Crea un gateway VPN ad alta disponibilità connesso a un gateway VPN peer

Questa pagina descrive come creare un gateway VPN ad alta disponibilità che si connette a un gateway VPN peer.

I gateway VPN ad alta disponibilità utilizzano l'API VPN ad alta disponibilità e forniscono uno SLA del 99,99%. Questa configurazione utilizza una coppia di tunnel, con un tunnel su ogni interfaccia del gateway VPN ad alta disponibilità. Per ricevere uno SLA del 99,99%, devi configurare i tunnel VPN su entrambe le interfacce del gateway VPN ad alta disponibilità.

Esistono due componenti del gateway da configurare per la VPN ad alta disponibilità:

• Un gateway VPN ad alta disponibilità in Google Cloud.

• Il gateway o i gateway VPN peer.

  Uno o più dispositivi gateway VPN fisici o applicazioni software nella rete peer a cui si connette il gateway VPN ad alta disponibilità. Il gateway peer può essere un gateway VPN on-premise o uno ospitato da un altro provider cloud.

  Crea una risorsa gateway VPN esterno in Google Cloud per ogni dispositivo o servizio gateway peer. Tutti gli scenari di gateway peer sono rappresentati in Google Cloud da una singola risorsa VPN peer esterna.

Per ulteriori informazioni su Cloud VPN, consulta le seguenti risorse:

• Per i diagrammi di questa topologia, consulta Connettersi Google Cloud al gateway VPN peer.

• Per le best practice da considerare prima di configurare Cloud VPN, consulta Best practice per Cloud VPN.

• Per ulteriori informazioni su Cloud VPN, consulta la panoramica di Cloud VPN.

• Per le definizioni dei termini utilizzati in questa pagina, consulta Termini chiave.

Se vuoi eseguire il deployment della VPN ad alta disponibilità su Cloud Interconnect, consulta la panoramica della VPN ad alta disponibilità su Cloud Interconnect.

Tipi di ridondanza

L'API HA VPN contiene un'opzione per REDUNDANCY_TYPE, che rappresenta il numero di interfacce che configuri per la risorsa gateway VPN esterno.

Quando configuri una risorsa gateway VPN esterno, i comandi gcloud CLI deducono automaticamente i seguenti valori di REDUNDANCY_TYPE dal numero di interfacce che fornisci nell'ID interfaccia:

• Un'interfaccia VPN esterna è SINGLE_IP_INTERNALLY_REDUNDANT.
• Due interfacce VPN esterne sono TWO_IPS_REDUNDANCY.
• Quattro interfacce VPN esterne sono FOUR_IPS_REDUNDANCY.

Quando configuri i gateway VPN esterni, utilizza i seguenti numeri di identificazione dell'interfaccia per il numero indicato di interfacce VPN esterne:

• Per un'interfaccia VPN esterna, utilizza il valore 0.
• Per due interfacce VPN esterne, utilizza i valori 0 e 1.
• Per quattro interfacce VPN esterne, utilizza i valori 0,1,2 e 3.

Creazione di router Cloud

Quando configuri un nuovo gateway VPN ad alta disponibilità, puoi creare un nuovo router Cloud oppure puoi utilizzare un router Cloud esistente con tunnel Cloud VPN o collegamenti VLAN esistenti. Tuttavia, il router Cloud che utilizzi non deve già gestire una sessione BGP per un collegamento VLAN associato a una connessione Partner Interconnect a causa dei requisiti ASN specifici del collegamento.

Prima di iniziare

Consulta le informazioni su come funziona il routing dinamico in Google Cloud.

Assicurati che il gateway VPN peer supporti il protocollo BGP (Border Gateway Protocol).

Configura i seguenti elementi in Google Cloud per semplificare la configurazione di Cloud VPN:

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

4. Se utilizzi Google Cloud CLI, imposta l'ID progetto con il seguente comando. Le istruzioni gcloud in questa pagina presuppongono che tu abbia impostato l'ID progetto prima di eseguire i comandi.

       gcloud config set project PROJECT_ID
     

5. Puoi anche visualizzare un ID progetto già impostato eseguendo questo comando:

       gcloud config list --format='text(core.project)'
     

Crea una rete VPC e una subnet personalizzate

Prima di creare una coppia di gateway e tunnel VPN ad alta disponibilità, crea una rete Virtual Private Cloud (VPC) e almeno una subnet nella regione in cui si trova il gateway VPN ad alta disponibilità:

• Per creare una rete VPC in modalità personalizzata (consigliata), consulta Creare una rete VPC in modalità personalizzata con subnet solo IPv4.
• Per creare subnet, consulta Utilizzare le subnet.

Per abilitare IPv6 per i gateway VPN ad alta disponibilità, devi abilitare l'allocazione di indirizzi interni IPv6 quando crei il VPC. Inoltre, devi configurare le subnet in modo che utilizzino indirizzi interni IPv6.

Devi anche configurare IPv6 sulle VM nella subnet.

• Per creare una rete VPC in modalità personalizzata con almeno una subnet a doppio stack o una subnet solo IPv6 (anteprima) con indirizzi IPv6 interni, consulta Creare e gestire le reti VPC.
• Per creare una subnet a doppio stack con IPv6 abilitato, vedi Aggiungere una subnet a doppio stack.
• Per creare una subnet solo IPv6, vedi Aggiungere una subnet solo IPv6 (anteprima).
• Per abilitare IPv6 in una subnet esistente solo IPv4, consulta Convertire una subnet IPv4 in una subnet a doppio stack.
• Per creare VM con IPv6 abilitato, consulta la sezione Configurare gli indirizzi IPv6 per le istanze e i modelli di istanze.

La subnet VPC deve essere configurata per utilizzare indirizzi IPv6 interni. Quando utilizzi gcloud CLI, configuri la subnet con il flag --ipv6-access-type=INTERNAL. Router Cloud non annuncia dinamicamente le route per le subnet configurate per l'utilizzo di indirizzi IPv6 esterni (--ipv6-access-type=EXTERNAL).

Per informazioni sull'utilizzo degli intervalli di indirizzi IPv6 interni nella rete VPC e nelle subnet, consulta Specifiche IPv6 interne.

Gli esempi in questo documento utilizzano anche la modalità di routing dinamico globale VPC, che si comporta nel seguente modo:

• Tutte le istanze del router Cloud applicano le route to on-premises che apprendono a tutte le subnet della rete VPC.
• Le route a tutte le subnet nella rete VPC vengono condivise con i router on-premise.

Crea una coppia di gateway VPN ad alta disponibilità e tunnel connessa a una VPN peer

Segui le istruzioni in questa sezione per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, una coppia di tunnel e sessioni BGP.

Autorizzazioni richieste per questa attività

Per eseguire questa attività, devi disporre delle seguenti autorizzazioni o dei seguenti ruoli IAM.

Autorizzazioni

• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.vpnGateways.create
• compute.vpnGateways.delete
• compute.vpnGateways.get
• compute.vpnGateways.list
• compute.vpnGateways.use
• compute.vpnGateways.setLabels
• compute.externalVpnGateways.create
• compute.externalVpnGateways.delete
• compute.externalVpnGateways.get
• compute.externalVpnGateways.list
• compute.externalVpnGateways.use
• compute.externalVpnGateways.setLabels

Ruoli

• roles/compute.networkAdmin

Crea un gateway VPN ad alta disponibilità

Console

La procedura guidata di configurazione VPN include tutti i passaggi di configurazione richiesti per creare un gateway VPN ad alta disponibilità, una risorsa gateway VPN peer, tunnel e sessioni BGP.

Per creare un gateway VPN ad alta disponibilità:

1. Nella console Google Cloud , vai alla pagina VPN.

   Vai alla VPN

2. Se crei un gateway per la prima volta, fai clic su Crea connessione VPN.

3. Seleziona la Configurazione guidata VPN.

4. Per Nome gateway VPN, inserisci un nome per il gateway VPN ad alta disponibilità.

5. Per Rete VPC, seleziona una rete esistente o la rete predefinita.

6. Per Regione, seleziona una regione per il gateway VPN ad alta disponibilità.

7. Per Versione IP del gateway VPN, seleziona una versione IP del gateway VPN ad alta disponibilità.

   La versione IP del gateway VPN ad alta disponibilità e del gateway VPN peer deve essere la stessa.

8. Per Tipo di stack IP del gateway VPN, seleziona un tipo di stack per il gateway VPN.

9. Fai clic su Crea e continua.

   La pagina della console viene aggiornata e mostra le informazioni sul gateway. A ciascuna interfaccia del gateway vengono automaticamente assegnati due indirizzi IP esterni. Per i passaggi di configurazione futuri, prendi nota dei dettagli della configurazione del gateway.

gcloud

Per creare un gateway VPN ad alta disponibilità, esegui i seguenti comandi. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IP esterni, uno per ogni interfaccia del gateway.

• Per supportare solo i carichi di lavoro IPv4, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV4_ONLY.
• Per supportare i carichi di lavoro IPv4 e IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV4_IPV6.
• Per supportare solo i carichi di lavoro IPv6, puoi creare un gateway VPN ad alta disponibilità con il tipo di stack IPV6_ONLY.

Per creare un gateway VPN ad alta disponibilità con interfacce IPv4, esegui questo comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv4 esterni, uno per ogni interfaccia del gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
   [--stack-type=IP_STACK]

Sostituisci quanto segue:

• GW_NAME: il nome del gateway
• NETWORK: il nome della tua rete Google Cloud
• REGION: la Google Cloud regione in cui crei il gateway e il tunnel
• IP_STACK: lo stack IP da utilizzare. Specifica IPV4_ONLY o IPV4_IPV6. Se non specifichi questo flag, il tipo di stack è IPV4_ONLY per il gateway VPN ad alta disponibilità. Il flag --stack-type è facoltativo.

Puoi anche specificare --gateway-ip-version=IPV4. Tuttavia, questo flag non è obbligatorio. Se non specifichi questo flag, il gateway VPN ad alta disponibilità utilizza per impostazione predefinita indirizzi IPv4 esterni.

Per creare un gateway VPN ad alta disponibilità con interfacce IPv6, esegui il seguente comando. Quando viene creato il gateway, vengono allocati automaticamente due indirizzi IPv6 esterni, uno per ogni interfaccia del gateway.

gcloud compute vpn-gateways create GW_NAME \
    --network=NETWORK \
    --region=REGION \
    --gateway-ip-version=IPV6 \
    --stack-type=IP_STACK

Sostituisci quanto segue:

• GW_NAME: il nome del gateway
• NETWORK: il nome della tua rete Google Cloud
• REGION: la Google Cloud regione in cui crei il gateway e il tunnel
• IP_STACK: lo stack IP da utilizzare. Specifica IPV4_IPV6 o IPV6_ONLY. Se non specifichi questo flag, il tipo di stack è IPV4_IPV6 per il gateway VPN ad alta disponibilità. Il flag --stack-type è facoltativo.

Il gateway che crei è simile all'output dell'esempio seguente. Se specifichi --gateway-ip-version=IPV6, vengono assegnate interfacce IPv6.

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnGateways/ha-vpn-gw-a].
NAME          INTERFACE0                 INTERFACE1                NETWORK     REGION
ha-vpn-gw-a   2600:1900:4f00:2:a:49b::   2600:1900:4f10:2:a:6a8::  network-a   us-central1

API

Per creare la configurazione completa per un gateway VPN ad alta disponibilità, utilizza i comandi API nelle sezioni seguenti. Tutti i valori dei campi utilizzati in queste sezioni sono valori di esempio.

Per creare un gateway VPN ad alta disponibilità, invia una richiesta POST utilizzando il metodo vpnGateways.insert:

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a",
     "stackType": "IPV4_IPV6",
     "gatewayIpVersion": "IPV4"
   }

   POST https://compute.googleapis.com/compute/beta/projects/PROJECT_ID/regions/REGION/vpnGateways
   {
     "name": "ha-vpn-gw-a",
     "network": "https://www.googleapis.com/compute/beta/projects/PROJECT_ID/global/networks/network-a",
     "gatewayIpVersion": "IPV6",
     "stackType": "IPV6_ONLY"
   }

• Quando crei un gateway VPN ad alta disponibilità con interfacce IPv4, i campi gatewayIpVersion e stackType sono facoltativi.

  • Se non specifichi stackType, il valore predefinito è IPV4_ONLY.

  • Se non specifichi gatewayIpVersion, il valore predefinito è IPV4.

  • Gli unici valori stackType validi per un gateway con un gatewayIpVersion di IPV4 sono IPV4_IPV6 o IPV4_ONLY.

• Quando crei un gateway VPN ad alta disponibilità con interfacce IPv6, specifica IPV6 come valore di gatewayIpVersion. Il campo stackType è facoltativo.

  • Se non specifichi stackType, il valore predefinito è IPV4_IPV6.

  • Gli unici valori stackType validi per un gateway con un gatewayIpVersion di IPV6 sono IPV4_IPV6 o IPV6_ONLY.

Crea una risorsa gateway VPN peer

Console

La risorsa gateway VPN peer rappresenta il tuo gateway nonGoogle Cloud in Google Cloud.

Per creare una risorsa gateway VPN peer:

1. Nella pagina Crea una VPN, in Gateway VPN peer, seleziona On-premise o non Google Cloud.

2. In Nome gateway VPN peer, scegli un gateway peer esistente o fai clic su Crea un nuovo gateway VPN peer.

   Se scegli un gateway esistente, la console Google Cloud seleziona il numero di tunnel da configurare in base al numero di interfacce peer che hai configurato sul gateway peer esistente.

   Per creare un nuovo gateway peer, completa i seguenti passaggi:

   1. Specifica un nome per il gateway VPN peer.
   2. In Interfacce gateway VPN peer, seleziona le interfacce one, two o four, a seconda del tipo di interfacce del gateway peer. Per esempi di ciascun tipo, consulta la pagina Topologie.
   3. Nel campo di ogni interfaccia VPN peer, specifica l'indirizzo IP esterno utilizzato per l'interfaccia. Per ulteriori informazioni, consulta Configurare il gateway VPN peer.
   4. Fai clic su Crea.

gcloud

Crea una risorsa gateway VPN esterno che fornisca informazioni a Google Cloud sul tuo gateway o sui tuoi gateway VPN peer. A seconda dei consigli per l'alta disponibilità per il gateway VPN peer, puoi creare risorse gateway VPN esterni per i seguenti tipi diversi di gateway VPN on-premise:

• Due dispositivi gateway VPN peer separati in cui i due dispositivi sono ridondanti tra loro e ogni dispositivo ha il proprio indirizzo IP esterno.
• Un singolo gateway VPN peer che utilizza due interfacce separate, ciascuna con il proprio indirizzo IP esterno. Per questo tipo di gateway peer, puoi creare un singolo gateway VPN esterno con due interfacce.
• Un singolo gateway VPN peer con un singolo indirizzo IP esterno.

Opzione 1: crea una risorsa gateway VPN esterno per due dispositivi gateway VPN peer separati

• Per questo tipo di gateway peer, ogni interfaccia del gateway VPN esterno ha un indirizzo IP esterno e ogni indirizzo proviene da uno dei dispositivi gateway VPN peer:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
  

  Sostituisci quanto segue:

  • PEER_GW_NAME: un nome che rappresenta il gateway peer
  • PEER_GW_IP_0: l'indirizzo IP esterno per un gateway peer
  • PEER_GW_IP_1: l'indirizzo IP esterno per un altro gateway peer

  La risorsa del gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 e PEER_GW_IP_1 mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME      INTERFACE0    INTERFACE1
  peer-gw   PEER_GW_IP_0  PEER_GW_IP_1
  

Opzione 2: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con due interfacce separate

• Per questo tipo di gateway peer, crea un singolo gateway VPN esterno con due interfacce:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0,1=PEER_GW_IP_1
  

  Sostituisci quanto segue:

  • PEER_GW_NAME: un nome che rappresenta il gateway peer
  • PEER_GW_IP_0: l'indirizzo IP esterno per un'interfaccia del gateway peer
  • PEER_GW_IP_1: l'indirizzo IP esterno per un'altra interfaccia del gateway peer

  La risorsa del gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 e PEER_GW_IP_1 mostrano gli indirizzi IP esterni effettivi delle interfacce del gateway peer:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME     INTERFACE0    INTERFACE1
  peer-gw  PEER_GW_IP_0  PEER_GW_IP_1
  

Opzione 3: crea una risorsa gateway VPN esterno per un singolo gateway VPN peer con un singolo indirizzo IP esterno

• Per questo tipo di gateway peer, crea un gateway VPN esterno con un'unica interfaccia:

  gcloud compute external-vpn-gateways create PEER_GW_NAME \
     --interfaces 0=PEER_GW_IP_0
  

  Sostituisci quanto segue:

  • PEER_GW_NAME: un nome che rappresenta il gateway peer
  • PEER_GW_IP_0: l'indirizzo IP esterno per l'interfaccia dal gateway peer

  La risorsa gateway VPN esterno che hai creato è simile all'esempio seguente, in cui PEER_GW_IP_0 mostra gli indirizzi IP esterni effettivi dell'interfaccia del gateway peer:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/peer-gw].
  NAME       INTERFACE0
  peer-gw    PEER_GW_IP_0
  

API

Per creare una risorsa gateway VPN esterno, effettua una richiesta POST utilizzando il metodo externalVpnGateways.insert.

• Per un gateway VPN esterno (peer) con un'interfaccia, utilizza l'esempio seguente, ma specifica un solo ID interfaccia e un solo ipAddress, con un redundancyType di SINGLE_IP_INTERNALLY_REDUNDANT.
• Per un gateway VPN esterno con due interfacce o due gateway VPN esterni con un'interfaccia ciascuno, utilizza l'esempio TWO_IPS_REDUNDANCY.

• Per uno o più gateway VPN esterni con quattro interfacce VPN esterne, ad esempio Amazon Web Services (AWS), utilizza l'esempio seguente, ma specifica quattro istanze dell'ID interfaccia e ipAddress e utilizza un redundancyType di FOUR_IPS_REDUNDANCY.

   POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways
   {
     "name": "my-peer-gateway",
     "interfaces": [
       {
         "id": 0,
         "ipAddress": "192.0.2.1"
       },
       {
         "id": 1,
         "ipAddress": "192.0.2.2"
       }
     ],
     "redundancyType": "TWO_IPS_REDUNDANCY"
   }
  

Crea un router Cloud

Console

In Router Cloud, se non l'hai ancora fatto, crea un router Cloud specificando le seguenti opzioni. Puoi utilizzare un router Cloud esistente a condizione che non venga utilizzato per Cloud NAT.

1. Per creare un nuovo router Cloud, specifica quanto segue:

   • Un nome
   • (Facoltativo) Una Descrizione
   • Un ASN Google per il nuovo router

   Puoi utilizzare qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai utilizzando altrove nella rete. L'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non puoi modificare l'ASN in un secondo momento.

2. Per creare il nuovo router, fai clic su Crea.

gcloud

Puoi utilizzare un router Cloud esistente, a condizione che non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.

Per creare un router Cloud, esegui questo comando:

gcloud compute routers create ROUTER_NAME \
    --region=REGION \
    --network=NETWORK \
    --asn=GOOGLE_ASN

Sostituisci quanto segue:

• ROUTER_NAME: il nome del router Cloud nella stessa regione del gateway Cloud VPN
• REGION: la Google Cloud regione in cui crei il gateway e il tunnel
• NETWORK: il nome della tua rete VPC
• GOOGLE_ASN: qualsiasi ASN privato (da 64512 a 65534, da 4200000000 a 4294967294) che non stai già utilizzando nella rete peer; l'ASN Google viene utilizzato per tutte le sessioni BGP sullo stesso router Cloud e non può essere modificato in un secondo momento

Il router che crei è simile all'output dell'esempio seguente:

Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
NAME       REGION        NETWORK
router-a   us-central1   network-a

API

Puoi utilizzare un router Cloud esistente, a condizione che non venga utilizzato per Cloud NAT. In caso contrario, crea un altro router Cloud.

Per creare un router Cloud, effettua una richiesta POST utilizzando il metodo routers.insert:

 POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers
 {
   "name": "router-a",
   "network": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a"
 }

Crea tunnel VPN

Console

Se hai configurato la risorsa gateway VPN peer con un'interfaccia, nella pagina Crea VPN, configura il singolo tunnel nella finestra di dialogo del singolo tunnel VPN. Per uno SLA del 99,99%, devi creare un secondo tunnel.

Se hai configurato la risorsa gateway VPN peer con due o quattro interfacce, configura le finestre di dialogo associate visualizzate nella parte inferiore della pagina Crea VPN.

Per creare tunnel VPN:

1. Se applicabile, in Interfaccia gateway Cloud VPN associata, seleziona la combinazione di interfaccia VPN ad alta disponibilità e indirizzo IP che vuoi associare all'interfaccia del gateway VPN peer per questo tunnel.
2. Nella sezione Interfaccia gateway VPN peer associata, seleziona la combinazione di interfaccia gateway VPN peer e indirizzo IP che vuoi associare a questo tunnel e all'interfaccia VPN ad alta disponibilità. Questa interfaccia deve corrispondere a quella del router peer effettivo.
   1. Specifica un nome per il tunnel.
   2. Specifica una Descrizione facoltativa.
   3. Specifica la versione IKE. Se il router peer lo supporta, ti consigliamo IKE v2, l'impostazione predefinita. Per consentire il traffico IPv6, devi selezionare IKEv2.
   4. Specifica una chiave precondivisa IKE utilizzando la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer. Se non hai configurato una chiave precondivisa sul gateway VPN peer e vuoi generarne una, fai clic su Genera e copia. Assicurati di registrare la chiave precondivisa in un luogo sicuro, perché non può essere recuperata dopo aver creato i tunnel VPN.
   5. Fai clic su Fine.
   6. Nella pagina Crea VPN, ripeti i passaggi di creazione del tunnel per le finestre di dialogo dei tunnel rimanenti.
3. Una volta configurati tutti i tunnel, fai clic su Crea e continua.

gcloud

Crea due tunnel VPN, uno per ogni interfaccia del gateway VPN ad alta disponibilità. Quando crei i tunnel VPN, specifica il lato peer dei tunnel VPN come gateway VPN esterno che hai creato in precedenza. A seconda del tipo di ridondanza del gateway VPN esterno, configura i tunnel utilizzando una delle due opzioni seguenti.

Opzione 1: se il gateway VPN esterno è costituito da due dispositivi gateway VPN peer separati o da un singolo dispositivo con due indirizzi IP

• In questo caso, un tunnel VPN deve connettersi a interface 0 del gateway VPN esterno e l'altro tunnel VPN deve connettersi a interface 1 del gateway VPN esterno.

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
  

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF1 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
  

  Sostituisci quanto segue:

  • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: un nome per il tunnel; assegnare un nome ai tunnel includendo il nome dell'interfaccia del gateway può aiutare a identificarli in un secondo momento
  • PEER_GW_NAME: un nome del gateway peer esterno creato in precedenza
  • PEER_EXT_GW_IF0 e PEER_EXT_GW_IF1: il numero di interfaccia configurato in precedenza sul gateway peer esterno
  • IKE_VERS: 1 per IKEv1 o 2 per IKEv2; se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci --ike-version 2 con --ike-version 1. Per consentire il traffico IPv6, devi specificare IKEv2.
  • SHARED_SECRET: la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer; per i consigli, vedi Generare una chiave precondivisa efficace
  • GW_NAME: il nome del gateway VPN ad alta disponibilità
  • INT_NUM_0: il numero 0 per la prima interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza
  • INT_NUM_1: il numero 1 per la seconda interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza
  • VPN_GATEWAY_REGION: la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata di comando. Il flag --vpn-gateway-region è facoltativo.

  L'output è simile al seguente:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1   ha-vpn-gw-a   0               peer-gw       0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION        GATEWAY       VPN_INTERFACE   PEER_GATEWAY  PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1   ha-vpn-gw-a   1               peer-gw       1
  

Opzione 2: se il gateway VPN esterno è un singolo gateway VPN peer con un singolo indirizzo IP esterno

• In questo caso, entrambi i tunnel VPN devono connettersi a interface 0 del gateway VPN esterno.

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_0
  

   gcloud compute vpn-tunnels create TUNNEL_NAME_IF1 \
       --peer-external-gateway=PEER_GW_NAME \
       --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
       --region=REGION \
       --ike-version=IKE_VERS \
       --shared-secret=SHARED_SECRET \
       --router=ROUTER_NAME \
       --vpn-gateway=GW_NAME \
       [--vpn-gateway-region=VPN_GATEWAY_REGION] \
       --interface=INT_NUM_1
  

  Sostituisci quanto segue:

  • TUNNEL_NAME_IF0 e TUNNEL_NAME_IF1: un nome per il tunnel; assegnare un nome ai tunnel includendo il nome dell'interfaccia del gateway può aiutare a identificarli in un secondo momento
  • PEER_GW_NAME: il nome del gateway peer esterno creato in precedenza
  • PEER_EXT_GW_IF0: il numero di interfaccia configurato in precedenza sul gateway peer esterno
  • IKE_VERS: 1 per IKEv1 o 2 per IKEv2. Se possibile, utilizza IKEv2 per la versione IKE. Se il gateway peer richiede IKEv1, sostituisci --ike-version 2 con --ike-version 1. Per consentire il traffico IPv6, devi specificare IKEv2.
  • SHARED_SECRET: la chiave precondivisa (segreto condiviso), che deve corrispondere alla chiave precondivisa per il tunnel partner che crei sul gateway peer; per i consigli, vedi Generare una chiave precondivisa efficace
  • INT_NUM_0: il numero 0 per la prima interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza
  • INT_NUM_1: il numero 1 per la seconda interfaccia sul gateway VPN ad alta disponibilità che hai creato in precedenza
  • VPN_GATEWAY_REGION: la regione del gateway VPN ad alta disponibilità su cui operare. Il suo valore deve essere uguale a --region. Se non specificata, questa opzione viene impostata automaticamente. Questa opzione sostituisce il valore predefinito della proprietà regione per questa chiamata di comando. Il flag --vpn-gateway-region è facoltativo.

  L'output è simile al seguente:

  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0].
  NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
  tunnel-a-to-on-prem-if-0   us-central1  ha-vpn-gw-a    0               peer-gw        0
  
  Created [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1].
  NAME                       REGION       GATEWAY        VPN_INTERFACE   PEER_GATEWAY   PEER_INTERFACE
  tunnel-a-to-on-prem-if-1   us-central1  ha-vpn-gw-a    1               peer-gw        0
  

Per entrambe le opzioni precedenti, puoi anche configurare gli algoritmi di crittografia (anteprima) durante la creazione dei tunnel Cloud VPN. Ad esempio, per configurare gli algoritmi di crittografia per il tunnel Cloud VPN che si connette a interface 0 del gateway Cloud VPN esterno, esegui questo comando:

 gcloud compute vpn-tunnels create TUNNEL_NAME_IF0 \
     --peer-external-gateway=PEER_GW_NAME \
     --peer-external-gateway-interface=PEER_EXT_GW_IF0 \
     --region=REGION \
     --ike-version=IKE_VERS \
     --shared-secret=SHARED_SECRET \
     --router=ROUTER_NAME \
     --vpn-gateway=GW_NAME \
     [--vpn-gateway-region=VPN_GATEWAY_REGION] \
     --interface=INT_NUM_0 \
     --phase1-encryption=PH1_ENCRYPT_ALGRTHS \
     --phase1-integrity=PH1_INTEGRITY_ALGRTHS \
     --phase1-prf=PH1_PRF_ALGRTHS \
     --phase1-dh=PH1_DH_GROUP \
     --phase2-encryption=PH2_ENCRYPT_ALGRTHS \
     --phase2-integrity= PH2_INTEGRITY_ALGRTHS \
     --phase2-pfs =PH2_PFS_ALGRTHS

Sostituisci quanto segue:

• PH1_ENCRYPT_ALGRTHS: un elenco separato da virgole di algoritmi di crittografia supportati per le negoziazioni dell'associazione di sicurezza (SA) IKE di fase 1. Puoi elencare gli algoritmi nell'ordine di preferenza.
• PH1_INTEGRITY_ALGRTHS: un elenco separato da virgole di algoritmi di integrità supportati per le negoziazioni SA IKE di fase 1. Puoi elencare gli algoritmi in ordine di preferenza.
• PH1_PRF_ALGRTHS: un elenco separato da virgole di algoritmi di funzione pseudocasuale (PRF) supportati per le negoziazioni SA IKE di fase 1. Puoi elencare gli algoritmi nell'ordine di preferenza.
• PH1_DH_GROUP: un elenco separato da virgole di algoritmi Diffie-Hellman (DH) supportati per le negoziazioni SA IKE di fase 1. Puoi elencare gli algoritmi in ordine di preferenza.
• PH2_ENCRYPT_ALGRTHS: un elenco separato da virgole di algoritmi di crittografia supportati per le negoziazioni SA IKE di fase 2. Puoi elencare gli algoritmi in ordine di preferenza.
• PH2_INTEGRITY_ALGRTHS: un elenco separato da virgole di algoritmi di integrità supportati per le negoziazioni SA IKE di fase 2. Puoi elencare gli algoritmi in ordine di preferenza.
• PH2_PFS_ALGRTHS: un elenco separato da virgole di algoritmi PFS supportati per le negoziazioni SA IKE di fase 2. Puoi elencare gli algoritmi in ordine di preferenza. Per saperne di più sugli algoritmi di crittografia supportati da Cloud VPN, consulta Tipi di crittografia IKE supportati.

API

Per creare due tunnel VPN, uno per ogni interfaccia del gateway VPN ad alta disponibilità, invia una richiesta POST utilizzando il metodo vpnTunnels.insert. Per ottenere uno SLA (accordo sul livello del servizio) con uptime del 99,99%, devi creare un tunnel su ogni interfaccia del gateway VPN ad alta disponibilità.

1. Per creare il primo tunnel, esegui questo comando:

      POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnTunnels
      {
        "name": "ha-vpn-gw-a-tunnel-0",
        "ikeVersion": 2,
        "peerExternalGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/externalVpnGateways/my-peer-gateway",
        "peerExternalGatewayInterface": 0,
        "router": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/router-a",
        "sharedSecret": "SHARED_SECRET",
        "vpnGateway": "https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/vpnGateways/ha-vpn-gw-a",
        "vpnGatewayInterface": 0
      }
   

   Se prevedi di abilitare IPv6 nella sessione BGP associata a questo tunnel, devi specificare 2 per ikeVersion.

2. Per creare il secondo tunnel, ripeti questo comando, ma modifica i seguenti parametri:

   • name
   • peerExternalGatewayInterface
   • sharedSecret o sharedSecretHash(se necessario)
   • vpnGatewayInterface: cambia il valore dell'altra interfaccia del gateway VPN ad alta disponibilità. In questo esempio, modifica questo valore in 1

Crea sessioni BGP

Per ogni tunnel VPN ad alta disponibilità, puoi creare una sessione BGP IPv4, una sessione BGP IPv6 o entrambe.

La tabella seguente elenca il tipo di sessione BGP per lo stack VPN ad alta disponibilità e il traffico di rete VPC. Per visualizzare istruzioni specifiche, seleziona un tipo di sessione BGP.

Tipo di sessione BGP	Gateway VPN ad alta disponibilità	Tipo di rete VPC	È consentito il BGP multiprotocollo (MP-BGP)?
Sessioni BGP IPv4	Solo IPv4 o dual-stack	Solo IPv4 o dual-stack	sì
Sessioni BGP IPv6	dual stack	dual stack	sì
Sessioni BGP IPv4 e IPv6	dual stack	dual stack	no

Per configurare una sessione BGP IPv4 e IPv6 nello stesso tunnel o per abilitare MP-BGP nella sessione BGP di un tunnel VPN ad alta disponibilità, utilizza un gateway VPN ad alta disponibilità dual-stack. Tuttavia, se configuri una sessione BGP IPv4 e una sessione BGP IPv6 nello stesso tunnel VPN ad alta disponibilità, non puoi abilitare MP-BGP in nessuna delle due sessioni.

Sessioni BGP IPv4

Console

Per creare sessioni BGP:

1. Fai clic su Configura sessione BGP.
2. Nella pagina Crea sessione BGP, completa i seguenti passaggi:
   1. Per Tipo di sessione BGP, seleziona Sessione BGP IPv4.
   2. In Name (Nome), inserisci un nome per la sessione BGP.
   3. Per ASN peer, inserisci l'ASN peer configurato per il gateway VPN peer.
   4. (Facoltativo) Per Priorità route annunciata (MED), inserisci la priorità delle route annunciate a questo peer BGP.
   5. (Facoltativo) Per abilitare lo scambio di route IPv6, fai clic sul pulsante di attivazione/disattivazione Attiva traffico IPv6.

3. Per Alloca indirizzo IPv4 BGP, seleziona Automaticamente o Manualmente. Se selezioni Manualmente, procedi nel seguente modo:

   1. In Indirizzo IPv4 BGP del router Cloud, inserisci l'Indirizzo IPv4 BGP del router Cloud.

   2. In Indirizzo IPv4 del peer BGP, inserisci l'indirizzo IPv4 del peer BGP. L'indirizzo IPv4 deve soddisfare i seguenti requisiti:

      • Ogni indirizzo IPv4 deve appartenere alla stessa subnet /30 che rientra nell'intervallo di indirizzi 169.254.0.0/16.
      • Ogni indirizzo IPv4 è il primo o il secondo host della subnet /30. Il primo e l'ultimo indirizzo IP della subnet sono riservati agli indirizzi di rete e di broadcast.
      • Ogni intervallo di indirizzi IPv4 per una sessione BGP deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

      Se selezioni Automaticamente, Google Cloud seleziona automaticamente gli indirizzi IPv4 per la sessione BGP.

   3. (Facoltativo) Se hai attivato lo scambio di route IPv6 nel passaggio precedente, seleziona Automaticamente o Manualmente per Alloca hop successivo IPv6 di BGP. Se selezioni Manualmente, procedi nel seguente modo:

      1. In Hop successivo IPv6 BGP del router Cloud, inserisci un indirizzo IPv6 nell'intervallo di indirizzi 2600:2d00:0:2::/63. Questo indirizzo IP è l'indirizzo dell'hop successivo per le route IPv6 annunciate dal router Cloud.
      2. In Hop successivo IPv6 BGP del peer, inserisci un indirizzo IPv6 nell'intervallo di indirizzi 2600:2d00:0:2::/63. Questo indirizzo IP è l'indirizzo dell'hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP.
      3. (Facoltativo) Espandi la sezione Opzioni avanzate.
      4. Per attivare Peer BGP, seleziona Attivato. Se attivata, la connessione peer viene stabilita con informazioni di routing. Per ulteriori informazioni, vedi Stabilire sessioni BGP.
      5. Per attivare l'autenticazione MD5, seleziona Attivata. Se abilitata, l'autenticazione MD5 viene utilizzata per autenticare le sessioni BGP. Per ulteriori informazioni, consulta Utilizzare l'autenticazione MD5. In alternativa, puoi scegliere di attivare l'autenticazione MD5 in un secondo momento.
      6. Per aggiungere route in uscita alla sessione BGP, per Priorità di tutte le route apprese personalizzate, inserisci una priorità della route appresa. Per ulteriori informazioni, vedi Route apprese.

4. Fai clic su Salva e continua.

5. Ripeti i passaggi precedenti per gli altri tunnel configurati sul gateway. Per ogni tunnel, utilizza un indirizzo IP BGP del router Cloud e un indirizzo IP peer BGP diversi.

6. Fai clic su Salva configurazione BGP.

gcloud

Per creare sessioni BGP:

Nei comandi, sostituisci quanto segue:

• ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: un nome per l'interfaccia del router Cloud. Può essere utile utilizzare nomi correlati ai nomi dei tunnel configurati in precedenza
• TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato
• IP_VERSION: specifica IPV4 o lascia non specificato. Se non specificato, il valore predefinito è IPV4.
• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP. Per maggiori informazioni su questa funzionalità, vedi Route apprese.
• AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per saperne di più su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

Assegna indirizzi IPv4 per una sessione BGP

Scegli il metodo di configurazione automatica o manuale degli indirizzi per BGP. Questi comandi non abilitano IPv6 per BGP.

Se vuoi abilitare IPv6, esegui i comandi elencati in Assegna indirizzi hop successivi IPv6.

Automatico

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv4 BGP link-local, completa i seguenti passaggi.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   Per impostazione predefinita, se non specifichi una versione IP, il comando assegna un indirizzo IPv4 all'interfaccia.

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi la configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN del peer BGP:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION
   

   Se vuoi specificare le route apprese per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi anche utilizzare facoltativamente il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per i percorsi. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese che hai configurato per la sessione. Per saperne di più su questa funzionalità, consulta Percorsi appresi.

   Ad esempio, per aggiungere le route apprese e impostare una priorità per le route, esegui questo comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se vuoi utilizzare l'autenticazione MD5, aggiungi il flag --md5-authentication-key. Utilizza questo campo per fornire la tua chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

2. Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION
   

   Se hai configurato le route apprese sul primo tunnel, ti consigliamo di configurare le stesse route sul secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel insieme nell'ambito di un percorso ECMP (Equal-cost multipath), assegna ai percorsi la stessa priorità che avevano sul primo tunnel. In entrambi i casi, utilizza un comando come il seguente:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se vuoi utilizzare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Manuale

Per allocare manualmente gli indirizzi IPv4 BGP associati all'interfaccia del router Cloud e al peer BGP, completa i seguenti passaggi.

Per ogni tunnel VPN, scegli una coppia di indirizzi IPv4 link-local in un blocco /30 dall'intervallo di indirizzi 169.254.0.0/16 (un totale di quattro subnet /30, una per ogni gateway VPN ad alta disponibilità). Le subnet IPv4 che specifichi devono essere univoche tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna uno di questi indirizzi IPv4 BGP al router Cloud e l'altro al gateway VPN peer. Configura il dispositivo VPN peer in modo che utilizzi l'indirizzo IPv4 BGP peer.

Nei seguenti comandi, sostituisci quanto segue:

• GOOGLE_BGP_IP_0: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IP_0 rappresenta l'indirizzo IPv4 BGP del peer
• GOOGLE_BGP_IP_1: l'indirizzo IPv4 BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IP_1 rappresenta l'indirizzo IPv4 BGP del peer
• MASK_LENGTH: 30; il router Cloud deve utilizzare una subnet /30 univoca dall'intervallo di indirizzi IPv4 169.254.0.0/16

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IP_0 \
     --mask-length 30 \
     --region=REGION
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_0 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IP_0 \
    --region=REGION
   

   Se vuoi specificare le route apprese per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi anche utilizzare facoltativamente il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per i percorsi. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese che hai configurato per la sessione. Per saperne di più su questa funzionalità, consulta Percorsi appresi.

   Ad esempio, per aggiungere le route apprese e impostare una priorità per le route, esegui questo comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   Se vuoi utilizzare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
   

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IP_1 \
    --mask-length 30 \
    --region=REGION
   

2. Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_1 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IP_1 \
    --region=REGION
   

   Se hai configurato le route apprese sul primo tunnel, ti consigliamo di specificare le stesse route sul secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel insieme nell'ambito di un percorso ECMP (Equal-cost multipath), assegna ai percorsi la stessa priorità che avevano sul primo tunnel. In entrambi i casi, utilizza un comando come il seguente:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=PRIORITY
   

   (Facoltativo) Per abilitare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --peer-ip-address=PEER_BGP_IP_0 \
     --region=REGION \
     --md5-authentication-key=AUTHENTICATION_KEY
   

Assegnare indirizzi hop successivo IPv6

Utilizza i comandi in questa sezione solo se vuoi tunnel VPN che utilizzano MP-BGP e scambiano traffico IPv4 e IPv6. Se non vuoi instradare il traffico IPv6 su questo tunnel o se prevedi di aggiungere una singola sessione BGP IPv6 a questo tunnel in un secondo momento, puoi utilizzare i comandi elencati in Assegna indirizzi BGP IPv4.

Automatico

Se crei una sessione BGP IPv4 che utilizza MP-BGP,Google Cloud può assegnare automaticamente indirizzi hop successivo IPv6.Google Cloud assegna indirizzi inutilizzati dall'intervallo di indirizzi IPv6 2600:2d00:0:2::/63.

Questa configurazione non è correlata alla scelta tra configurazione automatica o manuale per gli indirizzi IPv4 peer BGP e del router Cloud. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare indirizzi BGP IPv4 e BGP peer IPv4 utilizzando i flag --ip-address e --peer-ip-address descritti in Assegnare indirizzi BGP IPv4.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv6
   

   Se specifichi il flag --enable-ipv6, abiliti lo scambio di route IPv6 in questa sessione BGP IPv4, necessario per assegnare indirizzi hop successivi IPv6. Puoi disattivare lo scambio di route IPv6 in un secondo momento. Per maggiori informazioni, consulta Configurare BGP multiprotocollo per sessioni IPv4 o IPv6.

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi una seconda interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

2. Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --enable-ipv6
   

Manuale

Quando crei una sessione BGP IPv4 che utilizza MP-BGP, puoi configurare manualmente gli indirizzi hop successivo IPv6 sia per router Cloud che per il peer BGP.

Questa configurazione non è correlata alla scelta tra configurazione automatica o manuale degli indirizzi IPv4 peer BGP e del router Cloud. Per esempi su come configurare manualmente questi indirizzi, consulta Assegna indirizzi BGP IPv4.

Per ogni tunnel VPN, scegli una coppia di indirizzi hop successivo IPv6. Gli indirizzi hop successivo IPv6 che specifichi devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC e selezionati dagli intervalli di indirizzi IPv6 interni preallocati da Google:2600:2d00:0:2::/63.

Per allocare manualmente gli indirizzi hop successivo BGP IPv6, completa i seguenti passaggi.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia per il primo tunnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --enable-ipv6 \
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   Nei comandi, sostituisci quanto segue:

   • PEER_NAME_0 con un nome per l'interfaccia VPN peer
   • PEER_ASN con l'ASN configurato per il gateway VPN peer
   • IPV6_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv6 pubblicizzate dalrouter Cloudr; l'indirizzo deve essere nell'intervallo di indirizzi IPv6 2600:2d00:0:2::/63
   • PEER_IPV6_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP; l'indirizzo deve essere nell'intervallo di indirizzi IPv6 2600:2d00:0:2::/63

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

   Per il secondo tunnel VPN

3. Aggiungi una seconda interfaccia al router Cloud.

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
   

4. Aggiungi una configurazione del peer BGP alla seconda interfaccia per il secondo tunnel.

   gcloud compute routers add-bgp-peer ROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv6 \
     --ipv6-nexthop-address=IPV6_NEXTHOP_ADDRESS \
     --peer-ipv6-nexthop-address=PEER_IPV6_NEXTHOP_ADDRESS
   

   Nei comandi, sostituisci quanto segue:

   • PEER_NAME_1 con un nome per l'interfaccia VPN peer
   • PEER_ASN con l'ASN configurato per il gateway VPN peer
   • IPV6_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv6 pubblicizzate dalrouter Cloudr
   • PEER_IPV6_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv6 apprese dal router Cloud dal peer BGP

API

Per creare sessioni BGP:

1. Per creare un'interfaccia router Cloud, effettua una delle seguenti richieste:

   • PATCH: utilizza il metodo routers.patch
   • UPDATE: utilizza il metodo routers.update

   La richiesta PATCH aggiorna solo i parametri che includi, mentre la richiesta UPDATE aggiorna tutti i parametri di un router Cloud.

   Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv4 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

   Ripeti questo passaggio e questo comando per ogni tunnel VPN sul secondo gateway VPN ad alta disponibilità.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
         }
       ]
   }
   

2. Per aggiungere una configurazione peer BGP all'interfaccia, invia una delle seguenti richieste:

   • PATCH: utilizza il metodo routers.patch
   • UPDATE: utilizza il metodo routers.update

   Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni tranne name e peerAsn.

   Ad esempio:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT"
       }
     ]
   }
   

   L'esempio seguente include un comando per aggiungere un peer BGP con lo scambio di route IPv6 abilitato e gli indirizzi hop successivo IPv6 configurati manualmente. Se ometti ipv6NexthopAddress e peerIpv6NexthopAddress, gli indirizzi dell'hop successivo IPv6 vengono assegnati automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "enableIpv6": true,
       "ipv6NexthopAddress: "2600:2d00:0:2::1"
       "peerIpv6NexthopAddress: "2600:2d00:0:2::2"
       }
     ]
   }
   

   Se vuoi specificare le route apprese per il peer, definisci i prefissi IP per le route. Puoi anche impostare facoltativamente un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per saperne di più su questa funzionalità, consulta Percorsi appresi.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "enableIpv6": true,
       "ipv6NexthopAddress": "2600:2d00:0:2::1",
       "peerIpv6NexthopAddress": "2600:2d00:0:2::2",
       "customLearnedRoutePriority": 200,
       "customLearnedIpRanges": [
           {
             "range": "1.2.3.4"
           },
           {
             "range": "6.7.0.0/16"
           },
           {
             "range": "2001:db8:abcd:12::/64"
           }
         ]
         }
       ]
     }
   

   Per configurare la sessione per l'autenticazione MD5, includi una chiave di autenticazione nella richiesta aggiungendo sia la chiave sia il nome della chiave. Poi, quando crei la sessione di peering BGP, fai riferimento a questa chiave in base al nome.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "md5AuthenticationKeys": [
       {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
       ],
   }
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "169.254.0.1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "169.254.0.2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ]
   }
   

Sessioni BGP IPv6

Console

Per creare sessioni BGP:

1. Fai clic su Configura sessione BGP.

2. Nella pagina Crea sessione BGP, completa i seguenti passaggi:

   1. Per Tipo di sessione BGP, seleziona Sessione BGP IPv6.
   2. In Name (Nome), inserisci un nome per la sessione BGP.
   3. Per ASN peer, inserisci l'ASN peer configurato per il gateway VPN peer.
   4. (Facoltativo) Per Priorità route annunciata (MED), inserisci la priorità delle route annunciate a questo peer BGP.
   5. (Facoltativo) Per abilitare lo scambio di route IPv4, fai clic sul pulsante di attivazione/disattivazione Attiva traffico IPv4.

   6. Per Alloca indirizzo IPv6 BGP, seleziona Automaticamente o Manualmente. Se selezioni Manualmente, procedi nel seguente modo:

      1. In Indirizzo IPv6 BGP del router Cloud, inserisci l'Indirizzo IPv6 BGP del router Cloud.
      2. In Indirizzo IPv6 del peer BGP, inserisci l'indirizzo IPv6 del peer BGP. L'indirizzo IPv6 deve soddisfare i seguenti requisiti:
         • Ogni indirizzo deve essere un indirizzo locale univoco (ULA) dell'intervallo di indirizzi fdff:1::/64 con una lunghezza della maschera di /64. Ad esempio, fdff:1::1.
         • Ogni indirizzo deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

      Se selezioni Automaticamente, Google Cloud seleziona automaticamente gli indirizzi IPv6 per la sessione BGP.

   7. (Facoltativo) Se hai attivato lo scambio di route IPv4 nel passaggio precedente, seleziona Automaticamente o Manualmente per Alloca hop successivo IPv4 di BGP. Se selezioni Manualmente, procedi nel seguente modo:

      1. Nel campo Hop successivo IPv4 BGP del router Cloud, inserisci un indirizzo IPv4 nell'intervallo di indirizzi 169.254.0.0/16. Questo indirizzo IP è l'indirizzo dell'hop successivo per le route IPv4 annunciate dal router Cloud.
      2. Nel campo Hop successivo IPv4 BGP del peer, inserisci un indirizzo IP nell'intervallo di indirizzi 169.254.0.0/16. Questo indirizzo IP è l'indirizzo dell'hop successivo per le route IPv4 apprese dal router Cloud dal peer BGP.
      3. (Facoltativo) Espandi la sezione Opzioni avanzate.
      4. Per attivare Peer BGP, seleziona Attivato. Se attivata, la connessione peer viene stabilita con informazioni di routing. Per ulteriori informazioni, vedi Stabilire sessioni BGP.
      5. Per aggiungere l'autenticazione MD5, seleziona Attivata. Se abilitata, puoi utilizzare l'autenticazione MD5 per autenticare le sessioni BGP tra il router Cloud e i suoi peer. Per saperne di più, vedi Utilizzare l'autenticazione MD5. In alternativa, puoi scegliere di attivare l'autenticazione MD5 in un secondo momento.
      6. Per aggiungere route in uscita alla sessione BGP, per Priorità di tutte le route apprese personalizzate, inserisci una priorità della route appresa. Per ulteriori informazioni, vedi Route apprese.

3. Fai clic su Salva e continua.

4. Ripeti i passaggi precedenti per gli altri tunnel configurati sul gateway. Per ogni tunnel, utilizza un indirizzo IP BGP del router Cloud e un indirizzo IP peer BGP diversi.

5. Fai clic su Salva configurazione BGP.

gcloud

Per creare sessioni BGP:

Nei comandi, sostituisci quanto segue:

• ROUTER_INTERFACE_NAME_0 e ROUTER_INTERFACE_NAME_1: un nome per l'interfaccia del router Cloud. Può essere utile utilizzare nomi correlati ai nomi dei tunnel configurati in precedenza
• TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato

• IP_VERSION: IPV6. Questo parametro è obbligatorio solo se vuoi che Google Cloud assegni automaticamente l'indirizzo IPv6 per questa interfaccia. Se stai assegnando manualmente un indirizzo IPv6 a questa interfaccia, puoi omettere questo flag.

• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP. Per maggiori informazioni su questa funzionalità, vedi Route apprese.

• AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per saperne di più su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

(Facoltativo) Assegnare un intervallo di identificatori BGP

Quando aggiungi la prima interfaccia a un router Cloud, viene assegnato automaticamente un intervallo di identificatori BGP al router Cloud. Se preferisci definire il tuo intervallo di identificatori BGP per un router Cloud, puoi creare il tuo intervallo. Puoi anche modificare questo intervallo in un secondo momento. Per ulteriori informazioni, vedi Configurare l'intervallo di identificatori BGP per un router Cloud.

Assegnare indirizzi BGP IPv6

Le seguenti procedure creano sessioni BGP IPv6 con indirizzi peer BGP IPv6 e BGP IPv6 configurati automaticamente o manualmente.

Se vuoi utilizzare BGP IPv6 con MP-BGP, esegui i comandi elencati in Assegna indirizzi hop successivo IPv4.

Automatico

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi IPv6 per la sessione BGP, completa i seguenti passaggi.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION
   

   Se vuoi specificare le route apprese per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi anche utilizzare facoltativamente il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per i percorsi. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese che hai configurato per la sessione. Per saperne di più su questa funzionalità, consulta Percorsi appresi.

   Ad esempio, per aggiungere le route apprese e impostare una priorità per le route, esegui questo comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --set-custom-learned-route-ranges=IP_PREFIXES \
      --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   (Facoltativo) Se vuoi abilitare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --md5-authentication-key=AUTHENTICATION_KEY
   

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi una seconda interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

2. Aggiungi una configurazione peer BGP all'interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION
   

   Se hai configurato le route apprese sul primo tunnel, ti consigliamo di configurare le stesse route sul secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel insieme nell'ambito di un percorso ECMP (Equal-cost multipath), assegna ai percorsi la stessa priorità che avevano sul primo tunnel. In entrambi i casi, utilizza un comando come il seguente:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --set-custom-learned-route-ranges=IP_PREFIXES \
    --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   (Facoltativo) Se vuoi abilitare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Manuale

Per allocare manualmente gli indirizzi IPv6 alla sessione BGP associata all'interfaccia e al peer BGP del router Cloud, completa i seguenti passaggi.

Per ogni tunnel VPN, scegli una coppia di indirizzi IPv6 appropriati per la sessione BGP in base al tipo di sessione BGP che stai configurando.

Ogni indirizzo IPv6 deve essere un indirizzo locale univoco (ULA) dell'intervallo di indirizzi IPv6 fdff:1::/64 con una lunghezza della maschera pari a /126 o inferiore. Ad esempio fdff:1::1.

Ogni indirizzo IPv6 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna uno di questi indirizzi IPv6 al router Cloud e l'altro al gateway VPN peer. Configura il dispositivo VPN peer in modo che utilizzi l'indirizzo IPv6 peer della sessione BGP.

Nei seguenti comandi, sostituisci quanto segue:

• GOOGLE_BGP_IPV6_0: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV6_0 rappresenta l'indirizzo IPv6 del peer BGP e deve corrispondere alla versione IP di GOOGLE_BGP_IPV6_0
• GOOGLE_BGP_IPV6_1: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV6_1 rappresenta l'indirizzo IPv6 del peer BGP e deve corrispondere alla versione IP di GOOGLE_BGP_IPV6_1

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_0 \
    --vpn-tunnel=TUNNEL_NAME_0 \
    --ip-address=GOOGLE_BGP_IPV6_0 \
    --mask-length=MASK_LENGTH  \
    --region=REGION \
   

   Sostituisci MASK_LENGTH con un valore pari o inferiore a 126.

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione peer BGP all'interfaccia; sostituisci PEER_NAME_0with a name for the peer, and replacePEER_ASN` con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IPV6_0 \
    --region=REGION
   

   Se vuoi specificare le route apprese per il peer, aggiungi il flag --set-custom-learned-route-ranges. Puoi anche utilizzare facoltativamente il flag --custom-learned-route-priority per impostare un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese che hai configurato per la sessione. Per saperne di più su questa funzionalità, consulta Percorsi appresi.

   Ad esempio, per aggiungere le route apprese e impostare una priorità per le route, esegui questo comando:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --region=REGION \
    --set-custom-learned-route-ranges=IPV6_PREFIXES \
    --custom-learned-route-priority=CUSTOM_ROUTE_PRIORITY
   

   (Facoltativo) Se vuoi abilitare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0 \
    --peer-ip-address=PEER_BGP_IPV6_0 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi una seconda interfaccia al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV6_1 \
    --mask-length=MASK_LENGTH \
    --region=REGION \
   

   Sostituisci MASK_LENGTH con un valore pari o inferiore a 64.

2. Aggiungi una configurazione del peer BGP all'interfaccia; sostituisci PEER_NAME_1 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IPV6_1 \
    --region=REGION
   

   Se hai configurato le route apprese sul primo tunnel, ti consigliamo di specificare le stesse route sul secondo tunnel. Ad esempio, puoi configurare il secondo tunnel in modo che funzioni come backup per le route; in questo caso, assegna alle route una priorità meno preferenziale (un numero più alto). Se vuoi utilizzare entrambi i tunnel insieme nell'ambito di un percorso ECMP (Equal-cost multipath), assegna ai percorsi la stessa priorità che avevano sul primo tunnel. In entrambi i casi, utilizza un comando come il seguente:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --region=REGION \
    --set-custom-learned-route-ranges=IPV6_PREFIXES \
    --custom-learned-route-priority=PRIORITY
   

   (Facoltativo) Se vuoi abilitare l'autenticazione MD5, utilizza il flag --md5-authentication-key per fornire la chiave segreta:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1 \
    --peer-ip-address=PEER_BGP_IPV6_1 \
    --region=REGION \
    --md5-authentication-key=AUTHENTICATION_KEY
   

Assegna indirizzi hop successivo IPv4

Utilizza i comandi in questa sezione solo se vuoi tunnel VPN che utilizzano MP-BGP. Con MP-BGP, puoi scambiare route IPv4 tramite sessioni BGP IPv6.

Se non prevedi di utilizzare MP-BGP nella sessione BGP per il tunnel, utilizza i comandi elencati in Assegna indirizzi BGP IPv6.

Puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 o IPv6 del next hop del peer BGP.

Automatico

Se crei una sessione BGP IPv6 che utilizza MP-BGP,Google Cloud può assegnare automaticamente gli indirizzi dell'hop successivo IPv4.Google Cloud assegna gli indirizzi inutilizzati dall'intervallo di indirizzi 169.254.0.0/16.

Questa configurazione non è correlata alla scelta tra configurazione automatica o manuale per gli indirizzi IPv6 peer BGP e router Cloud. I seguenti comandi utilizzano la configurazione automatica. Tuttavia, puoi anche assegnare gli indirizzi IPv6 alle interfacce del router Cloud e ai peer BGP utilizzando i flag --ip-address e --peer-ip-address descritti in Assegnare indirizzi IP BGP IPv6.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --region=REGION \
     --ip-version=IPV6
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia per il primo tunnel; sostituisci PEER_NAME_0 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0 \
      --region=REGION \
      --enable-ipv4
   

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

Per il secondo tunnel VPN

1. Aggiungi una seconda interfaccia al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

2. Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci PEER_NAME_1 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1 \
      --region=REGION \
      --enable-ipv4
   

Manuale

Quando crei sessioni BGP IPv6 che utilizzano MP-BGP, puoi configurare manualmente gli indirizzi hop successivo IPv4 sia per router Cloud sia per il peer BGP.

Questa configurazione non è correlata alla scelta tra configurazione automatica o manuale del router Cloud e degli indirizzi IPv6 per le sessioni BGP. Per esempi su come configurare manualmente questi indirizzi, consulta Assegna indirizzi BGP IPv6.

Per ogni tunnel VPN, seleziona una coppia di indirizzi hop successivo IPv4 dall'intervallo di indirizzi IPv4 link-local 169.254.0.0/16. Questi indirizzi IPv4 devono essere univoci in tutti i router Cloud della tua rete VPC.

Per allocare manualmente gli indirizzi dell'hop successivo IPv4 BGP, completa i seguenti passaggi.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia al router Cloud.

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --region=REGION \
     --ip-version=IPV6
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una configurazione del peer BGP all'interfaccia per il primo tunnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_0 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_0 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   Nei comandi, sostituisci quanto segue:

   • PEER_NAME_0 con un nome per l'interfaccia VPN peer
   • PEER_ASN con l'ASN configurato per il gateway VPN peer
   • IPV4_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve rientrare nell'intervallo di indirizzi IPv4 169.254.0.0/16
   • PEER_IPV4_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv4 apprese dalrouter Cloudr dal peer BGP; l'indirizzo deve rientrare nell'intervallo di indirizzi IPv4 169.254.0.0/16

   L'output del comando è simile al seguente esempio:

   Creating peer [bgp-peer-tunnel-a-to-on-prem-if-0] in router [router-a]...done.
   

   Per il secondo tunnel VPN

3. Aggiungi una seconda interfaccia al router Cloud.

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_1 \
     --vpn-tunnel=TUNNEL_NAME_1 \
     --region=REGION \
     --ip-version=IPV6
   

4. Aggiungi una configurazione del peer BGP all'interfaccia per il secondo tunnel.

   gcloud compute routers add-bgp-peerROUTER_NAME \
     --peer-name=PEER_NAME_1 \
     --peer-asn=PEER_ASN \
     --interface=ROUTER_INTERFACE_NAME_1 \
     --region=REGION \
     --enable-ipv4 \
     --ipv4-nexthop-address=IPV4_NEXTHOP_ADDRESS \
     --peer-ipv4-nexthop-address=PEER_IPV4_NEXTHOP_ADDRESS
   

   Nei seguenti comandi, sostituisci quanto segue:

   • PEER_NAME_1 con un nome per l'interfaccia VPN peer
   • PEER_ASN con l'ASN configurato per il gateway VPN peer
   • IPV4_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv4 pubblicizzate dal router Cloud; l'indirizzo deve rientrare nell'intervallo di indirizzi IPv4 169.254.0.0/16
   • PEER_IPV4_NEXTHOP_ADDRESS: l'indirizzo hop successivo per le route IPv4 apprese dal router Cloud dal peer BGP; l'indirizzo deve rientrare nell'intervallo di indirizzi IPv4 169.254.0.0/16

API

Per creare sessioni BGP:

1. Per creare un'interfaccia router Cloud e assegnarle un indirizzo IPv6, invia una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. PATCH aggiorna solo i parametri che includi. UPDATE aggiorna tutti i parametri per router Cloud.

   L'esempio seguente crea un'interfaccia con un indirizzo IPv6 configurato manualmente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::/112"
         }
       ]
   }
   

   Ogni intervallo di indirizzi BGP per ogni sessione BGP IPv6 deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

   Come altro esempio, il seguente comando crea un'interfaccia con un indirizzo IPv6 assegnato automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
         }
       ]
   }
   

   Ripeti questo passaggio per ogni tunnel VPN sul gateway VPN ad alta disponibilitàà.

2. Aggiungi una configurazione del peer BGP a un router Cloud per un tunnel VPN, invia una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. Ripeti questo comando per l'altro tunnel VPN, modificando tutte le opzioni tranne name e peerAsn.

   Ad esempio:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT"
       }
     ]
   }
   

   L'esempio seguente include un comando per aggiungere un peer BGP per l'interfaccia BGP IPv6 con lo scambio di route IPv4 abilitato e gli indirizzi hop successivo IPv4 configurati manualmente. Se ometti ipv4NexthopAddress e peerIpv4NexthopAddress, gli indirizzi hop successivo IPv4 vengono assegnati automaticamente.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers//ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "enableIpv4": true,
       "ipv4NexthopAddress: "169.254.0.1",
       "peerIpv4NexthopAddress: "169.254.0.2"
       }
     ]
   }
   

   Se vuoi specificare le route apprese per il peer, definisci i prefissi IP per le route. Puoi anche impostare facoltativamente un valore di priorità compreso tra 0 e 65535 (inclusi) per le route. Ogni sessione BGP può avere un valore di priorità che si applica a tutte le route apprese personalizzate che hai configurato per la sessione. Per ulteriori informazioni, consulta Route apprese.

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "enableIpv4": true,
       "ipv4NexthopAddress: "169.254.0.1",
       "peerIpv4NexthopAddress: "169.254.0.2"
       "customLearnedRoutePriority": 200,
       "customLearnedIpRanges": [
           {
             "range": "1.2.3.4"
           },
           {
             "range": "6.7.0.0/16"
           },
           {
             "range": "2001:db8:abcd:12::/64"
           }
         ]
         }
       ]
   }
   

   Se vuoi configurare la sessione in modo che utilizzi l'autenticazione MD5, la tua richiesta deve includere una chiave di autenticazione, il che significa che deve fornire sia la chiave che un nome per la chiave. Deve inoltre fare riferimento alla chiave per nome durante la creazione della sessione di peering BGP. Ad esempio:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "md5AuthenticationKeys": [
       {
       "name": "bgppeer-1-key",
       "key": "secret_key_value"
       }
       ],
   }
   {
     "bgpPeers": [
     {
       "interfaceName": "if-tunnel-a-to-on-prem-if-0",
       "ipAddress": "fdff:1::1",
       "name": "bgp-peer-tunnel-a-to-on-prem-if-0",
       "peerAsn": 65002,
       "peerIpAddress": "fdff:1::2",
       "advertiseMode": "DEFAULT",
       "md5AuthenticationKeyName": "bgppeer-1-key"
       }
     ]
   }
   

Sessioni BGP IPv4 e IPv6

Segui questi passaggi per creare una sessione BGP IPv4 e una sessione BGP IPv6 che vengono eseguite in parallelo nello stesso tunnel VPN ad alta disponibilità.

Per creare questa configurazione, aggiungi due interfacce BGP e due peer BGP a router Cloud, collegandoli allo stesso tunnel VPN. Non puoi utilizzare MP-BGP in nessuna delle sessioni BGP.

Console

Per creare sessioni BGP sia IPv4 che IPv6:

1. Fai clic su Configura sessione BGP.

2. Nella pagina Crea sessione BGP, completa i seguenti passaggi:

   1. Per Tipo di sessione BGP, seleziona Entrambi.

   Sessione BGP IPv4

   1. In Name (Nome), inserisci un nome per la sessione BGP.
   2. Per ASN peer, inserisci l'ASN peer configurato per il gateway VPN peer.
   3. Per Alloca indirizzo IPv4 BGP, seleziona Automaticamente o Manualmente. Se selezioni Manualmente, procedi nel seguente modo:
   4. In Indirizzo IPv4 BGP del router Cloud, inserisci l'indirizzo IPv4 BGP del router Cloud.

   5. In Indirizzo IPv4 del peer BGP, inserisci l'indirizzo IPv4 del peer BGP. L'indirizzo IPv4 deve soddisfare i seguenti requisiti:

      • Ogni indirizzo IPv4 deve appartenere alla stessa subnet /30 che rientra nell'intervallo di indirizzi 169.254.0.0/16.
      • Ogni indirizzo IPv4 è il primo o il secondo host della subnet /30. Il primo e l'ultimo indirizzo IP della subnet sono riservati agli indirizzi di rete e di broadcast.
      • Ogni intervallo di indirizzi IPv4 per una sessione BGP deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

      Se selezioni Automaticamente, Google Cloud seleziona automaticamente gli indirizzi IPv4 per la sessione BGP.

      Se selezioni l'assegnazione automatica dell'indirizzo IPv6, Google Cloud gli indirizzi IPv6 per la sessione BGP vengono selezionati automaticamente.

   6. (Facoltativo) Espandi la sezione Opzioni avanzate.

   7. Per attivare Peer BGP, seleziona Attivato. Se attivata, la connessione peer viene stabilita con informazioni di routing. Per ulteriori informazioni, vedi Stabilire sessioni BGP.

   8. Per aggiungere l'autenticazione MD5, seleziona Attivata. Se abilitata, puoi utilizzare l'autenticazione MD5 per autenticare le sessioni BGP tra il router Cloud e i suoi peer. Per saperne di più, vedi Utilizzare l'autenticazione MD5. In alternativa, puoi scegliere di attivare l'autenticazione MD5 in un secondo momento.

   9. Per aggiungere route in uscita alla sessione BGP, per Priorità di tutte le route apprese personalizzate, inserisci una priorità della route appresa. Per ulteriori informazioni, vedi Route apprese.

   10. Fai clic su Salva e continua.

   Sessione BGP IPv6

   1. In Name (Nome), inserisci un nome per la sessione BGP.
   2. Per ASN peer, inserisci l'ASN peer configurato per il gateway VPN peer.
   3. (Facoltativo) Per Priorità route annunciata (MED), inserisci la priorità delle route annunciate a questo peer BGP.
   4. Per Alloca indirizzo IPv6 BGP, seleziona Automaticamente o Manualmente. Se selezioni Manualmente, procedi nel seguente modo:
   5. In Indirizzo IPv6 BGP del router Cloud, inserisci l'indirizzo IPv6 BGP del router Cloud.

   6. In Indirizzo IPv6 del peer BGP, inserisci l'indirizzo IPv6 del peer BGP. L'indirizzo IPv4 deve soddisfare i seguenti requisiti:

      • Ogni indirizzo deve essere un indirizzo locale univoco (ULA) dell'intervallo di indirizzi fdff:1::/64 con una lunghezza della maschera di /64. Ad esempio: fdff:1::1.
      • Ogni indirizzo deve essere univoco tra tutti i router Cloud in tutte le regioni di una rete VPC.

      Se selezioni Automaticamente, Google Cloud seleziona automaticamente gli indirizzi IPv6 per la sessione BGP.

   7. (Facoltativo) Espandi la sezione Opzioni avanzate.

   8. Per attivare Peer BGP, seleziona Attivato. Se attivata, la connessione peer viene stabilita con informazioni di routing. Per ulteriori informazioni, vedi Stabilire sessioni BGP.

   9. Per attivare l'autenticazione MD5, seleziona Attivata. Se abilitata, l'autenticazione MD5 viene utilizzata per autenticare le sessioni BGP tra il router Cloud e i suoi peer. Per saperne di più, vedi Utilizzare l'autenticazione MD5. In alternativa, puoi scegliere di attivare l'autenticazione MD5 in un secondo momento.

   10. Per aggiungere route in uscita alla sessione BGP, per Priorità di tutte le route apprese personalizzate, inserisci una priorità della route appresa. Per ulteriori informazioni, vedi Route apprese.

   11. Fai clic su Salva e continua.

3. Ripeti i passaggi precedenti per gli altri tunnel configurati sul gateway. Per ogni tunnel, utilizza un indirizzo IP BGP del router Cloud e un indirizzo IP peer BGP diversi.

4. Fai clic su Salva configurazione BGP.

gcloud

Per creare sessioni BGP:

Nei comandi, sostituisci quanto segue:

• ROUTER_INTERFACE_NAME_0_ipv4 e ROUTER_INTERFACE_NAME_0_ipv6: nomi della prima coppia di interfacce BGP del router Cloud che condividono lo stesso tunnel. Può essere utile utilizzare nomi correlati ai nomi dei tunnel configurati in precedenza
• ROUTER_INTERFACE_NAME_1_ipv4, ROUTER_INTERFACE_NAME_1_ipv6: nomi per il secondo set di interfacce BGP del router Cloud
• TUNNEL_NAME_0 e TUNNEL_NAME_1: il tunnel associato all'interfaccia del gateway VPN ad alta disponibilità che hai configurato
• IP_PREFIXES e CUSTOM_ROUTE_PRIORITY: valori che consentono di specificare manualmente le route apprese per una sessione BGP. Per maggiori informazioni su questa funzionalità, vedi Route apprese.

• AUTHENTICATION_KEY: la chiave segreta da utilizzare per l'autenticazione MD5. Per saperne di più su questa funzionalità facoltativa, consulta Utilizzare l'autenticazione MD5.

  Inoltre, puoi scegliere di configurare automaticamente o manualmente gli indirizzi IPv4 e IPv6 per le interfaccerouter Cloudr e i peer BGP.

  (Facoltativo) Assegnare un intervallo di identificatori BGP

  Quando aggiungi la prima interfaccia con un indirizzo IPv6 a un router Cloud, a quest'ultimo viene assegnato automaticamente un intervallo di identificatori BGP. Se preferisci definire il tuo intervallo di identificatori BGP per un router Cloud, puoi creare il tuo intervallo. Puoi anche modificare questo intervallo in un secondo momento. Per ulteriori informazioni, vedi Configurare l'intervallo di identificatori BGP per un router Cloud.

Automatico

Per consentire a Google Cloud di scegliere automaticamente gli indirizzi BGP, completa i seguenti passaggi.

Per il primo tunnel VPN

1. Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud.

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION
      --ip-version=IPV4
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi una seconda interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:

   gcloud compute routers add-interface ROUTER_NAME \
      --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
      --vpn-tunnel=TUNNEL_NAME_0 \
      --region=REGION \
      --ip-version=IPV6
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

3. Aggiungi una configurazione del peer BGP alla prima interfaccia con l'indirizzo IPv4 per il primo tunnel; sostituisci PEER_NAME_0_ipv4 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv4 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
      --region=REGION
   

4. Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il primo tunnel; sostituisci PEER_NAME_0_ipv6 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
      --region=REGION
   

   Nella maggior parte dei casi, il PEER_ASN è lo stesso, ma può variare a seconda della topologia di rete on-premise.

Per il secondo tunnel VPN

1. Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION
    --ip-version=IPV4
   

2. Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel. Esegui questo comando:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --region=REGION \
    --ip-version=IPV6
   

3. Aggiungi una configurazione peer BGP alla prima interfaccia con l'indirizzo IPv4 per il secondo tunnel; sostituisci PEER_NAME_1_ipv4 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
    --region=REGION
   

4. Aggiungi una configurazione peer BGP alla seconda interfaccia con l'indirizzo IPv6 per il secondo tunnel; sostituisci PEER_NAME_1_ipv6 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
      --region=REGION
   

   Nella maggior parte dei casi, il PEER_ASN è lo stesso, ma può variare a seconda della topologia di rete on-premise.

Manuale

Per allocare manualmente gli indirizzi IPv4 e IPv6 associati alle interfacce del router Cloud e ai peer BGP, completa i seguenti passaggi.

Per ogni tunnel VPN, scegli una coppia di indirizzi BGP appropriati in base al tipo di sessione BGP che stai configurando. Devi selezionare un totale di quattro indirizzi IP per ogni tipo di sessione.

• Per le sessioni BGP IPv4, i quattro indirizzi IPv4 devono essere indirizzi IPv4 locali rispetto al collegamento in un blocco /30 dell'intervallo 169.254.0.0/16. Ad esempio: 169.254.0.1/30.
• Per le sessioni BGP IPv6, i quattro indirizzi IPv6 devono essere indirizzi locali univoci (ULA) dell'intervallo fdff:1::/64 con una lunghezza pari o inferiore a /126. Ad esempio: fdff:1:1:1::/112.

Gli indirizzi BGP che specifichi devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

Per ogni tunnel, assegna gli indirizzi IPv6 BGP al router Cloud. Configura il dispositivo VPN peer in modo che utilizzi gli indirizzi IPv6 peer BGP.

Nei seguenti comandi, sostituisci quanto segue:

• GOOGLE_BGP_IPV4_0: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV4_0 rappresenta l'indirizzo IPv4 del peer BGP, corrisponde a GOOGLE_BGP_IPV4_0
• GOOGLE_BGP_IPV6_0: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IPV6_0 rappresenta l'indirizzo IPv6 del peer BGP, corrisponde a GOOGLE_BGP_IPV6_0
• GOOGLE_BGP_IPV4_1: l'indirizzo IPv4 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV4_1 rappresenta l'indirizzo IPv4 del peer BGP, corrisponde a GOOGLE_BGP_IPV4_1
• GOOGLE_BGP_IPV6_1: l'indirizzo IPv6 dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IPV6_1 rappresenta l'indirizzo IPv6 del peer BGP, corrisponde a GOOGLE_BGP_IPV6_1

Per il primo tunnel VPN

1. Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci ROUTER_INTERFACE_NAME_0_ipv4 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0_ipv4 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV4_0 \
     --mask-length 30 \
     --region=REGION
   

   L'output del comando è simile al seguente esempio:

   Updated [https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a].
   

2. Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci ROUTER_INTERFACE_NAME_0_ipv6 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
     --interface-name=ROUTER_INTERFACE_NAME_0_ipv6 \
     --vpn-tunnel=TUNNEL_NAME_0 \
     --ip-address=GOOGLE_BGP_IPV6_0 \
     --mask-length=MASK_LENGTH  \
     --region=REGION \
   

   Sostituisci MASK_LENGTH con un valore pari o inferiore a 64.

3. Aggiungi una configurazione del peer BGP alla prima interfaccia per il primo tunnel; sostituisci PEER_NAME_0_ipv4 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_0_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_0_ipv4 \
    --peer-ip-address=PEER_BGP_IPV4_0 \
    --region=REGION
   

4. Aggiungi una configurazione del peer BGP alla seconda interfaccia per il primo tunnel; sostituisci PEER_NAME_0_ipv6 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_0_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_0_ipv6 \
      --peer-ip-address=PEER_BGP_IPV6_0 \
      --region=REGION
   

   Nella maggior parte dei casi, il PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.

Per il secondo tunnel VPN

1. Aggiungi un'interfaccia con un indirizzo IPv4 al router Cloud; sostituisci ROUTER_INTERFACE_NAME_1_ipv4 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv4 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV4_1 \
    --mask-length MASK_LENGTH \
    --region=REGION
   

2. Aggiungi un'interfaccia con un indirizzo IPv6 allo stesso tunnel; sostituisci ROUTER_INTERFACE_NAME_1_ipv6 con un nome per l'interfaccia:

   gcloud compute routers add-interface ROUTER_NAME \
    --interface-name=ROUTER_INTERFACE_NAME_1_ipv6 \
    --vpn-tunnel=TUNNEL_NAME_1 \
    --ip-address=GOOGLE_BGP_IPV6_1 \
    --mask-length=MASK_LENGTH \
    --region=REGION \
   

   Sostituisci MASK_LENGTH con un valore pari o inferiore a 64.

3. Aggiungi una configurazione del peer BGP alla prima interfaccia per il secondo tunnel; sostituisci PEER_NAME_1_ipv4 con un nome per il peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
    --peer-name=PEER_NAME_1_ipv4 \
    --peer-asn=PEER_ASN \
    --interface=ROUTER_INTERFACE_NAME_1_ipv4 \
    --peer-ip-address=PEER_BGP_IPV4_1 \
    --region=REGION
   

4. Aggiungi una configurazione peer BGP alla seconda interfaccia per il secondo tunnel; sostituisci PEER_NAME_1_ipv6 con un nome per l'interfaccia VPN peer e sostituisci PEER_ASN con l'ASN configurato per il gateway VPN peer:

   gcloud compute routers add-bgp-peer ROUTER_NAME \
      --peer-name=PEER_NAME_1_ipv6 \
      --peer-asn=PEER_ASN \
      --interface=ROUTER_INTERFACE_NAME_1_ipv6 \
      --peer-ip-address=PEER_BGP_IPV6_1 \
      --region=REGION
   

   Nella maggior parte dei casi, il PEER_ASN è lo stesso, ma può essere diverso a seconda della topologia di rete on-premise.

API

Per creare sessioni BGP:

1. Per creare due interfacce router Cloud, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. PATCH aggiorna solo i parametri che includi. UPDATE aggiorna tutti i parametri per il router Cloud.

   Crea due interfacce router Cloud per il primo tunnel VPN sul gateway VPN ad alta disponibilità. Crea un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6. Puoi configurare entrambe le interfacce e i relativi peer BGP nella stessa richiesta PATCH o UPDATE. Le interfacce sono associate allo stesso tunnel linkedVpnTunnel e i peer BGP sono poi associati alle interfacce.

   Gli intervalli di indirizzi BGP per ogni interfaccia devono essere univoci tra tutti i router Cloud in tutte le regioni di una rete VPC.

   Ripeti questo passaggio e questo comando per ogni tunnel VPN sul gateway VPN ad alta disponibilità.

   Il seguente esempio aggiunge un'interfaccia con un indirizzo IPv4 e un'interfaccia con un indirizzo IPv6 allo stesso linkedVpnTunnel. Il comando di esempio specifica manualmente gli indirizzi BGP IPv4 e IPv6:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "169.254.0.1/30"
         },
         {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipRange": "fdff:1::/126"
         }
   
       ]
   }
   

   Il seguente esempio aggiunge un'interfaccia BGP IPv4 e un'interfaccia BGP IPv6 allo stesso linkedVpnTunnel con indirizzi BGP IPv4 e IPv6 assegnati automaticamente:

   PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
   {
     "interfaces": [
       {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv4",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV4"
         },
         {
         "name": "if-tunnel-a-to-on-prem-if-0_ipv6",
         "linkedVpnTunnel": "ha-vpn-gw-a-tunnel-0",
         "ipVersion": "IPV6"
         }
   
       ]
   }
   

   1. Per aggiungere i peer BGP al router Cloud per ogni tunnel VPN, effettua una richiesta PATCH o UPDATE utilizzando il metodo routers.patch o il metodo routers.update. Ripeti questo comando per gli altri tunnel VPN, modificando tutte le opzioni in base alle esigenze.

      Ad esempio:

      PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers/ROUTER_NAME
      {
      "bgpPeers": [
      {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv4",
        "ipAddress": "169.254.0.1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv4",
        "peerAsn": 65002,
        "peerIpAddress": "169.254.0.2",
        "advertiseMode": "DEFAULT"
        },
        {
        "interfaceName": "if-tunnel-a-to-on-prem-if-0_ipv6",
        "ipAddress": fdff:1::1",
        "name": "bgp-peer-tunnel-a-to-on-prem-if-0_ipv6",
        "peerAsn": 65002,
        "peerIpAddress": "fdff:1::2",
        "advertiseMode": "DEFAULT"
        }
      ]
      }
      

Verificare la configurazione

Console

Per verificare la configurazione, vai alla pagina Riepilogo e promemoria:

1. La sezione Riepilogo di questa pagina elenca le informazioni per il gateway VPN ad alta disponibilità e il profilo del gateway VPN peer. Per ogni tunnel VPN, puoi visualizzare lo stato del tunnel VPN, il nome della sessione BGP, lo stato della sessione BGP e il valore MED (priorità della route pubblicizzata).
2. La sezione Promemoria di questa pagina elenca i passaggi che devi completare per avere una connessione VPN completamente operativa tra Cloud VPN e la tua VPN peer.
3. Se vuoi scaricare un modello di configurazione per il tuo dispositivo VPN peer, fai clic su Scarica configurazione. Per istruzioni su come selezionare il modello e visualizzare un elenco dei fornitori supportati, vedi Scaricare un modello di configurazione VPN peer. Puoi anche scaricare il modello di configurazione in un secondo momento andando alla pagina Gateway VPN peer.
4. Dopo aver esaminato le informazioni riportate in questa pagina, fai clic su Ok.

gcloud

Per verificare la configurazione del router Cloud, segui questi passaggi:

• Elenca gli indirizzi IP della sessione BGP scelti dal router Cloud. Se hai aggiunto una nuova interfaccia a un router Cloud esistente, gli indirizzi IPv4 o IPv6 BGP per la nuova interfaccia potrebbero essere elencati con il numero di indice più alto. Utilizza l'indirizzo BGP IPv4 o BGP IPv6 peerIpAddress per configurare il gateway VPN peer:

   gcloud compute routers get-status ROUTER_NAME \
       --region=REGION \
       --format='flattened(result.bgpPeerStatus[].name,
       result.bgpPeerStatus[].ipAddress, result.bgpPeerStatus[].peerIpAddress)'
  

  L'output previsto per un router Cloud che gestisce due tunnel Cloud VPN (indice 0 e indice 1) è simile al seguente esempio, in cui vale quanto segue:

  • GOOGLE_BGP_IP_0 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 0; PEER_BGP_IP_0 rappresenta l'indirizzo IP BGP del peer.
  • GOOGLE_BGP_IP_1 rappresenta l'indirizzo IP BGP dell'interfaccia del router Cloud per il tunnel sul gateway Cloud VPN interface 1; PEER_BGP_IP_1 rappresenta l'indirizzo IP BGP del peer.

    result.bgpPeerStatus[0].ipAddress:      169.254.0.1 GOOGLE_BGP_IP_0
    result.bgpPeerStatus[0].name:           bgp-peer-tunnel-a-to-on-prem-if-0
    result.bgpPeerStatus[0].peerIpAddress:  169.254.0.2 PEER_BGP_IP_0
    result.bgpPeerStatus[1].ipAddress:      169.254.1.1 GOOGLE_BGP_IP_1
    result.bgpPeerStatus[1].name:           bgp-peer-tunnel-a-to-on-prem-if-1
    result.bgpPeerStatus[1].peerIpAddress:  169.254.1.2 PEER_BGP_IP_1
  

• Puoi anche utilizzare il seguente comando per ottenere un elenco completo della configurazione delrouter Cloudr:

   gcloud compute routers describe ROUTER_NAME \
       --region=REGION
  

  L'elenco completo è simile al seguente esempio:

  bgp:
    advertiseMode: DEFAULT
    asn: 65001
  bgpPeers:
  - interfaceName: if-tunnel-a-to-on-prem-if-0
    ipAddress: 169.254.0.1
    name: bgp-peer-tunnel-a-to-on-prem-if-0
    peerAsn: 65002
    peerIpAddress: 169.254.0.2
  - interfaceName: if-tunnel-a-to-on-prem-if-1
    ipAddress: 169.254.1.1
    name: bgp-peer-tunnel-a-to-on-prem-if-1
    peerAsn: 65004
    peerIpAddress: 169.254.1.2
  creationTimestamp: '2018-10-18T11:58:41.704-07:00'
  id: '4726715617198303502'
  interfaces:
  - ipRange: 169.254.0.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-0
    name: if-tunnel-a-to-on-prem-if-0
  - ipRange: 169.254.1.1/30
    linkedVpnTunnel: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/vpnTunnels/tunnel-a-to-on-prem-if-1
    name: if-tunnel-a-to-on-prem-if-1
    kind: compute#router
    name: router-a
    network: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/network-a
    region: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1
    selfLink: https://www.googleapis.com/compute/v1/projects/PROJECT_ID/regions/us-central1/routers/router-a
  

API

Per verificare la configurazione del router Cloud, effettua una richiesta GET utilizzando il metodo routers.getRouterStatus e utilizza un corpo della richiesta vuoto:

GET https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/regions/REGION/routers

Crea un tunnel aggiuntivo su un gateway a tunnel singolo

Console

Per ricevere uno SLA con uptime del 99,99%, configura un tunnel su ogni interfaccia VPN ad alta disponibilità di un gateway VPN ad alta disponibilità.

Configura un secondo tunnel nelle seguenti circostanze:

• Se hai configurato un gateway VPN ad alta disponibilità connesso a un gateway VPN peer con una singola interfaccia VPN peer.
• Se in precedenza hai configurato un singolo tunnel su un gateway VPN ad alta disponibilità a un gateway VPN peer che contiene un numero qualsiasi di interfacce, ma ora vuoi uno SLA con uptime del 99,99% per il tuo gateway VPN ad alta disponibilità.

Per configurare un secondo tunnel, segui i passaggi descritti in Aggiungi un tunnel da un gateway VPN ad alta disponibilità a un gateway VPN peer.

Impostare la priorità route annunciata di base (facoltativo)

Le sessioni BGP che crei consentono a ogni router Cloud di annunciare le route alle reti peer. Gli annunci utilizzano priorità di base non modificate.

Utilizza la configurazione documentata in Creazione di una coppia di gateway e tunnel VPN ad alta disponibilità a una VPN peer per le configurazioni di routing attivo-attivo in cui le priorità delle route annunciate dei due tunnel VPN dal lato Google Cloud e dal lato peer corrispondono. Per configurare le stesse priorità delle route annunciate da Google Cloud a entrambi i peer BGP, ometti la priorità delle route annunciate sul lato Google Cloud.

Per creare una configurazione attiva-passiva, configura priorità di route pubblicizzate non uguali per i due tunnel VPN ad alta disponibilità. La priorità di una rotta pubblicizzata deve essere superiore all'altra. Ad esempio:

• Sessione BGP1/tunnel1, priorità route = 10
• Sessione BGP2/tunnel2, priorità route = 20

Per ulteriori informazioni sulla priorità della route annunciata di base, consulta la sezione Prefissi e priorità annunciati.

Puoi anche specificare le route pubblicizzate utilizzando gli annunci personalizzati:

• Aggiungi il flag --advertisement-mode=CUSTOM (gcloud) o il flag advertiseMode: custom (API).
• Specifica gli intervalli di indirizzi IP con il flag --set-advertisement-ranges (gcloud) o il flag advertisedIpRanges (API).

Completare la configurazione

Prima di poter utilizzare un nuovo gateway Cloud VPN e i relativi tunnel VPN, completa questi passaggi:

1. Configura il gateway VPN peer e configura il tunnel o i tunnel corrispondenti. Per istruzioni, vedi quanto segue:
   • Per indicazioni specifiche sulla configurazione di determinati dispositivi VPN peer, vedi Utilizzare VPN di terze parti.
   • Per le topologie peer supportate, consulta Topologie Cloud VPN.
   • Per i parametri di configurazione generali, vedi Configurare il gateway VPN peer.
2. Configura le regole firewall in Google Cloud e nella rete peer in base alle esigenze.
3. Controlla lo stato dei tunnel VPN. Questo passaggio include il controllo della configurazione ad alta disponibilità del gateway VPN ad alta disponibilità.

Passaggi successivi

• Per controllare quali indirizzi IP sono consentiti per i gateway VPN peer, consulta la sezione Limita gli indirizzi IP per i gateway VPN peer.
• Per utilizzare scenari di alta disponibilità e alto throughput o più scenari di subnet, consulta Configurazioni avanzate.
• Per aiutarti a risolvere i problemi comuni che potresti riscontrare quando utilizzi Cloud VPN, consulta la sezione Risoluzione dei problemi.