IPv4 トラフィックと IPv6 トラフィックに対応するサードパーティ VPN を設定する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページでは、Cloud VPN を使用して IPv4 と IPv6 のトラフィック(デュアルスタック トラフィック)をサポートするようにサードパーティ VPN デバイスを構成する手順について説明します。

Cloud VPN トンネルでデュアルスタック トラフィックを送受信するには、IPv6 ネクストホップ アドレスを持つピア VPN ゲートウェイ デバイスを構成する必要があります。デュアルスタック HA VPN トンネルでは、リンクローカル IPv4 アドレスで構成されたマルチプロトコル BGP(MP-BGP)セッションを介して IPv6 プレフィックス交換が行われます。Cloud Router とピア VPN デバイスの両方に、IPv6 トラフィックを Virtual Private Cloud とピア ネットワークに転送するための IPv6 ネクストホップ構成が必要です。

デュアルスタック構成は、HA VPN ゲートウェイのみがサポートします。Classic VPN は IPv6 をサポートしていません。また、HA VPN トンネルに IKE v2 を使用するように、ピア VPN デバイスを構成する必要があります。

デュアルスタック トラフィックに対するサードパーティ VPN サポート

次の表に、IPsec トンネルを介したデュアルスタック トラフィックに対するサードパーティ VPN デバイスのサポートの概要を示します。

ベンダー プラットフォーム デュアルスタック構成の
テスト済みバージョン
IPv4 IPsec トンネルを介した IPv6 トラフィック デュアルスタック アドレス ファミリー デュアルスタック トラフィックの相互運用構成
Cisco IOS/IOS-XE なし 非対応 非対応 GRE トンネルと仮想ルーターを使用して、GRE 経由で IPsec トラフィックを伝送します。
Check Point なし 非対応 非対応 GRE トンネルと仮想ルーターを使用して、GRE 経由で IPsec トラフィックを伝送します。
Juniper JunOS 20.2R3-S2.5 対応 対応 IPv4 と IPv6 の両方のトラフィックを伝送できる HA VPN トンネルをサポートします。
Palo Alto Networks PAN-OS 9.1 対応 対応 IPv4 トラフィックまたは IPv6 トラフィックのいずれかに、別々の HA VPN トンネルを構成する必要があります。両方を構成する必要はありません。

Juniper JunOS

次の手順では、HA VPN トンネルで IPv4 と IPv6 のトラフィックをサポートする Juniper JunOS VPN デバイスを設定します。

IPv6 アドレスはデバイスのトンネル インターフェースで構成しますが、その IPv6 アドレスは IPv6 ネクストホップ構成にのみ使用されます。IPv6 ルートは、IPv6 NLRI over IPv4 の BGP ピアリングを介してアドバタイズされます。

始める前に

Google Cloud で、1 つのデュアルスタック HA VPN ゲートウェイと 2 つの HA VPN トンネルを設定します。両方の HA VPN トンネルが IPv4 トラフィックと IPv6 トラフィックを伝送します。

Google Cloud が 2 つの HA VPN ゲートウェイ インターフェースに割り振る 2 つの外部 IPv4 アドレスを記録します。

各トンネルについて次の構成値を記録します。

  • BGP ピア(Juniper JunOS デバイス)のリンクローカル IPv4 アドレス
  • BGP ピアリングに使用される Cloud Router のリンクローカル IPv4 アドレス
  • ピアに割り振られた IPv6 ネクストホップ アドレスまたは peerIpv6NexthopAddress
  • BGP セッション用に Cloud Router に割り当てた ASN
  • BGP ピア(Juniper JunOS デバイス)に割り当てた ASN
  • 事前共有キー

BGP セッション構成の詳細については、BGP セッション構成の表示をご覧ください。

JunOS を構成する

JunOS デバイスを構成する手順は次のとおりです。

  1. VPN トンネル インターフェースごとに、Cloud Router から取得した BGP ピア IPv6 ネクストホップ アドレスを構成します。これらのインターフェースは、IPv4 ピアリング用にリンクローカル アドレスを割り振ったインターフェースと同じです。

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
    set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
    set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
    

    次の値を置き換えます。

    • PEER_BGP_IP_1: 最初のトンネル インターフェースに対するピアの BGP IP アドレス(サブネット マスク付き)
    • PEER_IPV6_NEXT_HOP_ADDRESS_1: 最初のトンネル インターフェースに対するピアの IPv6 ネクストホップ アドレス(サブネット マスク付き)
    • PEER_BGP_IP_2: 2 番目のトンネル インターフェースに対するピアの BGP IP アドレス(サブネット マスク付き)
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: 2 番目のトンネル インターフェースのピアに対する IPv6 ネクストホップ アドレス(サブネット マスク付き)

    例:

    set interfaces st0 unit 1 family inet mtu 1460
    set interfaces st0 unit 1 family inet address 169.254.0.2/30
    set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
    set interfaces st0 unit 2 family inet mtu 1460
    set interfaces st0 unit 2 family inet address 169.254.1.2/30
    set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
    
  2. IKE プロポーザル、IKE ポリシー、IKE ゲートウェイ オブジェクトを構成します。

    # IKE proposal
    set security ike proposal ike_prop authentication-method pre-shared-keys
    set security ike proposal ike_prop dh-group group2
    set security ike proposal ike_prop authentication-algorithm sha-256
    set security ike proposal ike_prop encryption-algorithm aes-256-cbc
    set security ike proposal ike_prop lifetime-seconds 36000
    
    # IKE policy
    set security ike policy ike_pol mode main
    set security ike policy ike_pol proposals ike_prop
    set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET
    
    # IKE gateway objects
    set security ike gateway gw1 ike-policy ike_pol
    set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
    set security ike gateway gw1 local-identity inet 142.215.100.60
    set security ike gateway gw1 external-interface ge-0/0/0
    set security ike gateway gw1 version v2-only
    set security ike gateway gw2 ike-policy ike_pol
    set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
    set security ike gateway gw2 local-identity inet 142.215.100.60
    set security ike gateway gw2 external-interface ge-0/0/0
    set security ike gateway gw2 version v2-only
    

    次の値を置き換えます。

    • HA_VPN_INTERFACE_ADDRESS_0: HA VPN ゲートウェイの最初のトンネル インターフェースの外部 IPv4 アドレス
    • HA_VPN_INTERFACE_ADDRESS_1: HA VPN ゲートウェイの 2 番目のトンネル インターフェースの外部 IPv4 アドレス
    • SHARED_SECRET: HA VPN トンネルに構成した事前共有キー
  3. IPsec のプロポーザルと IPsec ポリシーを構成します。例:

    set security ipsec proposal ipsec_prop protocol esp
    set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
    set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
    set security ipsec proposal ipsec_prop lifetime-seconds 10800
    

  4. IPsec VPN ゲートウェイを構成し、トンネル インターフェースにバインドします。例:

    set security ipsec vpn vpn1 bind-interface st0.1
    set security ipsec vpn vpn1 ike gateway gw1
    set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn1 establish-tunnels immediately
    set security ipsec vpn vpn2 bind-interface st0.2
    set security ipsec vpn vpn2 ike gateway gw2
    set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
    set security ipsec vpn vpn2 establish-tunnels immediately
    
  5. IPv6 ピアのネクストホップを IPv6 ネクストホップ アドレスに変更するポリシー ステートメントを作成します。

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

    次の値を置き換えます。

    • PEER_IPV6_NEXT_HOP_ADDRESS_1: 最初のトンネルの BGP ピアの IPv6 ネクストホップ アドレス
    • PEER_IPV6_NEXT_HOP_ADDRESS_2: 2 番目のトンネルの BGP ピアの IPv6 ネクストホップ アドレス

    例:

    set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
    set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
    set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
    set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
    set policy-options policy-statement set-v6-next-hop-2 term 1 then accept
    

  6. IPv6 ルート交換用に BGP を構成します。

    BGP を構成する際は、ネクストホップ属性をピアに送信するように include-mp-next-hop ステートメントを指定する必要があります。

    次に、前の手順で定義したポリシー ステートメントをエクスポートして、ネクストホップを IPv6 アドレスに変更します。

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as ROUTER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address ROUTER_IP_2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as ROUTER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop
    

    次の値を置き換えます。

    • ROUTER_BGP_IP_1: 最初のトンネルの Cloud Router に割り振られた IPv4 アドレス
    • ROUTER_BGP_IP_2: 2 番目のトンネルの Cloud Router に割り振られた IPv4 アドレス
    • ROUTER_ASN: BGP セッション用に Cloud Router に割り当てた ASN
    • PEER_ASN: BGP ピア(Juniper JunOS デバイス)に割り当てた ASN。

    次の例では、太字のテキストで include-mp-next-hop ステートメントと export ステートメントを示します。

    set protocols bgp group vpn family inet unicast
    set protocols bgp group vpn family inet6 unicast
    set protocols bgp group vpn peer-as 16550
    set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
    set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
    set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
    set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
    set protocols bgp group vpn2 type external
    set protocols bgp group vpn2 local-address 169.254.1.2
    set protocols bgp group vpn2 family inet unicast
    set protocols bgp group vpn2 family inet6 unicast
    set protocols bgp group vpn2 peer-as 16550
    set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
    set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
    set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
    set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop
    

  7. BGP 接続を確認します。

    show route protocol bgp
    

Palo Alto Networks PAN-OS

このセクションでは、HA VPN トンネルで IPv4 トラフィックと IPv6 トラフィックをサポートするように Palo Alto Networks PAN-OS デバイスを設定する方法について説明します。

PAN-OS は、IPv4 を介した IPv6 トラフィックの転送をサポートします。ただし、PAN-OS でデュアルスタック アドレス ファミリーはサポートされません。そのため、IPv4 トラフィックまたは IPv6 トラフィックのいずれかを伝送する別個の VPN トンネルを設定する必要があります。

VPN で使用する PAN-OS デバイスの構成については、Palo Alto PAN OS VPN のドキュメントをご覧ください。

始める前に

Google Cloud で、2 つの HA VPN ゲートウェイと 4 つの HA VPN トンネルを設定します。トンネルの 2 つは IPv6 トラフィック用、2 つは IPv4 トラフィック用です。

  1. IPv4 トラフィック用に HA VPN ゲートウェイとトンネルを作成します。以下のものを作成します。

    • IPv4 のみのスタックタイプを使用する HA VPN ゲートウェイを 1 つ
    • IPv4 トラフィックを伝送できる VPN トンネルを 2 つ
  2. IPv6 トラフィック用に HA VPN ゲートウェイとトンネルを作成します。以下のものを作成します。

    • IPv4 と IPv6(デュアルスタック)のスタックタイプを使用する HA VPN ゲートウェイを 1 つ
    • IPv6 トラフィックを伝送できる VPN トンネルを 2 つ
    • IPv6 トンネルの BGP セッションで IPv6 を有効にします。
  3. Google Cloud が各 HA VPN ゲートウェイ インターフェースに割り振る外部 IPv4 アドレスを記録します。

  4. 各トンネルについて次の構成値を記録します。

    • BGP ピアのリンクローカル IPv4 アドレス(BGP セッションの PAN-OS 側)
    • BGP ピアリングに使用される Cloud Router のリンクローカル IPv4 アドレス
    • BGP ピア(PAN-OS デバイス)に割り当てた ASN
    • BGP セッション用に Cloud Router に割り当てた ASN
    • 事前共有キー
  5. IPv6 トンネルごとに、BGP ピアに割り振られる IPv6 ネクストホップ アドレスである peerIpv6NexthopAddress もメモします。このアドレスは、Google Cloud で自動的に割り振れているか、VPN トンネルの作成時に手動で指定しています。

BGP セッション構成の詳細については、BGP セッション構成の表示をご覧ください。

PAN-OS を構成する

Palo Alto Networks デバイスを構成するには、PAN-OS ウェブ インターフェースで次の操作を行います。

  1. IPv6 ファイアウォールを有効にします。

    1. [Device] > [Setup] > [Session Settings] の順に選択します。
    2. [Enable IPv6 firewalling] を選択します。
  2. IPv4 と IPv6 のループバック インターフェースを作成します。

    1. [Network] > [Interfaces] > [Loopback interface] を選択し、新しいループバックを作成します。
    2. ループバック インターフェースを作成します。例: loopback.10
    3. [Config] タブで、[Virtual Router] を external に、[Security Zone] を ZONE_EXTERNAL に設定します。
    4. [IPv4] タブで、オンプレミス ネットワークに適した IPv4 アドレス範囲をループバック インターフェースに割り振ります。
    5. [IPv6] タブで [Enable IPv6 on the interface] を選択し、オンプレミス ネットワークに適した IPv6 アドレス範囲を追加します。
    6. [Advanced] タブで、ループバック インターフェースの管理プロファイルを指定します。指定したプロファイルで ping が許可されていることを確認します。これにより、接続を確認できます。
  3. IKE ゲートウェイ トンネルを 4 つ、IPv6 トラフィック用にトンネルを 2 つ、IPv4 トラフィック用にトンネルを 2 つ作成します。各トンネルは、HA VPN ゲートウェイのインターフェースに接続します。

    • IPv6 トラフィック用にトンネルを 2 つ作成します。
      1. [Network] > [Interfaces] > [Tunnel] の順に選択して、新しいトンネルを作成します。
      2. 最初のトンネルの名前を指定します。例: tunnel.1
      3. [Config] タブで、[Virtual Router] を external に、[Security Zone] を ZONE_EXTERNAL に設定します。
      4. [IPv4] タブで、HA VPN 用の VPN トンネルの作成時に設定した BGP ピアのリンクローカル アドレスを指定します。例: 169.254.0.2/30
      5. [IPv6] タブで [Enable IPv6 on the interface] を選択し、BGP ピア用に構成された IPv6 ネクストホップ アドレスを指定します。例: 2600:2D00:0:2::2/125
      6. [Advanced] タブで [MTU] を 1460 に設定します。
      7. 2 番目のトンネルに、この手順を繰り返します。例: tunnel.2。[IPv4] タブと [IPv6] タブで、BGP ピアと IPv6 ネクストホップのフィールドに適切な値を指定します。デュアルスタック HA VPN の 2 番目のトンネルに一致する値を使用します。たとえば、169.254.1.2/302600:2D00:0:3::3/125 です。
    • IPv4 トラフィック用にトンネルを 2 つ作成します。
      1. [Network] > [Interfaces] > [Tunnel] の順に選択して、新しいトンネルを作成します。
      2. 3 つ目のトンネルの名前を指定します。例: tunnel.3
      3. [Config] タブで、[Virtual Router] を external に、[Security Zone] を ZONE_EXTERNAL に設定します。
      4. [IPv4] タブで、HA VPN 用の VPN トンネルの作成時に設定した BGP ピアのリンクローカル アドレスを指定します。例: 169.254.2.2/30
      5. [IPv6] タブの構成はスキップします。
      6. [Advanced] タブで [MTU] を 1460 に設定します。
      7. 4 つ目のトンネルに、この手順を繰り返します。例: tunnel.4。[IPv4] タブで、IPv4 専用 HA VPN の 2 番目のトンネルと一致する BGP ピアに適切な値を指定します。例: 169.254.3.2/30
  4. IPsec 暗号プロファイルを作成します。

    1. [Network] > [IPSec Crypto] を選択し、新しいプロファイルを作成します。
    2. 次のフィールドに値を入力します。
      • Name: プロファイル名を入力します。例: ha-vpn
      • IPSec Protocol: [ESP] を選択します。
      • Encryption: サポートされている IKE の暗号を追加します。
      • Authentication: ハッシュ関数を指定します。例: sha512
      • DH group: DH グループを選択します。例: group14
      • Lifetime: [Hours] を選択して「3」と入力します。
    3. [OK] をクリックします。
  5. IKE 暗号プロファイルを作成します。

    1. [Network] > [IKE Crypto] を選択します。
    2. 次のフィールドに値を入力します。
      • Name: プロファイル名を入力します。例: ha-vpn
      • DH group: IPSec 暗号プロファイルに選択した DH グループがリストに表示されていることを確認します。
      • Authentication: ハッシュ関数を指定します。例: sha512
      • Encryption: サポートされている IKE の暗号を追加します。
    3. [Timers] ペインで、[Key Lifetime] に [Hours] を選択し、「10」と入力します。
    4. [OK] をクリックします。
  6. 4 つの IKE トンネルを作成した後、トンネルごとに 1 つずつ、合計 4 つの IKE ゲートウェイを作成します。

    1. [Network] > [IKE Gateways] を選択し、新しいゲートウェイを作成します。
    2. [General] タブで、次のフィールドに値を入力します。
      • Name: 最初のトンネルの IKE ゲートウェイの名前。例: havpn-v6-tunnel1
      • Version: IKEv2 only mode を選択します。
      • Address type: IPv4 を選択します。
      • Interface: この手順の始めに作成したループバック インターフェースを指定します。例: loopback.10
      • Local IP Address: お使いのオンプレミス ネットワークに適した IPv4 アドレス範囲を指定します。
      • Peer IP Address Type: IP を選択します。
      • Peer Address: トンネルの最初の HA VPN インターフェースの外部 IPv4 アドレスを指定します。
      • Authentication: Pre-Shared Key を選択します。
      • Pre-shared KeyConfirm Pre-Shared Key: トンネル用に Google Cloud で構成した共有シークレットを入力します。
      • Local Identification: [IP address] を選択し、お使いのオンプレミス ネットワークに適した IPv4 アドレスを指定します。
      • Peer Identification: [IP address] を選択し、トンネルの HA VPN インターフェースの外部 IPv4 アドレスを選択します。
    3. [Advanced Options] タブを選択します。
    4. [IKE Crypto Profile] に、上で作成したプロファイルを選択します。例: ha-vpn
    5. [Liveness Check] を有効にし、[Interval (sec)] に「5」と入力します。
    6. [OK] をクリックします。
    7. 他の 3 つのトンネルでも同じ手順を繰り返します。ただし、次のフィールドには適切な値を使用します。
      • Name: トンネルの IKE ゲートウェイの名前。例: havpn-v6-tunnel2havpn-v4-tunnel1、または havpn-v4-tunnel2
      • Local IP Address / Local Identification: お使いのオンプレミス ネットワークに適した未使用の IPv4 アドレスを指定します。
      • Peer Address / Peer Identification: トンネルの一致する HA VPN インターフェースの外部 IPv4 アドレスを指定します。
      • Pre-shared Key: トンネル用に構成された共有シークレットを指定します。
  7. 4 つの IPsec トンネルを作成します。

    1. [Network] > [IPSec Tunnels] を選択し、新しいトンネルを作成します。
    2. 次のフィールドに値を入力します。
      • Name: トンネルの一意の名前。例: hapvpn-tunnel-1
      • Tunnel Interface: 上の手順で作成した IKE ゲートウェイ トンネルのトンネル インターフェースを選択します。例: tunnel.1
      • Type: [Auto Key] を選択します。
      • Address Type: [IPv4] を選択します。
      • IKE Gateway: 上の手順で作成した IKE ゲートウェイを選択します。例: havpn-v6-tunnel
      • IPSec Crypto Profile: 上で作成したプロファイルを選択します。例: ha-vpn
    3. プロキシ ID は構成しないでください。
    4. [OK] をクリックします。
    5. 他の 3 つのトンネルでも同じ手順を繰り返します。ただし、次のフィールドには適切な値を使用します。
      • Name: IPsec トンネルの一意の名前。例: havpn-tunnel2havpn-tunnel3、または havpn-tunnel4
      • Tunnel Interface: 上の手順で作成した IKE ゲートウェイ トンネルの未使用のトンネル インターフェースを選択します。例: tunnel.2tunnel.3tunnel.4
      • IKE Gateway: 上の手順で作成した IKE ゲートウェイを選択します。例: havpn-v6-tunnel2havpn-v4-tunnel1、または havpn-v4-tunnel2
  8. (省略可)ECMP を構成します。

    1. [Network] > [Virtual Routers] > ROUTER_NAME > Router Settings > [ECMP] の順に選択します。
    2. [ECMP] タブで [Enable] を選択します。
    3. [OK] をクリックします。
  9. BGP を構成します。

    1. [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] の順に選択します。
    2. [General] タブで、[Enable] を選択します。
    3. [Router ID] フィールドに、BGP ピアに割り当てられたリンクローカル IPv4 アドレス(BGP ピアの PAN-OS 側)を入力します。
    4. [AS Number] フィールドに、BGP セッションの PAN-OS 側の ASN を入力します。
    5. [Options] に [Install Route] が選択されていることを確認します。
    6. [OK] をクリックします。
  10. IPv6 トンネルごとに 1 つの BGP ピアを持つ BGP ピアグループを作成します。トンネルごとに異なる IPv6 ネクストホップ アドレスを構成できるように、IPv6 トンネルごとに個別の BGP ピアグループを作成します。

    1. [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Peer Group] の順に選択します。
    2. [Peer Group] タブで、最初の IPv6 トンネル用の新しいピアグループを作成します。
    3. [Name] フィールドに、ピアグループの名前を入力します。例: havpn-bgp-v6-tunnel1
    4. [Enable] を選択します。
    5. [Aggregated Confed AS Path] を選択します。
    6. [Type] リストで、[EBGP] を選択します。
    7. [Import Next Hop] に [Original] を選択します。
    8. [Export Next Hop] に [Resolve] を選択します。
    9. [Remove Private AS] を選択します。
    10. [Peer] ペインで、 [Add] をクリックして、BGP ピアグループにピアを追加します。
    11. [Peer] ダイアログで、次の値を入力します。
      • Name: ピアの名前。例: havpn-v6-tunnel1
      • [Enable] を選択します。
      • Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
      • [Addressing] タブで、次のオプションを構成します。
        • [Enable MP-BGP Extensions] を選択します。
        • [Address Family Type] で [IPv6] を選択します。
        • [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した最初のトンネルを選択します。例: tunnel.1
        • [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例: 169.254.0.2./30
        • [Peer Address] で、[Type] に [IP] を選択します。
        • [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例: 169.254.0.1
      • [OK] をクリックします。
    12. ピアの追加が完了したら、[OK] をクリックします。
    13. 他の IPv6 トンネルでも同じ手順を繰り返します。ただし、次のフィールドは適切な値に置き換えます。
      • Name: BGP ピアグループの一意の名前。例: havpn-bgp-v6-tunnel2
      • [Peer] ダイアログで、次のフィールドにトンネルの適切な値を入力します。
        • Name: ピアの名前。例: havpn-v6-tunnel1
        • [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 2 番目のトンネルを選択します。例: tunnel.2
        • [IP] で、2 番目のトンネルの BGP ピアのリンクローカル IPv4 アドレスを選択します。例: 169.254.1.2./30
        • [Peer Address] で、[Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例: 169.254.1.1
  11. IPv4 トンネルの BGP ピアグループを作成します。

    1. [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Peer Group] の順に選択します。
    2. [Peer Group] タブで、IPv4 トンネルの新しいピアグループを作成します。
    3. [Name] フィールドに、ピアグループの名前を入力します。例: havpn-bgp-v4
    4. [Enable] を選択します。
    5. [Aggregated Confed AS Path] を選択します。
    6. [Type] リストで、[EBGP] を選択します。
    7. [Import Next Hop] に [Original] を選択します。
    8. [Export Next Hop] に [Resolve] を選択します。
    9. [Remove Private AS] を選択します。
    10. [Peer] ペインで、 [Add] をクリックして、BGP ピアグループにピアを追加します。
    11. [Peer] ダイアログで、次の値を入力します。
      • Name: ピアの名前を入力します。例: havpn-v4-tunnel1
      • [Enable] を選択します。
      • Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
      • [Addressing] タブで、次のオプションを構成します。
        • [Enable MP-BGP Extensions] は選択しないでください。
        • [Address Family Type] に [IPv4] を選択します。
        • [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 3 つ目のトンネルを選択します。例: tunnel.3
        • [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例: 169.254.2.2./30
        • [Peer Address] で、[Type] に [IP] を選択します。
        • [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例: 169.254.2.1
      • [OK] をクリックします。
    12. [Peer] ペインで、 [Add] をクリックして、2 番目のピアを BGP ピアグループに追加します。
    13. [Peer] ダイアログで、次の値を入力します。
      • Name: ピアの名前を入力します。例: havpn-v4-tunnel2
      • [Enable] を選択します。
      • Peer AS: BGP セッション用に Cloud Router に割り当てられた ASN。
      • [Addressing] タブで、次のオプションを構成します。
        • [Enable MP-BGP Extensions] は選択しないでください。
        • [Address Family Type] で [IPv4] を選択します。
        • [Local Address] で、[Interface] に、IKE ゲートウェイ トンネルの作成時に定義した 4 つ目のトンネルを選択します。例: tunnel.4
        • [IP] には、BGP ピアのリンクローカル IPv4 アドレスを選択します。例: 169.254.3.2./30
        • [Peer Address] で、[Type] に [IP] を選択します。
        • [Address] に、この BGP セッションの Cloud Router のリンクローカル IPv4 アドレスを選択します。例: 169.254.3.1
    14. [OK] をクリックします。
    15. 両方のピアの追加が完了したら、[OK] をクリックします。
  12. IPv6 トンネルの BGP ピアグループに BGP 構成ルールをエクスポートします。この手順では、異なる IPv6 ネクストホップ アドレスをトンネルに割り当てることができます。

    1. [Network] > [Virtual Routers] > ROUTER_NAME > [Router Settings] > [BGP] > [Export] の順に選択します。
    2. [Export Rule] ダイアログで、[Rules] フィールドに名前を入力します。例: havpn-tunnel1-v6
    3. [Enable] を選択します。
    4. [Used By] ペインで、 [Add] をクリックして、最初の IPv6 トンネル用に作成した BGP ピアグループを追加します。例: havpn-bgp-v6-tunnel1
    5. [Match] タブの [Route Table] リストで、[Unicast] を選択します。
    6. [Address Prefix] に、お使いのオンプレミス ネットワークで使用されている IPv6 アドレスのアドレス プレフィックスを追加します。
    7. [Action] タブで、次のオプションを構成します。
      • [Action] リストで、[Allow] を選択します。
      • [Next Hop] に、トンネルの作成時に BGP ピアに割り振られた IPv6 ネクストホップ アドレスを入力します。例: 2600:2D00:0:2::2
    8. [OK] をクリックします。
    9. 2 番目第二の IPv6 トンネルで使用される BGP ピアグループにこの手順を繰り返します。ただし、次のフィールドは適切な値に置き換えます。
      • [Export Rule] ダイアログで、[Rules] フィールドに一意の名前を入力します。例: havpn-tunnel2-v6
      • [Used By] ペインで、 [Add] をクリックして、2 番目の IPv6 トンネル用に作成した BGP ピアグループを追加します。例: havpn-bgp-v6-tunnel1
    10. [Action] タブで [Next Hop] フィールドを構成し、このトンネルの BGP ピアに割り振られた IPv6 ネクストホップ アドレスを入力します。例: 2600:2D00:0:3::3