Cette page explique comment configurer des appareils VPN tiers pour accepter le trafic à double pile (IPv4 et IPv6) ou IPv6 uniquement avec Cloud VPN.
To enable dual-stack traffic in your HA VPN tunnels, you must configure your peer VPN gateway with IPv6 next-hop addresses. In HA VPN tunnels with dual-stack traffic enabled, IPv4 and IPv6 routes are exchanged over BGP sessions by using multiprotocol BGP (MP-BGP) with link-local IPv4 addresses. Both the Cloud Router and your peer VPN gateway need IPv6 next hop configuration to route IPv6 traffic to and from the Virtual Private Cloud (VPC) and your peer networks.
Seules les passerelles VPN haute disponibilité sont compatibles avec le trafic à double pile ou IPv6 uniquement. Le VPN classique n'est pas compatible avec le trafic IPv6. Assurez-vous que votre passerelle VPN de pairs est configurée pour utiliser IKEv2 pour ses tunnels VPN haute disponibilité.
Compatibilité avec des VPN tiers pour le trafic double pile
Le tableau suivant récapitule la prise en charge des appareils VPN tiers pour le trafic double pile via les tunnels IPsec.
Plate-forme du fournisseur | Version testée de la configuration de la pile double |
Trafic IPv6 sur le tunnel IPsec IPv4 | IPv6 only traffic | Famille d'adresses double pile | Configuration interopérable pour le trafic double pile |
---|---|---|---|---|---|
Cisco IOS | Non compatible | Non compatible | Compatible | Non compatible | Use Generic Routing Encapsulation (GRE) tunnels and a virtual router to carry IPsec traffic over GRE. |
Check Point | Non compatible | Non compatible | Non compatible | Non compatible | Utiliser des tunnels GRE (Generic Routing Encapsulation) et un routeur virtuel pour transmettre le trafic IPsec via GRE |
Juniper JunOS | 20.2R3-S2.5 | Compatible | Non compatible | Compatible | Compatible avec les tunnels VPN haute disponibilité pouvant transporter du trafic IPv4 et IPv6. |
PAN-OS pour Palo Alto Networks | 9.1 | Compatible | Non compatible | Non compatible | Nécessite des tunnels VPN haute disponibilité distincts configurés pour le trafic IPv4 ou IPv6, mais pas les deux. |
Juniper JunOS
La procédure suivante explique comment configurer votre appareil VPN Juunper JunOS pour accepter le trafic IPv4 et IPv6 dans vos tunnels VPN haute disponibilité.
Bien que vous configuriez des adresses IPv6 sur les interfaces de tunnel de chaque appareil, les adresses IPv6 ne sont utilisées que pour la configuration du saut suivant IPv6. Les routes IPv6 sont annoncées via des informations de connectivité de la couche réseau IPv6 (NLRI) sur le peering BGP IPv4.
Avant de commencer
Dans Google Cloud, configurez une passerelle VPN haute disponibilité double pile et deux tunnels VPN haute disponibilité. Les deux tunnels VPN haute disponibilité acceptent le trafic IPv4 et IPv6.
Enregistrez les deux adresses IPv4 externes attribuées par Google Cloud aux deux interfaces de passerelle VPN haute disponibilité.
Enregistrez les valeurs de configuration suivantes pour chaque tunnel :
- L'adresse IPv4 de liaison locale du pair BGP, qui est votre appareil Juniper JunOS
- Adresse IPv4 de liaison locale du routeur Cloud Router utilisé pour l'appairage BGP
- L'adresse de saut suivant IPv6 attribuée au pair ou
peerIpv6NexthopAddress
- Numéro ASN attribué au routeur Cloud Router pour vos sessions BGP
- Le numéro ASN que vous avez attribué au pair BGP, qui est votre appareil Juniper JunOS.
- Clé prépartagée
Pour en savoir plus sur la configuration de votre session BGP, consultez la page Afficher la configuration de la session BGP.
Configurer JunOS
Pour configurer des appareils JunOS, procédez comme suit :
Pour chaque interface de tunnel VPN, configurez les adresses de saut suivant IPv6 du pair BGP que vous avez récupérées dans le routeur cloud. Ces interfaces sont les mêmes que celles attribuées aux adresses de liaison locale pour l'appairage IPv4.
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
Remplacez les valeurs suivantes :
PEER_BGP_IP_1
: adresse IPv4 BGP du pair pour la première interface du tunnel avec son masque de sous-réseauPEER_IPV6_NEXT_HOP_ADDRESS_1
: adresse de saut suivant IPv6 du pair pour la première interface du tunnel avec son masque de sous-réseauPEER_BGP_IP_2
: adresse IPv4 BGP du pair pour la deuxième interface du tunnel avec son masque de sous-réseauPEER_IPV6_NEXT_HOP_ADDRESS_2
: adresse de saut suivant IPv6 du pair pour la deuxième interface de tunnel avec son masque de sous-réseau
Exemple :
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
Configurez la proposition IKE, la règle IKE et les objets de passerelle IKE.
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
Remplacez les valeurs suivantes :
HA_VPN_INTERFACE_ADDRESS_0
: adresse IPv4 externe de la première interface du tunnel sur la passerelle VPN haute disponibilitéHA_VPN_INTERFACE_ADDRESS_1
: adresse IPv4 externe de la deuxième interface de tunnel sur la passerelle VPN haute disponibilitéSHARED_SECRET
: clé prépartagée que vous avez configurée pour le tunnel VPN haute disponibilité
Configurez la proposition IPsec et la règle IPsec. Exemple :
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
Configurer les passerelles de VPN IPsec et les lier aux interfaces de tunnel. Exemple :
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
Créez les instructions de règle qui remplacent le saut suivant pour les pairs IPv6 par les adresses de saut suivant IPv6.
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Remplacez les valeurs suivantes :
PEER_IPV6_NEXT_HOP_ADDRESS_1
: adresse de saut suivant IPv6 du pair BGP pour le premier tunnelPEER_IPV6_NEXT_HOP_ADDRESS_2
: adresse de saut suivant IPv6 du pair BGP pour le deuxième tunnel
Exemple :
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
Configurez le protocole BGP pour l'échange de routes IPv6.
Lorsque vous configurez le protocole BGP, vous devez spécifier des instructions
include-mp-next-hop
pour envoyer l'attribut de saut suivant au pair.Exportez ensuite l'instruction de stratégie que vous avez définie à l'étape précédente pour remplacer le saut suivant par l'adresse IPv6.
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
Remplacez les valeurs suivantes :
ROUTER_BGP_IP_1
: adresse IPv4 attribuée au routeur Cloud Router pour le premier tunnel.ROUTER_BGP_IP_2
: adresse IPv4 attribuée au routeur Cloud Router pour le second tunnel.ROUTER_ASN
: numéro ASN attribué au routeur Cloud Router pour vos sessions BGP.PEER_ASN
: numéro ASN que vous avez attribué au pair BGP, qui est votre appareil JunOS Juniper.
L'exemple suivant montre les instructions
include-mp-next-hop
etexport
en texte gras :set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
Vérifiez la connectivité BGP.
show route protocol bgp
PAN-OS pour Palo Alto Networks
Cette section explique comment configurer votre appareil PAN-OS pour Palo Alto Networks afin d'accepter le trafic IPv4 et IPv6 dans vos tunnels VPN haute disponibilité.
PAN-OS accepte le transport de trafic IPv6 via IPv4. Toutefois, PAN-OS n'est pas compatible avec les familles d'adresses à deux piles. Par conséquent, vous devez configurer des tunnels VPN distincts qui acheminent le trafic IPv4 ou IPv6.
Pour en savoir plus sur la configuration des appareils PAN-OS à utiliser avec un VPN, consultez la documentation de VPN PAN-OS pour Palo Alto.
Avant de commencer
Dans Google Cloud, configurez deux passerelles VPN haute disponibilité et quatre tunnels VPN haute disponibilité. Deux tunnels sont destinés au trafic IPv6 et deux tunnels sont destinés au trafic IPv4.
Créez la passerelle et les tunnels VPN haute disponibilité pour le trafic IPv4. Créez les éléments suivants :
- Une passerelle VPN haute disponibilité utilisant le type de pile IPv4 uniquement
- Deux tunnels VPN pouvant acheminer le trafic IPv4
Créez la passerelle et les tunnels VPN haute disponibilité pour le trafic IPv6. Créez les éléments suivants :
- One HA VPN gateway that uses the dual-stack stack type
- Deux tunnels VPN pouvant acheminer le trafic IPv6
- Activer le protocole IPv6 dans les sessions BGP pour les tunnels IPv6
Enregistrez les adresses IPv4 externes attribuées par Google Cloud à chaque interface de passerelle VPN haute disponibilité.
Enregistrez les valeurs de configuration suivantes pour chaque tunnel :
- L'adresse IPv4 de liaison locale du pair BGP, qui correspond au côté PAN-OS de la session BGP.
- Adresse IPv4 de liaison locale du routeur Cloud Router utilisé pour l'appairage BGP
- Le numéro ASN que vous avez attribué au pair BGP, qui correspond à votre appareil PAN-OS.
- Numéro ASN attribué au routeur Cloud Router pour vos sessions BGP
- Clé prépartagée
Pour chaque tunnel IPv6, enregistrez également la valeur
peerIpv6NexthopAddress
, qui correspond à l'adresse de saut suivant IPv6 attribuée au pair BGP. Il se peut que Google Cloud vous ait attribué automatiquement cette adresse ou que vous ayez spécifié manuellement les adresses lors de la création du tunnel VPN.
Pour en savoir plus sur la configuration de votre session BGP, consultez la page Afficher la configuration de la session BGP.
Configurer PAN-OS
Pour configurer votre appareil Palo Alto Networks, procédez comme suit dans l'interface Web du PAN-OS.
Activez le pare-feu IPv6.
Sélectionnez Appareil > Configuration > Paramètres de session.
- Sélectionnez Activer le pare-feu IPv6.
Créez une interface de rebouclage pour IPv4 et IPv6.
- Sélectionnez Réseau > Interfaces > Interface de rebouclage et créez un rebouclage.
- Créez une interface de rebouclage. Par exemple,
loopback.10
. - Dans l'onglet Configuration, définissez Routeur virtuel sur
external
et Zone de sécurité surZONE_EXTERNAL
. - Dans l'onglet IPv4, attribuez l'interface de rebouclage avec les plages d'adresses IPv4 appropriées pour votre réseau sur site.
- Dans l'onglet IPv6, sélectionnez Activer IPv6 sur l'interface, puis ajoutez une plage d'adresses IPv6 adaptée à votre réseau sur site.
- Dans l'onglet Avancé, spécifiez un profil de gestion pour l'interface de rebouclage. Assurez-vous que le profil que vous spécifiez autorise le ping afin de pouvoir vérifier la connectivité.
Créez quatre tunnels de passerelle IKE, deux tunnels pour le trafic IPv6 et deux tunnels pour le trafic IPv4. Chaque tunnel se connecte à une interface sur une passerelle VPN haute disponibilité.
- Créez deux tunnels pour le trafic IPv6.
- Sélectionnez Réseau > Interfaces > Tunnel, puis créez un nouveau tunnel.
- Spécifiez un nom pour le premier tunnel. Par exemple,
tunnel.1
. - Dans l'onglet Configuration, définissez Routeur virtuel sur
external
et Zone de sécurité surZONE_EXTERNAL
. - Dans l'onglet IPv4, spécifiez l'adresse de liaison locale du pair BGP que vous avez configurée lors de la création des tunnels VPN pour le VPN haute disponibilité.
Par exemple,
169.254.0.2/30
. - Dans l'onglet IPv6, sélectionnez Activer IPv6 sur l'interface et spécifiez l'adresse IPv6 de saut suivant configurée pour le pair BGP. Exemple :
2600:2D00:0:2::2/125
. - Sous l'onglet Avancé, définissez MTU sur
1460
. - Répétez cette procédure pour le deuxième tunnel. Par exemple,
tunnel.2
. Dans les onglets IPv4 et IPv6, spécifiez les valeurs appropriées pour les champs de pair BGP et de saut suivant IPv6. Utilisez les valeurs correspondant au deuxième tunnel du VPN haute disponibilité double pile. Par exemple,169.254.1.2/30
et2600:2D00:0:3::3/125
.
- Créez deux tunnels pour le trafic IPv4.
- Sélectionnez Réseau > Interfaces > Tunnel, puis créez un nouveau tunnel.
- Spécifiez un nom pour le troisième tunnel. Par exemple,
tunnel.3
. - Dans l'onglet Configuration, définissez Routeur virtuel sur
external
et Zone de sécurité surZONE_EXTERNAL
. - Dans l'onglet IPv4, spécifiez l'adresse de liaison locale du pair BGP que vous avez configurée lors de la création des tunnels VPN pour le VPN haute disponibilité.
Par exemple,
169.254.2.2/30
. - Ignorez la configuration de l'onglet IPv6.
- Sous l'onglet Avancé, définissez MTU sur
1460
. - Répétez cette procédure pour le quatrième tunnel. Par exemple,
tunnel.4
. Dans l'onglet IPv4, spécifiez les valeurs appropriées pour le pair BGP qui correspond au deuxième tunnel du VPN haute disponibilité IPv4 uniquement. Exemple :169.254.3.2/30
.
- Créez deux tunnels pour le trafic IPv6.
Créez un profil de chiffrement IPsec.
- Sélectionnez Réseau > Chiffrement IPSec et créez un profil.
- Renseignez les champs suivants :
- Nom : saisissez un nom de profil. Par exemple,
ha-vpn
. - Protocole IPSec : sélectionnez ESP.
- Chiffrement : ajoutez un algorithme de chiffrement IKE compatible.
- Authentification : spécifiez une fonction de hachage. Par exemple,
sha512
. - Groupe DH : sélectionnez un groupe DH. Par exemple, group14.
- Durée de vie : sélectionnez Heures, puis saisissez
3
.
- Nom : saisissez un nom de profil. Par exemple,
- Cliquez sur OK.
Créez un profil de chiffrement IKE.
- Sélectionnez Réseau > IKE Crypto.
- Renseignez les champs suivants :
- Nom : saisissez un nom de profil. Exemple :
ha-vpn
- Groupe DH : vérifiez que le groupe DH que vous avez sélectionné pour le profil de chiffrement IPSec apparaît dans la liste.
- Authentification : spécifiez une fonction de hachage. Par exemple,
sha512
. - Chiffrement : ajoutez un algorithme de chiffrement IKE compatible.
- Nom : saisissez un nom de profil. Exemple :
- Dans le volet Chronomètres, sélectionnez Horaires pour le champ Durée de vie de la clé et saisissez
10
. - Cliquez sur OK.
Après avoir créé quatre tunnels IKE, créez quatre passerelles IKE, une pour chaque tunnel.
- Sélectionnez Réseau > Passerelles IKE, puis créez une passerelle.
- Dans l'onglet Général, saisissez des valeurs pour les champs suivants :
- Nom : nom de la passerelle IKE pour le premier tunnel.
Par exemple,
havpn-v6-tunnel1
. - Version : sélectionnez
IKEv2 only mode
. - Type d'adresse : sélectionnez
IPv4
. - Interface : spécifiez l'interface de rebouclage que vous avez créée au début de cette procédure. Par exemple,
loopback.10
. - Adresse IP locale : spécifiez une plage d'adresses IPv4 adaptée à votre réseau sur site.
- Type d'adresse IP du pair : sélectionnez
IP
. - Adresse du pair : spécifiez l'adresse IPv4 externe de la première interface VPN haute disponibilité du tunnel.
- Authentification: sélectionnez
Pre-Shared Key
. - Clé prépartagée, Confirmer la clé prépartagée : saisissez la clé secrète partagée que vous avez configurée dans Google Cloud pour le tunnel.
- Identification locale : sélectionnez Adresse IP, puis spécifiez une adresse IPv4 appropriée pour votre réseau sur site.
- Identification du pair : sélectionnez l'adresse IP et l'adresse IPv4 externe de l'interface VPN haute disponibilité du tunnel.
- Nom : nom de la passerelle IKE pour le premier tunnel.
Par exemple,
- Cliquez sur l'onglet Options avancées.
- Pour le profil de chiffrement IKE, sélectionnez le profil que vous avez créé précédemment. Par exemple,
ha-vpn
. - Activez Vérification de l'activité et saisissez
5
dans le champ Intervalle (en secondes). - Cliquez sur OK.
- Répétez cette procédure pour les trois autres tunnels, mais remplacez les valeurs appropriées par les champs suivants :
- Nom : nom de la passerelle IKE pour le tunnel.
Par exemple,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ouhavpn-v4-tunnel2
. - Adresse IP locale/Identification locale : spécifiez une adresse IPv4 inutilisée adaptée à votre réseau sur site.
- Adresse du pair/Identification du pair : spécifiez l'adresse IPv4 externe pour l'interface VPN haute disponibilité correspondante du tunnel.
- Clé prépartagée : spécifiez la clé secrète partagée configurée pour le tunnel.
- Nom : nom de la passerelle IKE pour le tunnel.
Par exemple,
Créez quatre tunnels IPsec.
- Sélectionnez Réseau > Tunnels IPSec, puis créez un nouveau tunnel.
- Renseignez les champs suivants :
- Nom : nom unique du tunnel. Par exemple,
hapvpn-tunnel-1
. - Interface de tunnel : sélectionnez une interface de tunnel pour le tunnel de passerelle IKE que vous avez créé précédemment. Par exemple,
tunnel.1
. - Type : sélectionnez Clé automatique.
- Type d'adresse : sélectionnez IPv4.
- Passerelle IKE : sélectionnez l'une des passerelles IKE que vous avez créées précédemment.
Par exemple,
havpn-v6-tunnel
. - Profil de chiffrement IPSec : sélectionnez le profil que vous avez créé précédemment.
Par exemple,
ha-vpn
.
- Nom : nom unique du tunnel. Par exemple,
- Ne configurez pas d'ID de proxy.
- Cliquez sur OK.
- Répétez cette procédure pour les trois autres tunnels, mais remplacez les valeurs appropriées par les champs suivants :
- Nom : nom unique du tunnel IPsec.
Par exemple,
havpn-tunnel2
,havpn-tunnel3
ouhavpn-tunnel4
. - Interface de tunnel : sélectionnez une interface de tunnel inutilisée pour le tunnel de passerelle IKE que vous avez créé précédemment. Par exemple,
tunnel.2
,tunnel.3
outunnel.4
. - Passerelle IKE : sélectionnez l'une des passerelles IKE que vous avez créées précédemment.
Par exemple,
havpn-v6-tunnel2
,havpn-v4-tunnel1
ouhavpn-v4-tunnel2
.
- Nom : nom unique du tunnel IPsec.
Par exemple,
Facultatif : Configurez le routage ECMP.
- Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > ECMP.
- Dans l'onglet ECMP, sélectionnez Activer.
- Cliquez sur OK.
Configurez la session BGP.
- Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP.
- Dans l'onglet Général, sélectionnez Activer.
- Dans le champ ID du routeur, saisissez l'adresse IPv4 de liaison locale attribuée au pair BGP, qui correspond au côté PAN-OS de la session BGP.
- Dans le champ Numéro ASN, saisissez le numéro ASN pour la partie PAN-OS de la session BGP.
- Assurez-vous que l'option Installer le routage est sélectionnée pour Options.
- Cliquez sur OK.
Créez un groupe de pairs BGP avec un pair BGP pour chaque tunnel IPv6. Vous créez un groupe de pairs BGP distinct pour chaque tunnel IPv6 afin de pouvoir configurer une adresse de saut suivant IPv6 différente par tunnel.
- Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Groupe d'appairage.
- Dans l'onglet Groupe d'appairage, créez un nouveau groupe d'appairage pour le premier tunnel IPv6.
- Dans le champ Nom, saisissez le nom du groupe d'appairage. Exemple :
havpn-bgp-v6-tunnel1
. - Sélectionnez Activer.
- Sélectionnez Agrégée en termes de chemin d'accès AS.
- Dans la liste Type, sélectionnez EBGP.
- Dans le champ Importer le saut suivant, sélectionnez Initial.
- Pour le champ Exporter le saut suivant, sélectionnez Résoudre.
- Sélectionnez Supprimer le serveur privé privé.
- Dans le volet Pair, cliquez sur Ajouter pour ajouter un pair au groupe de pairs BGP.
- Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
- Nom : nom du pair. Par exemple,
havpn-v6-tunnel1
. - Sélectionnez Activer.
- ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
- Dans l'onglet Adressage, configurez les options suivantes :
- Sélectionnez Activer les extensions MP-BGP.
- Pour Type de famille d'adresses, sélectionnez IPv6.
- Dans Adresse locale, pour Interface, sélectionnez le premier tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple :
tunnel.1
. - Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP.
Par exemple,
169.254.0.2./30
. - Dans Adresse du pair, pourType sélectionnez Adresse IP.
- Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple,
169.254.0.1
.
- Cliquez sur OK.
- Nom : nom du pair. Par exemple,
- Après avoir ajouté le pair, cliquez sur OK.
- Répétez cette procédure pour l'autre tunnel IPv6, mais remplacez les valeurs appropriées par les champs suivants :
- Nom : nom unique du groupe de pairs BGP.
Par exemple,
havpn-bgp-v6-tunnel2
. - Dans la boîte de dialogue Pair, saisissez les valeurs appropriées pour le tunnel dans les champs suivants :
- Nom : nom du pair. Par exemple,
havpn-v6-tunnel1
. - Dans Adresse locale, pour Interface, sélectionnez le deuxième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple :
tunnel.2
. - Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP pour le deuxième tunnel. Par exemple,
169.254.1.2./30
. - Dans le champ Adresse du pair, sous Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP.
Par exemple,
169.254.1.1
.
- Nom : nom du pair. Par exemple,
- Nom : nom unique du groupe de pairs BGP.
Par exemple,
Créez un groupe de pairs BGP pour les tunnels IPv4.
- Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Groupe d'appairage.
- Dans l'onglet Groupe d'appairage, créez un nouveau groupe d'appairage pour le tunnel IPv4.
- Dans le champ Nom, saisissez le nom du groupe d'appairage. Exemple :
havpn-bgp-v4
. - Sélectionnez Activer.
- Sélectionnez Agrégée en termes de chemin d'accès AS.
- Dans la liste Type, sélectionnez EBGP.
- Dans le champ Importer le saut suivant, sélectionnez Initial.
- Pour le champ Exporter le saut suivant, sélectionnez Résoudre.
- Sélectionnez Supprimer le serveur privé privé.
- Dans le volet Pair, cliquez sur Ajouter pour ajouter un pair au groupe de pairs BGP.
- Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
- Nom : saisissez un nom pour le pair. Par exemple,
havpn-v4-tunnel1
. - Sélectionnez Activer.
- ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
- Dans l'onglet Adressage, configurez les options suivantes :
- Ne sélectionnez pas Activer les extensions MP-BGP.
- Pour Type de famille d'adresses, sélectionnez
IPv4
. - Dans Adresse locale, pour Interface, sélectionnez le troisième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple :
tunnel.3
. - Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP.
Par exemple,
169.254.2.2./30
. - Dans le champ Adresse du pair, sélectionnez
IP
pour Type. - Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple,
169.254.2.1
.
- Cliquez sur OK.
- Nom : saisissez un nom pour le pair. Par exemple,
- Dans le volet Pair, cliquez sur Ajouter pour ajouter le deuxième pair au groupe de pairs BGP.
- Dans la boîte de dialogue Pair, saisissez les valeurs suivantes :
- Nom : saisissez un nom pour le pair. Par exemple,
havpn-v4-tunnel2
. - Sélectionnez Activer.
- ASN pair : numéro ASN attribué au routeur Cloud Router pour la session BGP.
- Dans l'onglet Adressage, configurez les options suivantes :
- Ne sélectionnez pas Activer les extensions MP-BGP.
- Pour Type de famille d'adresses, sélectionnez IPv4.
- Dans Adresse locale, pour Interface, sélectionnez le quatrième tunnel que vous avez défini lors de la création des tunnels de la passerelle IKE. Exemple :
tunnel.4
. - Dans le champ Adresse IP, sélectionnez l'adresse IPv4 de liaison locale du pair BGP.
Par exemple,
169.254.3.2./30
. - Dans Adresse du pair, pourType sélectionnez Adresse IP.
- Dans le champ Adresse, sélectionnez l'adresse IPv4 de liaison locale du routeur Cloud Router pour cette session BGP. Par exemple,
169.254.3.1
.
- Nom : saisissez un nom pour le pair. Par exemple,
- Cliquez sur OK.
- Après avoir ajouté les deux pairs, cliquez sur OK.
Exportez les règles de configuration BGP vers les groupes de pairs BGP pour les tunnels IPv6. Cette étape vous permet d'attribuer différentes adresses IPv6 de saut suivant aux tunnels.
- Sélectionnez Réseau > Routeurs virtuels > ROUTER_NAME > Paramètres du routeur > BGP > Exporter.
- Dans la boîte de dialogue Règle d'exportation, saisissez un nom dans le champ Règles. Par exemple,
havpn-tunnel1-v6
. - Sélectionnez Activer.
- Dans le volet Utilisé par, cliquez sur Ajouter pour ajouter le groupe de pairs BGP créé pour le premier tunnel IPv6.
Par exemple,
havpn-bgp-v6-tunnel1
. - Sous l'onglet Correspondance, sélectionnez Unicast dans la liste Table de routage.
- Dans Préfixe d'adresse, ajoutez le préfixe des adresses IPv6 utilisées dans votre réseau sur site.
- Dans l'onglet Action, configurez les options suivantes :
- Dans la liste Action, sélectionnez Autoriser.
- Dans le saut suivant, saisissez l'adresse de saut suivant IPv6 attribuée au pair BGP lors de la création du tunnel. Par exemple,
2600:2D00:0:2::2
.
- Cliquez sur OK.
- Répétez cette procédure pour le groupe de pairs BGP utilisé par le second tunnel IPv6, mais utilisez les valeurs appropriées pour les champs suivants :
- Dans la boîte de dialogue Règle d'exportation, saisissez un nom unique dans le champ Règles. Par exemple,
havpn-tunnel2-v6
. - Dans le volet Utilisé par, cliquez sur Ajouter pour ajouter le groupe d'appairage BGP que vous avez créé pour le deuxième tunnel IPv6.
Par exemple,
havpn-bgp-v6-tunnel1
.
- Dans la boîte de dialogue Règle d'exportation, saisissez un nom unique dans le champ Règles. Par exemple,
- Dans l'onglet Action, configurez le champ Saut suivant et saisissez l'adresse IPv6 de saut suivant attribuée au pair BGP pour ce tunnel.
Par exemple,
2600:2D00:0:3::3
.