hapvpn-tunnel-1.
      • Interfaz de túnel: Selecciona una interfaz de túnel para el túnel de puerta de enlace de IKE que creaste antes. Por ejemplo, tunnel.1.
      • Tipo: Selecciona Clave automática.
      • Tipo de dirección: Elige IPv4.
      • Puerta de enlace de IKE: Elige una de las puertas de enlace de IKE que creaste antes. Por ejemplo, havpn-v6-tunnel.
      • Perfil criptográfico de IPSec: Elige el perfil que creaste antes. Por ejemplo, ha-vpn
    3. No configures los IDs de proxy.
    4. Haz clic en Aceptar.
    5. Repite este procedimiento para los otros tres túneles, pero sustituye los valores adecuados por los siguientes campos:
      • Nombre: Nombre único para el túnel IPsec. Por ejemplo, havpn-tunnel2, havpn-tunnel3 o havpn-tunnel4.
      • Interfaz de túnel: Selecciona una interfaz de túnel sin usar para el túnel de puerta de enlace de IKE que creaste antes. Por ejemplo, tunnel.2, tunnel.3 o tunnel.4.
      • Puerta de enlace de IKE: Elige una de las puertas de enlace de IKE que creaste antes. Por ejemplo, havpn-v6-tunnel2, havpn-v4-tunnel1 o havpn-v4-tunnel2.
  9. Opcional: Configura ECMP.

    1. Elige Red > Virtual Routers > ROUTER_NAME> Configuración del router > ECMP.
    2. En la pestaña ECMP, elige Habilitar.
    3. Haz clic en Aceptar.
  10. Configura BGP.

    1. Elige Red > Virtual Routers > ROUTER_NAME > Configuración del router > BGP.
    2. En la pestaña General, elige Enable.
    3. En el campo ID de router, escribe la dirección IPv4 de vínculo local asignada al par de BGP, que es el lado de PAN-OS de la sesión de BGP.
    4. En el campo Número de AS, escribe el ASN para el PAN-OS de la sesión de BGP.
    5. En Opciones, asegúrate de que la opción Instalar ruta esté elegida.
    6. Haz clic en Aceptar.
  11. Crea un grupo de pares de BGP con un par de BGP para cada túnel IPv6. Debes crear un grupo de pares de BGP independiente para cada túnel IPv6 para que puedas configurar una dirección IPv6 de siguiente salto diferente por túnel.

    1. Elige Red > Virtual Routers > ROUTER_NAME> Configuración del router > BGP > Grupo de apps similares.
    2. En la pestaña Grupo de intercambio de tráfico, crea un grupo de intercambio de tráfico nuevo para el primer túnel IPv6.
    3. En el campo Nombre, escribe un nombre para el grupo de coherencia. Por ejemplo, havpn-bgp-v6-tunnel1.
    4. Selecciona Habilitar.
    5. Selecciona Aggregated Confed AS Path.
    6. En la lista Tipo, elige EBGP.
    7. En Importa siguiente salto, elige original.
    8. En Exportar siguiente salto, elige Resolver.
    9. Selecciona Borrar AS privado.
    10. En el panel Par de, haz clic en Agregar para agregar un par al grupo de par de BGP.
    11. En el diálogo Par, escribe los siguientes valores:
      • Nombre: Nombre para el par. Por ejemplo, havpn-v6-tunnel1.
      • Selecciona Habilitar.
      • AS de par: El ASN asignado al Cloud Router para la sesión de BGP.
      • En la pestaña Asignación de direcciones, configura las siguientes opciones:
        • Elige Habilitar extensiones de MP-BGP.
        • En Tipo de familia de direcciones, eligeIPv6.
        • En Dirección local, en Interfaz, elige el primer túnel que definiste cuando creaste los túneles de la puerta de enlace de IKE. Por ejemplo, tunnel.1.
        • En IP, elige la dirección IPv4 de vínculo local del par de BGP. Por ejemplo, 169.254.0.2./30.
        • En Dirección de par, en Tipo, elige IP.
        • En Dirección, elige la dirección IPv4 de vínculo local del Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.0.1.
      • Haz clic en Aceptar.
    12. Después de agregar el par de intercambio de tráfico, haz clic en Aceptar.
    13. Repite este procedimiento para el otro túnel IPv6, pero sustituye los valores adecuados en los siguientes campos:
      • Nombre: nombre único para el grupo de pares de BGP. Por ejemplo, havpn-bgp-v6-tunnel2
      • En el cuadro de diálogo Par, escribe los valores apropiados para el túnel en los siguientes campos:
        • Nombre: Nombre para el par. Por ejemplo, havpn-v6-tunnel1.
        • En Dirección local, en Interfaz, elige el segundo túnel que definiste cuando creaste los túneles de la puerta de enlace de IKE. Por ejemplo, tunnel.2.
        • En IP, elige la dirección IPv4 de vínculo local del par de BGP para el segundo túnel. Por ejemplo, 169.254.1.2./30
        • En Dirección de par, en Dirección, elige la dirección IPv4 de vínculo local del Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.1.1.
  12. Crea un grupo de pares de BGP para los túneles IPv4.

    1. Elige Red > Virtual Routers > ROUTER_NAME> Configuración del router > BGP > Grupo de apps similares.
    2. En la pestaña Grupo de intercambio de tráfico, crea un grupo de intercambio de tráfico nuevo para el túnel IPv4.
    3. En el campo Nombre, escribe un nombre para el grupo de coherencia. Por ejemplo, havpn-bgp-v4.
    4. Selecciona Habilitar.
    5. Selecciona Aggregated Confed AS Path.
    6. En la lista Tipo, elige EBGP.
    7. En Importa siguiente salto, elige original.
    8. En Exportar siguiente salto, elige Resolver.
    9. Selecciona Borrar AS privado.
    10. En el panel Par de, haz clic en Agregar para agregar un par al grupo de par de BGP.
    11. En el diálogo Par, escribe los siguientes valores:
      • Nombre: Ingresa un nombre para el par. Por ejemplo, havpn-v4-tunnel1.
      • Selecciona Habilitar.
      • AS de par: El ASN asignado al Cloud Router para la sesión de BGP.
      • En la pestaña Asignación de direcciones, configura las siguientes opciones:
        • No selecciones Habilitar extensiones de MP-BGP.
        • En Tipo de familia de direcciones, elige IPv4.
        • En Dirección local, en Interfaz, elige el tercer túnel que definiste cuando creaste los túneles de la puerta de enlace de IKE. Por ejemplo, tunnel.3.
        • En IP, elige la dirección IPv4 de vínculo local del par de BGP. Por ejemplo, 169.254.2.2./30.
        • En Dirección de par, elige IP para Tipo.
        • En Dirección, elige la dirección IPv4 de vínculo local del Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.2.1.
      • Haz clic en Aceptar.
    12. En el panel Par de, haz clic en Agregar para agregar el segundo par al grupo de par de BGP.
    13. En el diálogo Par, escribe los siguientes valores:
      • Nombre: Ingresa un nombre para el par. Por ejemplo, havpn-v4-tunnel2.
      • Selecciona Habilitar.
      • AS de par: El ASN asignado al Cloud Router para la sesión de BGP.
      • En la pestaña Asignación de direcciones, configura las siguientes opciones:
        • No selecciones Habilitar extensiones de MP-BGP.
        • En Tipo de familia de direcciones, elige IPv4.
        • En Dirección local, en Interfaz, elige el cuarto túnel que definiste cuando creaste los túneles de la puerta de enlace de IKE. Por ejemplo, tunnel.4.
        • En IP, elige la dirección IPv4 de vínculo local del par de BGP. Por ejemplo, 169.254.3.2./30.
        • En Dirección de par, en Tipo, elige IP.
        • En Dirección, elige la dirección IPv4 de vínculo local del Cloud Router para esta sesión de BGP. Por ejemplo, 169.254.3.1.
    14. Haz clic en Aceptar.
    15. Cuando termines de agregar ambos pares, haz clic en Aceptar.
  13. Exporta las reglas de configuración de BGP a los grupos de pares de BGP para los túneles IPv6. Con este paso, puedes asignar diferentes direcciones de siguiente salto IPv6 a los túneles.

    1. Elige Red > Virtual Routers > ROUTER_NAME> Router Settings > BGP > Exportar.
    2. En el cuadro de diálogo Exportar regla, escribe un nombre en el campo Reglas. Por ejemplo, havpn-tunnel1-v6.
    3. Selecciona Habilitar.
    4. En el panel Usado por, haz clic en Agregar para agregar el grupo de pares de BGP que creaste para el primer túnel IPv6. Por ejemplo, havpn-bgp-v6-tunnel1.
    5. En la pestaña Coincidencia, elige Unicat en la lista Tabla de ruta.
    6. En Address Prefix, agrega el prefijo de la dirección para las direcciones IPv6 que se usaron en la red local.
    7. En la pestaña Asignación de direcciones, configura las siguientes opciones:
      • En la lista Acción, elige Permitir.
      • En Siguiente salto, escribe la dirección de siguiente salto IPv6 asignada al par de BGP cuando creaste el túnel. Por ejemplo, 2600:2D00:0:2::2.
    8. Haz clic en Aceptar.
    9. Repite este procedimiento para el grupo de pares de BGP que usa el segundo túnel IPv6, pero sustituye los valores adecuados por los siguientes campos:
      • En el cuadro de diálogo Exportar regla, escribe un nombre único en el campo Reglas. Por ejemplo, havpn-tunnel2-v6.
      • En el panel Usado por, haz clic en Agregar para agregar el grupo de pares de BGP que creaste para el segundo túnel IPv6. Por ejemplo, havpn-bgp-v6-tunnel1.
    10. En la pestaña Acción, configura el campo Siguiente salto, escribe la dirección de siguiente salto IPv6 asignada al par de BGP para este túnel. Por ejemplo, 2600:2D00:0:3::3.