IPv4 및 IPv6 트래픽을 위한 타사 VPN 설정

이 페이지에서는 Cloud VPN에서 IPv4 및 IPv6(이중 스택) 트래픽을 지원하도록 서드 파티 VPN 기기를 구성하는 방법을 설명합니다.

Cloud VPN 터널에서 이중 스택 트래픽을 교환하려면 IPv6 다음 홉 주소로 피어 VPN 게이트웨이 기기를 구성해야 합니다. 이중 스택 HA VPN 터널에서 IPv4 및 IPv6 경로 교환은 모두 링크-로컬 IPv4 주소로 구성된 MP-BGP와 함께 BGP 세션을 통해 발생합니다. Cloud Router와 피어 VPN 기기에 IPv6 트래픽을 Virtual Private Cloud 및 피어 네트워크로 라우팅하려면 IPv6 다음 홉 구성이 필요합니다.

HA VPN 게이트웨이만 이중 스택 구성을 지원합니다. 기본 VPN은 IPv6 트래픽을 지원하지 않습니다. 또한 IKE v2를 HA VPN 터널에 사용하도록 피어 VPN 기기를 구성해야 합니다.

이중 스택 트래픽에 대한 서드 파티 VPN 지원

다음 표에서는 IPsec 터널을 통한 이중 스택 트래픽에 대한 서드 파티 VPN 기기 지원을 요약해서 보여줍니다.

공급업체 플랫폼	버전의 이중 스택 구성 테스트	IPv4 IPsec 터널을 통한 IPv6 트래픽	이중 스택 주소 계열	이중 스택 트래픽의 상호 운용 가능한 구성
Cisco IOS/IOS-XE	해당사항 없음	지원되지 않음	지원되지 않음	GRE 터널 및 가상 라우터를 사용하여 GRE를 통해 IPsec 트래픽을 전달합니다.
확인 지점	해당사항 없음	지원되지 않음	지원되지 않음	GRE 터널 및 가상 라우터를 사용하여 GRE를 통해 IPsec 트래픽을 전달합니다.
Juniper JunOS	20.2R3-S2.5	지원됨	지원됨	IPv4 및 IPv6 트래픽을 모두 전달할 수 있는 HA VPN 터널을 지원합니다.
Palo Alto Networks PAN-OS	9.1	지원됨	지원되지 않음	IPv4 또는 IPv6 트래픽 중 하나에 대해 구성된 별도의 HA VPN 터널이 필요합니다.

Juniper JunOS

다음 절차에서는 HA VPN 터널에서 IPv4 및 IPv6 트래픽을 지원하도록 Juniper JunOS VPN 기기를 설정하는 방법을 설명합니다.

기기의 터널 인터페이스에서 IPv6 주소를 구성하지만 IPv6 주소는 IPv6 다음 홉 구성에만 사용됩니다. IPv6 경로는 IPv4 BGP 피어링을 통해 IPv6 NLRI로 공지됩니다.

시작하기 전에

Google Cloud에서 이중 스택 HA VPN 게이트웨이 1개 및 HA VPN 터널 2개를 설정합니다. HA VPN 터널 2개 모두 IPv4 및 IPv6 트래픽을 전달합니다.

Google Cloud가 두 HA VPN 게이트웨이 인터페이스에 할당하는 2개의 외부 IPv4 주소를 기록합니다.

각 터널의 다음 구성 값을 기록합니다.

Juniper JunOS 기기인 BGP 피어의 링크-로컬 IPv4 주소
BGP 피어링에 사용되는 Cloud Router의 링크-로컬 IPv4 주소
피어 또는 peerIpv6NexthopAddress에 할당된 IPv6 다음 홉 주소
BGP 세션의 Cloud Router에 할당된 ASN
Juniper JunOS 기기인 BGP 피어에 할당한 ASN
사전 공유 키

BGP 세션 구성의 세부정보를 찾으려면 BGP 세션 구성 보기를 참조하세요.

JunOS 구성

JunOS 기기를 구성하려면 다음 단계를 수행하세요.

각 VPN 터널 인터페이스에 Cloud Router에서 가져온 BGP 피어 IPv6 다음 홉 주소를 구성합니다. 이 인터페이스는 IPv4 피어링을 위해 링크-로컬 주소가 할당된 인터페이스와 동일합니다.
```
set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2
```
다음 값을 바꿉니다.
- PEER_BGP_IP_1: 서브넷 마스크가 있는 첫 번째 터널 인터페이스에 대한 피어의 BGP IPv4 주소
- PEER_IPV6_NEXT_HOP_ADDRESS_1: 서브넷 마스크가 있는 첫 번째 터널 인터페이스에 대한 피어의 IPv6 다음 홉 주소
- PEER_BGP_IP_2: 서브넷 마스크가 있는 두 번째 터널 인터페이스에 대한 피어의 BGP IPv4 주소
- PEER_IPV6_NEXT_HOP_ADDRESS_2: 서브넷 마스크가 있는 두 번째 터널 인터페이스에 대한 피어의 IPv6 다음 홉 주소
예를 들면 다음과 같습니다.
```
set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address 169.254.0.2/30
set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address 169.254.1.2/30
set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125
```

IKE 제안, IKE 정책, IKE 게이트웨이 객체를 구성합니다.

# IKE proposal
set security ike proposal ike_prop authentication-method pre-shared-keys
set security ike proposal ike_prop dh-group group2
set security ike proposal ike_prop authentication-algorithm sha-256
set security ike proposal ike_prop encryption-algorithm aes-256-cbc
set security ike proposal ike_prop lifetime-seconds 36000

# IKE policy
set security ike policy ike_pol mode main
set security ike policy ike_pol proposals ike_prop
set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET

# IKE gateway objects
set security ike gateway gw1 ike-policy ike_pol
set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
set security ike gateway gw1 local-identity inet 142.215.100.60
set security ike gateway gw1 external-interface ge-0/0/0
set security ike gateway gw1 version v2-only
set security ike gateway gw2 ike-policy ike_pol
set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
set security ike gateway gw2 local-identity inet 142.215.100.60
set security ike gateway gw2 external-interface ge-0/0/0
set security ike gateway gw2 version v2-only

다음 값을 바꿉니다.

HA_VPN_INTERFACE_ADDRESS_0: HA VPN 게이트웨이에 있는 첫 번째 터널 인터페이스의 외부 IPv4 주소
HA_VPN_INTERFACE_ADDRESS_1: HA VPN 게이트웨이에 있는 두 번째 터널 인터페이스의 외부 IPv4 주소
SHARED_SECRET: HA VPN 터널에 대해 구성한 사전 공유 키

IPsec 제안 및 IPsec 정책을 구성합니다. 예를 들면 다음과 같습니다.

set security ipsec proposal ipsec_prop protocol esp
set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
set security ipsec proposal ipsec_prop lifetime-seconds 10800

IPsec VPN 게이트웨이 구성을 구성하고 터널 인터페이스에 결합합니다. 예를 들면 다음과 같습니다.

set security ipsec vpn vpn1 bind-interface st0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn1 establish-tunnels immediately
set security ipsec vpn vpn2 bind-interface st0.2
set security ipsec vpn vpn2 ike gateway gw2
set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn2 establish-tunnels immediately

IPv6 피어의 다음 홉을 IPv6 다음 홉 주소로 변경하는 정책 문을 만듭니다.

set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

다음 값을 바꿉니다.

PEER_IPV6_NEXT_HOP_ADDRESS_1: 첫 번째 터널에 대한 BGP 피어의 IPv6 다음 홉 주소
PEER_IPV6_NEXT_HOP_ADDRESS_2: 두 번째 터널에 대한 BGP 피어의 IPv6 다음 홉 주소

예를 들면 다음과 같습니다.

set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

IPv6 경로 교환에 대한 BGP 구성입니다.

BGP를 구성할 때 include-mp-next-hop 문을 지정해 다음 홉 속성을 피어에 전송해야 합니다.

그런 후 이전 단계에서 정의한 정책 문을 내보내서 다음 홉을 IPv6 주소로 변경합니다.

set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as ROUTER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address ROUTER_IP_2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as ROUTER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop

다음 값을 바꿉니다.

ROUTER_BGP_IP_1: 첫 번째 터널의 Cloud Router에 할당된 IPv4 주소
ROUTER_BGP_IP_2: 두 번째 터널의 Cloud Router에 할당된 IPv4 주소
ROUTER_ASN: BGP 세션의 Cloud Router에 할당된 ASN
PEER_ASN: Juniper JunOS 기기인 BGP 피어에 할당한 ASN

다음 예시에서는 include-mp-next-hop 및 export 문을 굵은 텍스트로 표시합니다.

set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as 16550
set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address 169.254.1.2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as 16550
set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop

BGP 연결을 확인합니다.
```
show route protocol bgp
```

Palo Alto Networks PAN-OS

이 섹션에서는 HA VPN 터널에서 IPv4 및 IPv6 트래픽을 지원하도록 Palo Alto Networks PAN-OS 기기를 설정하는 방법을 설명합니다.

PAN-OS는 IPv4를 통한 IPv6 트래픽 전송을 지원합니다. 하지만 PAN-OS는 이중 스택 주소 계열을 지원하지 않습니다. 따라서 IPv4 트래픽 또는 IPv6 트래픽 중 하나를 전달하는 별도의 VPN 터널을 설정해야 합니다.

VPN에 사용할 PAN-OS 기기 구성에 대한 자세한 내용은 Palo Alto PAN OS VPN 문서를 참조하세요.

시작하기 전에

Google Cloud에서 HA VPN 게이트웨이 2개와 HA VPN 터널 4개를 설정합니다. 터널 2개는 IPv6 트래픽용이고 나머지 터널 2개는 IPv4 트래픽용입니다.

IPv4 트래픽을 위한 HA VPN 게이트웨이 및 터널을 만듭니다. 다음을 만듭니다.
- IPv4 전용 스택 유형을 사용하는 HA VPN 게이트웨이 1개
- IPv4 트래픽을 전달할 수 있는 VPN 터널 2개
IPv6 트래픽을 위한 HA VPN 게이트웨이 및 터널을 만듭니다. 다음을 만듭니다.
- IPv4 및 IPv6(이중 스택) 스택 유형을 사용하는 HA VPN 게이트웨이 1개
- IPv6 트래픽을 전달할 수 있는 VPN 터널 2개
- IPv6 터널의 BGP 세션에 IPv6 사용 설정
Google Cloud가 각 HA VPN 게이트웨이 인터페이스에 할당하는 외부 IPv4 주소를 기록합니다.
각 터널의 다음 구성 값을 기록합니다.
- BGP 세션의 PAN-OS 측인 BGP 피어의 링크-로컬 IPv4 주소
- BGP 피어링에 사용되는 Cloud Router의 링크-로컬 IPv4 주소
- PAN-OS 기기인 BGP 피어에 할당한 ASN
- BGP 세션의 Cloud Router에 할당된 ASN
- 사전 공유 키
각 IPv6 터널마다 BGP 피어에 할당된 IPv6 다음 홉 주소인 peerIpv6NexthopAddress도 기록합니다. Google Cloud에서 이 주소를 자동으로 할당했거나 VPN 터널을 만들 때 주소를 수동으로 지정했을 수 있습니다.

BGP 세션 구성의 세부정보를 찾으려면 BGP 세션 구성 보기를 참조하세요.

PAN-OS 구성

Palo Alto Networks 기기를 구성하려면 PAN-OS 웹 인터페이스에서 다음 단계를 수행합니다.

IPv6 방화벽을 사용 설정합니다.
1. Device(기기) > Setup(설정) > Session Settings(세션 설정)를 선택합니다.
2. Enable IPv6 firewalling(IPv6 방화벽 사용 설정)을 선택합니다.
IPv4 및 IPv6용 루프백 인터페이스를 만듭니다.
1. Network(네트워크) > Interfaces(인터페이스) > Loopback interface(루프백 인터페이스)를 선택하고 새 루프백 인터페이스를 만듭니다.
2. 루프백 인터페이스를 만듭니다. 예를 들면 loopback.10입니다.
3. Config(구성) 탭에서 Virtual Router(가상 라우터)를 external로 설정하고 Security Zone(보안 영역)을 ZONE_EXTERNAL로 설정합니다.
4. IPv4 탭에서 온프레미스 네트워크에 적합한 IPv4 주소 범위로 루프백 인터페이스를 할당합니다.
5. IPv6 탭에서 Enable IPv6 on the interface(인터페이스에서 IPv6 사용 설정)를 선택하고 온프레미스 네트워크에 적합한 IPv6 주소 범위를 추가합니다.
6. Advanced(고급) 탭에서 루프백 인터페이스의 Management Profile(관리 프로필)을 지정합니다. 연결을 확인하기 위해 지정한 프로필에서 핑을 허용하는지 확인합니다.
IKE 게이트웨이 터널 4개(IPv6 트래픽용 터널 2개 및 IPv4 트래픽용 터널 2개)를 만듭니다. 각 터널은 HA VPN 게이트웨이의 인터페이스에 연결됩니다.
- IPv6 트래픽을 위한 2개의 터널을 만듭니다.
  1. Network(네트워크) > Interfaces(인터페이스) > Tunnel(터널)을 선택하고 새 터널을 만듭니다.
  2. 첫 번째 터널의 이름을 지정합니다. 예를 들면 tunnel.1입니다.
  3. Config(구성) 탭에서 Virtual Router(가상 라우터)를 external로 설정하고 Security Zone(보안 영역)을 ZONE_EXTERNAL로 설정합니다.
  4. IPv4 탭에서 HA VPN의 VPN 터널을 만들 때 설정한 BGP 피어의 링크-로컬 주소를 지정합니다. 예를 들면 169.254.0.2/30입니다.
  5. IPv6 탭에서 Enable IPv6 on the interface(인터페이스에서 IPv6 사용 설정)를 선택하고 BGP 피어에 구성된 IPv6 다음 홉 주소를 지정합니다. 예를 들면 2600:2D00:0:2::2/125입니다.
  6. Advanced(고급) 탭에서 MTU를 1460으로 설정합니다.
  7. 두 번째 터널에 대해 이 절차를 반복합니다. 예를 들면 tunnel.2입니다. IPv4 및 IPv6 탭에서 BGP 피어 및 IPv6 다음 홉 필드에 적절한 값을 지정합니다. 이중 스택 HA VPN의 두 번째 터널과 일치하는 값을 사용합니다. 예를 들면 169.254.1.2/30 및 2600:2D00:0:3::3/125입니다.
- IPv4 트래픽을 위한 2개의 터널을 만듭니다.
  1. Network(네트워크) > Interfaces(인터페이스) > Tunnel(터널)을 선택하고 새 터널을 만듭니다.
  2. 세 번째 터널의 이름을 지정합니다. 예를 들면 tunnel.3입니다.
  3. Config(구성) 탭에서 Virtual Router(가상 라우터)를 external로 설정하고 Security Zone(보안 영역)을 ZONE_EXTERNAL로 설정합니다.
  4. IPv4 탭에서 HA VPN의 VPN 터널을 만들 때 설정한 BGP 피어의 링크-로컬 주소를 지정합니다. 예를 들면 169.254.2.2/30입니다.
  5. IPv6 탭 구성을 건너뜁니다.
  6. Advanced(고급) 탭에서 MTU를 1460으로 설정합니다.
  7. 네 번째 터널에 대해 이 절차를 반복합니다. 예를 들면 tunnel.4입니다. IPv4 탭에서 IPv4 전용 HA VPN의 두 번째 터널과 일치하는 BGP 피어에 적절한 값을 지정합니다. 예를 들면 169.254.3.2/30입니다.
IPsec 암호화 프로필을 만듭니다.
1. Network(네트워크) > IPSec Crypto(IPSec 암호화)를 선택하고 새 프로필을 만듭니다.
2. 다음 필드에 값을 입력합니다.
  - Name(이름): 프로필 이름을 입력합니다. 예를 들면 ha-vpn입니다.
  - IPSec Protocol(IPSec 프로토콜): ESP를 선택합니다.
  - Encryption(암호화): 지원되는 IKE 암호화를 추가합니다.
  - Authentication(인증): 해시 함수를 지정합니다. 예를 들면 sha512입니다.
  - DH group(DH 그룹): DH 그룹을 선택합니다. 예를 들면 group14입니다.
  - Lifetime(수명): Hours(시간)를 선택하고 3을 입력합니다.
3. OK(확인)를 클릭합니다.
IKE 암호화 프로필을 만듭니다.
1. Network(네트워크) > IKE Crypto(IKE 암호화)를 선택합니다.
2. 다음 필드에 값을 입력합니다.
  - Name(이름): 프로필 이름을 입력합니다. 예를 들면 ha-vpn입니다.
  - DH group(DH 그룹): IPSec 암호화 프로필에 선택한 DH 그룹이 목록에 표시되는지 확인합니다.
  - Authentication(인증): 해시 함수를 지정합니다. 예를 들면 sha512입니다.
  - Encryption(암호화): 지원되는 IKE 암호화를 추가합니다.
3. Timers(타이머) 창에서 Key Lifetime(키 수명)에 Hours(시간)를 선택하고 10을 입력합니다.
4. OK(확인)를 클릭합니다.
IKE 터널 4개를 만든 후 터널마다 하나씩 총 4개의 IKE 게이트웨이를 만듭니다.
1. Network(네트워크) > IKE Gateways(IKE 게이트웨이)를 선택하고 새 게이트웨이를 만듭니다.
2. General(일반) 탭에서 다음 필드의 값을 입력합니다.
  - Name(이름): 첫 번째 터널의 IKE 게이트웨이 이름입니다. 예를 들면 havpn-v6-tunnel1입니다.
  - Version(버전): IKEv2 only mode를 선택합니다.
  - Address type(주소 유형): IPv4를 선택합니다.
  - Interface(인터페이스): 이 절차의 시작 부분에서 만든 루프백 인터페이스를 지정합니다. 예를 들면 loopback.10입니다.
  - Local IP Address(로컬 IP 주소): 온프레미스 네트워크에 적합한 IPv4 주소 범위를 지정합니다.
  - Peer IP Address Type(피어 IP 주소 유형): IP를 선택합니다.
  - Peer Address(피어 주소): 터널의 첫 번째 HA VPN 인터페이스에 대한 외부 IPv4 주소를 지정합니다.
  - 인증: Pre-Shared Key를 선택합니다.
  - Pre-shared Key(사전 공유 키), Confirm Pre-Shared Key(사전 공유 키 확인): Google Cloud에서 터널에 대해 구성한 공유 비밀번호를 입력합니다.
  - Local Identification(로컬 식별): IP address(IP 주소)를 선택하고 온프레미스 네트워크에 적합한 IPv4 주소를 지정합니다.
  - Peer Identification(피어 식별): IP address(IP 주소)를 선택하고 터널에 대한 HA VPN 인터페이스의 외부 IPv4 주소를 선택합니다.
3. Advanced Options(고급 옵션) 탭을 선택합니다.
4. IKE Crypto Profile(IKE 암호화 프로필)에서 이전에 만든 프로필을 선택합니다. 예를 들면 ha-vpn입니다.
5. Liveness Check(활성 확인)를 사용 설정하고 Interval (sec)(간격(초))에 5를 입력합니다.
6. OK(확인)를 클릭합니다.
7. 나머지 3개의 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
  - Name(이름): IKE 게이트웨이의 이름입니다. 예를 들면 havpn-v6-tunnel2, havpn-v4-tunnel1, havpn-v4-tunnel2입니다.
  - Local IP Address(로컬 IP 주소)/Local Identification(로컬 식별): 온프레미스 네트워크에 적합한 사용되지 않은 IPv4 주소를 지정합니다.
  - Peer Address(피어 주소)/Peer Identification(피어 식별): 터널의 일치하는 HA VPN 인터페이스에 대한 외부 IPv4 주소를 지정합니다.
  - Pre-shared Key(사전 공유 키): 터널에 구성한 공유 비밀번호를 지정합니다.
4개의 IPsec 터널을 만듭니다.
1. Network(네트워크) > IPSec Tunnels(IPSec 터널)를 선택하고 새 터널을 만듭니다.
2. 다음 필드에 값을 입력합니다.
  - Name(이름): 터널의 고유한 이름입니다. 예를 들면 hapvpn-tunnel-1입니다.
  - Tunnel Interface(터널 인터페이스): 앞에서 만든 IKE 게이트웨이 터널의 터널 인터페이스를 선택합니다. 예를 들면 tunnel.1입니다.
  - Type(유형): Auto Key(자동 키)를 선택합니다.
  - Address Type(주소 유형): IPv4를 선택합니다.
  - IKE Gateway(IKE 게이트웨이): 앞에서 만든 IKE 게이트웨이 중 하나를 선택합니다. 예를 들면 havpn-v6-tunnel입니다.
  - IPSec Crypto Profile(IPSec 암호화 프로필): 앞에서 만든 프로필을 선택합니다. 예를 들면 ha-vpn입니다.
3. 프록시 ID를 구성하지 마세요.
4. OK(확인)를 클릭합니다.
5. 나머지 3개의 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
  - Name(이름): IPsec 터널의 고유한 이름입니다. 예를 들면 havpn-tunnel2, havpn-tunnel3, havpn-tunnel4입니다.
  - Tunnel Interface(터널 인터페이스): 앞에서 만든 IKE 게이트웨이 터널에 대한 사용되지 않은 터널 인터페이스를 선택합니다. 예를 들면 tunnel.2, tunnel.3, tunnel.4입니다.
  - IKE Gateway(IKE 게이트웨이): 앞에서 만든 IKE 게이트웨이 중 하나를 선택합니다. 예를 들면 havpn-v6-tunnel2, havpn-v4-tunnel1, havpn-v4-tunnel2입니다.
(선택사항) ECMP를 구성합니다.
1. Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > ECMP를 선택합니다.
2. ECMP 탭에서 Enable(사용 설정)을 선택합니다.
3. OK(확인)를 클릭합니다.
BGP를 구성합니다.
1. Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP를 선택합니다.
2. General(일반) 탭에서 Enable(사용 설정)을 선택합니다.
3. Router ID(라우터 ID) 필드에서 BGP 세션 피어의 PAN-OS 측인 BGP 피어에 할당된 링크-로컬 IPv4 주소를 입력합니다.
4. AS Number(AS 번호) 필드에 BGP 세션의 PAN-OS 측에 대한 ASN을 입력합니다.
5. 옵션에서 경로 설치가 선택되어 있는지 확인합니다.
6. OK(확인)를 클릭합니다.
각 IPv6 터널에 대해 하나의 BGP 피어가 있는 BGP 피어 그룹을 만듭니다. 각 IPv6 터널마다 별도의 BGP 피어 그룹을 만들면 터널당 서로 다른 IPv6 다음 홉 주소를 구성할 수 있습니다.
1. Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Peer Group(피어 그룹)을 선택합니다.
2. Peer Group(피어 그룹) 탭에서 첫 번째 IPv6 터널에 대한 새 피어 그룹을 만듭니다.
3. Name(이름) 필드에 피어 그룹의 이름을 입력합니다. 예를 들면 havpn-bgp-v6-tunnel1입니다.
4. 사용 설정을 선택합니다.
5. Aggregated Confed AS Path(집계된 Confed AS 경로)를 선택합니다.
6. Type(유형) 목록에서 EBGP를 선택합니다.
7. Import Next Hop(다음 홉 가져오기)에서 Original(원본)을 선택합니다.
8. Export Next Hop(다음 홉 내보내기)에서 Resolve(확인)를 선택합니다.
9. Remove Private AS(비공개 AS 삭제)를 선택합니다.
10. Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 피어를 추가합니다.
11. Peer(피어) 대화상자에 다음 값을 입력합니다.
  - Name(이름): 피어 이름입니다. 예를 들면 havpn-v6-tunnel1입니다.
  - 사용 설정을 선택합니다.
  - Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
  - Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
    - Enable MP-BGP Extensions(MP-BGP 확장 프로그램 사용 설정)를 선택합니다.
    - Address Family Type(주소 계열 유형)에서 IPv6을 선택합니다.
    - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 첫 번째 터널을 선택합니다. 예를 들면 tunnel.1입니다.
    - IP에서 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.0.2./30입니다.
    - Peer Address(피어 주소)의 Type(유형)에서 IP를 선택합니다.
    - Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.0.1입니다.
  - OK(확인)를 클릭합니다.
12. 피어 추가를 완료한 후 OK(확인)를 클릭합니다.
13. 다른 IPv6 터널에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
  - Name(이름): BGP 피어 그룹의 고유한 이름입니다. 예를 들면 havpn-bgp-v6-tunnel2입니다.
  - Peer(피어) 대화상자의 다음 필드에 터널에 적절한 값을 입력합니다.
    - Name(이름): 피어 이름입니다. 예를 들면 havpn-v6-tunnel1입니다.
    - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 두 번째 터널을 선택합니다. 예를 들면 tunnel.2입니다.
    - IP에서 두 번째 터널에 대한 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.1.2./30입니다.
    - Peer Address(피어 주소)의 Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.1.1입니다.
IPv4 터널용 BGP 피어 그룹을 만듭니다.
1. Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Peer Group(피어 그룹)을 선택합니다.
2. Peer Group(피어 그룹) 탭에서 IPv4 터널에 대한 새 피어 그룹을 만듭니다.
3. Name(이름) 필드에 피어 그룹의 이름을 입력합니다. 예를 들면 havpn-bgp-v4입니다.
4. 사용 설정을 선택합니다.
5. Aggregated Confed AS Path(집계된 Confed AS 경로)를 선택합니다.
6. Type(유형) 목록에서 EBGP를 선택합니다.
7. Import Next Hop(다음 홉 가져오기)에서 Original(원본)을 선택합니다.
8. Export Next Hop(다음 홉 내보내기)에서 Resolve(확인)를 선택합니다.
9. Remove Private AS(비공개 AS 삭제)를 선택합니다.
10. Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 피어를 추가합니다.
11. Peer(피어) 대화상자에 다음 값을 입력합니다.
  - Name(이름): 피어 이름을 입력합니다. 예를 들면 havpn-v4-tunnel1입니다.
  - 사용 설정을 선택합니다.
  - Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
  - Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
    - MP-BGP 확장 프로그램 사용을 선택하지 마세요.
    - Address Family Type(주소 계열 유형)에서 IPv4를 선택합니다.
    - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 세 번째 터널을 선택합니다. 예를 들면 tunnel.3입니다.
    - IP에서 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.2.2./30입니다.
    - Peer Address(피어 주소)에서 Type(유형)에 IP를 선택합니다.
    - Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.2.1입니다.
  - OK(확인)를 클릭합니다.
12. Peer(피어) 창에서 Add(추가)를 클릭하여 BGP 피어 그룹에 두 번째 피어를 추가합니다.
13. Peer(피어) 대화상자에 다음 값을 입력합니다.
  - Name(이름): 피어 이름을 입력합니다. 예를 들면 havpn-v4-tunnel2입니다.
  - 사용 설정을 선택합니다.
  - Peer AS(피어 AS): BGP 세션의 Cloud Router에 할당된 ASN입니다.
  - Addressing(주소 지정) 탭에서 다음 옵션을 구성합니다.
    - MP-BGP 확장 프로그램 사용을 선택하지 마세요.
    - Address Family Type(주소 계열 유형)에서 IPv4를 선택합니다.
    - Local Address(로컬 주소)에서 Interface(인터페이스)에 IKE 게이트웨이 터널을 만들 때 정의한 네 번째 터널을 선택합니다. 예를 들면 tunnel.4입니다.
    - IP에서 BGP 피어의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.3.2./30입니다.
    - Peer Address(피어 주소)의 Type(유형)에서 IP를 선택합니다.
    - Address(주소)에서 이 BGP 세션에 대한 Cloud Router의 링크-로컬 IPv4 주소를 선택합니다. 예를 들면 169.254.3.1입니다.
14. OK(확인)를 클릭합니다.
15. 두 피어의 추가를 완료한 후 OK(확인)를 클릭합니다.
BGP 구성 규칙을 IPv6 터널의 BGP 피어 그룹으로 내보냅니다. 이 단계를 통해 터널에 다른 IPv6 다음 홉 주소를 할당할 수 있습니다.
1. Network(네트워크) > Virtual Routers(가상 라우터) > ROUTER_NAME > Router Settings(라우터 설정) > BGP > Export(내보내기)를 선택합니다.
2. Export Rule(규칙 내보내기) 대화상자의 Rules(규칙) 필드에 이름을 입력합니다. 예를 들면 havpn-tunnel1-v6입니다.
3. 사용 설정을 선택합니다.
4. Used By(사용 주체) 창에서 Add(추가)를 클릭하여 첫 번째 IPv6 터널용으로 만든 BGP 피어 그룹을 추가합니다. 예를 들면 havpn-bgp-v6-tunnel1입니다.
5. Match(일치) 탭의 Route Table(경로 테이블) 목록에서 Unicast(유니캐스트)를 선택합니다.
6. Address Prefix(주소 프리픽스)에 온프레미스 네트워크에서 사용되는 IPv6 주소의 주소 프리픽스를 추가합니다.
7. Action(작업) 탭에서 다음 옵션을 구성합니다.
  - Action(작업) 목록에서 Allow(허용)를 선택합니다.
  - Next Hop(다음 홉)에서 터널을 만들 때 BGP 피어에 할당한 IPv6 다음 홉 주소를 입력합니다. 예를 들면 2600:2D00:0:2::2입니다.
8. OK(확인)를 클릭합니다.
9. 두 번째 IPv6 터널에서 사용되는 BGP 피어 그룹에 이 절차를 반복하되 다음 필드의 값을 적절하게 바꿉니다.
  - Export Rule(규칙 내보내기) 대화상자의 Rules(규칙) 필드에 고유한 이름을 입력합니다. 예를 들면 havpn-tunnel2-v6입니다.
  - Used By(사용 주체) 창에서 Add(추가)를 클릭하여 두 번째 IPv6 터널용으로 만든 BGP 피어 그룹을 추가합니다. 예를 들면 havpn-bgp-v6-tunnel1입니다.
10. Action(작업) 탭에서 Next Hop(다음 홉) 필드를 구성하고 이 터널의 BGP 피어에 할당된 IPv6 다음 홉 주소를 입력합니다. 예를 들면 2600:2D00:0:3::3입니다.