Menyiapkan VPN pihak ketiga untuk traffic IPv4 dan IPv6

Halaman ini memberikan petunjuk untuk mengonfigurasi perangkat VPN pihak ketiga untuk mendukung traffic IPv4 dan IPv6 (dual-stack) dengan Cloud VPN.

Untuk menukar traffic stack ganda di tunnel Cloud VPN, Anda harus mengonfigurasi perangkat gateway VPN peer dengan alamat IPv6 next hop. Di tunnel VPN dengan ketersediaan tinggi (HA) dual-stack, pertukaran rute IPv4 dan IPv6 terjadi melalui sesi BGP dengan MP-BGP yang dikonfigurasi dengan alamat IPv4 link-lokal. Router Cloud dan perangkat VPN peer Anda memerlukan konfigurasi next hop IPv6 untuk merutekan traffic IPv6 ke Virtual Private Cloud dan jaringan peer.

Hanya gateway VPN dengan ketersediaan tinggi (HA) yang mendukung konfigurasi stack ganda. VPN klasik tidak mendukung traffic IPv6. Selain itu, Anda harus mengonfigurasi perangkat VPN peer untuk menggunakan IKE v2 untuk tunnel VPN dengan ketersediaan tinggi (HA).

Dukungan VPN pihak ketiga untuk traffic stack ganda

Tabel berikut merangkum dukungan perangkat VPN pihak ketiga untuk traffic stack ganda melalui tunnel IPsec.

Platform vendor	Versi yang diuji untuk konfigurasi stack ganda	Traffic IPv6 melalui tunnel IPv4 IPsec	Kelompok alamat stack ganda	Konfigurasi interoperabilitas untuk traffic stack ganda
Cisco IOS/IOS-XE	t/a	Tidak didukung	Tidak didukung	Gunakan tunnel GRE dan router virtual untuk membawa traffic IPsec melalui GRE.
Check Point	t/a	Tidak didukung	Tidak didukung	Gunakan tunnel GRE dan router virtual untuk membawa traffic IPsec melalui GRE.
Juniper JunOS	20.2R3-S2.5	Didukung	Didukung	Mendukung tunnel VPN dengan ketersediaan tinggi (HA) yang dapat menggunakan traffic IPv4 dan IPv6.
Palo Alto Networks PAN-OS	9.1	Didukung	Tidak didukung	Memerlukan tunnel VPN dengan ketersediaan tinggi (HA) terpisah yang dikonfigurasi untuk traffic IPv4 atau IPv6, tetapi tidak keduanya.

Juniper JunOS

Prosedur berikut menjelaskan cara menyiapkan perangkat Juniper JunOS VPN untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA) Anda.

Meskipun Anda mengonfigurasi alamat IPv6 pada antarmuka tunnel perangkat, alamat IPv6 hanya digunakan untuk konfigurasi IPv6 next hop. Rute IPv6 diiklankan melalui IPv6 NLRI melalui peering BGP IPv4.

Sebelum memulai

Di Google Cloud, siapkan satu gateway VPN dengan ketersediaan tinggi (HA) stack ganda dan dua tunnel VPN dengan ketersediaan tinggi (HA). Kedua tunnel VPN dengan ketersediaan tinggi (HA) menggunakan traffic IPv4 dan IPv6.

Catat dua alamat IPv4 eksternal yang ditetapkan Google Cloud ke dua antarmuka gateway VPN dengan ketersediaan tinggi (HA).

Catat nilai konfigurasi berikut untuk setiap tunnel:

• Alamat IPv4 link lokal dari BGP peer, yang merupakan perangkat Juniper JunOS Anda
• Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
• Alamat IPv6 next hop yang ditetapkan ke peer atau peerIpv6NexthopAddress
• ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP
• ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda
• Pre-shared key

Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.

Konfigurasi JunOS

Untuk mengonfigurasi perangkat JunOS, lakukan langkah-langkah berikut:

1. Untuk setiap antarmuka tunnel VPN, konfigurasikan alamat next hop IPv6 peer BGP yang Anda ambil dari Cloud Router. Antarmuka ini merupakan antarmuka yang sama yang diberi alamat link lokal untuk peering IPv4.

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
   set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
   set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
   

   Ganti nilai berikut:

   • PEER_BGP_IP_1: alamat IPv4 BGP dari peer untuk antarmuka tunnel pertama dengan subnet mask-nya
   • PEER_IPV6_NEXT_HOP_ADDRESS_1: alamat hop next hop IPv6 peer untuk antarmuka tunnel pertama dengan subnet mask
   • PEER_BGP_IP_2: alamat IPv4 BGP dari peer untuk antarmuka tunnel kedua dengan subnet mask-nya
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: alamat hop next hop IPv6 peer untuk antarmuka tunnel kedua dengan subnet mask

   Contoh:

   set interfaces st0 unit 1 family inet mtu 1460
   set interfaces st0 unit 1 family inet address 169.254.0.2/30
   set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
   set interfaces st0 unit 2 family inet mtu 1460
   set interfaces st0 unit 2 family inet address 169.254.1.2/30
   set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
   

2. Mengonfigurasi proposal IKE, kebijakan IKE, dan objek gateway IKE.

   # IKE proposal
   set security ike proposal ike_prop authentication-method pre-shared-keys
   set security ike proposal ike_prop dh-group group2
   set security ike proposal ike_prop authentication-algorithm sha-256
   set security ike proposal ike_prop encryption-algorithm aes-256-cbc
   set security ike proposal ike_prop lifetime-seconds 36000
   
   # IKE policy
   set security ike policy ike_pol mode main
   set security ike policy ike_pol proposals ike_prop
   set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
   
   # IKE gateway objects
   set security ike gateway gw1 ike-policy ike_pol
   set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
   set security ike gateway gw1 local-identity inet 142.215.100.60
   set security ike gateway gw1 external-interface ge-0/0/0
   set security ike gateway gw1 version v2-only
   set security ike gateway gw2 ike-policy ike_pol
   set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
   set security ike gateway gw2 local-identity inet 142.215.100.60
   set security ike gateway gw2 external-interface ge-0/0/0
   set security ike gateway gw2 version v2-only
   

   Ganti nilai berikut:

   • HA_VPN_INTERFACE_ADDRESS_0: alamat IPv4 eksternal dari antarmuka tunnel pertama pada gateway VPN dengan ketersediaan tinggi (HA)
   • HA_VPN_INTERFACE_ADDRESS_1: alamat IPv4 eksternal antarmuka tunnel kedua di gateway HA VPN
   • SHARED_SECRET: pre-shared key yang dikonfigurasi untuk tunnel VPN dengan ketersediaan tinggi (HA)

3. Mengonfigurasi proposal IPsec dan kebijakan IPsec. Contoh:

   set security ipsec proposal ipsec_prop protocol esp
   set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
   set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
   set security ipsec proposal ipsec_prop lifetime-seconds 10800
   

4. Konfigurasikan konfigurasi gateway VPN IPsec dan ikat ke antarmuka tunnel. Contoh:

   set security ipsec vpn vpn1 bind-interface st0.1
   set security ipsec vpn vpn1 ike gateway gw1
   set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn1 establish-tunnels immediately
   set security ipsec vpn vpn2 bind-interface st0.2
   set security ipsec vpn vpn2 ike gateway gw2
   set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
   set security ipsec vpn vpn2 establish-tunnels immediately
   

5. Membuat pernyataan kebijakan yang mengubah next hop untuk peer IPv6 ke alamat next hop IPv6.

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

   Ganti nilai berikut:

   • PEER_IPV6_NEXT_HOP_ADDRESS_1: alamat hop next hop IPv6 peer BGP untuk tunnel pertama
   • PEER_IPV6_NEXT_HOP_ADDRESS_2: alamat hop next hop IPv6 peer BGP untuk tunnel kedua

   Contoh:

   set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
   set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
   set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
   set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
   set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
   

6. Konfigurasikan BGP untuk pertukaran rute IPv6.

   Saat mengonfigurasi BGP, Anda harus menetapkan include-mp-next-hop pernyataan untuk mengirimkan atribut next hop ke peer.

   Kemudian, ekspor pernyataan kebijakan yang Anda tentukan di langkah sebelumnya untuk mengubah next hop ke alamat IPv6.

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as ROUTER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address ROUTER_IP_2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as ROUTER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
   

   Ganti nilai berikut:

   • ROUTER_BGP_IP_1: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel pertama
   • ROUTER_BGP_IP_2: alamat IPv4 yang ditetapkan ke Cloud Router untuk tunnel kedua
   • ROUTER_ASN: ASN yang ditetapkan ke Cloud Router untuk sesi BGP Anda.
   • PEER_ASN: ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat JunOS Juniper Anda.

   Contoh berikut menunjukkan pernyataan include-mp-next-hop dan export dalam teks tebal:

   set protocols bgp group vpn family inet unicast
   set protocols bgp group vpn family inet6 unicast
   set protocols bgp group vpn peer-as 16550
   set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
   set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
   set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
   set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
   set protocols bgp group vpn2 type external
   set protocols bgp group vpn2 local-address 169.254.1.2
   set protocols bgp group vpn2 family inet unicast
   set protocols bgp group vpn2 family inet6 unicast
   set protocols bgp group vpn2 peer-as 16550
   set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
   set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
   set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
   set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
   

7. Verifikasi konektivitas BGP.

   show route protocol bgp
   

Palo Alto Networks PAN-OS

Bagian ini menjelaskan cara menyiapkan perangkat Palo Alto Networks PAN-OS untuk mendukung traffic IPv4 dan IPv6 di tunnel VPN dengan ketersediaan tinggi (HA).

PAN-OS mendukung transport traffic IPv6 melalui IPv4. Namun, PAN-OS tidak mendukung kelompok alamat stack ganda. Oleh karena itu, Anda harus menyiapkan tunnel VPN terpisah yang menggunakan salah satu dari traffic IPv4 atau traffic IPv6.

Untuk informasi selengkapnya tentang cara mengonfigurasi perangkat PAN-OS untuk digunakan dengan VPN, lihat Dokumentasi VPN Palo Alto PAN OS.

Sebelum memulai

Di Google Cloud, siapkan dua gateway VPN dengan ketersediaan tinggi (HA) dan empat tunnel VPN dengan ketersediaan tinggi (HA). Dua tunnel untuk traffic IPv6 dan dua tunnel untuk traffic IPv4.

1. Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv4. Buat hal berikut:

   • Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack khusus IPv4
   • Dua tunnel VPN yang dapat menggunakan traffic IPv4

2. Buat gateway dan tunnel VPN dengan ketersediaan tinggi (HA) untuk traffic IPv6. Buat hal berikut:

   • Satu gateway VPN dengan ketersediaan tinggi (HA) yang menggunakan jenis stack IPv4 dan IPv6 (stack ganda)
   • Dua tunnel VPN yang dapat menggunakan traffic IPv6
   • Mengaktifkan IPv6 di sesi BGP untuk tunnel IPv6

3. Catat alamat IPv4 eksternal yang ditetapkan Google Cloud ke setiap antarmuka gateway VPN dengan ketersediaan tinggi (HA).

4. Catat nilai konfigurasi berikut untuk setiap tunnel:

   • Alamat IPv4 link lokal dari peer BGP, yang merupakan sisi PAN-OS dari sesi BGP
   • Alamat IPv4 link lokal dari Cloud Router yang digunakan untuk peering BGP
   • ASN yang Anda tetapkan ke peer BGP, yang merupakan perangkat PAN-OS Anda
   • ASN yang Anda tetapkan ke Cloud Router untuk sesi BGP
   • Pre-shared key

5. Untuk setiap tunnel IPv6, catat juga peerIpv6NexthopAddress, yang merupakan alamat IPv6 next hop yang ditetapkan ke peer BGP. Google Cloud mungkin telah otomatis menetapkan alamat ini untuk Anda, atau Anda mungkin telah menentukan alamat secara manual saat membuat tunnel VPN.

Untuk mengetahui detail konfigurasi sesi BGP Anda, lihat Lihat konfigurasi sesi BGP.

Konfigurasi PAN-OS

Untuk mengonfigurasi perangkat Palo Alto Networks, lakukan langkah-langkah berikut di Antarmuka Web PAN-OS.

1. Aktifkan firewall IPv6.

   1. Pilih Perangkat > Penyiapan > Setelan Sesi.
   2. Pilih Aktifkan firewall IPv6.

2. Membuat antarmuka loopback untuk IPv4 dan IPv6.

   1. Pilih Jaringan > Antarmuka > Antarmuka loopback dan buat loopback baru.
   2. Membuat antarmuka loopback. Contoh, loopback.10.
   3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
   4. Pada tab IPv4, tetapkan antarmuka loopback dengan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
   5. Pada tab IPv6, pilih EAktifkan IPv6 pada antarmuka, dan tambahkan rentang alamat IPv6 yang sesuai untuk jaringan lokal Anda.
   6. Pada tab Advanced, tetapkan Profil Management untuk antarmuka loopback. Pastikan profil yang ditetapkan mengizinkan ping agar Anda dapat memverifikasi konektivitas.

3. Buat empat tunnel gateway IKE, dua tunnel untuk traffic IPv6, dan dua tunnel untuk traffic IPv4. Setiap tunnel terhubung ke antarmuka di gateway VPN dengan ketersediaan tinggi (HA).

   • Buat dua tunnel untuk traffic IPv6.
     1. Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
     2. Tentukan nama untuk tunnel pertama. Contoh, tunnel.1.
     3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
     4. Pada tab IPv4, tetapkan alamat link lokal peer BGP yang Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA). Contoh, 169.254.0.2/30.
     5. Pada tab IPv6, pilih Aktifkan IPv6 pada antarmuka, dan tetapkan alamat IPv6 next hop yang dikonfigurasi untuk peer BGP. Contohnya, 2600:2D00:0:2::2/125.
     6. Pada tab Advanced, setel MTU ke 1460.
     7. Ulangi prosedur ini untuk tunnel kedua. Misalnya, tunnel.2. Pada tab IPv4 dan IPv6, tetapkan nilai yang sesuai untuk kolom BGP peer dan IPv6 next hop. Gunakan nilai yang cocok dengan tunnel kedua dari stack ganda VPN dengan ketersediaan tinggi (HA). Misalnya, 169.254.1.2/30 dan 2600:2D00:0:3::3/125.
   • Buat dua tunnel untuk traffic IPv4.
     1. Pilih Jaringan > Antarmuka > Tunnel dan buat tunnel baru.
     2. Tentukan nama untuk tunnel ketiga. Misalnya, tunnel.3.
     3. Pada tab Konfig, setel Virtual Router ke external dan tetapkan Security Zone ke ZONE_EXTERNAL.
     4. Pada tab IPv4, tetapkan alamat link lokal peer BGP yang Anda siapkan saat membuat tunnel VPN untuk VPN dengan ketersediaan tinggi (HA). Contoh, 169.254.2.2/30.
     5. Lewati konfigurasi tab IPv6.
     6. Pada tab Advanced, setel MTU ke 1460.
     7. Ulangi prosedur ini untuk tunnel keempat. Misalnya, tunnel.4. Pada tab IPv4, tetapkan nilai yang sesuai untuk peer BGP yang cocok dengan tunnel kedua dari VPN dengan ketersediaan tinggi (HA) khusus IPv4. Contohnya, 169.254.3.2/30.

4. Buat profil kripto IPsec.

   1. Pilih Jaringan > Kripto IPSec dan buat profil baru.
   2. Masukkan nilai untuk kolom berikut:
      • Nama: Masukkan nama profil. Contoh, ha-vpn.
      • IPSec Protocol: Pilih ESP.
      • Enkripsi: Tambahkan cipher IKE yang didukung.
      • Autentikasi: Tentukan fungsi hash. Contoh, sha512.
      • Grup DH: Pilih grup DH. Misalnya, group14.
      • Masa aktif: Pilih Jam dan masukkan 3.
   3. Klik OK.

5. Buat profil kripto IKE.

   1. Pilih Jaringan > Kripto IKE.
   2. Masukkan nilai untuk kolom berikut:
      • Nama: Masukkan nama profil. Contoh, ha-vpn.
      • Grup DH: Pastikan grup DH yang Anda pilih untuk profil Kripto IPSec muncul dalam daftar.
      • Autentikasi: Tentukan fungsi hash. Contoh, sha512.
      • Enkripsi: Tambahkan cipher IKE yang didukung.
   3. Di panel Timer, pilih Jam untuk Masa Aktif Kunci dan masukkan 10.
   4. Klik OK.

6. Setelah membuat empat tunnel IKE, buat empat gateway IKE, satu untuk setiap tunnel.

   1. Pilih Jaringan > Gateway IKE, dan buat gateway baru.
   2. Pada tab General, masukkan nilai untuk kolom berikut:
      • Nama: Nama gateway IKE untuk tunnel pertama. Contoh, havpn-v6-tunnel1.
      • Versi: Pilih IKEv2 only mode.
      • Jenis Alamat: Pilih IPv4.
      • Antarmuka: Tetapkan antarmuka loopback yang Anda buat di awal prosedur ini. Contoh, loopback.10.
      • Alamat IP Lokal: Tetapkan rentang alamat IPv4 yang sesuai untuk jaringan lokal Anda.
      • Jenis Alamat IP Peer: Pilih IP.
      • Alamat Peer: Tetapkan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) pertama untuk tunnel.
      • Autentikasi: Pilih Pre-Shared Key.
      • Pre-shared key, Konfirmasi Pre-shared key: Masukkan rahasia bersama yang Anda konfigurasi di Google Cloud untuk tunnel.
      • Identifikasi Lokal: Pilih Alamat IP, dan tentukan alamat IPv4 yang sesuai untuk jaringan lokal Anda.
      • Identifikasi: Pilih Alamat IP, dan alamat IPv4 eksternal antarmuka VPN dengan ketersediaan tinggi (HA) untuk tunnel.
   3. Pilih tab Opsi Lanjutan.
   4. Untuk Profil Kripto IKE, pilih profil yang Anda buat sebelumnya. Contoh, ha-vpn.
   5. Aktifkan Pemeriksaan Keaktifan dan masukkan 5 untuk Interval (dtk).
   6. Klik Oke.
   7. Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Nama: Nama gateway IKE untuk tunnel. Misalnya, havpn-v6-tunnel2, havpn-v4-tunnel1, atau havpn-v4-tunnel2.
      • Alamat IP Lokal / Identifikasi Lokal: Tentukan alamat IPv4 yang tidak digunakan dan sesuai untuk jaringan lokal Anda.
      • Alamat Peer / Identifikasi Peer: Tentukan alamat IPv4 eksternal untuk antarmuka VPN dengan ketersediaan tinggi (HA) yang cocok pada tunnel.
      • Pre-shared key: Menentukan rahasia bersama yang dikonfigurasi untuk tunnel.

7. Buat empat tunnel IPsec.

   1. Pilih Jaringan > Tunnel IPSec dan buat tunnel baru.
   2. Masukkan nilai untuk kolom berikut:
      • Nama: Nama unik untuk tunnel. Contoh, hapvpn-tunnel-1.
      • Tunnel Antarmuka: Pilih antarmuka tunnel untuk tunnel gateway IKE yang Anda buat sebelumnya. Contoh, tunnel.1.
      • Jenis: Pilih Kunci Otomatis.
      • Jenis Alamat: Pilih IPv4.
      • Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya. Contoh, havpn-v6-tunnel.
      • Profil Kriptografi IPSec: Pilih profil yang Anda buat sebelumnya. Contoh, ha-vpn.
   3. Jangan konfigurasikan ID Proxy.
   4. Klik OK.
   5. Ulangi prosedur ini untuk tiga tunnel lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
      • Name: Nama unik untuk tunnel IPsec. Misalnya, havpn-tunnel2, havpn-tunnel3, atau havpn-tunnel4.
      • Tunnel Antarmuka: Pilih antarmuka tunnel yang tidak digunakan untuk tunnel gateway IKE yang Anda buat sebelumnya. Misalnya, tunnel.2, tunnel.3 atau tunnel.4.
      • Gateway IKE: Pilih salah satu Gateway IKE yang Anda buat sebelumnya. Misalnya, havpn-v6-tunnel2, havpn-v4-tunnel1, atau havpn-v4-tunnel2.

8. (Opsional) Mengonfigurasikan ECMP.

   1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > ECMP.
   2. Pada tab ECMP, pilih Aktifkan.
   3. Klik Oke.

9. Konfigurasi BGP

   1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP.
   2. Pada tab General, pilih Aktifkan.
   3. Pada kolom ID Router masukkan alamat IPv4 link-lokal yang ditetapkan ke peer BGP, yang merupakan sisi PAN-OS dari sesi BGP. peer.
   4. Di kolom AS Number field, enter the masukkan ASN untuk sisi PAN-OS dari sesi BGP.
   5. Untuk Opsi, pastikan Instal Route yang dipilih.
   6. Klik Oke.

10. Membuat peer group BGP dengan satu peer BGP untuk tiap tunnel IPv6. Anda membuat grup peer BGP terpisah untuk setiap tunnel IPv6 sehingga Anda dapat mengonfigurasi alamat next hop IPv6 yang berbeda setiap tunnel.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
    2. Pada tab Grup Peer, buat grup peer baru untuk tunnel IPv6 pertama.
    3. Di kolom Nama, masukkan nama untuk peer grup. Contoh, havpn-bgp-v6-tunnel1.
    4. Pilih Aktifkan.
    5. Pilih Jalur AS yang diakui Agregat.
    6. Dalam daftar Jenis, pilih EBGP.
    7. Untuk Import Next Hop, pilih Original.
    8. Untuk Export Next Hop, pilih Resolve.
    9. Pilih Hapus Private AS.
    10. Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
    11. Pada dialog Peer, masukkan nilai berikut:
        • Nama: Nama untuk peer. Contoh, havpn-v6-tunnel1.
        • Pilih Aktifkan.
        • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
        • Pada tab Alamat, konfigurasikan opsi berikut:
          • Pilih Aktifkan MP-BGP Extension.
          • Untuk Address Family Type, pilih IPv6.
          • Di Alamat Lokal, untuk Antarmuka pilih tunnel pertama yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.1.
          • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.0.2./30.
          • Di Alamat Peer, untuk Jenis, pilih IP.
          • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.0.1.
        • Klik OK.
    12. Setelah Anda selesai menambahkan peer, klik Oke.
    13. Ulangi prosedur ini untuk tunnel IPv6 lainnya, tetapi ganti nilai yang sesuai untuk kolom berikut:
        • Name: Nama unik untuk grup peer BGP. Contoh, havpn-bgp-v6-tunnel2.
        • Pada dialog Peer, masukkan nilai yang sesuai untuk tunnel di kolom berikut:
          • Nama: Nama untuk peer. Contoh, havpn-v6-tunnel1.
          • Di Alamat Lokal, untuk Antarmuka pilih tunnel kedua yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.2.
          • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP untuk tunnel kedua. Contoh, 169.254.1.2./30.
          • Di bagian Alamat Peer, untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.1.1.

11. Buat peer group BGP untuk tunnel IPv4.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Grup Peer.
    2. Pada tab Peer Group, buat peer grup baru untuk tunnel IPv4.
    3. Di kolom Nama, masukkan nama untuk peer grup. Contoh, havpn-bgp-v4.
    4. Pilih Aktifkan.
    5. Pilih Jalur AS yang diakui Agregat.
    6. Dalam daftar Jenis, pilih EBGP.
    7. Untuk Import Next Hop, pilih Original.
    8. Untuk Export Next Hop, pilih Resolve.
    9. Pilih Hapus Private AS.
    10. Di panel Peer, klik Tambahkan untuk menambahkan peer ke grup peer BGP.
    11. Pada dialog Peer, masukkan nilai berikut:
        • Nama: Masukkan nama peer Contoh, havpn-v4-tunnel1.
        • Pilih Aktifkan.
        • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
        • Pada tab Alamat, konfigurasikan opsi berikut:
          • Jangan pilih Enable MP-BGP Extensions.
          • Untuk Address Family Type, pilih IPv4.
          • Di Alamat Lokal, untuk Antarmuka pilih tunnel ketiga yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.3.
          • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.2.2./30.
          • Di Alamat Peer, pilih IP untuk Jenis.
          • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.2.1.
        • Klik OK.
    12. Di panel Peer, klik Tambahkan untuk menambahkan peer kedua ke grup peer BGP.
    13. Pada dialog Peer, masukkan nilai berikut:
        • Nama: Masukkan nama peer Contoh, havpn-v4-tunnel2.
        • Pilih Aktifkan.
        • Peer AS: ASN yang ditetapkan ke Cloud Router untuk sesi BGP.
        • Pada tab Alamat, konfigurasikan opsi berikut:
          • Jangan pilih Enable MP-BGP Extensions.
          • Untuk Address Family Type, pilih IPv4.
          • Di Alamat Lokal, untuk Antarmuka pilih tunnel keempat yang Anda tentukan saat membuat gateway IKE. Contohnya, tunnel.4.
          • Untuk IP, pilih alamat IPv4 link lokal dari peer BGP. Contoh, 169.254.3.2./30.
          • Di Alamat Peer, untuk Jenis, pilih IP.
          • Untuk Alamat, pilih alamat IPv4 link lokal dari Cloud Router untuk sesi BGP ini. Contoh, 169.254.3.1.
    14. Klik OK.
    15. Setelah Anda selesai menambahkan kedua pembanding, klik OK.

12. Ekspor aturan konfigurasi BGP ke grup peer BGP untuk tunnel IPv6. Langkah ini memungkinkan Anda menetapkan alamat IPv6 next hop yang berbeda ke tunnel.

    1. Pilih Jaringan > Router Virtual > ROUTER_NAME > Setelan Router > BGP > Ekspor.
    2. Pada dialog Export Rule, masukkan nama di kolom Rules. Contoh, havpn-tunnel1-v6.
    3. Pilih Aktifkan.
    4. Di panel Used By, klik Add untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 pertama. Contohnya, havpn-bgp-v6-tunnel1
    5. Pada tab Match, pilih Unicast dalam daftar Tabel Route.
    6. Di Awalan Alamat, tambahkan awalan alamat untuk alamat IPv6 yang digunakan di jaringan lokal Anda.
    7. Pada tab Tindakan, konfigurasikan opsi berikut:
       • Dalam daftar Tindakan, pilih Izinkan.
       • Di Next Hop, masukkan alamat next hop IPv6 yang ditetapkan ke peer BGP saat Anda membuat tunnel. Contoh, 2600:2D00:0:2::2.
    8. Klik OK.
    9. Ulangi prosedur ini untuk grup peer BGP yang digunakan oleh tunnel IPv6 kedua, tetapi ganti nilai yang sesuai untuk kolom berikut:
       • Pada dialog Export Rule, masukkan nama unik di kolom Rules. Contoh, havpn-tunnel2-v6.
       • Di panel Used By, klik Tambahkan untuk menambahkan grup peer BGP yang Anda buat untuk tunnel IPv6 kedua. Contohnya, havpn-bgp-v6-tunnel1
    10. Pada tab Tindakan, konfigurasikan kolom Next Hop, masukkan alamat next hop IPv6 yang ditetapkan ke peer BGP untuk tunnel ini. Contoh, 2600:2D00:0:3::3.