Configurer des VPN tiers pour le trafic IPv4 et IPv6

Cette page explique comment configurer des appareils VPN tiers pour accepter le trafic IPv4 et IPv6 (double pile) avec Cloud VPN.

Pour échanger du trafic double dans vos tunnels Cloud VPN, vous devez configurer votre passerelle VPN de pairs avec des adresses de saut suivant IPv6. Dans les tunnels VPN haute disponibilité à double pile, l'échange de route IPv4 et IPv6 se produit sur des sessions BGP avec MP-BGP configurées avec des adresses IPv4 de liaison locale. Le routeur cloud et votre appareil VPN de pairs nécessitent tous deux une configuration de saut suivant IPv6 pour acheminer le trafic IPv6 vers le cloud privé virtuel et les réseaux appairés.

Seules les passerelles VPN haute disponibilité sont compatibles avec les configurations à deux piles. Le VPN classique n'est pas compatible avec le trafic IPv6. En outre, vous devez configurer votre appareil VPN de pairs pour qu'il utilise IKE v2 pour ses tunnels VPN haute disponibilité.

Compatibilité avec des VPN tiers pour le trafic double pile

Le tableau suivant récapitule la prise en charge des appareils VPN tiers pour le trafic double pile via les tunnels IPsec.

Plate-forme du fournisseur	Version testée de la configuration de la pile double	Trafic IPv6 sur le tunnel IPsec IPv4	Famille d'adresses double pile	Configuration interopérable pour le trafic double pile
Cisco IOS/IOS-XE	Non disponible	Non compatible	Non compatible	Utiliser des tunnels GRE et un routeur virtuel pour transmettre le trafic IPsec via GRE.
Check Point	Non disponible	Non compatible	Non compatible	Utiliser des tunnels GRE et un routeur virtuel pour transmettre le trafic IPsec via GRE.
Juniper JunOS	20.2R3-S2.5	Compatible	Compatible	Compatible avec les tunnels VPN haute disponibilité pouvant transporter du trafic IPv4 et IPv6.
PAN-OS pour Palo Alto Networks	9.1	Compatible	Non compatible	Nécessite des tunnels VPN haute disponibilité distincts configurés pour le trafic IPv4 ou IPv6, mais pas les deux.

Juniper JunOS

La procédure suivante explique comment configurer votre appareil VPN Juunper JunOS pour accepter le trafic IPv4 et IPv6 dans vos tunnels VPN haute disponibilité.

Bien que vous configuriez des adresses IPv6 sur les interfaces de tunnel de chaque appareil, les adresses IPv6 ne sont utilisées que pour la configuration du saut suivant IPv6. Les routes IPv6 sont annoncées via IPv6 NLRI sur IPv4 BGP.

Avant de commencer

Dans Google Cloud, configurez une passerelle VPN haute disponibilité double pile et deux tunnels VPN haute disponibilité. Les deux tunnels VPN haute disponibilité acceptent le trafic IPv4 et IPv6.

Enregistrez les deux adresses IPv4 externes attribuées par Google Cloud aux deux interfaces de passerelle VPN haute disponibilité.

Enregistrez les valeurs de configuration suivantes pour chaque tunnel :

• L'adresse IPv4 de liaison locale du pair BGP, qui est votre appareil Juniper JunOS
• Adresse IPv4 de liaison locale du routeur Cloud Router utilisé pour l'appairage BGP
• L'adresse de saut suivant IPv6 attribuée au pair ou peerIpv6NexthopAddress
• Numéro ASN attribué au routeur Cloud Router pour vos sessions BGP
• Le numéro ASN que vous avez attribué au pair BGP, qui est votre appareil Juniper JunOS.
• Clé prépartagée

Pour en savoir plus sur la configuration de votre session BGP, consultez la page Afficher la configuration de la session BGP.

Configurer JunOS

Pour configurer des appareils JunOS, procédez comme suit :

1. Pour chaque interface de tunnel VPN, configurez les adresses de saut suivant IPv6 du pair BGP que vous avez récupérées dans le routeur cloud. Ces interfaces sont les mêmes que celles attribuées aux adresses de liaison locale pour l'appairage IPv4.

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
   set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
   set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
   

   Remplacez les valeurs suivantes :

   • PEER_BGP_IP_1 : adresse IPv4 BGP du pair pour la première interface du tunnel avec son masque de sous-réseau
   • PEER_IPV6_NEXT_HOP_ADDRESS_1 : adresse de saut suivant IPv6 du pair pour la première interface du tunnel avec son masque de sous-réseau
   • PEER_BGP_IP_2 : adresse IPv4 BGP du pair pour la deuxième interface du tunnel avec son masque de sous-réseau
   • PEER_IPV6_NEXT_HOP_ADDRESS_2 : adresse de saut suivant IPv6 du pair pour la deuxième interface de tunnel avec son masque de sous-réseau

   Exemple :

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address 169.254.0.2/30
   set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address 169.254.1.2/30
   set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
   

2. Configurez la proposition IKE, la règle IKE et les objets de passerelle IKE.

   # IKE proposal
   set security ike proposal ike_prop authentication-method pre-shared-keys
   set security ike proposal ike_prop dh-group group2
   set security ike proposal ike_prop authentication-algorithm sha-256
   set security ike proposal ike_prop encryption-algorithm aes-256-cbc
   set security ike proposal ike_prop lifetime-seconds 36000
   
   # IKE policy
   set security ike policy ike_pol mode main
   set security ike policy ike_pol proposals ike_prop
   set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
   
   # IKE gateway objects
   set security ike gateway gw1 ike-policy ike_pol
   set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
   set security ike gateway gw1 local-identity inet 142.215.100.60
   set security ike gateway gw1 external-interface ge-0/0/0
   set security ike gateway gw1 version v2-only
   set security ike gateway gw2 ike-policy ike_pol
   set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
   set security ike gateway gw2 local-identity inet 142.215.100.60
   set security ike gateway gw2 external-interface ge-0/0/0
   set security ike gateway gw2 version v2-only
   

   Remplacez les valeurs suivantes :

   • HA_VPN_INTERFACE_ADDRESS_0 : adresse IPv4 externe de la première interface du tunnel sur la passerelle VPN haute disponibilité
   • HA_VPN_INTERFACE_ADDRESS_1 : adresse IPv4 externe de la deuxième interface de tunnel sur la passerelle VPN haute disponibilité
   • SHARED_SECRET : clé prépartagée que vous avez configurée pour le tunnel VPN haute disponibilité

3. Configurez la proposition IPsec et la règle IPsec. Exemple :

   set security ipsec proposal ipsec_prop protocol esp
   set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
   set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
   set security ipsec proposal ipsec_prop lifetime-seconds 10800
   

4. Configurer les passerelles de VPN IPsec et les lier aux interfaces de tunnel. Exemple :

   set security ipsec vpn vpn1 bind-interface st0.1
   set security ipsec vpn vpn1 ike gateway gw1
   set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn1 establish-tunnels immediately
   set security ipsec vpn vpn2 bind-interface st0.2
   set security ipsec vpn vpn2 ike gateway gw2
   set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn2 establish-tunnels immediately
   

5. Créez les instructions de règle qui remplacent le saut suivant pour les pairs IPv6 par les adresses de saut suivant IPv6.

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

   Remplacez les valeurs suivantes :

   • PEER_IPV6_NEXT_HOP_ADDRESS_1 : adresse de saut suivant IPv6 du pair BGP pour le premier tunnel
   • PEER_IPV6_NEXT_HOP_ADDRESS_2 : adresse de saut suivant IPv6 du pair BGP pour le deuxième tunnel

   Exemple :

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

6. Configurez le protocole BGP pour l'échange de routes IPv6.

   Lorsque vous configurez le protocole BGP, vous devez spécifier des instructions include-mp-next-hop pour envoyer l'attribut de saut suivant au pair.

   Exportez ensuite l'instruction de stratégie que vous avez définie à l'étape précédente pour remplacer le saut suivant par l'adresse IPv6.

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as ROUTER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address ROUTER_IP_2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as ROUTER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
   

   Remplacez les valeurs suivantes :

   • ROUTER_BGP_IP_1 : adresse IPv4 attribuée au routeur Cloud Router pour le premier tunnel.
   • ROUTER_BGP_IP_2 : adresse IPv4 attribuée au routeur Cloud Router pour le second tunnel.
   • ROUTER_ASN : numéro ASN attribué au routeur Cloud Router pour vos sessions BGP.
   • PEER_ASN : numéro ASN que vous avez attribué au pair BGP, qui est votre appareil JunOS Juniper.

   L'exemple suivant montre les instructions include-mp-next-hop et export en texte gras :

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as 16550
   set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
   set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address 169.254.1.2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as 16550
   set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
   set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
   

7. Vérifiez la connectivité BGP.

   show route protocol bgp
   

PAN-OS pour Palo Alto Networks

Cette section explique comment configurer votre appareil PAN-OS pour Palo Alto Networks afin d'accepter le trafic IPv4 et IPv6 dans vos tunnels VPN haute disponibilité.

PAN-OS accepte le transport de trafic IPv6 via IPv4. Toutefois, PAN-OS n'est pas compatible avec les familles d'adresses à deux piles. Par conséquent, vous devez configurer des tunnels VPN distincts qui acheminent le trafic IPv4 ou IPv6.

Pour en savoir plus sur la configuration des appareils PAN-OS à utiliser avec un VPN, consultez la documentation de VPN PAN-OS pour Palo Alto.

Avant de commencer

Dans Google Cloud, configurez deux passerelles VPN haute disponibilité et quatre tunnels VPN haute disponibilité. Deux tunnels sont destinés au trafic IPv6 et deux tunnels sont destinés au trafic IPv4.

1. Créez la passerelle et les tunnels VPN haute disponibilité pour le trafic IPv4. Créez les éléments suivants :

   • Une passerelle VPN haute disponibilité utilisant le type de pile IPv4 uniquement
   • Deux tunnels VPN pouvant acheminer le trafic IPv4

2. Créez la passerelle et les tunnels VPN haute disponibilité pour le trafic IPv6. Créez les éléments suivants :

   • Une passerelle VPN haute disponibilité utilisant le type de pile IPv4 et IPv6 (double pile)
   • Deux tunnels VPN pouvant acheminer le trafic IPv6
   • Activer le protocole IPv6 dans les sessions BGP pour les tunnels IPv6

3. Enregistrez les adresses IPv4 externes attribuées par Google Cloud à chaque interface de passerelle VPN haute disponibilité.

4. Enregistrez les valeurs de configuration suivantes pour chaque tunnel :

   • L'adresse IPv4 de liaison locale du pair BGP, qui correspond au côté PAN-OS de la session BGP.
   • Adresse IPv4 de liaison locale du routeur Cloud Router utilisé pour l'appairage BGP
   • Le numéro ASN que vous avez attribué au pair BGP, qui correspond à votre appareil PAN-OS.
   • Numéro ASN attribué au routeur Cloud Router pour vos sessions BGP
   • Clé prépartagée

5. Pour chaque tunnel IPv6, enregistrez également la valeur peerIpv6NexthopAddress, qui correspond à l'adresse de saut suivant IPv6 attribuée au pair BGP. Il se peut que Google Cloud vous ait attribué automatiquement cette adresse ou que vous ayez spécifié manuellement les adresses lors de la création du tunnel VPN.

Pour en savoir plus sur la configuration de votre session BGP, consultez la page Afficher la configuration de la session BGP.

Configurer PAN-OS

Pour configurer votre appareil Palo Alto Networks, procédez comme suit dans l'interface Web du PAN-OS.

1. Activez le pare-feu IPv6.

   1. Sélectionnez Appareil > Configuration > Paramètres de session.
   2. Sélectionnez Activer le pare-feu IPv6.

2. Créez une interface de rebouclage pour IPv4 et IPv6.

   1. Sélectionnez Réseau > Interfaces > Interface de rebouclage et créez un rebouclage.
   2. Créez une interface de rebouclage. Par exemple, loopback.10.
   3. Dans l'onglet Configuration, définissez Routeur virtuel sur external et Zone de sécurité sur ZONE_EXTERNAL.
   4. Dans l'onglet IPv4, attribuez l'interface de rebouclage avec les plages d'adresses IPv4 appropriées pour votre réseau sur site.
   5. Dans l'onglet IPv6, sélectionnez Activer IPv6 sur l'interface, puis ajoutez une plage d'adresses IPv6 adaptée à votre réseau sur site.
   6. Dans l'onglet Avancé, spécifiez un profil de gestion pour l'interface de rebouclage. Assurez-vous que le profil que vous spécifiez autorise le ping afin de pouvoir vérifier la connectivité.

3. Créez quatre tunnels de passerelle IKE, deux tunnels pour le trafic IPv6 et deux tunnels pour le trafic IPv4. Chaque tunnel se connecte à une interface sur une passerelle VPN haute disponibilité.

   • Créez deux tunnels pour le trafic IPv6.
     1. Sélectionnez Réseau > Interfaces > Tunnel, puis créez un nouveau tunnel.
     2. Spécifiez un nom pour le premier tunnel. Par exemple, tunnel.1.
     3. Dans l'onglet Configuration, définissez Routeur virtuel sur external et Zone de sécurité sur ZONE_EXTERNAL.
     4. Dans l'onglet IPv4, spécifiez l'adresse de liaison locale du pair BGP que vous avez configurée lors de la création des tunnels VPN pour le VPN haute disponibilité. Par exemple, 169.254.0.2/30.
     5. Dans l'onglet IPv6, sélectionnez Activer IPv6 sur l'interface et spécifiez l'adresse IPv6 de saut suivant configurée pour le pair BGP. Exemple : 2600:2D00:0:2::2/125.
     6. Sous l'onglet Avancé, définissez MTU sur 1460.
     7. Répétez cette procédure pour le deuxième tunnel. Par exemple, tunnel.2. Dans les onglets IPv4 et IPv6, spécifiez les valeurs appropriées pour les champs de pair BGP et de saut suivant IPv6. Utilisez les valeurs correspondant au deuxième tunnel du VPN haute disponibilité double pile. Par exemple, 169.254.1.2/30 et 2600:2D00:0:3::3/125.
   • Créez deux tunnels pour le trafic IPv4.
     1. Sélectionnez Réseau > Interfaces > Tunnel, puis créez un nouveau tunnel.
     2. Spécifiez un nom pour le troisième tunnel. Par exemple, tunnel.3.
     3. Dans l'onglet Configuration, définissez Routeur virtuel sur external et Zone de sécurité sur ZONE_EXTERNAL.
     4. Dans l'onglet IPv4, spécifiez l'adresse de liaison locale du pair BGP que vous avez configurée lors de la création des tunnels VPN pour le VPN haute disponibilité. Par exemple, 169.254.2.2/30.
     5. Ignorez la configuration de l'onglet IPv6.
     6. Sous l'onglet Avancé, définissez MTU sur 1460.
     7. Répétez cette procédure pour le quatrième tunnel. Par exemple, tunnel.4. Dans l'onglet IPv4, spécifiez les valeurs appropriées pour le pair BGP qui correspond au deuxième tunnel du VPN haute disponibilité IPv4 uniquement. Exemple : 169.254.3.2/30.

4. Créez un profil de chiffrement IPsec.

   1. Sélectionnez Réseau > Chiffrement IPSec et créez un profil.
   2. Renseignez les champs suivants :
      • Nom : saisissez un nom de profil. Par exemple, ha-vpn.
      • Protocole IPSec : sélectionnez ESP.
      • Chiffrement : ajoutez un algorithme de chiffrement IKE compatible.
      • Authentification : spécifiez une fonction de hachage. Par exemple, sha512.
      • Groupe DH : sélectionnez un groupe DH. Par exemple, group14.
      • Durée de vie : sélectionnez Heures, puis saisissez 3.
   3. Cliquez sur OK.

5. Créez un profil de chiffrement IKE.

   1. Sélectionnez Réseau > IKE Crypto.
   2. Renseignez les champs suivants :
      • Nom : saisissez un nom de profil. Par exemple, ha-vpn.
      • Groupe DH : vérifiez que le groupe DH que vous avez sélectionné pour le profil de chiffrement IPSec apparaît dans la liste.
      • Authentification : spécifiez une fonction de hachage. Par exemple, sha512.
      • Chiffrement : ajoutez un algorithme de chiffrement IKE compatible.
   3. Dans le volet Chronomètres, sélectionnez Horaires pour le champ Durée de vie de la clé et saisissez 10.
   4. Cliquez sur OK.

6. Après avoir créé quatre tunnels IKE, créez quatre passerelles IKE, une pour chaque tunnel.

   1. Sélectionnez Réseau > Passerelles IKE, puis créez une passerelle.
   2. Dans l'onglet Général, saisissez des valeurs pour les champs suivants :
      • Nom : nom de la passerelle IKE pour le premier tunnel. Par exemple, havpn-v6-tunnel1.
      • Version : sélectionnez IKEv2 only mode.
      • Type d'adresse : sélectionnez IPv4.
      • Interface : spécifiez l'interface de rebouclage que vous avez créée au début de cette procédure. Par exemple, loopback.10.
      • Adresse IP locale : spécifiez une plage d'adresses IPv4 adaptée à votre réseau sur site.
      • Type d'adresse IP du pair : sélectionnez IP.
      • Adresse du pair : spécifiez l'adresse IPv4 externe de la première interface VPN haute disponibilité du tunnel.
      • Authentification: sélectionnez Pre-Shared Key.
      • Clé prépartagée, Confirmer la clé prépartagée : saisissez la clé secrète partagée que vous avez configurée dans Google Cloud pour le tunnel.
      • Identification locale : sélectionnez Adresse IP, puis spécifiez une adresse IPv4 appropriée pour votre réseau sur site.
      • Identification du pair : sélectionnez l'adresse IP et l'adresse IPv4 externe de l'interface VPN haute disponibilité du tunnel.
   3. Cliquez sur l'onglet Options avancées.
   4. Pour le profil de chiffrement IKE, sélectionnez le profil que vous avez créé précédemment. Par exemple, ha-vpn.
   5. Activez Vérification de l'activité et saisissez 5 dans le champ Intervalle (en secondes).
   6. Cliquez sur OK.
   7. Répétez cette procédure pour les trois autres tunnels, mais remplacez les valeurs appropriées par les champs suivants :
      • Nom : nom de la passerelle IKE pour le tunnel. Par exemple, havpn-v6-tunnel2, havpn-v4-tunnel1 ou havpn-v4-tunnel2.
      • Adresse IP locale/Identification locale : spécifiez une adresse IPv4 inutilisée adaptée à votre réseau sur site.
      • Adresse du pair/Identification du pair : spécifiez l'adresse IPv4 externe pour l'interface VPN haute disponibilité correspondante du tunnel.
      • Clé prépartagée : spécifiez la clé secrète partagée configurée pour le tunnel.

7. Créez quatre tunnels IPsec.

   1. Sélectionnez Réseau > Tunnels IPSec, puis créez un nouveau tunnel.
   2. Renseignez les champs suivants :
      • Nom : nom unique du tunnel. Par exemple, hapvpn-tunnel-1.
      • Interface de tunnel : sélectionnez une interface de tunnel pour le tunnel de passerelle IKE que vous avez créé précédemment. Par exemple, tunnel.1.
      • Type : sélectionnez Clé automatique.
      • Type d'adresse : sélectionnez IPv4.
      • Passerelle IKE : sélectionnez l'une des passerelles IKE que vous avez créées précédemment. Par exemple, havpn-v6-tunnel.
      • Profil de chiffrement IPSec : sélectionnez le profil que vous avez créé précédemment. Par exemple, ha-vpn.
   3. Ne configurez pas d'ID de proxy.
   4. Cliquez sur OK.
   5. Répétez cette procédure pour les trois autres tunnels, mais remplacez les valeurs appropriées par les champs suivants :
      • Nom : nom unique du tunnel IPsec. Par exemple, havpn-tunnel2, havpn-tunnel3 ou havpn-tunnel4.
      • Interface de tunnel : sélectionnez une interface de tunnel inutilisée pour le tunnel de passerelle IKE que vous avez créé précédemment. Par exemple, tunnel.2, tunnel.3 ou tunnel.4.
      • Passerelle IKE : sélectionnez l'une des passerelles IKE que vous avez créées précédemment. Par exemple, havpn-v6-tunnel2, havpn-v4-tunnel1 ou havpn-v4-tunnel2.

8. (Facultatif) Configurez le routage ECMP.

   1. Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > ECMP.
   2. Dans l'onglet ECMP, sélectionnez Activer.
   3. Cliquez sur OK.

9. Configurez la session BGP.

   1. Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP.
   2. Dans l'onglet Général, sélectionnez Activer.
   3. Dans le champ ID du routeur, saisissez l'adresse IPv4 de liaison locale attribuée au pair BGP, qui correspond au côté PAN-OS de la session BGP.
   4. Dans le champ Numéro ASN, saisissez le numéro ASN pour la partie PAN-OS de la session BGP.
   5. Assurez-vous que l'option Installer le routage est sélectionnée pour Options.
   6. Cliquez sur OK.

10. Créez un groupe de pairs BGP avec un pair BGP pour chaque tunnel IPv6. Vous créez un groupe de pairs BGP distinct pour chaque tunnel IPv6 afin de pouvoir configurer une adresse de saut suivant IPv6 différente par tunnel.

    1. Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Groupe d'appairage.
    2. Dans l'onglet Groupe d'appairage, créez un nouveau groupe d'appairage pour le premier tunnel IPv6.
    3. Dans le champ Nom, saisissez le nom du groupe d'appairage. Exemple : havpn-bgp-v6-tunnel1.
    4. Sélectionnez Activer.
    5. Sélectionnez Agrégée en termes de chemin d'accès AS.
    6. Dans la liste Type, sélectionnez EBGP.
    7. Dans le champ Importer le saut suivant, sélectionnez Initial.
    8. Pour le champ Exporter le saut suivant, sélectionnez Résoudre.
    9. Sélectionnez Supprimer le serveur privé privé.
    10. Dans le volet Pair, cliquez sur Ajouter pour ajouter un pair au groupe de pairs BGP.
    11. Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
        • Nom : nom du pair. Par exemple, havpn-v6-tunnel1.
        • Sélectionnez Activer.
        • ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
        • Dans l'onglet Adressage, configurez les options suivantes :
          • Sélectionnez Activer les extensions MP-BGP.
          • Pour Type de famille d'adresses, sélectionnez IPv6.
          • Dans Adresse locale, pour Interface, sélectionnez le premier tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple : tunnel.1.
          • Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP. Par exemple, 169.254.0.2./30.
          • Dans Adresse du pair, pourType sélectionnez Adresse IP.
          • Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple, 169.254.0.1.
        • Cliquez sur OK.
    12. Après avoir ajouté le pair, cliquez sur OK.
    13. Répétez cette procédure pour l'autre tunnel IPv6, mais remplacez les valeurs appropriées par les champs suivants :
        • Nom : nom unique du groupe de pairs BGP. Par exemple, havpn-bgp-v6-tunnel2.
        • Dans la boîte de dialogue Pair, saisissez les valeurs appropriées pour le tunnel dans les champs suivants :
          • Nom : nom du pair. Par exemple, havpn-v6-tunnel1.
          • Dans Adresse locale, pour Interface, sélectionnez le deuxième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple : tunnel.2.
          • Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP pour le deuxième tunnel. Par exemple, 169.254.1.2./30.
          • Dans le champ Adresse du pair, sous Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple, 169.254.1.1.

11. Créez un groupe de pairs BGP pour les tunnels IPv4.

    1. Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Groupe d'appairage.
    2. Dans l'onglet Groupe d'appairage, créez un nouveau groupe d'appairage pour le tunnel IPv4.
    3. Dans le champ Nom, saisissez le nom du groupe d'appairage. Exemple : havpn-bgp-v4.
    4. Sélectionnez Activer.
    5. Sélectionnez Agrégée en termes de chemin d'accès AS.
    6. Dans la liste Type, sélectionnez EBGP.
    7. Dans le champ Importer le saut suivant, sélectionnez Initial.
    8. Pour le champ Exporter le saut suivant, sélectionnez Résoudre.
    9. Sélectionnez Supprimer le serveur privé privé.
    10. Dans le volet Pair, cliquez sur Ajouter pour ajouter un pair au groupe de pairs BGP.
    11. Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
        • Nom : saisissez un nom pour le pair. Par exemple, havpn-v4-tunnel1.
        • Sélectionnez Activer.
        • ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
        • Dans l'onglet Adressage, configurez les options suivantes :
          • Ne sélectionnez pas Activer les extensions MP-BGP.
          • Pour Type de famille d'adresses, sélectionnez IPv4.
          • Dans Adresse locale, pour Interface, sélectionnez le troisième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple : tunnel.3.
          • Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP. Par exemple, 169.254.2.2./30.
          • Dans le champ Adresse du pair, sélectionnez IP pour Type.
          • Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple, 169.254.2.1.
        • Cliquez sur OK.
    12. Dans le volet Pair, cliquez sur Ajouter pour ajouter le deuxième pair au groupe de pairs BGP.
    13. Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
        • Nom : saisissez un nom pour le pair. Par exemple, havpn-v4-tunnel2.
        • Sélectionnez Activer.
        • ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
        • Dans l'onglet Adressage, configurez les options suivantes :
          • Ne sélectionnez pas Activer les extensions MP-BGP.
          • Pour Type de famille d'adresses, sélectionnez IPv4.
          • Dans Adresse locale, pour Interface, sélectionnez le quatrième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple : tunnel.4.
          • Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP. Par exemple, 169.254.3.2./30.
          • Dans Adresse du pair, pourType sélectionnez Adresse IP.
          • Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple, 169.254.3.1.
    14. Cliquez sur OK.
    15. Après avoir ajouté les deux pairs, cliquez sur OK.

12. Exportez les règles de configuration BGP vers les groupes de pairs BGP pour les tunnels IPv6. Cette étape vous permet d'attribuer différentes adresses IPv6 de saut suivant aux tunnels.

    1. Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Exporter.
    2. Dans la boîte de dialogue Règle d'exportation, saisissez un nom dans le champ Règles. Par exemple, havpn-tunnel1-v6.
    3. Sélectionnez Activer.
    4. Dans le volet Utilisé par, cliquez sur Ajouter pour ajouter le groupe de pairs BGP créé pour le premier tunnel IPv6. Par exemple, havpn-bgp-v6-tunnel1.
    5. Sous l'onglet Correspondance, sélectionnez Unicast dans la liste Table de routage.
    6. Dans Préfixe d'adresse, ajoutez le préfixe des adresses IPv6 utilisées dans votre réseau sur site.
    7. Dans l'onglet Action, configurez les options suivantes :
       • Dans la liste Action, sélectionnez Autoriser.
       • Dans le saut suivant, saisissez l'adresse de saut suivant IPv6 attribuée au pair BGP lors de la création du tunnel. Par exemple, 2600:2D00:0:2::2.
    8. Cliquez sur OK.
    9. Répétez cette procédure pour le groupe de pairs BGP utilisé par le second tunnel IPv6, mais utilisez les valeurs appropriées pour les champs suivants :
       • Dans la boîte de dialogue Règle d'exportation, saisissez un nom unique dans le champ Règles. Par exemple, havpn-tunnel2-v6.
       • Dans le volet Utilisé par, cliquez sur Ajouter pour ajouter le groupe d'appairage BGP que vous avez créé pour le deuxième tunnel IPv6. Par exemple, havpn-bgp-v6-tunnel1.
    10. Dans l'onglet Action, configurez le champ Saut suivant et saisissez l'adresse IPv6 de saut suivant attribuée au pair BGP pour ce tunnel. Par exemple, 2600:2D00:0:3::3.