このページでは、Cloud VPN を使用して IPv4 と IPv6 のトラフィック(デュアルスタック トラフィック)をサポートするようにサードパーティ VPN デバイスを構成する手順について説明します。
Cloud VPN トンネルでデュアルスタック トラフィックを送受信するには、IPv6 ネクストホップ アドレスを持つピア VPN ゲートウェイ デバイスを構成する必要があります。デュアルスタック HA VPN トンネルでは、リンクローカル IPv4 アドレスで構成された MP-BGP を使用する BGP セッションで、IPv4 と IPv6 の両方のルート交換が行われます。Cloud Router とピア VPN デバイスの両方に、IPv6 トラフィックを Virtual Private Cloud とピア ネットワークに転送するための IPv6 ネクストホップ構成が必要です。
デュアルスタック構成は、HA VPN ゲートウェイのみがサポートします。Classic VPN は IPv6 をサポートしていません。また、HA VPN トンネルに IKE v2 を使用するように、ピア VPN デバイスを構成する必要があります。
デュアルスタック トラフィックに対するサードパーティ VPN サポート
次の表に、IPsec トンネルを介したデュアルスタック トラフィックに対するサードパーティ VPN デバイスのサポートの概要を示します。
| ベンダー プラットフォーム | デュアルスタック構成の テスト済みバージョン |
IPv4 IPsec トンネルを介した IPv6 トラフィック | デュアルスタック アドレス ファミリー | デュアルスタック トラフィックの相互運用構成 |
|---|---|---|---|---|
| Cisco IOS/IOS-XE | なし | 非対応 | 非対応 | GRE トンネルと仮想ルーターを使用して、GRE 経由で IPsec トラフィックを伝送します。 |
| Check Point | なし | 非対応 | 非対応 | GRE トンネルと仮想ルーターを使用して、GRE 経由で IPsec トラフィックを伝送します。 |
| Juniper JunOS | 20.2R3-S2.5 | 対応 | 対応 | IPv4 と IPv6 の両方のトラフィックを伝送できる HA VPN トンネルをサポートします。 |
| Palo Alto Networks PAN-OS | 9.1 | 対応 | 非対応 | IPv4 トラフィックまたは IPv6 トラフィックのいずれかに、別々の HA VPN トンネルを構成する必要があります。両方を構成する必要はありません。 |
Juniper JunOS
次の手順では、HA VPN トンネルで IPv4 と IPv6 のトラフィックをサポートする Juniper JunOS VPN デバイスを設定します。
IPv6 アドレスはデバイスのトンネル インターフェースで構成しますが、その IPv6 アドレスは IPv6 ネクストホップ構成にのみ使用されます。IPv6 ルートは、IPv6 NLRI over IPv4 の BGP ピアリングを介してアドバタイズされます。
始める前に
Google Cloud で、1 つのデュアルスタック HA VPN ゲートウェイと 2 つの HA VPN トンネルを設定します。両方の HA VPN トンネルが IPv4 トラフィックと IPv6 トラフィックを伝送します。
Google Cloud が 2 つの HA VPN ゲートウェイ インターフェースに割り振る 2 つの外部 IPv4 アドレスを記録します。
各トンネルについて次の構成値を記録します。
- BGP ピア(Juniper JunOS デバイス)のリンクローカル IPv4 アドレス
- BGP ピアリングに使用される Cloud Router のリンクローカル IPv4 アドレス
- ピアに割り振られた IPv6 ネクストホップ アドレスまたは
peerIpv6NexthopAddress - BGP セッション用に Cloud Router に割り当てた ASN
- BGP ピア(Juniper JunOS デバイス)に割り当てた ASN
- 事前共有キー
BGP セッション構成の詳細については、BGP セッション構成の表示をご覧ください。
JunOS を構成する
JunOS デバイスを構成する手順は次のとおりです。
VPN トンネル インターフェースごとに、Cloud Router から取得した BGP ピア IPv6 ネクストホップ アドレスを構成します。これらのインターフェースは、IPv4 ピアリング用にリンクローカル アドレスを割り振ったインターフェースと同じです。
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address PEER_BGP_IP_1 set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address PEER_BGP_IP_2 set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
次の値を置き換えます。
PEER_BGP_IP_1: 最初のトンネル インターフェースに対するピアの BGP IPv4 アドレス(サブネット マスク付き)PEER_IPV6_NEXT_HOP_ADDRESS_1: 最初のトンネル インターフェースに対するピアの IPv6 ネクストホップ アドレス(サブネット マスク付き)PEER_BGP_IP_2: 2 番目のトンネル インターフェースに対するピアの BGP IPv4 アドレス(サブネット マスク付き)PEER_IPV6_NEXT_HOP_ADDRESS_2: 2 番目のトンネル インターフェースのピアに対する IPv6 ネクストホップ アドレス(サブネット マスク付き)
例:
set interfaces st0 unit 1 family inet mtu 1460 set interfaces st0 unit 1 family inet address 169.254.0.2/30 set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125 set interfaces st0 unit 2 family inet mtu 1460 set interfaces st0 unit 2 family inet address 169.254.1.2/30 set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
IKE プロポーザル、IKE ポリシー、IKE ゲートウェイ オブジェクトを構成します。
# IKE proposal set security ike proposal ike_prop authentication-method pre-shared-keys set security ike proposal ike_prop dh-group group2 set security ike proposal ike_prop authentication-algorithm sha-256 set security ike proposal ike_prop encryption-algorithm aes-256-cbc set security ike proposal ike_prop lifetime-seconds 36000 # IKE policy set security ike policy ike_pol mode main set security ike policy ike_pol proposals ike_prop set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET # IKE gateway objects set security ike gateway gw1 ike-policy ike_pol set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0 set security ike gateway gw1 local-identity inet 142.215.100.60 set security ike gateway gw1 external-interface ge-0/0/0 set security ike gateway gw1 version v2-only set security ike gateway gw2 ike-policy ike_pol set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1 set security ike gateway gw2 local-identity inet 142.215.100.60 set security ike gateway gw2 external-interface ge-0/0/0 set security ike gateway gw2 version v2-only
次の値を置き換えます。
HA_VPN_INTERFACE_ADDRESS_0: HA VPN ゲートウェイの最初のトンネル インターフェースの外部 IPv4 アドレスHA_VPN_INTERFACE_ADDRESS_1: HA VPN ゲートウェイの 2 番目のトンネル インターフェースの外部 IPv4 アドレスSHARED_SECRET: HA VPN トンネルに構成した事前共有キー
IPsec のプロポーザルと IPsec ポリシーを構成します。例:
set security ipsec proposal ipsec_prop protocol esp set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96 set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc set security ipsec proposal ipsec_prop lifetime-seconds 10800
IPsec VPN ゲートウェイを構成し、トンネル インターフェースにバインドします。例:
set security ipsec vpn vpn1 bind-interface st0.1 set security ipsec vpn vpn1 ike gateway gw1 set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol set security ipsec vpn vpn1 establish-tunnels immediately set security ipsec vpn vpn2 bind-interface st0.2 set security ipsec vpn vpn2 ike gateway gw2 set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol set security ipsec vpn vpn2 establish-tunnels immediately
IPv6 ピアのネクストホップを IPv6 ネクストホップ アドレスに変更するポリシー ステートメントを作成します。
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
次の値を置き換えます。
PEER_IPV6_NEXT_HOP_ADDRESS_1: 最初のトンネルの BGP ピアの IPv6 ネクストホップ アドレスPEER_IPV6_NEXT_HOP_ADDRESS_2: 2 番目のトンネルの BGP ピアの IPv6 ネクストホップ アドレス
例:
set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2 set policy-options policy-statement set-v6-next-hop-1 term 1 then accept set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6 set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2 set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
IPv6 ルート交換用に BGP を構成します。
BGP を構成する際は、ネクストホップ属性をピアに送信するように
include-mp-next-hopステートメントを指定する必要があります。次に、前の手順で定義したポリシー ステートメントをエクスポートして、ネクストホップを IPv6 アドレスに変更します。
set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as ROUTER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address ROUTER_IP_2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as ROUTER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
次の値を置き換えます。
ROUTER_BGP_IP_1: 最初のトンネルの Cloud Router に割り振られた IPv4 アドレスROUTER_BGP_IP_2: 2 番目のトンネルの Cloud Router に割り振られた IPv4 アドレスROUTER_ASN: BGP セッション用に Cloud Router に割り当てた ASNPEER_ASN: BGP ピア(Juniper JunOS デバイス)に割り当てた ASN。
次の例では、太字のテキストで
include-mp-next-hopステートメントとexportステートメントを示します。set protocols bgp group vpn family inet unicast set protocols bgp group vpn family inet6 unicast set protocols bgp group vpn peer-as 16550 set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1 set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010 set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120 set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop set protocols bgp group vpn2 type external set protocols bgp group vpn2 local-address 169.254.1.2 set protocols bgp group vpn2 family inet unicast set protocols bgp group vpn2 family inet6 unicast set protocols bgp group vpn2 peer-as 16550 set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2 set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010 set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120 set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
BGP 接続を確認します。
show route protocol bgp
Palo Alto Networks PAN-OS
このセクションでは、HA VPN トンネルで IPv4 トラフィックと IPv6 トラフィックをサポートするように Palo Alto Networks PAN-OS デバイスを設定する方法について説明します。
PAN-OS は、IPv4 を介した IPv6 トラフィックの転送をサポートします。ただし、PAN-OS でデュアルスタック アドレス ファミリーはサポートされません。そのため、IPv4 トラフィックまたは IPv6 トラフィックのいずれかを伝送する別個の VPN トンネルを設定する必要があります。
VPN で使用する PAN-OS デバイスの構成については、Palo Alto PAN OS VPN のドキュメントをご覧ください。
始める前に
Google Cloud で、2 つの HA VPN ゲートウェイと 4 つの HA VPN トンネルを設定します。トンネルの 2 つは IPv6 トラフィック用、2 つは IPv4 トラフィック用です。
IPv4 トラフィック用に HA VPN ゲートウェイとトンネルを作成します。以下のものを作成します。
- IPv4 のみのスタックタイプを使用する HA VPN ゲートウェイを 1 つ
- IPv4 トラフィックを伝送できる VPN トンネルを 2 つ
IPv6 トラフィック用に HA VPN ゲートウェイとトンネルを作成します。以下のものを作成します。
- IPv4 と IPv6(デュアルスタック)のスタックタイプを使用する HA VPN ゲートウェイを 1 つ
- IPv6 トラフィックを伝送できる VPN トンネルを 2 つ
- IPv6 トンネルの BGP セッションで IPv6 を有効にします。
Google Cloud が各 HA VPN ゲートウェイ インターフェースに割り振る外部 IPv4 アドレスを記録します。
各トンネルについて次の構成値を記録します。
- BGP ピアのリンクローカル IPv4 アドレス(BGP セッションの PAN-OS 側)
- BGP ピアリングに使用される Cloud Router のリンクローカル IPv4 アドレス
- BGP ピア(PAN-OS デバイス)に割り当てた ASN
- BGP セッション用に Cloud Router に割り当てた ASN
- 事前共有キー
IPv6 トンネルごとに、BGP ピアに割り振られる IPv6 ネクストホップ アドレスである
peerIpv6NexthopAddressもメモします。このアドレスは、Google Cloud で自動的に割り振れているか、VPN トンネルの作成時に手動で指定しています。
BGP セッション構成の詳細については、BGP セッション構成の表示をご覧ください。
PAN-OS を構成する
Palo Alto Networks デバイスを構成するには、PAN-OS ウェブ インターフェースで次の操作を行います。
IPv6 ファイアウォールを有効にします。
- [Device] > [Setup] > [Session Settings] の順に選択します。
- [Enable IPv6 firewalling] を選択します。
IPv4 と IPv6 のループバック インターフェースを作成します。
- [Network] > [Interfaces] > [Loopback interface] を選択し、新しいループバックを作成します。
- ループバック インターフェースを作成します。例:
loopback.10。 - [Config] タブで、[Virtual Router] を
externalに、[Security Zone] をZONE_EXTERNALに設定します。 - [IPv4] タブで、オンプレミス ネットワークに適した IPv4 アドレス範囲をループバック インターフェースに割り振ります。
- [IPv6] タブで [Enable IPv6 on the interface] を選択し、オンプレミス ネットワークに適した IPv6 アドレス範囲を追加します。
- [Advanced] タブで、ループバック インターフェースの管理プロファイルを指定します。指定したプロファイルで ping が許可されていることを確認します。これにより、接続を確認できます。
IKE ゲートウェイ トンネルを 4 つ、IPv6 トラフィック用にトンネルを 2 つ、IPv4 トラフィック用にトンネルを 2 つ作成します。各トンネルは、HA VPN ゲートウェイのインターフェースに接続します。
- IPv6 トラフィック用にトンネルを 2 つ作成します。
- [Network] > [Interfaces] > [Tunnel] の順に選択して、新しいトンネルを作成します。
- 最初のトンネルの名前を指定します。例:
tunnel.1。 - [Config] タブで、[Virtual Router] を
externalに、[Security Zone] をZONE_EXTERNALに設定します。 - [IPv4] タブで、HA VPN 用の VPN トンネルの作成時に設定した BGP ピアのリンクローカル アドレスを指定します。例:
169.254.0.2/30。 - [IPv6] タブで [Enable IPv6 on the interface] を選択し、BGP ピア用に構成された IPv6 ネクストホップ アドレスを指定します。例:
2600:2D00:0:2::2/125。 - [Advanced] タブで [MTU] を
1460に設定します。 - 2 番目のトンネルに、この手順を繰り返します。例:
tunnel.2。[IPv4] タブと [IPv6] タブで、BGP ピアと IPv6 ネクストホップのフィールドに適切な値を指定します。デュアルスタック HA VPN の 2 番目のトンネルに一致する値を使用します。たとえば、169.254.1.2/30や2600:2D00:0:3::3/125です。
- IPv4 トラフィック用にトンネルを 2 つ作成します。
- [Network] > [Interfaces] > [Tunnel] の順に選択して、新しいトンネルを作成します。
- 3 つ目のトンネルの名前を指定します。例:
tunnel.3。 - [Config] タブで、[Virtual Router] を
externalに、[Security Zone] をZONE_EXTERNALに設定します。 - [IPv4] タブで、HA VPN 用の VPN トンネルの作成時に設定した BGP ピアのリンクローカル アドレスを指定します。例:
169.254.2.2/30。 - [IPv6] タブの構成はスキップします。
- [Advanced] タブで [MTU] を
1460に設定します。 - 4 つ目のトンネルに、この手順を繰り返します。例:
tunnel.4。[IPv4] タブで、IPv4 専用 HA VPN の 2 番目のトンネルと一致する BGP ピアに適切な値を指定します。例:169.254.3.2/30。
- IPv6 トラフィック用にトンネルを 2 つ作成します。
IPsec 暗号プロファイルを作成します。
- [Network] > [IPSec Crypto] を選択し、新しいプロファイルを作成します。
- 次のフィールドに値を入力します。
- Name: プロファイル名を入力します。例:
ha-vpn。 - IPSec Protocol: [ESP] を選択します。
- Encryption: サポートされている IKE の暗号を追加します。
- Authentication: ハッシュ関数を指定します。例:
sha512。 - DH group: DH グループを選択します。例: group14。
- Lifetime: [Hours] を選択して「
3」と入力します。
- Name: プロファイル名を入力します。例:
- [OK] をクリックします。
IKE 暗号プロファイルを作成します。
- [Network] > [IKE Crypto] を選択します。
- 次のフィールドに値を入力します。
- Name: プロファイル名を入力します。例:
ha-vpn。 - DH group: IPSec 暗号プロファイルに選択した DH グループがリストに表示されていることを確認します。
- Authentication: ハッシュ関数を指定します。例:
sha512。 - Encryption: サポートされている IKE の暗号を追加します。
- Name: プロファイル名を入力します。例:
- [Timers] ペインで、[Key Lifetime] に [Hours] を選択し、「
10」と入力します。 - [OK] をクリックします。
4 つの IKE トンネルを作成した後、トンネルごとに 1 つずつ、合計 4 つの IKE ゲートウェイを作成します。
- [Network] > [IKE Gateways] を選択し、新しいゲートウェイを作成します。
- [General] タブで、次のフィールドに値を入力します。
- Name: 最初のトンネルの IKE ゲートウェイの名前。例:
havpn-v6-tunnel1。 - Version:
IKEv2 only modeを選択します。 - Address type:
IPv4を選択します。 - Interface: この手順の始めに作成したループバック インターフェースを指定します。例:
loopback.10。 - Local IP Address: お使いのオンプレミス ネットワークに適した IPv4 アドレス範囲を指定します。
- Peer IP Address Type:
IPを選択します。 - Peer Address: トンネルの最初の HA VPN インターフェースの外部 IPv4 アドレスを指定します。
- Authentication:
Pre-Shared Keyを選択します。 - Pre-shared Key、Confirm Pre-Shared Key: トンネル用に Google Cloud で構成した共有シークレットを入力します。
- Local Identification: [IP address] を選択し、お使いのオンプレミス ネットワークに適した IPv4 アドレスを指定します。
- Peer Identification: [IP address] を選択し、トンネルの HA VPN インターフェースの外部 IPv4 アドレスを選択します。
- Name: 最初のトンネルの IKE ゲートウェイの名前。例:
- [Advanced Options] タブを選択します。
- [IKE Crypto Profile] に、上で作成したプロファイルを選択します。例:
ha-vpn。 - [Liveness Check] を有効にし、[Interval (sec)] に「
5」と入力します。 - [OK] をクリックします。
- 他の 3 つのトンネルでも同じ手順を繰り返します。ただし、次のフィールドには適切な値を使用します。
- Name: トンネルの IKE ゲートウェイの名前。例:
havpn-v6-tunnel2、havpn-v4-tunnel1、またはhavpn-v4-tunnel2 - Local IP Address / Local Identification: お使いのオンプレミス ネットワークに適した未使用の IPv4 アドレスを指定します。
- Peer Address / Peer Identification: トンネルの一致する HA VPN インターフェースの外部 IPv4 アドレスを指定します。
- Pre-shared Key: トンネル用に構成された共有シークレットを指定します。
- Name: トンネルの IKE ゲートウェイの名前。例:
4 つの IPsec トンネルを作成します。
- [Network] > [IPSec Tunnels] を選択し、新しいトンネルを作成します。
- 次のフィールドに値を入力します。
- Name: トンネルの一意の名前。例:
hapvpn-tunnel-1。 - Tunnel Interface: 上の手順で作成した IKE ゲートウェイ トンネルのトンネル インターフェースを選択します。例:
tunnel.1。 - Type: [Auto Key] を選択します。
- Address Type: [IPv4] を選択します。
- IKE Gateway: 上の手順で作成した IKE ゲートウェイを選択します。例:
havpn-v6-tunnel。 - IPSec Crypto Profile: 上で作成したプロファイルを選択します。例:
ha-vpn
- Name: トンネルの一意の名前。例:
- プロキシ ID を構成しないでください。
- [OK] をクリックします。
- 他の 3 つのトンネルでも同じ手順を繰り返します。ただし、次のフィールドには適切な値を使用します。
- Name: IPsec トンネルの一意の名前。例:
havpn-tunnel2、havpn-tunnel3、またはhavpn-tunnel4 - Tunnel Interface: 上の手順で作成した IKE ゲートウェイ トンネルの未使用のトンネル インターフェースを選択します。例:
tunnel.2、tunnel.3、tunnel.4。 - IKE Gateway: 上の手順で作成した IKE ゲートウェイを選択します。例:
havpn-v6-tunnel2、havpn-v4-tunnel1、またはhavpn-v4-tunnel2
- Name: IPsec トンネルの一意の名前。例:
(省略可)ECMP を構成します。
- [Network] > [Virtual Routers] > ROUTER_NAME > Router Settings > [ECMP] の順に選択します。
- [ECMP] タブで [Enable] を選択します。
- [OK] をクリックします。
BGP を構成します。
- [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] の順に選択します。
- [General] タブで、[Enable] を選択します。
- [Router ID] フィールドに、BGP ピアに割り当てられたリンクローカル IPv4 アドレス(BGP ピアの PAN-OS 側)を入力します。
- [AS Number] フィールドに、BGP セッションの PAN-OS 側の ASN を入力します。
- [Options] に [Install Route] が選択されていることを確認します。
- [OK] をクリックします。
IPv6 トンネルごとに 1 つの BGP ピアを持つ BGP ピアグループを作成します。トンネルごとに異なる IPv6 ネクストホップ アドレスを構成できるように、IPv6 トンネルごとに個別の BGP ピアグループを作成します。
- [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Peer Group] の順に選択します。
- [Peer Group] タブで、最初の IPv6 トンネル用の新しいピアグループを作成します。
- [Name] フィールドに、ピアグループの名前を入力します。例:
havpn-bgp-v6-tunnel1。 - [Enable] を選択します。
- [Aggregated Confed AS Path] を選択します。
- [Type] リストで、[EBGP] を選択します。
- [Import Next Hop] に [Original] を選択します。
- [Export Next Hop] に [Resolve] を選択します。
- [Remove Private AS] を選択します。
- [Peer] ペインで、
[Add] をクリックして、BGP ピアグループにピアを追加します。 - [Peer] ダイアログで、次の値を入力します。
- Name: ピアの名前。例:
havpn-v6-tunnel1。 - [Enable] を選択します。
- Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
- [Addressing] タブで、次のオプションを構成します。
- [Enable MP-BGP Extensions] を選択します。
- [Address Family Type] で [IPv6] を選択します。
- [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した最初のトンネルを選択します。例:
tunnel.1。 - [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例:
169.254.0.2./30。 - [Peer Address] で、[Type] に [IP] を選択します。
- [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例:
169.254.0.1。
- [OK] をクリックします。
- Name: ピアの名前。例:
- ピアの追加が完了したら、[OK] をクリックします。
- 他の IPv6 トンネルでも同じ手順を繰り返します。ただし、次のフィールドは適切な値に置き換えます。
- Name: BGP ピアグループの一意の名前。例:
havpn-bgp-v6-tunnel2 - [Peer] ダイアログで、次のフィールドにトンネルの適切な値を入力します。
- Name: ピアの名前。例:
havpn-v6-tunnel1。 - [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 2 番目のトンネルを選択します。例:
tunnel.2。 - [IP] で、2 番目のトンネルの BGP ピアのリンクローカル IPv4 アドレスを選択します。例:
169.254.1.2./30。 - [Peer Address] で、[Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例:
169.254.1.1。
- Name: ピアの名前。例:
- Name: BGP ピアグループの一意の名前。例:
IPv4 トンネルの BGP ピアグループを作成します。
- [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Peer Group] の順に選択します。
- [Peer Group] タブで、IPv4 トンネルの新しいピアグループを作成します。
- [Name] フィールドに、ピアグループの名前を入力します。例:
havpn-bgp-v4。 - [Enable] を選択します。
- [Aggregated Confed AS Path] を選択します。
- [Type] リストで、[EBGP] を選択します。
- [Import Next Hop] に [Original] を選択します。
- [Export Next Hop] に [Resolve] を選択します。
- [Remove Private AS] を選択します。
- [Peer] ペインで、 [Add] をクリックして、BGP ピアグループにピアを追加します。
- [Peer] ダイアログで、次の値を入力します。
- Name: ピアの名前を入力します。例:
havpn-v4-tunnel1。 - [Enable] を選択します。
- Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
- [Addressing] タブで、次のオプションを構成します。
- [Enable MP-BGP Extensions] は選択しないでください。
- [Address Family Type] に [
IPv4] を選択します。 - [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 3 つ目のトンネルを選択します。例:
tunnel.3。 - [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例:
169.254.2.2./30。 - [Peer Address] で、[Type] に [
IP] を選択します。 - [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例:
169.254.2.1。
- [OK] をクリックします。
- Name: ピアの名前を入力します。例:
- [Peer] ペインで、 [Add] をクリックして、2 番目のピアを BGP ピアグループに追加します。
- [Peer] ダイアログで、次の値を入力します。
- Name: ピアの名前を入力します。例:
havpn-v4-tunnel2。 - [Enable] を選択します。
- Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
- [Addressing] タブで、次のオプションを構成します。
- [Enable MP-BGP Extensions] は選択しないでください。
- [Address Family Type] で [IPv4] を選択します。
- [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 4 つ目のトンネルを選択します。例:
tunnel.4。 - [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例:
169.254.3.2./30。 - [Peer Address] で、[Type] に [IP] を選択します。
- [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例:
169.254.3.1。
- Name: ピアの名前を入力します。例:
- [OK] をクリックします。
- 両方のピアの追加が完了したら、[OK] をクリックします。
IPv6 トンネルの BGP ピアグループに BGP 構成ルールをエクスポートします。この手順では、異なる IPv6 ネクストホップ アドレスをトンネルに割り当てることができます。
- [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Export] の順に選択します。
- [Export Rule] ダイアログで、[Rules] フィールドに名前を入力します。例:
havpn-tunnel1-v6。 - [Enable] を選択します。
- [Used By] ペインで、 [Add] をクリックして、最初の IPv6 トンネル用に作成した BGP ピアグループを追加します。例:
havpn-bgp-v6-tunnel1。 - [Match] タブの [Route Table] リストで、[Unicast] を選択します。
- [Address Prefix] に、お使いのオンプレミス ネットワークで使用されている IPv6 アドレスのアドレス プレフィックスを追加します。
- [Action] タブで、次のオプションを構成します。
- [Action] リストで、[Allow] を選択します。
- [Next Hop] に、トンネルの作成時に BGP ピアに割り振られた IPv6 ネクストホップ アドレスを入力します。例:
2600:2D00:0:2::2。
- [OK] をクリックします。
- 2 番目第二の IPv6 トンネルで使用される BGP ピアグループにこの手順を繰り返します。ただし、次のフィールドは適切な値に置き換えます。
- [Export Rule] ダイアログで、[Rules] フィールドに一意の名前を入力します。例:
havpn-tunnel2-v6。 - [Used By] ペインで、 [Add] をクリックして、2 番目の IPv6 トンネル用に作成した BGP ピアグループを追加します。例:
havpn-bgp-v6-tunnel1。
- [Export Rule] ダイアログで、[Rules] フィールドに一意の名前を入力します。例:
- [Action] タブで [Next Hop] フィールドを構成し、このトンネルの BGP ピアに割り振られた IPv6 ネクストホップ アドレスを入力します。例:
2600:2D00:0:3::3。