HA VPN-Gateways zum Verbinden von VPC-Netzwerken erstellen

Auf dieser Seite wird beschrieben, wie Sie zwei Virtual Private Cloud-Netzwerke (VPC) in Google Cloud mithilfe von zwei HA VPN-Gateways verbinden. Sie können zwei VPC-Netzwerke miteinander verbinden, solange sich der primäre und der sekundäre Subnetz-IPv4- oder IPv6-Adressbereich im jeweiligen Netzwerk nicht überschneiden.

Weitere Informationen zu Cloud VPN finden Sie in den folgenden Ressourcen:

Voraussetzungen

Um ein SLA von 99,99 % zu erhalten, müssen Sie beim Erstellen dieser Konfiguration die folgenden Anforderungen erfüllen:

  • Erstellen Sie in jedem VPC-Netzwerk ein HA VPN-Gateway.
  • Beide HA VPN-Gateways müssen in derselben Google Cloud-Region sein.
  • Konfigurieren Sie in den einzelnen Gateway-Schnittstellen jeweils einen Tunnel.
  • Ordnen Sie die Gateway-Schnittstellen so zu:
    • Der Tunnel auf dem interface 0 des ersten Gateways muss mit interface 0 auf dem zweiten Gateway verbunden sein.
    • Der Tunnel auf dem interface 1 des ersten Gateways muss mit interface 1 auf dem zweiten Gateway verbunden sein.

Obwohl es möglich ist, zwei VPC-Netzwerke über einen einzelnen Tunnel zwischen HA VPN-Gateways oder über klassische VPN-Gateways miteinander zu verbinden, wird diese Konfiguration nicht als hochverfügbar betrachtet und entspricht nicht der Verfügbarkeit des HA-SLA von 99,99 %.

Cloud Router-Empfehlungen

Beim Konfigurieren eines neuen HA VPN-Gateways können Sie einen neuen Cloud Router erstellen oder einen vorhandenen Cloud Router mit vorhandenen Cloud VPN-Tunneln oder VLAN-Anhängen verwenden. Aufgrund der spezifischen ASN-Anforderungen des Anhangs darf der von Ihnen verwendete Cloud Router jedoch noch keine BGP-Sitzung für einen VLAN-Anhang verwalten, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Berechtigungen verwalten

HA VPN-Gateways gehören möglicherweise nicht immer Ihnen oder Ihrer Google Cloud-Organisation. Beachten Sie beim Erstellen eines HA VPN-Gateways oder beim Herstellen einer Verbindung zu einem Gateway, das einem anderen Nutzer gehört, die folgenden Anforderungen:

  • Wenn Sie der Inhaber des Projekts sind, in dem Sie ein HA VPN-Gateway erstellen, konfigurieren Sie die empfohlenen Berechtigungen.
  • Wenn Sie eine Verbindung zu einem HA VPN-Gateway herstellen möchten, das sich in einer Google Cloud-Organisation oder einem Projekt befindet, das nicht Ihnen gehört, müssen Sie vom Inhaber die compute.vpnGateways.use-Berechtigung anfordern.

Hinweise

Machen Sie sich mit der Funktionsweise von dynamischem Routing in Google Cloud vertraut.

Prüfen Sie, ob Ihr Peer-VPN-Gateway das Border Gateway Protocol (BGP) unterstützt.

Richten Sie die folgenden Elemente in Google Cloud ein, um das Konfigurieren von Cloud VPN zu vereinfachen:

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Install the Google Cloud CLI.
  5. To initialize the gcloud CLI, run the following command:

    gcloud init
  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Make sure that billing is enabled for your Google Cloud project.

  8. Install the Google Cloud CLI.
  9. To initialize the gcloud CLI, run the following command:

    gcloud init
  1. Wenn Sie das Google Cloud CLI verwenden, legen Sie Ihre Projekt-ID mit dem folgenden Befehl fest. Die gcloud-Anweisungen auf dieser Seite setzen voraus, dass Sie Ihre Projekt-ID festgelegt haben, bevor Sie Befehle verwenden.

        gcloud config set project PROJECT_ID
        
  1. Sie können auch eine Projekt-ID aufrufen, die bereits festgelegt wurde, indem Sie den folgenden Befehl ausführen:

        gcloud config list --format='text(core.project)'
        

Benutzerdefinierte VPC-Netzwerke und -Subnetze erstellen

Für die Verfahren in diesem Dokument werden zwei verschiedene VPC-Netzwerke verwendet. Jedes VPC-Netzwerk hat mindestens zwei Subnetze, die sich in verschiedenen Regionen befinden.

Bevor Sie Ihre HA VPN-Gateways und HA VPN-Tunnel erstellen, müssen Sie zwei VPC-Netzwerke erstellen.

Jedes VPC-Netzwerk muss mindestens ein Subnetz in der Region haben, in der Sie das HA VPN-Gateway erstellen.

Um IPv6-Traffic in Ihren HA VPN-Tunneln zu aktivieren, müssen Sie die Zuweisung interner IPv6-Adressen aktivieren, wenn Sie die VPC-Netzwerke erstellen.

Konfigurieren Sie außerdem die Subnetze für die Verwendung interner IPv6-Adressen.

Darüber hinaus müssen Sie IPv6 auf den VMs im Subnetz konfigurieren:

Die VPC-Subnetze müssen für die Verwendung interner IPv6-Adressen konfiguriert sein. Wenn Sie die gcloud CLI verwenden, konfigurieren Sie die Subnetze mit dem Flag --ipv6-access-type=INTERNAL. Cloud Router bewirbt Routen für Subnetze, die für die Verwendung externer IPv6-Adressen (--ipv6-access-type=EXTERNAL) konfiguriert sind, nicht dynamisch.

Informationen zur Verwendung interner IPv6-Adressbereiche in Ihren VPC-Netzwerken und -Subnetzen finden Sie unter Interne IPv6-Spezifikationen.

In den Beispielen dieses Dokuments wird auch der VPC-Modus für globales dynamisches Routing verwendet, der sich so verhält:

  • Alle Instanzen von Cloud Router wenden die von ihnen erlernten to on-premises-Routen auf alle Subnetze des VPC-Netzwerks an.
  • Die Routen zu allen Subnetzen im VPC-Netzwerk werden für lokale Router freigegeben.

Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind

Folgen Sie der Anleitung in diesem Abschnitt, um ein HA VPN-Gateway, eine Peer-VPN-Gateway-Ressource, Tunnel und BGP-Sitzungen zu erstellen.

HA VPN-Gateways erstellen

Console

Der VPN-Einrichtungsassistent umfasst alle erforderlichen Konfigurationsschritte zum Erstellen eines HA VPN-Gateways, von Tunneln, einer Peer-VPN-Gateway-Ressource und von BGP-Sitzungen.

So erstellen Sie das erste HA VPN-Gateway:

  1. Rufen Sie in der Google Cloud Console die Seite VPN auf.

    Zu VPN

  2. Wenn Sie zum ersten Mal ein Gateway erstellen, klicken Sie auf VPN-Verbindung erstellen.

  3. Wählen Sie den VPN-Einrichtungsassistenten aus.

  4. Wenn Sie bereits ein HA VPN-Gateway haben, wählen Sie die Optionsschaltfläche für dieses Gateway aus.

  5. Klicken Sie auf Weiter.

  6. Geben Sie einen VPN-Gateway-Namen an.

  7. Wählen Sie unter VPC-Netzwerk ein vorhandenes Netzwerk oder das Standardnetzwerk aus.

  8. Wählen Sie eine Region aus.

  9. Wählen Sie einen Stack-Typ für das Gateway aus, entweder IPv4 (Einzel-Stack) oder IPv4 und IPv6 (Dual-Stack).

  10. Klicken Sie auf Erstellen und fortfahren.

  11. Die Console-Seite wird aktualisiert und Ihre Gateway-Informationen werden angezeigt. Zwei externe IPv4-Adressen werden automatisch für jede Gateway-Schnittstelle zugewiesen. Notieren Sie sich für zukünftige Konfigurationsschritte die Details Ihrer Gateway-Konfiguration.

Wiederholen Sie die vorherigen Schritte in einem neuen Browsertab, um das zweite HA VPN-Gateway zu erstellen. Achten Sie darauf, dass Sie den gleichen Stack-Typ für HA VPN-Tunnel wie für das erste HA VPN-Gateway angeben.

gcloud

Je nach den Arbeitslasten, die Sie mit Ihren Tunneln unterstützen möchten, können Sie beim Erstellen der Gateways den Stacktyp so auswählen:

  • Wenn Sie nur IPv4-Arbeitslasten unterstützen möchten, erstellen Sie ein HA VPN-Gateway mit dem Stack-Typ IPV4_ONLY.
  • Wenn Sie sowohl IPv4- als auch IPv6-Arbeitslasten unterstützen möchten, erstellen Sie ein HA VPN-Gateway mit dem Stacktyp IPV4_IPV6.
  • Wenn Sie nur IPv6-Arbeitslasten unterstützen möchten, erstellen Sie ein HA VPN-Gateway mit dem Stack-Typ IPV6_ONLY.

Führen Sie die folgende Befehlssequenz aus, um zwei HA VPN-Gateways zu erstellen:

  • Erstellen Sie in jedem Netzwerk in REGION ein HA VPN-Gateway.

    Beim Erstellen der Gateways werden automatisch zwei externe IPv4-Adressen zugewiesen, eine für jede Gateway-Schnittstelle. Notieren Sie sich diese IP-Adressen, um sie später in den Konfigurationsschritten zu verwenden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • GW_NAME_1 und GW_NAME_2: die Namen der Gateways
    • NETWORK: der Name Ihres Google Cloud-Netzwerks
    • REGION durch die Google Cloud-Region, in der Sie das Gateway und den Tunnel erstellen müssen.
    • IP_STACK (optional): der zu verwendende IP-Stack. Geben Sie IPV4_ONLY, IPV4_IPV6 oder IPV6_ONLY an. Wenn Sie dieses Flag nicht angeben, wird standardmäßig IPV4_IPV6 verwendet.

    Erstes Gateway erstellen

    Für ein Gateway mit IPv4-Schnittstellen:

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION \
       --stack-type=IP_STACK
    

    Das von Ihnen erstellte Gateway sieht in etwa so aus: Jeder Gateway-Schnittstelle wurde automatisch eine externe IPv4-Adresse zugewiesen:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-a   203.0.113.16   203.0.113.23   network-a   us-central1
    

    Zweites Gateway erstellen

    gcloud compute vpn-gateways create GW_NAME_2 \
       --network=NETWORK_2 \
       --region=REGION \
       --stack-type=IP_STACK
    

    Wenn Sie für das erste Gateway einen Stack-Typ angegeben haben, verwenden Sie denselben Stack-Typ für das zweite Gateway.

    Das von Ihnen erstellte Gateway sieht in etwa so aus:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-east1/vpnGateways/ha-vpn-gw-b].
    NAME          INTERFACE0     INTERFACE1     NETWORK     REGION
    ha-vpn-gw-b   203.0.114.18   203.0.114.25   network-b   us-east1
    

    Für ein Gateway mit IPv6-Schnittstellen:

    gcloud compute vpn-gateways create GW_NAME_1 \
       --network=NETWORK_1 \
       --region=REGION \
       --gateway-ip-version=IPV6 \
       --stack-type=IP_STACK
    

    Jeder Gateway-Schnittstelle wird automatisch eine externe IPv6-Adresse zugewiesen.

API

So erstellen Sie BGP-Sitzungen:

Verwenden Sie die API-Befehle in den folgenden Abschnitten, um die vollständige Konfiguration für ein HA VPN-Gateway zu erstellen. Alle in diesen Abschnitten verwendeten Feldwerte sind Beispielwerte.

Für ein Gateway mit IPv4-Schnittstellen:

  1. Erstellen Sie das erste HA VPN-Gateway. Stellen Sie dazu eine POST-Anfrage an die Methode vpnGateways.insert.

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
    {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6"
    }
    

    Das Feld stackType ist optional. Die einzigen gültigen Werte sind IPV4_IPV6 und IPV4_ONLY. Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_ONLY.

  2. Wiederholen Sie den Befehl, um das zweite HA VPN-Gateway zu erstellen, und geben Sie die entsprechenden Werte für project, name, network und region an.

    Wenn Sie für das erste Gateway stackType angegeben haben, verwenden Sie für das zweite Gateway denselben Stack-Typ, entweder IPV4_ONLY oder IPV4_IPV6.

Für ein Gateway mit IPv6-Schnittstellen:

  1. Erstellen Sie das erste HA VPN-Gateway. Stellen Sie dazu eine POST-Anfrage an die Methode vpnGateways.insert.

    POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
    {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
    }
    

    Wenn Sie dem HA VPN-Gateway externe IPv6-Adressen zuweisen, müssen Sie IPV6 als Wert für gatewayIpVersion angeben. Das Feld stackType ist optional.

    • Wenn Sie keinen stackType angeben, ist der Standardwert IPV4_IPV6.

    • Die einzigen gültigen stackType-Werte für ein Gateway mit einem gatewayIpVersion von IPV6 sind IPV4_IPV6 oder IPV6_ONLY.

  2. Wiederholen Sie den Befehl, um das zweite HA VPN-Gateway zu erstellen, und geben Sie die entsprechenden Werte für project, name, network und region an.

    Wenn Sie dem HA VPN-Gateway externe IPv6-Adressen zuweisen, müssen Sie IPV6 als Wert für gatewayIpVersion angeben. Das Feld stackType ist optional.

    Wenn Sie für das erste Gateway stackType angegeben haben, verwenden Sie für das zweite Gateway denselben Stack-Typ, entweder IPV6_ONLY oder IPV4_IPV6.

Peer-VPN-Gateway-Ressource angeben

In dieser Einrichtung ist die Peer-VPN-Gateway-Ressource das zweite HA VPN, der Endpunkt der neuen VPN-Tunnelverbindungen.

Wenn Sie zwei VPC-Netzwerke verbinden, kann das zweite VPC-Netzwerk im selben Google Cloud-Projekt oder in einem separaten Google Cloud-Projekt vorhanden sein.

Console

So geben Sie die Peer-HA-VPN-Gateway-Ressource an:

  1. Wählen Sie auf der Seite VPN erstellen im Bereich Peer-VPN-Gateway die Option Google Cloud-VPN-Gateway aus.
  2. Wählen Sie unter Projekt das Google Cloud-Projekt aus, in dem das neue Gateway enthalten ist.
  3. Wählen Sie unter VPN-Gateway-Name das zweite HA VPN aus, das Sie unter HA VPN-Gateways erstellen erstellt haben.
  4. Fahren Sie mit dem Erstellen von VPN-Tunneln fort.

gcloud

Sie haben die Peer-VPN-Gateway-Ressource erstellt, als Sie das zweite HA VPN-Gateway unter HA VPN-Gateways erstellen erstellt haben.

Sie geben dieses HA VPN-Gateway als Peer-VPN-Gateway-Ressource an, wenn Sie die HA VPN-Tunnel erstellen.

API

Sie haben die Peer-VPN-Gateway-Ressource erstellt, als Sie das zweite HA VPN-Gateway unter HA VPN-Gateways erstellen erstellt haben.

Dieses HA VPN-Gateway geben Sie beim Erstellen der HA VPN-Tunnel als Peer-VPN-Gateway-Ressource an.

Cloud Router erstellen

Console

Erstellen Sie unter Cloud Router einen Cloud Router mit den folgenden Optionen, falls nicht schon geschehen. Sie können einen vorhandenen Cloud Router verwenden, wenn der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

  1. Geben Sie Folgendes an, um einen neuen Cloud Router zu erstellen:

    • einen Namen
    • eine optionale Beschreibung
    • eine Google-ASN für den neuen Router

    Sie können jede private ASN verwenden, die sonst nirgendwo im Netzwerk verwendet wird (64512 bis 65534, 4200000000 bis 4294967294). Der Google-ASN wird für alle BGP-Sitzungen auf demselben Cloud Router verwendet und kann später nicht mehr geändert werden.

  2. Klicken Sie auf Erstellen, um den neuen Router zu erstellen.

gcloud

Bei der folgenden Anleitung wird davon ausgegangen, dass Sie nicht bereits Cloud Router für die Verwaltung von BGP-Sitzungen für Ihre HA VPN-Tunnel erstellt haben. Sie können einen vorhandenen Cloud Router in jedem VPC-Netzwerk verwenden, solange der Router noch keine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist.

Führen Sie die folgende Befehlssequenz aus, um zwei Cloud Router zu erstellen:

  • Erstellen Sie in jedem Netzwerk in REGION einen Cloud Router.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • PEER_ASN_1 und PEER_ASN_2: jede private ASN (64512 bis 65534, 4200000000 bis 4294967294), die Sie noch nicht verwenden. In diesem Beispiel wird ASN 65001 für beide Schnittstellen von ROUTER_NAME_1 und ASN 65002 für beide Schnittstellen von ROUTER_NAME_2 verwendet.
    • Ersetzen Sie alle anderen Optionen durch die Werte, die Sie zuvor verwendet haben.

    Ersten Router erstellen

    gcloud compute routers create ROUTER_NAME_1 \
       --region=REGION \
       --network=NETWORK_1 \
       --asn=PEER_ASN_1
    

    Der von Ihnen erstellte Router sieht in etwa so aus:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    NAME       REGION        NETWORK
    router-a   us-central1   network-a
    

    Zweiten Router erstellen

    gcloud compute routers create ROUTER_NAME_2 \
       --region=REGION \
       --network=NETWORK_2 \
       --asn=PEER_ASN_2
    

    Der von Ihnen erstellte Router sieht in etwa so aus:

    Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    NAME       REGION        NETWORK
    router-b   us-central1   network-b
    

API

Wenn Sie in den verschiedenen VPC-Netzwerken, in denen sich Ihre HA VPN-Gateways befinden, bereits Cloud Router erstellt haben, können Sie diese Cloud Router verwenden, anstatt neue zu erstellen. Wenn ein Cloud Router jedoch eine BGP-Sitzung für einen VLAN-Anhang verwaltet, der mit einer Partner Interconnect-Verbindung verknüpft ist, erstellen Sie einen neuen Cloud Router.

Senden Sie zum Erstellen eines Cloud Routers eine POST-Anfrage an die Methode routers.insert.

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
   {
     "name": "router-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
   }

VPN-Tunnel erstellen

Console

So erstellen Sie VPN-Tunnel:

  1. Wählen Sie unter Hochverfügbarkeit entweder ein Tunnelpaar oder einen Tunnel zum anderen HA VPN-Gateway aus:

    • Wenn Sie ein VPN-Tunnelpaar erstellen (empfohlen) auswählen, konfigurieren Sie die beiden Tunnel-Dialogfelde, die unten auf der Seite VPN erstellen angezeigt werden.

    • Wenn Sie Einzelnen VPN-Tunnel erstellen auswählen, konfigurieren Sie Ihren einzelnen Tunnel im weiteren Verlauf der Seite VPN erstellen. Sie müssen jedoch einen zweiten Tunnel erstellen, um ein SLA von 99,99 % für das andere HA VPN-Gateway zu erhalten. Sie können später einen zweiten Tunnel hinzufügen, wie am Ende dieses Vorgangs beschrieben.

  2. Führen Sie die folgenden Schritte entweder auf derselben Seite oder im Dialogfeld jedes Tunnels unten auf der Seite aus.

  3. Wenn Sie nur einen Tunnel konfigurieren, wählen Sie unter Zugehörige Cloud-VPN-Gateway-Schnittstelle die HA VPN-Schnittstelle und IP-Adressenkombination für dieses Gateway aus, um sie der Gateway-Schnittstelle auf dem anderen HA-VPN-Gateway zuzuordnen. Bei Konfigurationen mit zwei Tunneln sind diese Option und die Option Zugehörige Peer-VPN-Gateway-Schnittstelle nicht verfügbar, da die richtigen Schnittstellenkombinationen für Sie konfiguriert werden.

    1. Geben Sie einen Namen für den Tunnel an.
    2. Geben Sie eine optionale Beschreibung an.
    3. Geben Sie die IKE-Version an. Wir empfehlen die Standardeinstellung IKEv2. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 auswählen.
    4. Geben Sie einen vorinstallierten IKE-Schlüssel anhand Ihres vorinstallierten Schlüssels (gemeinsames Secret) an, das dem vorinstallierten Schlüssel für den Partnertunnel entsprechen muss, den Sie auf dem Peer-Gateway erstellen. Wenn Sie auf Ihrem Peer-VPN-Gateway noch keinen vorinstallierten Schlüssel konfiguriert haben, klicken Sie auf Generieren und kopieren, um einen zu generieren. Achten Sie darauf, dass Sie den vorinstallierten Schlüssel an einem sicheren Ort speichern, da er nach dem Erstellen der VPN-Tunnel nicht mehr abgerufen werden kann.
    5. Klicken Sie auf Fertig.
    6. Wiederholen Sie auf der Seite VPN erstellen die Schritte zur Tunnelerstellung für alle verbleibenden Tunneldialogfelder.
  4. Wenn Sie alle Tunnel konfiguriert haben, klicken Sie auf Erstellen und fortfahren.

gcloud

Führen Sie die folgende Befehlssequenz aus, um zwei VPN-Tunnel auf jedem HA VPN-Gateway zu erstellen.

  • Der Tunnel, den Sie über interface 0 von GW_NAME_1 erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, die dem interface 0 von GW_NAME_2 in NETWORK_2 zugeordnet ist.
  • Der Tunnel über interface 1 von GW_NAME_1 muss eine Verbindung zur externen IP-Adresse herstellen, die mit interface 1 von GW_NAME_2 verknüpft ist.
  • Wenn Sie VPN-Tunnel für GW_NAME_1 in NETWORK_1 erstellen, geben Sie die Informationen für GW_NAME_2 in NETWORK_2 an. Google verbindet den Tunnel über interface 0 von GW_NAME_1 automatisch mit interface 0 von GW_NAME_2 und interface 1 von GW_NAME_1 mit interface 1 von GW_NAME_2.

    Zwei Tunnel auf GW_NAME_1 erstellen

    • Erstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von GW_NAME_1 in NETWORK_1.

      Ersetzen Sie in den aufgeführten Befehlen Folgendes:

      • TUNNEL_NAME_GW1_IF0 und TUNNEL_NAME_GW1_IF1: ein Name für jeden Tunnel, der von GW_NAME_1 stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • GW_NAME_2: der Wert von --peer-gcp-gateway.
      • REGION: die Region, in der sich GW_NAME_1 befindet
      • Optional: --vpn-gateway-region ist die Region des HA VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region.
      • IKE_VERS: 2 für IKEv2. Da beide Tunnel mit einem anderen HA VPN-Gateway verbunden sind, empfiehlt Google die Verwendung von IKEv2. Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 verwenden.
      • SHARED_SECRET: Ihr vorinstallierter Schlüssel (gemeinsames Secret); er muss mit dem vorinstallierten Schlüssel identisch sein, den Sie für den entsprechenden Tunnel verwenden, der aus GW_NAME_2 auf interface 0 und interface 1 erstellt wurde. Weitere Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren
      • INT_NUM_0: Die Nummer 0 für die erste Schnittstelle auf GW_NAME_1.
      • INT_NUM_1: Die Nummer 1 für die zweite Schnittstelle auf GW_NAME_1.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        

      Ersten Tunnel in GW_NAME_1 INT_NUM_0 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF0 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_0
      

      Zweiten Tunnel in GW_NAME_1 INT_NUM_1 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW1_IF1 \
          --peer-gcp-gateway=GW_NAME_2 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_1 \
          --vpn-gateway=GW_NAME_1 \
          --interface=INT_NUM_1
      

      Die Befehlsausgabe sieht dann ungefähr so aus:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-0   us-central1   ha-vpn-gw-a   0          ha-vpn-gw-b
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1].
      NAME                 REGION        VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-a-to-b-if-1   us-central1   ha-vpn-gw-a   1          ha-vpn-gw-b
      

    Zwei Tunnel auf GW_NAME_2 erstellen

    • Erstellen Sie zwei VPN-Tunnel, einen an jeder Schnittstelle, von GW_NAME_2 in NETWORK_2.

      • Der Tunnel, den Sie über interface 0 von GW_NAME_2 erstellen, muss eine Verbindung zu der externen IP-Adresse herstellen, die interface 0 von GW_NAME_1 in NETWORK_1 zugeordnet ist.
      • Der Tunnel über interface 1 von GW_NAME_2 muss eine Verbindung zu der externen IP-Adresse herstellen, die interface 1 von GW_NAME_1 zugeordnet ist.

      Ersetzen Sie in den aufgeführten Befehlen Folgendes:

      • REGION: die Region, in der sich GW_NAME_2 befindet
      • Optional: --vpn-gateway-region ist die Region des VPN-Gateways, in der der Vorgang ausgeführt werden soll. Der Wert muss mit --region übereinstimmen. Wenn sie nicht angegeben ist, wird diese Option automatisch festgelegt. Diese Option überschreibt für diesen Befehlsaufruf den Standardwert des Attributs region.
      • TUNNEL_NAME_GW2_IF0 und TUNNEL_NAME_GW2_IF1: ein Name für jeden Tunnel, der von GW_NAME_2 stammt. Wenn Sie bei der Benennung der Tunnel den Namen der Gateway-Schnittstelle einbeziehen, können die Tunnel später leichter identifiziert werden.
      • GW_NAME_1: der Wert von --peer-gcp-gateway.
      • IKE_VERS: 2 für IKEv2; Da diese Tunnel eine Verbindung zu den beiden Tunnel des vorherigen Schritts herstellen, müssen sie dieselbe IKE-Version verwenden (Google empfiehlt die Verwendung von IKEv2). Damit IPv6-Traffic zugelassen wird, müssen Sie IKEv2 verwenden.
      • SHARED_SECRET: der vorinstallierte Schlüssel (gemeinsames Secret), der dem vorinstallierten Schlüssel des Partnertunnels entsprechen muss, den Sie in jeder Schnittstelle von GW_NAME_1 erstellt haben. Empfehlungen finden Sie unter Starken vorinstallierten Schlüssel generieren
      • GW_NAME_2: der Name des zweiten Gateways, das Sie im Schritt zur Gateway-Konfiguration konfiguriert haben.
      • INT_NUM_0: Die Nummer 0 für die erste Schnittstelle auf GW_NAME_2.
      • INT_NUM_1: Die Nummer 1 für die zweite Schnittstelle auf GW_NAME_2.
      • Befindet sich peer-gcp-gateway in einem anderen Projekt als der VPN-Tunnel und das lokale VPN-Gateway, verwenden Sie zur Angabe des Projekts die Option --peer-gcp-gateway als vollständigen URI oder als relativen Namen. Die folgende Beispieloption ist ein relativer Name:
        --peer-gcp-gateway projects/other-project/regions/us-central1/vpnGateways/ha-vpn-gw-b
        
      • --peer-gcp-gateway-region, das die Region des HA VPN-Gateways auf der Peer-Seite ist, mit dem der VPN-Tunnel verbunden ist, muss sich in derselben Region wie der VPN-Tunnel befinden. Wenn keine Angabe erfolgt, wird die Region automatisch festgelegt.

      Ersten Tunnel in GW_NAME_2 INT_NUM_0 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF0 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_0
      

      Zweiten Tunnel in GW_NAME_2 INT_NUM_1 erstellen

      gcloud compute vpn-tunnels create TUNNEL_NAME_GW2_IF1 \
          --peer-gcp-gateway=GW_NAME_1 \
          --region=REGION \
          --ike-version=IKE_VERS \
          --shared-secret=SHARED_SECRET \
          --router=ROUTER_NAME_2 \
          --vpn-gateway=GW_NAME_2 \
          --interface=INT_NUM_1
      

      Die Befehlsausgabe sieht dann ungefähr so aus:

      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-0   us-central1  ha-vpn-gw-b   0          ha-vpn-gw-a
      
      Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1].
      NAME                 REGION       VPN_GATEWAY   VPN_INTERFACE  PEER_ADDRESS
      tunnel-b-to-a-if-1   us-central1  ha-vpn-gw-b   1          ha-vpn-gw-a
      

    Warten Sie nach diesem Schritt einige Minuten und prüfen Sie dann den Status der einzelnen VPN-Tunnel.

    Der Zustand eines VPN-Tunnels ändert sich nur dann in Established, wenn der entsprechende Partnertunnel ebenfalls verfügbar und ordnungsgemäß konfiguriert ist. Eine gültige IKE-Version und die untergeordnete Sicherheitsverknüpfung (SA) müssen ebenfalls zwischen ihnen ausgehandelt werden.

    Beispiel: tunnel-a-to-b-if-0 in ha-vpn-gw-a kann nur festgelegt werden, wenn tunnel-b-to-a-if-0 in ha-vpn-gw-b konfiguriert und verfügbar ist.

API

Zum Erstellen von zwei VPN-Tunneln, einen für jede Schnittstelle auf einem HA VPN-Gateway, stellen Sie eine POST-Anfrage an die vpnTunnels.insert-Methode.

  1. Führen Sie folgenden Befehl aus, um den ersten Tunnel zu erstellen:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-a-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
     "sharedSecret": "SECRET_1",
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "vpnGatewayInterface": 0
    }
    

    Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie 2 für die ikeVersion angeben.

  2. Wiederholen Sie den vorherigen Befehl, um den zweiten Tunnel zu erstellen, aber ändern Sie die folgenden Parameter:

    • name: Beispielsweise ha-vpn-gw-a-tunnel-1
    • sharedSecret oder sharedSecretHash (falls erforderlich)
    • vpnGatewayInterface: Ändern Sie den Wert der anderen Schnittstelle des HA VPN-Gateways. In diesem Beispiel ändern Sie diesen Wert in 1.

Erstellen Sie dann zwei Tunnel für Ihr zweites HA VPN-Gateway, die eine Verbindung zu Ihrem ersten HA VPN-Gateway herstellen.

  1. Führen Sie den folgenden Befehl aus, um den ersten Tunnel auf dem zweiten HA VPN-Gateway zu erstellen:

    POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
    {
     "name": "ha-vpn-gw-b-tunnel-0",
     "ikeVersion": 2,
     "peerGcpGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
     "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-b",
     "sharedSecret": SECRET_1,
     "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-b",
     "vpnGatewayInterface": 0
    }
    

    Verwenden Sie dasselbe sharedSecret, das Sie für den ersten Tunnel auf dem ersten Gateway (ha-vpn-gw-a-tunnel-0) angegeben haben.

    Wenn Sie IPv6 in der mit diesem Tunnel verknüpften BGP-Sitzung aktivieren möchten, müssen Sie 2 für die ikeVersion angeben.

  2. Wiederholen Sie den vorherigen Befehl, um den zweiten Tunnel auf dem zweiten HA VPN-Gateway zu erstellen, aber ändern Sie die folgenden Parameter:

  • name: Beispielsweise ha-vpn-gw-b-tunnel-1
  • sharedSecret oder sharedSecretHash: Geben Sie das sharedSecret oder den sharedSecretHash an, den Sie beim Erstellen des zweiten Tunnels auf dem ersten Gateway verwendet haben
  • vpnGatewayInterface: in den Wert der anderen Schnittstelle des HA VPN-Gateways ändern. In diesem Beispiel ändern Sie diesen Wert in 1.

BGP-Sitzungen erstellen

Für jeden HA VPN-Tunnel können Sie eine IPv4-BGP-Sitzung, eine IPv6-BGP-Sitzung oder beides erstellen.

Wählen Sie den Typ der BGP-Sitzung aus, der für Ihr HA VPN-Gateway und die Anforderungen an den VPC-Netzwerkverkehr geeignet ist, um eine spezifische Anleitung aufzurufen.

BGP-Sitzungstyp HA VPN-Gateway VPC-Netzwerk Ist MP-BGP zulässig?
IPv4-BGP-Sitzungen Nur IPv4 oder Dual-Stack Nur IPv4 oder Dual-Stack yes
IPv6-BGP-Sitzungen Dual Stack Dual Stack yes
IPv4- und IPv6-BGP-Sitzungen Dual Stack Dual Stack no

Wenn Sie Multiprotokoll-BGP (MP-BGP) in den BGP-Sitzungen Ihrer HA VPN-Tunnel verwenden möchten, müssen Sie Dual-Stack-HA VPN-Gateways verwenden.

Außerdem müssen Sie ein Dual-Stack-HA VPN-Gateway verwenden, um sowohl IPv4- als auch IPv6-BGP-Sitzungen im selben HA VPN-Tunnel einzurichten. Sie können den Dual-Stack-Routenaustausch (MP-BGP) jedoch nicht in den einzelnen IPv4- und IPv6-BGP-Sitzungen aktivieren.

IPv4-BGP-Sitzungen

Console

So erstellen Sie BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:
    1. Wählen Sie unter BGP-Sitzungstyp die Option IPv4-BGP-Sitzung aus.
    2. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    3. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    4. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
    5. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv6-Traffic aktivieren, um den IPv6-Routenaustausch zu aktivieren.
  3. Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor: 1. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein. 1. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen: * Jede IPv4-Adresse muss zum selben /30-Subnetz gehören, das in den Adressbereich 169.254.0.0/16 passt. * Jede IPv4-Adresse ist der erste oder zweite Host des /30-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert. * Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

    Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    1. Optional: Wenn Sie im vorherigen Schritt den IPv6-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv6-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
      1. Geben Sie für Nächster Cloud Router-BGP-IPv6-Hop eine IPv6-Adresse im Adressbereich 2600:2d00:0:2::/63 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die vom Cloud Router beworben werden.
      2. Geben Sie für Peer BGP IPv6 next hop eine IPv6-Adresse im Adressbereich 2600:2d00:0:2::/63 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv6-Routen, die der Cloud Router über den BGP-Peer ermittelt hat.
      3. Optional: Maximieren Sie den Bereich Erweiterte Optionen.
      4. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
      5. Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
      6. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
  4. Klicken Sie auf Speichern und fortfahren.

  5. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  6. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

So erstellen Sie BGP-Sitzungen:

In diesem Abschnitt konfigurieren Sie Cloud Router-Schnittstellen und BGP-Peers. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen dem IPv4-Adressbereich und den Peer-IPv4-Adressen, die Sie für jede Schnittstelle angeben.

Angenommen, die erste Schnittstelle von router-1 hat die IPv4-Adresse 169.254.0.1. Das bedeutet, dass router-1 der erste Host im IPv4-Subnetz 169.254.0.0/30 ist. Der andere Cloud Router, router-2, ist der BGP-Peer von router-1. Der ersten Schnittstelle von router-2 wird 169.254.0.2 zugewiesen, der zweite Host im IPv4-Subnetz 169.254.0.0/30. Daher ist die Peer-IPv4-BGP-Adresse von router-1 169.254.0.2 und die Peer-IPv4-BGP-Adresse von router-2 169.254.0.1.

Diese Tabelle enthält auch eine Beispielkonfiguration des nächsten IPv6-Hops.

Router Schnittstellenname IPv4-Adressbereich Peer-IPv4-Adresse Peer-ASN IPv6-Adresse des nächsten Hops
Peer-IPv6-Adresse des nächsten Hops
router-1 if-tunnel-a-to-b-if-0 169.254.0.1/30 169.254.0.2 65002 2600:2d00:0:2::1 2600:2d00:0:2::2
router-2 if-tunnel-b-to-a-if-0 169.254.0.2/30 169.254.0.1 65001 2600:2d00:0:2::2 2600:2d00:0:2::1
router-1 if-tunnel-a-to-b-if-1 169.254.1.1/30 169.254.1.2 65002 2600:2d00:0:2:1::1 2600:2d00:0:2:1::2
router-2 if-tunnel-b-to-a-if-1 169.254.1.2/30 169.254.1.1 65001 2600:2d00:0:2:1::2 2600:2d00:0:2:1::1

Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.

  1. Erstellen Sie auf ROUTER_NAME_1 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF0.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW1_IF0 auf interface 0 von GW_1 mit interface 0 von GW_2.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_0: ein Name für die Schnittstelle des Cloud Routers. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • IP_VERSION: Geben Sie IPV4 an oder lassen Sie das Feld leer. Wenn nicht angegeben, ist der Standardwert IPV4.
    • IP_ADDRESS_1: eine BGP-IPv4-Adresse aus dem IPv4-Adressbereich 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.1 verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv4-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse für Sie zu.
    • MASK_LENGTH: Geben Sie 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss.
    • PEER_NAME_GW1_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_1: eine BGP-IPv4-Adresse aus dem 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.2 verwendet. Wenn Sie zuvor keine BGP-IPv4-Adresse (IP_ADDRESS_1) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv4-Adresse zu. Wenn Sie IP_ADDRESS_1 manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.
    • PEER_ASN_2: Die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.
    • Optional: Wenn Sie IPv4-BGP-Sitzungen mit MP-BGP erstellen, geben Sie --enable-ipv6 an, wenn Sie den Befehl add-bgp-peer ausführen, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV6_NEXTHOP_ADDRESS_1 durch die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden
      • PEER_IPV6_NEXTHOP_ADDRESS_1 durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden

        Die Adresse des nächsten Hops muss sich im IPv6-Adressbereich 2600:2d00:0:2::/63 befinden.

      Wenn Sie die IPv6-Adressen des nächsten Hops nicht angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv6-Adressbereich 2600:2d00:0:2::/63 zu.

    • AUTHENTICATION_KEY: der geheime Schlüssel, um die MD5-Authentifizierung auf PEER_NAME_GW1_IF0 zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse auf dem Cloud Router zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_1_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_1 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
        --region=REGION
    

    BGP-Peer für TUNNEL_NAME_GW1_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer mit manuell angegebenen IPv4-BGP-Adressen und IPv6-Adressen für den nächsten Hop erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    Der folgende Befehl erstellt einen IPv4-BGP-Peer ohne aktiviertes IPv6:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF0 \
        --interface=ROUTER_1_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_1 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION \
        --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Erstellen Sie auf ROUTER_NAME_1 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF1.

    Diese Schnittstelle wird verwendet, um TUNNEL_NAME_GW1_IF1 auf interface 1 von GW_1 mit interface 1 von GW_2 zu verbinden.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, kann hilfreich sein.
    • IP_VERSION: IPV4 angeben oder auslassen
    • IP_ADDRESS_2: Optional: eine BGP-IPv4-Adresse aus dem Block 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv4-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse für Sie zu.
    • MASK_LENGTH: Geben Sie 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss.
    • PEER_NAME_GW1_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_2: eine BGP-IPv4-Adresse aus dem IPv4-Adressbereich 169.254.0.0/16, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.2 verwendet. Wenn Sie keine BGP-IPv4-Adresse (IP_ADDRESS_2) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist Ihnen automatisch eine übereinstimmende BGP-Peer-IPv4-Adresse zu. Wenn Sie IP_ADDRESS_2 manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.
    • PEER_ASN_2: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird; In diesem Beispiel wird die ASN-Nummer 65002 verwendet.
    • Optional: Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP konfigurieren, geben Sie --enable-ipv6 im Befehl add-bgp-peer an, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV6_NEXTHOP_ADDRESS_2: die Adresse des nächsten Hops für IPv6-Routen, die von Cloud Router beworben werden. Die Adresse muss im 2600:2d00:0:2::/63-IPv6-Adressbereich liegen.
      • PEER_IPV6_NEXTHOP_ADDRESS_2: die Adresse des nächsten Hops für IPv6-Routen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im IPv6-Adressbereich 2600:2d00:0:2::/63 liegen.

      Wenn Sie die IPv6-Adressen des nächsten Hops nicht angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv6-Adressbereich 2600:2d00:0:2::/63 zu.

    • AUTHENTICATION_KEY_2: der geheime Schlüssel, um die MD5-Authentifizierung auf PEER_NAME_GW1_IF1 zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW1_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_2 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION
    

    BGP-Peer für TUNNEL_NAME_GW1_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer mit manuell angegebenen IPv4-BGP-Adressen und IPv6-Adressen für den nächsten Hop erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1  \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS_1 \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS_1
    

    Der folgende Befehl erstellt einen IPv4-BGP-Peer, für den der IPv6-Routenaustausch nicht aktiviert ist:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
        --peer-name=PEER_NAME_GW1_IF1 \
        --interface=ROUTER_1_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_2 \
        --peer-asn=PEER_ASN_2 \
        --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_2 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Prüfen Sie die Einstellungen für ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: 169.254.0.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: 169.254.1.1
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Erstellen Sie auf ROUTER_NAME_2 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF0.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW2_IF0 auf interface 0 von GW_2 mit interface 0 von GW_1.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_0: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, kann hilfreich sein.
    • IP_VERSION: Geben Sie IPV4 an oder lassen Sie das Feld leer. Wenn nicht angegeben, ist der Standardwert IPV4.
    • IP_ADDRESS_3: Wenn Sie PEER_IP_ADDRESS_1 manuell für TUNNEL_NAME_GW1_IF0 konfiguriert haben, geben Sie diesen Wert für IP_ADDRESS_3 an. Wenn Google Cloud diese IPv4-Adresse dem Peer automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus: Verwenden Sie in der Ausgabe für den BGP-Peer den Wert PEER_NAME_GW1_IF0, der im Feld peerIpAddress angezeigt wird. In diesem Beispiel wird 169.254.0.2 verwendet.
    • MASK_LENGTH: Geben Sie 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss.
    • PEER_NAME_GW2_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_3: die BGP-IPv4-Adresse, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie den Wert im Feld ipAddress für den BGP-Peer PEER_NAME_GW1_IF0, den Sie für TUNNEL_NAME_GW1_IF0 erstellt haben. In diesem Beispiel wird 169.254.0.1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    • Optional: Wenn Sie VPN-Tunnel mit IPv4-BGP-Sitzungen und MP-BGP erstellen, geben Sie --enable-ipv6 im Befehl add-bgp-peer an, um IPv6-Traffic zu aktivieren. Sie müssen die IPv6-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV6_NEXTHOP_ADDRESS_3: die Adresse des nächsten Hops für IPv6-Routen, die Sie zuvor in PEER_IPV6_NEXTHOP_ADDRESS_1 angegeben haben. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers für TUNNEL_NAME_GW1_IF0 an ROUTER_NAME_1 automatisch BGP-IPv6-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer PEER_NAME_GW1_IF0, den Sie für TUNNEL_NAME_GW1_IF0 eingerichtet haben. Verwenden Sie den Wert im Feld peerIpv6NextHopAddress. In diesem Beispiel wird 2600:2d00:0:2:0:0:0:2 verwendet.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden. Verwenden Sie den Wert, den Sie zuvor in IPV6_NEXTHOP_ADDRESS_1 angegeben haben. Wenn Sie automatisch IPv6-Adressen für den nächsten Hop zugewiesen haben, führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie für TUNNEL_NAME_GW1_IF0 eingerichtet haben. Verwenden Sie den Wert im Feld Ipv6NextHopAddress. In diesem Beispiel wird 2600:2d00:0:2:0:0:0:1 verwendet.
    • AUTHENTICATION_KEY: ist der geheime Schlüssel, der für die MD5-Authentifizierung auf PEER_NAME_GW2_IF0 verwendet werden soll.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW2_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION
    

    BGP-Peer für TUNNEL_NAME_GW2_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird ein BGP-Peer mit aktiviertem IPv6-Routenaustausch erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION \
        --enable-ipv6 \
        --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
        --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Mit dem folgenden Befehl wird ein IPv4-BGP-Peer ohne aktivierten IPv6-Routenaustausch erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Wenn Sie ROUTER_NAME_1 für die Verwendung der MD5-Authentifizierung für PEER_NAME_GW1_IF0 konfiguriert haben, konfigurieren Sie ROUTER_NAME_2 für die Verwendung der MD5-Authentifizierung so:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Erstellen Sie auf ROUTER_NAME_2 eine Schnittstelle mit einer IPv4-Adresse und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF1.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW2_IF1 auf interface 1 von GW_2 mit interface 1 von GW_1.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, kann hilfreich sein.
    • IP_VERSION: Geben Sie IPV4 an oder lassen Sie das Feld leer. Wenn nicht angegeben, ist der Standardwert IPV4.
    • IP_ADDRESS_4: Wenn Sie PEER_IP_ADDRESS_2 für TUNNEL_NAME_GW1_IF1 manuell eine BGP-IPv4-Adresse zugewiesen haben, geben Sie diesen Wert für IP_ADDRESS_4 an. Wenn die IPv4-Adresse von Google Cloud automatisch zugewiesen wurde, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus: Verwenden Sie in der Ausgabe für den BGP-Peer PEER_NAME_GW1_IF1 den Wert, der im Feld peerIpAddress angezeigt wird. In diesem Beispiel wird 169.254.1.2 verwendet.
    • MASK_LENGTH: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse eine Maskenlänge von 126 oder weniger an.
    • PEER_NAME_GW2_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_4: IP-Adresse, die Sie bei der Konfiguration des ersten Gateways und der ersten Schnittstelle als IP_ADDRESS_2 angegeben haben. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie den Wert im Feld ipAddress für den BGP-Peer, den Sie für TUNNEL_NAME_GW1_IF1 erstellt haben. In diesem Beispiel wird 169.254.1.1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    • Optional: Wenn Sie eine IPv4-BGP-Sitzung mit MP-BGP konfigurieren, geben Sie --enable-ipv6 im Befehl add-bgp-peer an, um den IPv6-Routenaustausch zu aktivieren. Sie haben auch die Möglichkeit, IPv6-Adressen des nächsten Hops manuell zu konfigurieren. Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV6_NEXTHOP_ADDRESS_4: die Adresse des nächsten Hops für IPv6-Routen, die Sie zuvor in PEER_IPV6_NEXTHOP_ADDRESS_2 angegeben haben. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers für TUNNEL_NAME_GW1_IF1 an ROUTER_NAME_1 automatisch BGP-IPv6-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer PEER_NAME_GW1_IF1, den Sie für TUNNEL_NAME_GW1_IF1 eingerichtet haben. Verwenden Sie den Wert im Feld peerIpv6NextHopAddress.
      • PEER_IPV6_NEXTHOP_ADDRESS_3 durch die Adresse des nächsten Hops für IPv6-Routen, die vom Cloud Router über den BGP-Peer erkannt werden. Verwenden Sie den Wert, den Sie zuvor in IPV6_NEXTHOP_ADDRESS_2 angegeben haben. Wenn Sie automatisch IPv6-Adressen für den nächsten Hop zugewiesen haben, führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer PEER_NAME_GW1_IF1, den Sie für TUNNEL_NAME_GW1_IF1 eingerichtet haben. Verwenden Sie den Wert im Feld Ipv6NextHopAddress. In diesem Beispiel wird 2600:2d00:0:2:0:0:1:1 verwendet.
    • AUTHENTICATION_KEY_2: ist der geheime Schlüssel, der für die MD5-Authentifizierung auf PEER_NAME_GW2_IF1 verwendet werden soll.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW2_IF1 erstellen

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    BGP-Peer für TUNNEL_NAME_GW2_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird ein BGP-Peer mit aktiviertem IPv6-Routenaustausch erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv6 \
       --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
       --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktivierten IPv6-Routenaustausch:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF1 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Wenn Sie ROUTER_NAME_1 für die Verwendung der MD5-Authentifizierung für PEER_NAME_GW1_IF1 konfiguriert haben, konfigurieren Sie ROUTER_NAME_2 für die Verwendung der MD5-Authentifizierung so:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    
    Die Befehlsausgabe sieht dann ungefähr so aus:
    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Prüfen Sie die Einstellungen für ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: 169.254.0.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:0:2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: 169.254.0.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:0:1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv6: true
       interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: 169.254.1.2
       ipv6NexthopAddress: 2600:2d00:0:2:0:0:1:2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
       peerIpv6NexthopAddress: 2600:2d00:0:2:0:0:1:1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Um eine Cloud Router-Schnittstelle zu erstellen, senden Sie eine der folgenden Anfragen:

    Mit der PATCH-Anfrage werden nur die von Ihnen angegebenen Parameter aktualisiert. Mit der UPDATE-Anfrage werden alle Parameter eines Cloud Router aktualisiert.

    Sie müssen für jeden VPN-Tunnel auf dem HA VPN-Gateway eine Cloud Router-Schnittstelle erstellen.

    Der von Ihnen angegebenen BGP-IPv4-Adressbereich muss für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
       }
     ]
    }
    
  2. Führen Sie eine der folgenden Anfragen aus, um der Schnittstelle eine BGP-Peer-Konfiguration hinzuzufügen:

    Wiederholen Sie diesen Befehl für den anderen VPN-Tunnel und ändern Sie alle Optionen außer name und peerAsn.

    Verwenden Sie den folgenden API-Befehl, um eine vollständige BGP-Sitzungskonfiguration für ein HA VPN-Gateway zu erstellen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": 65002,
    
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

    Verwenden Sie den folgenden API-Befehl, um die vollständige BGP-Sitzungskonfiguration für ein HA VPN-Gateway mit aktiviertem IPv6 zu erstellen:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
         "interfaceName": "if-tunnel-a-to-on-prem-if-0",
         "ipAddress": "169.254.0.1",
         "peerIpAddress": "169.254.0.2",
         "peerAsn": 65002,
    
         "advertiseMode": "DEFAULT"
         "enableIpv6": true
         "ipv6NexthopAddress: "2600:2d00:0:2:0:0:0:1"
         "peerIpv6NexthopAddress: "2600:2d00:0:2:0:0:0:2"
       }
     ]
    }
    

    Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "md5AuthenticationKeys": [
      {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
    ],
    }
    {
    "bgpPeers": [
      {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ],
    }
    

IPv6-BGP-Sitzungen

Console

So erstellen Sie BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:

    1. Wählen Sie unter BGP-Sitzungstyp die Option IPv6-BGP-Sitzung aus.
    2. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    3. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    4. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die für diesen BGP-Peer beworben werden.
    5. Optional: Klicken Sie auf die Ein/Aus-Schaltfläche IPv4-Traffic aktivieren, um den IPv4-Routenaustausch zu aktivieren.
    6. Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:

      1. Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
      2. Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv6-Adresse muss die folgenden Anforderungen erfüllen:
        • Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich fdff:1::/64 mit einer Maskenlänge von /64 sein. Beispiel: fdff:1::1.
        • Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    7. Optional: Wenn Sie im vorherigen Schritt den IPv4-Routenaustausch aktiviert haben, wählen Sie unter Nächsten BGP-IPv4-Hop zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:

      1. Geben Sie im Feld BGP-IPv4-Next-Hop von Cloud Router eine IPv4-Adresse im Adressbereich 169.254.0.0/16 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die vom Cloud Router beworben werden.
      2. Geben Sie im Feld Peer BGP IPv4 next hop eine IP-Adresse im Adressbereich 169.254.0.0/16 ein. Diese IP-Adresse ist die nächste Hop-Adresse für IPv4-Routen, die der Cloud Router aus dem BGP-Peer ermittelt hat.
      3. Optional: Maximieren Sie den Bereich Erweiterte Optionen.
      4. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.
      5. Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.
      6. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.
  3. Klicken Sie auf Speichern und fortfahren.

  4. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  5. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

So erstellen Sie BGP-Sitzungen:

In diesem Abschnitt konfigurieren Sie Cloud Router-IPv6-Schnittstellen und BGP-Peers. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen den IPv6-BGP-Bereichen und den Peer-IP-Adressen, die Sie für jede Schnittstelle angeben.

Die erste Schnittstelle von router-1 hat beispielsweise die IPv6-Adresse fdff:1::1. Das bedeutet, dass router-1 der erste Host im IPv6-Subnetz fdff:1::/126 ist. Der andere Cloud Router, router-2, ist der BGP-Peer von router-1. Der ersten Schnittstelle von router-2 wird fdff:1::2 zugewiesen, der zweite Host im IPv6-Subnetz fdff:1::/126. Daher lautet die BGP-IPv6-Adresse des Peers von router-1 fdff:1::2 und die Adresse von router-2 fdff:1::2.

Router Schnittstellenname IPv6-Adressbereich Peer-IPv6-Adresse Peer-ASN IPv4-Adresse des nächsten Hops
Peer-IPv4-Adresse des nächsten Hops
router-1 if-tunnel-a-to-b-if-0 fdff:1::/64 fdff:1::2 65002 169.254.12.1 169.254.12.2
router-2 if-tunnel-b-to-a-if-0 fdff:1::/64 fdff:1::1 65001 169.254.12.2 169.254.12.1
router-1 if-tunnel-a-to-b-if-1 fdff:1::/64 fdff:1::2 65002 169.254.13.1 169.254.13.2
router-2 if-tunnel-b-to-a-if-1 fdff:1::/64 fdff:1::1 65001 169.254.13.2 169.254.13.1

Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.

  1. Erstellen Sie auf ROUTER_NAME_1 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF0.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW1_IF0 auf interface 0 von GW_1 mit interface 0 von GW_2.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_0: ein Name für die Schnittstelle des Cloud Routers. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • IP_VERSION: IPV6; Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse dieser Schnittstelle automatisch zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.
    • IP_ADDRESS_1: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereich fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird fdff:1::1 verwendet. Wenn Sie dieses Flag weglassen und keine IPv6-Adresse manuell zuweisen, weist Google Cloud automatisch eine Adresse für Sie zu.
    • MASK_LENGTH: Geben Sie eine Maskenlänge von 126 an.
    • PEER_NAME_GW1_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_1: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereich fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird fdff:1::2 verwendet. Wenn Sie zuvor keine bestimmte BGP-IPv6-Adresse (IP_ADDRESS_1) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv6-Adresse zu. Wenn Sie IP_ADDRESS_1 manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.
    • PEER_ASN_2: Die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.
    • Optional: Wenn Sie den IPv4-Routenaustausch in IPv6-BGP-Sitzungen mit MP-BGP aktivieren möchten, geben Sie --enable-ipv4 an, wenn Sie den Befehl gcloud compute routers add-bgp-peer ausführen. Sie haben auch die Möglichkeit, IPv4-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren.

      Wenn Sie die IPv4-Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV4_NEXTHOP_ADDRESS_1: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im Link-Local-IPv4-Adressbereich 169.254.0.0/16 für IPv4-Routen liegen, die Cloud Router über den BGP-Peer erkannt hat. Die Adresse muss im Link-Local-Adressbereich 169.254.0.0/16 liegen.

      Wenn Sie keine IPv4-Adressen für den nächsten Hop angeben, weist Google Cloud automatisch nicht verwendete Adressen aus dem IPv4-Adressbereich 169.254.0.0/16 zu.

    • AUTHENTICATION_KEY: der geheime Schlüssel, um die MD5-Authentifizierung auf PEER_NAME_GW1_IF0 zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Optional: BGP-Kennungsbereich zuweisen

    Wenn Sie einem Cloud Router mit einer IPv6-Adresse die erste Schnittstelle hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Zeitraum auch später ändern.

    Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

    Automatisch

    Schnittstelle für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse zu erstellen.

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV6
    

    BGP-Peer für TUNNEL_NAME_GW1_IF0 erstellen

    Wenn Sie einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch und automatisch zugewiesenen IPv4-Adressen für den nächsten Hop erstellen möchten, führen Sie den folgenden Befehl aus.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv4 \
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4 und einer automatisch zugewiesenen IPv6-Adresse:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    

    Manuell

    Schnittstelle für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell angegebenen IPv6-Adresse zu erstellen.

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0 \
      --ip-address=IP_ADDRESS_1 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
    

    BGP-Peer für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um einen BGP-Peer mit aktiviertem IPv4-Routenaustausch und manuell angegebenen IPv4-Next-Hop-Adressen zu erstellen.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --enable-ipv4 \
      --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_1 \
      --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_1
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktivierten IPv4-Routenaustausch:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF0 \
     --interface=ROUTER_1_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_IP_ADDRESS_1 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0 \
      --interface=ROUTER_1_INTERFACE_NAME_0 \
      --peer-ip-address=PEER_IP_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  2. Erstellen Sie auf ROUTER_NAME_1 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW1_IF1.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW1_IF1 auf interface 1 von GW_1 mit interface 1 von GW_2.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, kann hilfreich sein.
    • IP_VERSION: IPV6
    • IP_ADDRESS_2: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereich fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird fdff:1::1:1 verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IPv6-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse für Sie zu.
    • MASK_LENGTH: Maske mit einer Länge von 64 angeben
    • PEER_NAME_GW1_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW1_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_2: eine BGP-IPv6-Adresse aus dem IPv6-Adressbereich fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird fdff:1::1:2 verwendet. Wenn Sie keine IPv6-Adresse (IP_ADDRESS_2) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv6-Adresse zu. Wenn Sie IP_ADDRESS_2 manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.
    • PEER_ASN_2: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird; In diesem Beispiel wird die ASN-Nummer 65002 verwendet.
    • Optional: Wenn Sie den IPv4-Routenaustausch in IPv6-BGP-Sitzungen mit MP-BGP aktivieren möchten, geben Sie --enable-ipv4 an, wenn Sie den Befehl gcloud compute routers add-bgp-peer ausführen. Sie haben auch die Möglichkeit, IPv4-Adressen des nächsten Hops automatisch oder manuell zu konfigurieren.

      Wenn Sie die IPv4-Adressen des nächsten Hops manuell konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV4_NEXTHOP_ADDRESS_2: die Adresse des nächsten Hops für IPv4-Routen, die von Cloud Router beworben werden. Die Adresse muss im Link-Local-IPv4-Adressbereich 169.254.0.0/16 liegen.
      • PEER_IPV4_NEXTHOP_ADDRESS_2: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im Link-Local-IPv4-Adressbereich 169.254.0.0/16 liegen.
    • AUTHENTICATION_KEY_2: der geheime Schlüssel, um die MD5-Authentifizierung auf PEER_NAME_GW1_IF1 zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Automatisch

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW1_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse zu erstellen.

    gcloud compute routers add-interface ROUTER_NAME_1 \
       --interface-name=ROUTER_1_INTERFACE_NAME_1 \
       --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
       --region=REGION \
       --ip-version=IPV6
    

    BGP-Peer für TUNNEL_NAME_GW1_IF1 erstellen

    Wenn Sie einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch und automatisch zugewiesenen IPv4-Adressen für den nächsten Hop erstellen möchten, führen Sie den folgenden Befehl aus.

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --enable-ipv4 \
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
       --peer-name=PEER_NAME_GW1_IF1 \
       --interface=ROUTER_1_INTERFACE_NAME_1 \
       --peer-asn=PEER_ASN_2 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    

    Manuell

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW1_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell angegebenen IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1 \
      --ip-address=IP_ADDRESS_2 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
    

    BGP-Peer für TUNNEL_NAME_GW1_IF1 erstellen

    Um einen IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch zu erstellen, führen Sie den folgenden Befehl aus:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1 \
     --interface=ROUTER_1_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_IP_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS_2 \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS_2
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1 \
     --interface=ROUTER_1_INTERFACE_NAME_1 \
     --peer-ip-address=PEER_IP_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Optional: Wenn Sie die MD5-Authentifizierung verwenden möchten, geben Sie den geheimen Schlüssel mit dem Flag --md5-authentication-key an:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1 \
      --interface=ROUTER_1_INTERFACE_NAME_1 \
      --peer-ip-address=PEER_IP_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
    
  3. Prüfen Sie die Einstellungen für ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-a-to-b-if-0
       ipAddress: fdff:1::1
       ipv4NexthopAddress: 169.254.12.2
       name: bgp-peer-tunnel-a-to-b-if-0
       peerAsn: 65002
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.12.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-a-to-b-if-1
       ipAddress: fdff:1:1:2::1
       ipv4NexthopAddress: 169.254.13.2
       name: bgp-peer-tunnel-a-to-b-if-1
       peerAsn: 65002
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.13.1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange:  fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange:  fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    

  4. Erstellen Sie auf ROUTER_NAME_2 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF0.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW2_IF0 auf interface 0 von GW_2 mit interface 0 von GW_1.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_0: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, kann hilfreich sein.
    • IP_VERSION: IPV6; Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse dieser Schnittstelle automatisch zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.
    • IP_ADDRESS_3: Wenn Sie PEER_IP_ADDRESS_1 für TUNNEL_NAME_GW1_IF0 manuell eine BGP-IPv6-Adresse zugewiesen haben, geben Sie diesen Wert für IP_ADDRESS_3 an. Wenn Google Cloud diese IPv6-Adresse dem Peer automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus: Verwenden Sie in der Ausgabe für den BGP-Peer den Wert PEER_NAME_GW1_IF0, der im Feld peerIpAddress angezeigt wird. In diesem Beispiel wird fdff:1::2 verwendet.
    • MASK_LENGTH: Geben Sie eine Maskenlänge von 126 oder kleiner an.
    • PEER_NAME_GW2_IF0: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_3: die BGP-IPv6-Adresse, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie den Wert im Feld ipAddress für den BGP-Peer, den Sie für fdff:1::1 erstellt haben.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    • Optional: Wenn Sie IPv6-BGP-Sitzungen und MP-BGP erstellen, geben Sie --enable-ipv4 an, wenn Sie den Befehl gcloud compute routers add-bgp-peer ausführen, um IPv4-Traffic zu aktivieren. Sie müssen die IPv4-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem IPv4-fähigen BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist.

      Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV4_NEXTHOP_ADDRESS_3: die Adresse des nächsten Hops für IPv4-Routen, die zuvor in PEER_IPV4_NEXTHOP_ADDRESS_1 angegeben wurden. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers für TUNNEL_NAME_GW1_IF0 auf ROUTER_NAME_1 automatisch IPv4-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie für TUNNEL_NAME_GW1_IF0 eingerichtet haben. Verwenden Sie den Wert im Feld peerIpv4NextHopAddress. In diesem Beispiel wird 169.254.13.1 verwendet.
      • PEER_IPV4_NEXTHOP_ADDRESS_2: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im IPv4-Link-Local-Adressbereich 169.254.0.0/16 liegen. In diesem Beispiel wird 169.254.13.2 verwendet.
    • AUTHENTICATION_KEY: ist der geheime Schlüssel, der für die MD5-Authentifizierung auf PEER_NAME_GW2_IF0 verwendet werden soll.

    Optional: BGP-Kennungsbereich zuweisen

    Wenn Sie einem Cloud Router mit einer IPv6-Adresse die erste Schnittstelle hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern.

    Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW2_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IP_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION \
        --ip-version=IPV6
    

    BGP-Peer für TUNNEL_NAME_GW2_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv4-fähiger BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION \
        --enable-ipv4 \
        --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
        --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Der folgende Befehl erstellt einen BGP-Peer ohne aktiviertes IPv4:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0 \
        --interface=ROUTER_2_INTERFACE_NAME_0 \
        --peer-ip-address=PEER_IP_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Wenn Sie ROUTER_NAME_1 für die Verwendung der MD5-Authentifizierung für PEER_NAME_GW1_IF0 konfiguriert haben, konfigurieren Sie ROUTER_NAME_2 für die Verwendung der MD5-Authentifizierung so:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF0 \
       --interface=ROUTER_2_INTERFACE_NAME_0 \
       --peer-ip-address=PEER_IP_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  5. Erstellen Sie auf ROUTER_NAME_2 eine Schnittstelle und einen BGP-Peer für den Tunnel TUNNEL_NAME_GW2_IF1.

    Diese Schnittstelle verbindet TUNNEL_NAME_GW2_IF1 auf interface 1 von GW_2 mit interface 1 von GW_1.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_1: Name der Cloud Router-BGP-Schnittstelle Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, kann hilfreich sein.
    • IP_ADDRESS_4: Wenn Sie PEER_IP_ADDRESS_2 für TUNNEL_NAME_GW1_IF1 manuell eine BGP-IPv6-Adresse zugewiesen haben, geben Sie diesen Wert für IP_ADDRESS_4 an. Wenn Google Cloud die BGP-IPv6-Adresse des Peers automatisch zugewiesen hat, als Sie die Schnittstelle und den BGP-Peer für TUNNEL_NAME_GW1_IF1 auf ROUTER_NAME_1 erstellt haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus: Verwenden Sie in der Ausgabe für den BGP-Peer den Wert, der im Feld peerIpAddress angezeigt wird. In diesem Beispiel wird fdff:1::1:2 verwendet.
    • MASK_LENGTH: Geben Sie eine Maskenlänge von 126 an.
    • PEER_NAME_GW2_IF1: Ein Name, der den BGP-Peer beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, ist hilfreich.
    • PEER_IP_ADDRESS_4: Wenn Sie IP_ADDRESS_2 für TUNNEL_NAME_GW1_IF1 manuell eine BGP-IP-Adresse zugewiesen haben, geben Sie diesen Wert für PEER_IP_ADDRESS_4 an. Wenn Google Cloud Ihnen die BGP-IPv6-Adresse automatisch zugewiesen hat, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie den Wert im Feld ipAddress für den BGP-Peer, den Sie erstellt haben. In diesem Beispiel wird fdff:1::1:1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.
    • Optional: Wenn Sie IPv6-BGP-Sitzungen und MP-BGP erstellen, geben Sie --enable-ipv4 an, wenn Sie den Befehl gcloud compute routers add-bgp-peer ausführen, um IPv4-Traffic zu aktivieren. Sie müssen die IPv4-Adressen des nächsten Hops so konfigurieren, dass sie mit der Schnittstelle und dem IPv4-fähigen BGP-Peer übereinstimmen, der für das erste Gateway konfiguriert ist.

      Wenn Sie die Adressen des nächsten Hops konfigurieren möchten, ersetzen Sie Folgendes:

      • IPV4_NEXTHOP_ADDRESS_4: die Adresse des nächsten Hops für IPv4-Routen, die zuvor in PEER_IPV4_NEXTHOP_ADDRESS_3 angegeben wurden. Wenn Sie beim Erstellen der Schnittstelle und des BGP-Peers für TUNNEL_NAME_GW1_IF0 auf ROUTER_NAME_1 automatisch IPv4-Adressen des nächsten Hops zugewiesen haben, müssen Sie herausfinden, welche Adresse von Google Cloud zugewiesen wurde. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus und prüfen Sie die Ausgabe für den BPG-Peer, den Sie für TUNNEL_NAME_GW1_IF0 eingerichtet haben. Verwenden Sie den Wert im Feld peerIpv4NextHopAddress. In diesem Beispiel wird 169.254.13.1 verwendet.
      • PEER_IPV4_NEXTHOP_ADDRESS_4: die Adresse des nächsten Hops für IPv4-Routen, die Cloud Router über den BGP-Peer erlernt hat. Die Adresse muss im Link-Local-IPv4-Adressbereich 169.254.0.0/16 liegen. In diesem Beispiel wird 169.254.13.2 verwendet.
    • AUTHENTICATION_KEY_2: ist der geheime Schlüssel, der für die MD5-Authentifizierung auf PEER_NAME_GW2_IF1 verwendet werden soll.

    Cloud Router-Schnittstelle für TUNNEL_NAME_GW2_IF1 erstellen

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IP_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION \
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    

    BGP-Peer für TUNNEL_NAME_GW2_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv6-BGP-Peer mit aktiviertem IPv4-Routenaustausch erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --enable-ipv4 \
       --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
       --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
    

    Der folgende Befehl erstellt einen IPv6-BGP-Peer ohne aktivierten IPv4-Routenaustausch:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF1 \
        --interface=ROUTER_2_INTERFACE_NAME_1 \
        --peer-ip-address=PEER_IP_ADDRESS_4 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Wenn Sie ROUTER_NAME_1 für die Verwendung der MD5-Authentifizierung für PEER_NAME_GW1_IF1 konfiguriert haben, konfigurieren Sie ROUTER_NAME_2 für die Verwendung der MD5-Authentifizierung so:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1 \
       --interface=ROUTER_2_INTERFACE_NAME_1 \
       --peer-ip-address=PEER_IP_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION \
       --md5-authentication-key=AUTHENTICATION_KEY_2
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

    Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b].
    
  6. Prüfen Sie die Einstellungen für ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertiseMode: DEFAULT
       asn: 65002
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-b-to-a-if-0
       ipAddress: fdff:1::2
       ipv4NexthopAddress: 169.254.12.2
       name: bgp-peer-tunnel-b-to-a-if-0
       peerAsn: 65001
       peerIpAddress: fdff:1::1
       peerIpv4NexthopAddress: 169.254.12.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       enableIpv4: true
       interfaceName: if-tunnel-b-to-a-if-1
       ipAddress: fdff:1::1
       ipv4NexthopAddress: 169.254.13.2
       name: bgp-peer-tunnel-b-to-a-if-1
       peerAsn: 65001
       peerIpAddress: fdff:1::2
       peerIpv4NexthopAddress: 169.254.13.2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: fdff:1::2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
       — ipRange: fdff:1::1:2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Wenn Sie eine Cloud Router-Schnittstelle mit einer IPv6-Adresse erstellen möchten, senden Sie entweder eine PATCH- oder eine UPDATE-Anfrage an die Methode routers.patch oder die Methode routers.update. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router. Erstellen Sie eine Schnittstelle für jeden VPN-Tunnel auf dem HA VPN-Gateway.

    Im folgenden Beispiel wird eine Schnittstelle mit einer manuell konfigurierten IPv6-BGP-Adresse erstellt.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::1/126"
        }
      ]
    }
    

    Jeder BGP-IPv6-Adressbereich für jede BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerks eindeutig sein.

    Mit dem folgenden Befehl wird beispielsweise eine Schnittstelle mit einer automatisch zugewiesenen IPv6-Adresse erstellt.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
        }
      ]
    }
    

    Wiederholen Sie diesen Schritt für jeden VPN-Tunnel auf dem HA VPN-Gateway.

  2. Fügen Sie dem Cloud Router für jede Schnittstelle einen BGP-Peer hinzu.

    Wenn Sie einen BGP-Peer erstellen möchten, senden Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der routers.update-Methode. Wiederholen Sie diesen Befehl für die anderen Schnittstellen und ändern Sie die Feldwerte nach Bedarf.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-b-if-0",
         "interfaceName": "if-tunnel-a-to-b-if-0",
         "ipAddress": "fdff:1::2",
         "peerIpAddress": "fdff:1::1",
         "peerAsn": 65002,
         "advertiseMode": "DEFAULT"
       }
     ]
    }
    

    Verwenden Sie den folgenden API-Befehl, um eine IPv6-BGP-Sitzung mit konfigurierten MP-BGP- und IPv4-Adressen für den nächsten Hop zu erstellen:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "bgpPeers": [
       {
         "name": "bgp-peer-tunnel-a-to-b-if-0",
         "interfaceName": "if-tunnel-a-to-b-if-0",
         "ipAddress": "fdff:1::2",
         "peerIpAddress": "fdff:1::1",
         "peerAsn": 65002,
         "advertiseMode": "DEFAULT",
         "enableIpv4": true,
         "ipv4NexthopAddress: "169.254.12.2",
         "peerIpv4NexthopAddress: "169.254.12.1"
       }
     ]
    }
    

    Wenn Sie die Sitzung für die Verwendung der MD5-Authentifizierung konfigurieren möchten, muss die Anfrage einen Authentifizierungsschlüssel enthalten. Dies bedeutet, dass sowohl der Schlüssel als auch ein Name für den Schlüssel bereitgestellt werden muss. Außerdem muss beim Erstellen der BGP-Peering-Sitzung auf den Schlüssel verwiesen werden. Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
    "md5AuthenticationKeys": [
      {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
    ],
    }
    {
    "bgpPeers": [
      {
       "interfaceName": "if-tunnel-a-to-b-if-0",
       "ipAddress": "fdff:1::2",
       "name": "bgp-peer-tunnel-a-to-b-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::1",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ],
    }
    

IPv4- und IPv6-BGP-Sitzungen

Console

So erstellen Sie sowohl IPv4- als auch IPv6-BGP-Sitzungen:

  1. Klicken Sie auf BGP-Sitzung konfigurieren.
  2. Führen Sie auf der Seite BGP-Sitzung erstellen die folgenden Schritte aus:

    1. Wählen Sie für BGP-Sitzungstyp die Option Beide aus.

    IPv4-BGP-Sitzung

    1. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    2. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Wählen Sie für BGP-IPv4-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
    4. Geben Sie unter BGP-IPv4-Adresse von Cloud Router die BGP-IPv4-Adresse von Cloud Router ein.
    5. Geben Sie unter BGP-Peer-IPv4-Adresse die IPv4-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:

      • Jede IPv4-Adresse muss zum selben /30-Subnetz gehören, das in den Adressbereich 169.254.0.0/16 passt.
      • Jede IPv4-Adresse ist der erste oder zweite Host des /30-Subnetzes. Die erste und die letzte IP-Adresse des Subnetzes sind für Netzwerk- und Broadcastadressen reserviert.
      • Jeder IPv4-Adressbereich für eine BGP-Sitzung muss unter allen Cloud Routern in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv4-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

      Wenn Sie die automatische IPv6-Adresszuweisung auswählen, wählt Google Cloud die IPv6-Adressen für Ihre BGP-Sitzung automatisch aus.

    6. Optional: Maximieren Sie den Bereich Erweiterte Optionen.

    7. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.

    8. Wenn Sie die MD5-Authentifizierung hinzufügen möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, können Sie die MD5-Authentifizierung verwenden, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.

    9. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie unter Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

    10. Klicken Sie auf Speichern und fortfahren.

    IPv6-BGP-Sitzung

    1. Geben Sie unter Name einen Namen für die BGP-Sitzung ein.
    2. Geben Sie unter Peer-ASN die Peer-ASN ein, die für das Peer-VPN-Gateway konfiguriert wurde.
    3. Optional: Geben Sie unter Priorität der beworbenen Route (MED) die Priorität der Routen ein, die an diesen BGP-Peer beworben werden.
    4. Wählen Sie für BGP-IPv6-Adresse zuweisen die Option Automatisch oder Manuell aus. Wenn Sie Manuell auswählen, gehen Sie so vor:
    5. Geben Sie unter BGP-IPv6-Adresse von Cloud Router die BGP-IPv6-Adresse von Cloud Router ein.
    6. Geben Sie unter BGP-IPv6-Adresse des Peers die IPv6-Adresse des BGP-Peers ein. Die IPv4-Adresse muss die folgenden Anforderungen erfüllen:

      • Jede Adresse muss eine eindeutige lokale Adresse (ULA) aus dem Adressbereich fdff:1::/64 mit einer Maskenlänge von /64 sein. Beispiel: fdff:1::1
      • Jede Adresse muss für alle Cloud Router in allen Regionen eines VPC-Netzwerk eindeutig sein.

      Wenn Sie Automatisch auswählen, werden die IPv6-Adressen für Ihre BGP-Sitzung automatisch von Google Cloud ausgewählt.

    7. Optional: Maximieren Sie den Bereich Erweiterte Optionen.

    8. Wenn Sie BGP-Peer aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die Peer-Verbindung mit Routinginformationen hergestellt. Weitere Informationen finden Sie unter BGP-Sitzungen erstellen.

    9. Wenn Sie die MD5-Authentifizierung aktivieren möchten, wählen Sie Aktiviert aus. Wenn diese Option aktiviert ist, wird die MD5-Authentifizierung verwendet, um BGP-Sitzungen zwischen Cloud Router und seinen Peers zu authentifizieren. Weitere Informationen finden Sie unter MD5-Authentifizierung verwenden. Sie können alternativ später die MD5-Authentifizierung aktivieren.

    10. Wenn Sie der BGP-Sitzung ausgehende Routen hinzufügen möchten, geben Sie für Priorität aller benutzerdefinierten erkannten Routen eine Priorität für benutzerdefinierte erkannte Routen ein. Weitere Informationen finden Sie unter Benutzerdefinierte erkannte Routen.

    11. Klicken Sie auf Speichern und fortfahren.

  3. Wiederholen Sie die vorherigen Schritte für die übrigen auf dem Gateway konfigurierten Tunnel. Verwenden Sie für jeden Tunnel eine andere BGP-IP-Adresse von Cloud Router und eine andere BGP-Peer-IP-Adresse.

  4. Klicken Sie auf BGP-Konfiguration speichern.

gcloud

In diesem Abschnitt konfigurieren Sie zwei Schnittstellen und BGP-Peers für jeden HA VPN-Tunnel. In der folgenden Tabelle erhalten Sie eine Übersicht über diese Schnittstellen und Peers. Sie zeigt die Beziehung zwischen den IP-Adressbereichen und den Peer-IP-Adressen, die Sie für jede Schnittstelle angeben.

Der ersten Schnittstelle von router-1 ist beispielsweise die IPv4-Adresse 169.254.0.1 zugewiesen. Der zweiten Schnittstelle von router-1 wird die IPv6-Adresse fdff:1::1 zugewiesen. Der andere Cloud Router, router-2, ist der BGP-Peer von router-1. Der ersten Schnittstelle von router-2 wird 169.254.0.2 zugewiesen, der zweite Host im IPv4-Subnetz 169.254.0.0/30. Der zweiten Schnittstelle von router-2 wird fdff:1::2 zugewiesen, der zweite Host im IPv6-Subnetz fdff:1::/126. Daher ist die IPv4-BGP-Adresse des Peers von router-1 169.254.0.2 und die IPv6-BGP-Adresse des Peers fdff:1::2. Die IPv4-BGP-Adresse des Peers von router-2 ist 169.254.0.1 und die IPv6-BGP-Adresse des Peers ist fdff:1::1.

Router Schnittstellenname BGP-IP-Adresse Peer-IP-Adresse Peer-ASN
router-1 if-tunnel-a-to-b-if-0_ipv4 169.254.0.1/30 169.254.0.2 65002
router-1 if-tunnel-a-to-b-if-0_ipv6 fdff:1::1/126 fdff:1::2 65002
router-1 if-tunnel-a-to-b-if-1_ipv4 169.254.1.1/30 169.254.1.2 65002
router-1 if-tunnel-a-to-b-if-1_ipv6 fdff:1::1:1/126 fdff:1::1:2 65002
router-2 if-tunnel-b-to-a-if-0_ipv4 169.254.0.2/30 169.254.0.1 65001
router-2 if-tunnel-b-to-a-if-0_ipv6 fdff:1::2/126 fdff:1::1 65001
router-2 if-tunnel-b-to-a-if-1_ipv4 169.254.1.2/30 169.254.1.1 65001
router-2 if-tunnel-b-to-a-if-1_ipv6 fdff:1::1:2/126 fdff:1::1:1 65001

Führen Sie die folgende Befehlssequenz aus, um Cloud Router-Schnittstellen und BGP-Peers zu erstellen.

  1. Erstellen Sie sowohl Schnittstellen als auch BGP-Peers auf ROUTER_NAME_1 für den Tunnel TUNNEL_NAME_GW1_IF0.

    Die beiden Schnittstellen verbinden TUNNEL_NAME_GW1_IF0 auf interface 0 von GW_1 mit interface 0 von GW_2.

    Ersetzen Sie in den Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_0_ipv4 und ROUTER_1_INTERFACE_NAME_0_ipv6: Namen für die Cloud Router-Schnittstellen. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW1_IF0 beziehen, ist hilfreich.
    • IP_VERSION: IPv6-Version der Schnittstelle, entweder IPV6 oder IPV4. Dieser Parameter ist nur erforderlich, wenn Google Cloud die IPv6-Adresse einer Schnittstelle automatisch zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.
    • IPV4_ADDRESS_1 und IPV6_ADDRESS_1: BGP-IP-Adresse aus dem Adressbereich 169.254.0.0/16 oder fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.1 und fdff:1::1 verwendet. Wenn Sie dieses Flag weglassen und eine BGP-IP-Adresse nicht manuell zuweisen, weist Google Cloud automatisch eine Adresse zu.
    • MASK_LENGTH: Wenn Sie eine BGP-IPv6-Adresse für eine Schnittstelle angeben, geben Sie 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-Bereich verwenden muss. Geben Sie bei der Angabe einer IPv6-Adresse für eine Schnittstelle eine Maskenlänge von 126 an.
    • PEER_NAME_GW1_IF0_ipv4 und PEER_NAME_GW1_IF0_ipv6: Namen, die die IPv4- und IPv6-BGP-Peers beschreiben. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW1_IF0 beziehen, ist hilfreich.
    • PEER_IPV4_ADDRESS_1 und PEER_IPV6_ADDRESS_1: eine BGP-Adresse aus dem IPv6-Adressbereich 169.254.0.0/16 oder fdff:1::/64, die nicht bereits verwendet wird. In diesem Beispiel wird 169.254.0.2 und fdff:1::2 verwendet. Wenn Sie zuvor keine spezifischen BGP-Adressen für IPV4_ADDRESS_1 und IPV6_ADDRESS_1 zugewiesen haben, lassen Sie diese Optionen weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IP-Adressen für Sie zu. Wenn Sie IPV4_ADDRESS_1 und IPV6_ADDRESS_1 manuell angegeben haben, müssen Sie diese Optionen auch manuell konfigurieren.
    • PEER_ASN_2: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_2 verwendet wird. In diesem Beispiel wird die ASN-Nummer 65002 verwendet.

    Optional: BGP-Kennungsbereich zuweisen

    Wenn Sie einem Cloud Router die erste Schnittstelle mit einer IPv6-Adresse hinzufügen, wird dem Cloud Router automatisch ein BGP-Kennungsbereich zugewiesen. Wenn Sie einen eigenen BGP-Kennungsbereich für einen Cloud Router definieren möchten, können Sie einen eigenen Bereich erstellen. Sie können diesen Bereich auch später ändern.

    Weitere Informationen finden Sie unter BGP-Kennungsbereich für einen Cloud Router konfigurieren.

    Automatisch

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten BGP-IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV4
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten BGP-IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
      --ip-version=IPV6
    

    BGP-Peers für TUNNEL_NAME_GW1_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
    

    Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.

    In dieser Konfiguration können Sie MP-BGP nicht verwenden.

    Manuell

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW1_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten BGP-IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --ip-address=IPV4_ADDRESS_1 \
      --mask-length=30 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten BGP-IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --ip-address=IPV6_ADDRESS_1 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF0 \
      --region=REGION \
    

    BGP-Peers für TUNNEL_NAME_GW1_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION \
    

    Mit dem folgenden Befehl wird der IPv6-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF0_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_0_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_1 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.

    In dieser Konfiguration können Sie MP-BGP nicht verwenden.

  2. Erstellen Sie sowohl Schnittstellen als auch BGP-Peers auf ROUTER_NAME_1 für den Tunnel TUNNEL_NAME_GW1_IF1.

    Die beiden Schnittstellen verbinden TUNNEL_NAME_GW1_IF1 auf interface 1 von GW_1 mit interface 1 von GW_2.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_1_INTERFACE_NAME_1_ipv4 und ROUTER_1_INTERFACE_NAME_1_ipv6: Namen für die Cloud Router-Schnittstellen. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW1_IF1 beziehen, ist hilfreich.
    • IP_VERSION: die Version der Schnittstelle, entweder IPV6 oder IPV4. Wenn nicht angegeben, ist der Standardwert IPV4. Dieser Parameter ist nur erforderlich, wenn Google Cloud einer Schnittstelle automatisch eine IPv6-Adresse zuweisen soll. Wenn Sie dieser Schnittstelle manuell eine IPv4- oder IPv6-Adresse zuweisen, können Sie dieses Flag weglassen.
    • IPV4_ADDRESS_2 oder IPV6_ADDRESS_2: eine BGP-IPv4- oder IPv6-Adresse aus dem IPv6-Adressbereich 169.254.0.0/16 oder fdff:1::/64, der nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.1 und oder fdff:1::1:1. Wenn Sie dieses Flag weglassen und keine BGP-IPv4- oder IPv6-Adresse manuell zuweisen, weist Google Cloud automatisch eine Adresse für Sie zu.
    • MASK_LENGTH: Wenn Sie eine IPv4-Adresse für eine Schnittstelle angeben, geben Sie 30 an, da der Cloud Router eine eindeutige /30-CIDR desselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss. Wenn Sie eine IPv6-Adresse für eine Schnittstelle angeben, geben Sie eine Maskenlänge von 64 an.
    • PEER_NAME_GW1_IF1_ipv4 und PEER_NAME_GW1_IF0_ipv6: Namen, die die IPv4- und IPv6-BGP-Peers beschreiben. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW1_IF1 beziehen, ist hilfreich.
    • PEER_IPV4_ADDRESS_2 oder PEER_IPV6_ADDRESS_2: eine BGP-IPv4- oder IPv6-Adresse aus dem IPv6-Adressbereich 169.254.0.0/16 oder fdff:1::/64, der nicht bereits verwendet wird. In diesem Beispiel wird 169.254.1.2 und fdff:1::1:2 verwendet. Wenn Sie keine IPv4- oder IPv6-Adresse (IPV4_ADDRESS_2 oder IPV6_ADDRESS_2) zugewiesen haben, lassen Sie diese Option weg. Google Cloud weist automatisch eine übereinstimmende BGP-Peer-IPv4- oder IPv6-Adresse für Sie zu. Wenn Sie IPV4_ADDRESS_2 oder IPV6_ADDRESS_2 manuell angegeben haben, müssen Sie diese Option auch manuell konfigurieren.
    • PEER_ASN_2: die ASN-Nummer, die für alle Schnittstellen auf dem anderen Cloud Router ROUTER_NAME_2 verwendet wird; In diesem Beispiel wird die ASN-Nummer 65002 verwendet.
    • AUTHENTICATION_KEY_2: der geheime Schlüssel, um die MD5-Authentifizierung auf PEER_NAME_GW1_IF1 zu verwenden. Weitere Informationen zu diesem optionalen Feature finden Sie unter MD5-Authentifizierung verwenden.

    Automatisch

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW1_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
      --ip-version=IPV4
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer automatisch konfigurierten IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION \
      --ip-version=IPV6
    

    BGP-Peers für TUNNEL_NAME_GW1_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv4-fähiger BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv6 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --peer-ip-address=PEER_IPV6_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.

    In dieser Konfiguration können Sie MP-BGP nicht verwenden.

    Manuell

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW1_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten IPv4-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --ip-address=IPV4_ADDRESS_2 \
      --mask-length=30 \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle mit einer manuell konfigurierten IPv6-Adresse zu erstellen:

    gcloud compute routers add-interface ROUTER_NAME_1 \
      --interface-name=ROUTER_1_INTERFACE_NAME_1_ipv6 \
      --ip-address=IPV6_ADDRESS_2 \
      --mask-length=MASK_LENGTH \
      --vpn-tunnel=TUNNEL_NAME_GW1_IF1 \
      --region=REGION
    

    BGP-Peers für TUNNEL_NAME_GW1_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird ein IPv4-fähiger BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
      --peer-name=PEER_NAME_GW1_IF1_ipv4 \
      --interface=ROUTER_1_INTERFACE_NAME_1_ipv4 \
      --peer-ip-address=PEER_IPV4_ADDRESS_2 \
      --peer-asn=PEER_ASN_2 \
      --region=REGION
    

    Mit dem folgenden Beispielbefehl wird ein IPv6-fähiger BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_1 \
     --peer-name=PEER_NAME_GW1_IF1_ipv6 \
     --interface=ROUTER_1_INTERFACE_NAME_1_ipv6 \
     --peer-ip-address=PEER_IPV6_ADDRESS_2 \
     --peer-asn=PEER_ASN_2 \
     --region=REGION
    

    Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.

    In dieser Konfiguration können Sie MP-BGP nicht verwenden.

  3. Prüfen Sie die Einstellungen für ROUTER_NAME_1:

    gcloud compute routers describe ROUTER_NAME_1 \
        --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertisemode: DEFAULT
       asn: 65001
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-0_ipv4
       ipAddress: 169.254.0.1
       name: bgp-peer-tunnel-a-to-b-if-0_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.0.2
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-1_ipv4
       ipAddress: 169.254.1.1
       name: bgp-peer-tunnel-a-to-b-if-1_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.1.2
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-0_ipv6
       ipAddress: fdff:1::1
       name: bgp-peer-tunnel-a-to-b-if-0_ipv6
       peerAsn: 65002
       peerIpAddress: fdff:1::2
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-a-to-b-if-1_ipv6
       ipAddress: fdff:1::1
       name: bgp-peer-tunnel-a-to-b-if-1_ipv6
       peerAsn: 65002
       peerIpAddress: fdff:1::2
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: 169.254.1.1/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-0
       name: if-tunnel-a-to-b-if-0
     — ipRange: fdff:1::1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     — ipRange: fdff:1::1:1/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-b-if-1
       name: if-tunnel-a-to-b-if-1
     kind: compute#router
     name: router-a
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
    
  4. Erstellen Sie auf ROUTER_NAME_2 sowohl Schnittstellen als auch BGP-Peers für den Tunnel TUNNEL_NAME_GW2_IF0.

    Die beiden Schnittstellen verbinden TUNNEL_NAME_GW2_IF0 auf interface 0 von GW_2 mit interface 0 von GW_1.

    Sie müssen die Schnittstellen- und BGP-Peering-Adressen auf diesem Cloud Router manuell konfigurieren, da die entsprechenden Adressen bereits auf dem anderen Cloud Router konfiguriert wurden,ROUTER_NAME_1.

    Ersetzen Sie in den Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_0_ipv4 und ROUTER_2_INTERFACE_NAME_0<_ipv6: Namen der Cloud Router-Schnittstellen. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW2_IF0 beziehen, ist hilfreich.
    • IPV4_ADDRESS_3 und IPV6_ADDRESS_3: BGP-IPv4- und IPv6-Adressen, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurden. Wenn Sie die Peer-IPv4- und -IPv6-Adressen beim Erstellen der Schnittstellen und BGP-Peers für TUNNEL_NAME_GW1_IF0 an ROUTER_NAME_1 automatisch zugewiesen haben, müssen Sie die zugewiesenen Adressen als IPV4_ADDRESS_3 und IPV6_ADDRESS_3 angeben. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus, um herauszufinden, welche Adressen von Google Cloud zugewiesen wurden. Verwenden Sie in der Ausgabe für die BGP-Peer die Werte, die im Feld peerIpAddress angezeigt werden. In diesem Beispiel werden 169.254.0.2 und fdff:1::2 verwendet.
    • MASK_LENGTH: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse eine Maskenlänge von 64 an.
    • PEER_NAME_GW2_IF0_ipv4: Ein Name, der den BGP-Peer PEER_NAME_GW2_IF0_ipv6 beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF0 bezieht, ist hilfreich.
    • PEER_IPV4_ADDRESS_3 und PEER_IPV6_ADDRESS_3: die BGP-IPv4- oder IPv6-Adressen, die zuvor bei der Konfiguration des ersten Gateways und der ersten Schnittstelle verwendet wurden. Führen Sie gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie die Werte im Feld ipAddress für die BGP-Peers, die Sie für TUNNEL_NAME_GW1_IF0 erstellt haben. In diesem Beispiel werden 169.254.0.1 und fdff:1::1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wird und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW2_IF0 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und ihre IPv4-Adresse manuell zu konfigurieren:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IPV4_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und ihre IPv6-Adresse manuell zu konfigurieren:

    gcloud compute routers add-interface ROUTER_NAME_1 \
        --interface-name=ROUTER_2_INTERFACE_NAME_0 \
        --ip-address=IPV6_ADDRESS_3 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF0 \
        --region=REGION \
    

    BGP-Peers für TUNNEL_NAME_GW2_IF0 erstellen

    Mit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
        --peer-name=PEER_NAME_GW2_IF0_ipv4 \
        --interface=ROUTER_2_INTERFACE_NAME_0_ipv4 \
        --peer-ip-address=PEER_IPV4_ADDRESS_3 \
        --peer-asn=PEER_ASN_1 \
        --region=REGION
    

    Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF0_ipv6 \
       --interface=ROUTER_2_INTERFACE_NAME_0_ipv6 \
       --peer-ip-address=PEER_IPV6_ADDRESS_3 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    

    Wenn Sie zwei Schnittstellen und BGP-Peers erstellen, führen Sie zwei parallele IPv4- und IPv6-BGP-Sitzungen im selben Tunnel aus.

    In dieser Konfiguration können Sie MP-BGP nicht verwenden.

  5. Erstellen Sie sowohl Schnittstellen als auch BGP-Peers auf ROUTER_NAME_2 für den Tunnel TUNNEL_NAME_GW2_IF1.

    Die beiden Schnittstellen verbinden TUNNEL_NAME_GW2_IF0 auf interface 0 von GW_2 mit interface 0 von GW_1.

    Sie müssen die Schnittstellen- und BGP-Peering-Adressen auf diesem Cloud Router manuell konfigurieren, da die entsprechenden Adressen bereits auf dem anderen Cloud Router konfiguriert wurden,ROUTER_NAME_1.

    Die beiden Schnittstellen verbinden TUNNEL_NAME_GW2_IF1 auf interface 1 von GW_2 mit interface 1 von GW_1.

    Ersetzen Sie in den aufgeführten Befehlen Folgendes:

    • ROUTER_2_INTERFACE_NAME_1_ipv4 und ROUTER_2_INTERFACE_NAME_1_ipv6: Namen für die Cloud Router-Schnittstellen. Die Verwendung von Namen, die sich auf TUNNEL_NAME_GW2_IF1 beziehen, ist hilfreich.
    • IPV4_ADDRESS_4 und IPV6_ADDRESS_4: die BGP-IPv4- und IPv6-Adressen, die zuvor für dieses Gateway und diese Schnittstelle verwendet wurden. Wenn Sie die Peer-BGP-IP-Adresse beim Erstellen der Schnittstelle und des BGP-Peers für TUNNEL_NAME_GW1_IF1 auf ROUTER_NAME_1 automatisch zugewiesen haben, müssen Sie diese zugewiesenen Adressen manuell als IPV4_ADDRESS_4 und IPV6_ADDRESS_4 angben. Führen Sie den Befehl gcloud compute routers describe ROUTER_NAME_1 aus, um herauszufinden, welche Adressen von Google Cloud zugewiesen wurden. Verwenden Sie in der Ausgabe für den BGP-Peer die Werte, die im Feld peerIpAddress angezeigt werden. In diesem Beispiel werden 169.254.1.2 und fdff:1::1:2 verwendet.
    • MASK_LENGTH: Geben Sie für eine Schnittstelle mit einer IPv4-Adresse 30 an, da der Cloud Router eine eindeutige /30-CIDR aus demselben 169.254.0.0/16-IPv4-Adressbereich verwenden muss. Geben Sie für eine Schnittstelle mit einer IPv6-Adresse eine Maskenlänge von 64 an.
    • PEER_NAME_GW2_IF1_ipv4: Ein Name, der den BGP-Peer PEER_NAME_GW2_IF1_ipv6 beschreibt. Die Verwendung eines Namens, der sich auf TUNNEL_NAME_GW2_IF1 bezieht, ist hilfreich.
    • PEER_IPV4_ADDRESS_4 und PEER_IPV6_ADDRESS_4: IP-Adresse, die Sie bei der Konfiguration des ersten Gateways und der ersten Schnittstelle als IPV4_ADDRESS_2 und IPV6_ADDRESS_2 angegeben haben. Führen Sie gcloud compute routers describe ROUTER_NAME_1 aus und verwenden Sie die Werte im Feld ipAddress für den BGP-Peer, den Sie für TUNNEL_NAME_GW2_IF1 erstellt haben. In diesem Beispiel werden 169.254.1.1 und fdff:1::1:1 verwendet.
    • PEER_ASN_1: Die ASN-Nummer, die für alle Schnittstellen in ROUTER_NAME_1 verwendet wurde und zuvor festgelegt wurde. In diesem Beispiel wird die ASN-Nummer 65001 verwendet.

    Cloud Router-Schnittstellen für TUNNEL_NAME_GW2_IF1 erstellen

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und ihre IPv4-Adresse manuell zu konfigurieren:

    gcloud compute routers add-interface ROUTER_NAME_2 \
       --interface-name=ROUTER_2_INTERFACE_NAME_1 \
       --ip-address=IPV4_ADDRESS_4 \
       --mask-length=MASK_LENGTH \
       --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
       --region=REGION
    

    Führen Sie den folgenden Befehl aus, um eine Schnittstelle zu erstellen und ihre IPv6-Adresse manuell zu konfigurieren:

    gcloud compute routers add-interface ROUTER_NAME_2 \
        --interface-name=ROUTER_2_INTERFACE_NAME_1 \
        --ip-address=IPV6_ADDRESS_4 \
        --mask-length=MASK_LENGTH \
        --vpn-tunnel=TUNNEL_NAME_GW2_IF1 \
        --region=REGION
    

    BGP-Peers für TUNNEL_NAME_GW2_IF1 erstellen

    Mit dem folgenden Beispielbefehl wird der IPv4-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2  \
       --peer-name=PEER_NAME_GW2_IF1_ipv4 \
       --interface=ROUTER_2_INTERFACE_NAME_1_ipv4 \
       --peer-ip-address=PEER_IPV4_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    

    Mit dem folgenden Beispielbefehl wird der IPv6-BGP-Peer erstellt:

    gcloud compute routers add-bgp-peer ROUTER_NAME_2 \
       --peer-name=PEER_NAME_GW2_IF1_ipv6 \
       --interface=ROUTER_2_INTERFACE_NAME_1_ipv6 \
       --peer-ip-address=PEER_IPV6_ADDRESS_4 \
       --peer-asn=PEER_ASN_1 \
       --region=REGION
    
  6. Prüfen Sie die Einstellungen für ROUTER_NAME_2:

    gcloud compute routers describe ROUTER_NAME_2  \
       --region=REGION
    

    Die Befehlsausgabe sieht dann ungefähr so aus:

     bgp:
       advertisemode: DEFAULT
       asn: 65002
       keepaliveInterval: 20
     bgpPeers:
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-0_ipv4
       ipAddress: 169.254.0.2
       name: bgp-peer-tunnel-b-to-a-if-0_ipv4
       peerAsn: 65002
       peerIpAddress: 169.254.0.1
     — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-1_ipv4
       ipAddress: 169.254.1.2
       name: bgp-peer-tunnel-b-to-a-if-1_ipv4
       peerAsn: 65001
       peerIpAddress: 169.254.1.1
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-0_ipv6
       ipAddress: fdff:1::2
       name: bgp-peer-tunnel-b-to-a-if-0_ipv6
       peerAsn: 65001
       peerIpAddress: fdff:1::1
    — bfd:
           minReceiveInterval: 1000
           minTransmitInterval: 1000
           mode: DISABLED
           multiplier: 5
           sessionInitializationMode: DISABLED
       enable: 'TRUE'
       interfaceName: if-tunnel-b-to-a-if-1_ipv6
       ipAddress: fdff:1::2
       name: bgp-peer-tunnel-b-to-a-if-1_ipv6
       peerAsn: 65001
       peerIpAddress: fdff:1::1
     creationTimestamp: '2021-10-19T14:31:52.639-07:00'
     id: '4047683710114914215'
     interfaces:
     — ipRange: 169.254.0.2/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
     — ipRange: 169.254.1.2/30
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-0
       name: if-tunnel-b-to-a-if-0
     — ipRange: fdff:1::2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     — ipRange: fdff:1::1:2/126
       linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-b-to-a-if-1
       name: if-tunnel-b-to-a-if-1
     kind: compute#router
     name: router-b
     network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-b
     region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
     selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-b
    

API

  1. Wenn Sie mehrere Cloud Router-Schnittstellen erstellen möchten, stellen Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch oder der routers.update-Methode. PATCH aktualisiert nur die Parameter, die Sie angeben. UPDATE aktualisiert alle Parameter für Cloud Router.

    Der von Ihnen angegebene BGP-Adressbereich muss für alle Cloud Router in allen Regionen eines VPC-Netzwerks eindeutig sein.

    Wiederholen Sie diesen Schritt und diesen Befehl für jeden VPN-Tunnel, der auf jedem HA VPN-Gateway definiert ist. Bei einer Bereitstellung von HA VPN-Gateways zu HA VPN bedeutet das vier HA VPN-Tunnelkonfigurationen.

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
        },
        {
         "name": "if-tunnel-a-to-b-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::1/126"
        }
      ]
    }
    

    Im folgenden Beispiel wird derselben linkedVpnTunnel eine Schnittstelle mit einer IPv4-Adresse und eine Schnittstelle mit einer IPv6-Adresse hinzugefügt. Mit dem Befehl werden den Schnittstellen automatisch IPv4- und IPv6-Adressen zugewiesen:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-b-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV4"
        },
        {
         "name": "if-tunnel-a-to-b-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
        }
     ]
    }
    
  2. Wenn Sie dem Cloud Router für jeden VPN-Tunnel BGP-Peers hinzufügen möchten, senden Sie entweder eine PATCH- oder eine UPDATE-Anfrage mit der Methode routers.patch. oder der Methode routers.update. Wiederholen Sie diesen Befehl für jeden VPN-Tunnel und ändern Sie alle Optionen nach Bedarf.

    Beispiel:

    PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
    {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-b-if-0_ipv4",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-b-if-0_ipv4",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
      },
      {
       "interfaceName": "if-tunnel-a-to-b-if-0_ipv6",
       "ipAddress": fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-b-if-0_ipv6",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT"
      }
    ]
    }
    

Konfiguration prüfen

Console

Rufen Sie zum Prüfen der Konfiguration die Seite Zusammenfassung und Erinnerung auf:

  1. Der Abschnitt Zusammenfassung dieser Seite enthält Informationen zum Profil des HA VPN-Gateways und des Peer-VPN-Gateways. Für jeden VPN-Tunnel lassen sich der VPN-Tunnelstatus, der BGP-Sitzungsname, der BGP-Sitzungsstatus und der MED-Wert (beworbene Routenpriorität) ansehen.
  2. Der Abschnitt Erinnerung dieser Seite listet die Schritte auf, die Sie ausführen müssen, um eine voll funktionsfähige VPN-Verbindung zwischen Cloud VPN und Ihrem Peer-VPN herzustellen. Nachdem Sie die Informationen auf dieser Seite gelesen haben, klicken Sie auf OK.

gcloud

Informationen zum Prüfen der Cloud Router-Konfigurationen finden Sie in den Bestätigungsschritten auf dem gcloud-Tab in BGP-Sitzungen erstellen.

API

Stellen Sie zum Prüfen der Cloud Router-Konfiguration die Anfrage GET mit der Methode routers.getRouterStatus und verwenden Sie einen leeren Anfragetext:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Einen zusätzlichen Tunnel auf einem Gateway mit einem einzelnen Tunnel erstellen

Console

Wenn Sie ein SLA mit 99,99 % Verfügbarkeit erhalten möchten, konfigurieren Sie auf jeder Seite einer HA VPN-zu-HA VPN-Gateway-Konfiguration einen Tunnel auf jeder HA VPN-Schnittstelle.

Wenn Sie einen Tunnel auf einem HA VPN-Gateway zu einem anderen HA VPN-Gateway konfiguriert haben, aber ein SLA mit einer Verfügbarkeit von 99,99 % erhalten möchten, müssen Sie einen zweiten Tunnel konfigurieren.

Führen Sie die Schritte unter Tunnel von einem HA VPN-Gateway zu einem anderen HA VPN-Gateway hinzufügen aus, um einen zweiten Tunnel zu konfigurieren.

Priorität der beworbenen Route festlegen (optional)

Mit den von Ihnen erstellten BGP-Sitzungen kann jeder Cloud Router Routen zu Peer-Netzwerken bewerben. Das Advertising verwendet unveränderte Basisprioritäten.

Verwenden Sie die Konfiguration dokumentiert unter Zwei vollständig konfigurierte HA VPN-Gateways erstellen, die miteinander verbunden sind für Aktiv/Aktiv-Routingkonfigurationen, bei denen die Routenprioritäten für das Advertising von den beiden Tunneln auf beiden Seiten übereinstimmen. Wenn Sie die Priorität der beworbenen Route (--advertised-route-priority) weglassen, führt dies zu denselben Routenprioritäten für das Advertising für beide BGP-Peers.

Für Aktiv/Passiv-Routingkonfigurationen können Sie auch die beworbene Routenpriorität der to Google Cloud-Routen steuern, die Cloud Router mit Ihrem Peer-VPN-Gateway teilt, indem Sie die beworbene Routenpriorität (--advertised-route-priority) festlegen, wenn Sie einen BGP-Peer hinzufügen oder aktualisieren. Zum Erstellen einer Aktiv/Passiv-Konfiguration legen Sie eine höhere beworbene Routenpriorität für eine BGP-Sitzung und den entsprechenden VPN-Tunnel als für die andere BGP-Sitzung und den VPN-Tunnel fest.

Weitere Informationen zur Basispriorität der beworbenen Route finden Sie unter Beworbene Präfixe und Prioritäten.

Sie können die beworbenen Routen auch mit benutzerdefiniertem Advertising optimieren:

  • Fügen Sie das --advertisement-mode=CUSTOM- (gcloud) oder das advertiseMode: custom (API)-Flag hinzu.
  • Geben Sie IP-Adressbereiche mit dem --set-advertisement-ranges (gcloud)- oder dem advertisedIpRanges (API)- Flag an.

Konfiguration abschließen

Führen Sie die folgenden Schritte aus, bevor Sie ein neues Cloud VPN-Gateway und die zugehörigen VPN-Tunnel verwenden können:

  1. Konfigurieren Sie Firewallregeln in Google Cloud für Ihre VPC-Netzwerke.
  2. Prüfen Sie den Status der VPN-Tunnel. Dieser Schritt umfasst die Prüfung der Hochverfügbarkeitskonfiguration Ihres HA VPN-Gateways.

Nächste Schritte