本頁面由 Cloud Translation API 翻譯而成。

為 IPv4 和 IPv6 流量設定第三方 VPN

本頁面提供操作說明，說明如何設定第三方 VPN 裝置，以便透過 Cloud VPN 支援雙重堆疊 (IPv4 和 IPv6) 或僅限 IPv6 的流量。

如要在高可用性 VPN 通道中啟用雙重堆疊流量，您必須使用 IPv6 下一個躍點位址設定對等互連 VPN 閘道。在啟用雙堆疊流量的 HA VPN 通道中，系統會使用多通訊協定 BGP (MP-BGP) 和連結區域 IPv4 位址，透過 BGP 工作階段交換 IPv4 和 IPv6 路由。Cloud Router 和對等 VPN 閘道都需要 IPv6 下一個躍點設定，才能將 IPv6 流量路由至虛擬私有雲 (VPC) 和對等網路，以及從這些網路傳送。

只有 HA VPN 閘道支援雙堆疊或僅限 IPv6 的流量。傳統版 VPN 不支援 IPv6 流量。請確認對等互連 VPN 閘道已設定為使用 IKEv2 的 HA VPN 通道。

第三方 VPN 支援雙堆疊流量

下表列出第三方 VPN 裝置是否支援 IPsec 通道上的雙堆疊流量。

供應商平台	已針對雙堆疊設定進行測試的版本	透過 IPv4 IPsec 通道傳送的 IPv6 流量	僅限 IPv6 流量	雙堆疊位址系列	雙堆疊流量的互通設定
Cisco IOS	不支援	不支援	支援	不支援	使用通用封裝轉送 (GRE) 通道和虛擬路由器，透過 GRE 傳送 IPsec 流量。
Check Point	不支援	不支援	不支援	不支援	使用通用封裝轉送 (GRE) 通道和虛擬路由器，透過 GRE 傳送 IPsec 流量。
Juniper JunOS	20.2R3-S2.5	支援	不支援	支援	支援可同時傳輸 IPv4 和 IPv6 流量的高可用性 VPN 通道。
Palo Alto Networks PAN-OS	9.1	支援	不支援	不支援	需要為 IPv4 或 IPv6 流量分別設定高可用性 VPN 通道，但不能同時設定。

Juniper JunOS

以下程序說明如何設定 Juniper JunOS VPN 裝置，以便在高可用性 VPN 通道中支援 IPv4 和 IPv6 流量。

雖然您會在裝置的通道介面上設定 IPv6 位址，但 IPv6 位址只會用於 IPv6 下一個躍點設定。IPv6 路由會透過 IPv6 網路層可及資訊 (NLRI) 透過 IPv4 BGP 對等連線宣傳。

事前準備

在 Google Cloud中，設定一個雙層高可用性 VPN 閘道和兩個高可用性 VPN 通道。兩個高可用性 VPN 通道都會傳輸 IPv4 和 IPv6 流量。

記下 Google Cloud 指派給兩個高可用性 VPN 閘道介面的兩個外部 IPv4 位址。

為每個隧道記錄下列設定值：

BGP 對等點 (也就是 Juniper JunOS 裝置) 的連結本機 IPv4 位址
用於 BGP 對等互連的 Cloud Router 連結本機 IPv4 位址
指派給對等端或 peerIpv6NexthopAddress 的 IPv6 下一個躍點位址
您為 BGP 工作階段指派給 Cloud Router 的 ASN
您指派給 BGP 對等點 (也就是 Juniper JunOS 裝置) 的 ASN
預先共用金鑰

如要查看 BGP 工作階段設定的詳細資料，請參閱「查看 BGP 工作階段設定」。

設定 JunOS

如要設定 JunOS 裝置，請完成下列步驟：

針對每個 VPN 通道介面，設定從 Cloud Router 擷取的 BGP 對等點 IPv6 下一個躍點位址。這些介面是指已指派 IPv4 對等連線連結本機位址的介面。

set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address PEER_BGP_IP_1
set interfaces st0 unit 1 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_1
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address PEER_BGP_IP_2
set interfaces st0 unit 2 family inet6 address PEER_IPV6_NEXT_HOP_ADDRESS_2

替換下列值：

PEER_BGP_IP_1：第一個隧道介面對等點的 BGP IPv4 位址，以及其子網路遮罩
PEER_IPV6_NEXT_HOP_ADDRESS_1：第一個通道介面與其子網路遮罩的對等端 IPv6 下一躍點位址
PEER_BGP_IP_2：第二個隧道介面對等點的 BGP IPv4 位址，以及其子網路遮罩
PEER_IPV6_NEXT_HOP_ADDRESS_2：第二個通道介面與其子網路遮罩的對等端 IPv6 下一個躍點位址

例如：

set interfaces st0 unit 1 family inet mtu 1460
set interfaces st0 unit 1 family inet address 169.254.0.2/30
set interfaces st0 unit 1 family inet6 address 2600:2d00:0:2::2/125
set interfaces st0 unit 2 family inet mtu 1460
set interfaces st0 unit 2 family inet address 169.254.1.2/30
set interfaces st0 unit 2 family inet6 address 2600:2d00:0:2::1:2/125

設定 IKE 提案、IKE 政策和 IKE 閘道物件。

# IKE proposal
set security ike proposal ike_prop authentication-method pre-shared-keys
set security ike proposal ike_prop dh-group group2
set security ike proposal ike_prop authentication-algorithm sha-256
set security ike proposal ike_prop encryption-algorithm aes-256-cbc
set security ike proposal ike_prop lifetime-seconds 36000

# IKE policy
set security ike policy ike_pol mode main
set security ike policy ike_pol proposals ike_prop
set security ike policy ike_pol pre-shared-key ascii-text SHARED_SECRET

# IKE gateway objects
set security ike gateway gw1 ike-policy ike_pol
set security ike gateway gw1 address HA_VPN_INTERFACE_ADDRESS_0
set security ike gateway gw1 local-identity inet 142.215.100.60
set security ike gateway gw1 external-interface ge-0/0/0
set security ike gateway gw1 version v2-only
set security ike gateway gw2 ike-policy ike_pol
set security ike gateway gw2 address HA_VPN_INTERFACE_ADDRESS_1
set security ike gateway gw2 local-identity inet 142.215.100.60
set security ike gateway gw2 external-interface ge-0/0/0
set security ike gateway gw2 version v2-only

替換下列值：

HA_VPN_INTERFACE_ADDRESS_0：高可用性 VPN 閘道上第一個通道介面的外部 IPv4 位址
HA_VPN_INTERFACE_ADDRESS_1：高可用性 VPN 閘道上第二個通道介面的外部 IPv4 位址
SHARED_SECRET：您為高可用性 VPN 通道設定的預先共用金鑰

設定 IPsec 提案和 IPsec 政策。例如：

set security ipsec proposal ipsec_prop protocol esp
set security ipsec proposal ipsec_prop authentication-algorithm hmac-sha1-96
set security ipsec proposal ipsec_prop encryption-algorithm aes-256-cbc
set security ipsec proposal ipsec_prop lifetime-seconds 10800

設定 IPsec VPN 閘道設定，並將其繫結至通道介面。例如：

set security ipsec vpn vpn1 bind-interface st0.1
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn1 establish-tunnels immediately
set security ipsec vpn vpn2 bind-interface st0.2
set security ipsec vpn vpn2 ike gateway gw2
set security ipsec vpn vpn2 ike ipsec-policy ipsec_pol
set security ipsec vpn vpn2 establish-tunnels immediately

建立政策陳述式，將 IPv6 同端的下一個躍點變更為 IPv6 下一個躍點位址。

set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_1
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop PEER_IPV6_NEXT_HOP_ADDRESS_2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

替換下列值：

PEER_IPV6_NEXT_HOP_ADDRESS_1：第一個通道的 BGP 對等點的 IPv6 下一個躍點位址
PEER_IPV6_NEXT_HOP_ADDRESS_2：第二個通道的 BGP 對等點的 IPv6 下一個躍點位址

例如：

set policy-options policy-statement set-v6-next-hop-1 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-1 term 1 then next-hop 2600:2d00:0:2::2
set policy-options policy-statement set-v6-next-hop-1 term 1 then accept
set policy-options policy-statement set-v6-next-hop-2 term 1 from family inet6
set policy-options policy-statement set-v6-next-hop-2 term 1 then next-hop 2600:2d00:0:2::1:2
set policy-options policy-statement set-v6-next-hop-2 term 1 then accept

為 IPv6 路由交換設定 BGP。

設定 BGP 時，您必須指定 include-mp-next-hop 陳述式，才能將下一個躍點屬性傳送至對等端。

接著，您可以匯出先前步驟中定義的政策陳述式，將下一個躍點變更為 IPv6 位址。

set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as ROUTER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 local-as PEER_ASN
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor ROUTER_BGP_IP_1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address ROUTER_IP_2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as ROUTER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 local-as PEER_ASN
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor ROUTER_BGP_IP_2 include-mp-next-hop

替換下列值：

ROUTER_BGP_IP_1：為第一個通道指派給 Cloud Router 的 IPv4 位址
ROUTER_BGP_IP_2：指派給 Cloud Router 的第二個通道 IPv4 位址
ROUTER_ASN：為 BGP 工作階段指派給 Cloud Router 的 ASN。
PEER_ASN：您指派給 BGP 對等點 (Juniper JunOS 裝置) 的 ASN。

以下範例顯示以粗體顯示的 include-mp-next-hop 和 export 陳述式：

set protocols bgp group vpn family inet unicast
set protocols bgp group vpn family inet6 unicast
set protocols bgp group vpn peer-as 16550
set protocols bgp group vpn neighbor 169.254.0.1 export set-v6-next-hop-1
set protocols bgp group vpn neighbor 169.254.0.1 local-as 65010
set protocols bgp group vpn neighbor 169.254.0.1 graceful-restart restart-time 120
set protocols bgp group vpn neighbor 169.254.0.1 include-mp-next-hop
set protocols bgp group vpn2 type external
set protocols bgp group vpn2 local-address 169.254.1.2
set protocols bgp group vpn2 family inet unicast
set protocols bgp group vpn2 family inet6 unicast
set protocols bgp group vpn2 peer-as 16550
set protocols bgp group vpn2 neighbor 169.254.1.1 export set-v6-next-hop-2
set protocols bgp group vpn2 neighbor 169.254.1.1 local-as 65010
set protocols bgp group vpn2 neighbor 169.254.1.1 graceful-restart restart-time 120
set protocols bgp group vpn2 neighbor 169.254.1.1 include-mp-next-hop

驗證 BGP 連線。
```
show route protocol bgp
```

Palo Alto Networks PAN-OS

本節說明如何設定 Palo Alto Networks PAN-OS 裝置，以便在 HA VPN 通道中支援 IPv4 和 IPv6 流量。

PAN-OS 支援透過 IPv4 傳輸 IPv6 流量。不過，PAN-OS 不支援雙重堆疊位址群組。因此，您必須設定不同的 VPN 通道，以便傳送 IPv4 流量或 IPv6 流量。

如要進一步瞭解如何設定 PAN-OS 裝置以搭配 VPN 使用，請參閱 Palo Alto PAN OS VPN 說明文件。

事前準備

在 Google Cloud中，設定兩個高可用性 VPN 閘道和四個高可用性 VPN 通道。兩個通道用於 IPv6 流量，兩個通道用於 IPv4 流量。

建立高可用性 VPN 閘道和通道，用於 IPv4 流量。建立下列項目：
- 一個使用 IPv4 專屬堆疊類型的高可用性 VPN 閘道
- 可傳輸 IPv4 流量的兩個 VPN 通道
為 IPv6 流量建立高可用性 VPN 閘道和通道。建立下列項目：
- 一個使用雙堆疊堆疊類型的高可用性 VPN 閘道
- 可傳輸 IPv6 流量的兩個 VPN 通道
- 在 IPv6 通道的 BGP 工作階段中啟用 IPv6
記錄 Google Cloud 指派給每個 HA VPN 閘道介面的外部 IPv4 位址。
為每個隧道記錄下列設定值：
- BGP 對等點的連結本機 IPv4 位址，也就是 BGP 工作階段的 PAN-OS 端
- 用於 BGP 對等互連的 Cloud Router 連結本機 IPv4 位址
- 您指派給 BGP 對等點 (PAN-OS 裝置) 的 ASN
- 您為 BGP 工作階段指派給 Cloud Router 的 ASN
- 預先共用金鑰
針對每個 IPv6 通道，請一併記錄 peerIpv6NexthopAddress，這是指派給 BGP 同端的 IPv6 下一個躍點位址。 Google Cloud 可能會自動為您指派這個位址，或者您在建立 VPN 通道時可能已手動指定這些位址。

如要查看 BGP 工作階段設定的詳細資料，請參閱「查看 BGP 工作階段設定」。

設定 PAN-OS

如要設定 Palo Alto Networks 裝置，請在 PAN-OS 網路介面中執行下列步驟。

啟用 IPv6 防火牆。
依序選取「裝置」>「設定」>「工作階段設定」。
1. 選取「啟用 IPv6 防火牆」。
為 IPv4 和 IPv6 建立迴圈介面。
1. 依序選取「Network」>「Interfaces」>「Loopback interface」，然後建立新的迴送介面。
2. 建立迴圈介面。例如 loopback.10。
3. 在「Config」分頁中，將「Virtual Router」設為 external，並將「Security Zone」設為 ZONE_EXTERNAL。
4. 在「IPv4」IPv4分頁中，為迴送介面指派適合內部部署網路的 IPv4 位址範圍。
5. 在「IPv6」分頁中，選取「在介面上啟用 IPv6」，然後新增適合內部部署網路的 IPv6 位址範圍。
6. 在「進階」分頁中，為迴圈介面指定「管理設定檔」。請確認您指定的設定檔允許連線偵測 (ping)，以便您驗證連線情形。
建立四個 IKE 閘道通道，其中兩個通道用於 IPv6 流量，兩個通道用於 IPv4 流量。每個通道都會連線至高可用性 VPN 閘道上的介面。
- 為 IPv6 流量建立兩個通道。
  1. 依序選取「Network」>「Interfaces」>「Tunnel」，然後建立新的隧道。
  2. 指定第一個通道的名稱。例如 tunnel.1。
  3. 在「Config」分頁中，將「Virtual Router」設為 external，並將「Security Zone」設為 ZONE_EXTERNAL。
  4. 在「IPv4」IPv4分頁中，指定您在建立高可用性 VPN 的 VPN 通道時設定的 BGP 對等端連結本機位址。例如：169.254.0.2/30。
  5. 在「IPv6」分頁中，選取「在介面上啟用 IPv6」，然後指定為 BGP 對等端設定的 IPv6 後續躍點位址。例如：2600:2D00:0:2::2/125。
  6. 在「進階」分頁中，將「MTU」設為 1460。
  7. 針對第二個隧道重複執行這項程序。例如，tunnel.2。在 IPv4 和 IPv6 分頁中，為 BGP 對等端和 IPv6 下一個躍點欄位指定適當的值。使用與雙堆疊高可用性 VPN 的第二個通道相符的值。例如 169.254.1.2/30 和 2600:2D00:0:3::3/125。
- 建立兩個 IPv4 流量的通道。
  1. 依序選取「Network」>「Interfaces」>「Tunnel」，然後建立新的隧道。
  2. 指定第三個通道的名稱。例如 tunnel.3。
  3. 在「Config」分頁中，將「Virtual Router」設為 external，並將「Security Zone」設為 ZONE_EXTERNAL。
  4. 在「IPv4」IPv4分頁中，指定您在建立 HA VPN 的 VPN 通道時設定的 BGP 對等端連結本機位址。例如：169.254.2.2/30。
  5. 略過 IPv6 分頁設定。
  6. 在「進階」分頁中，將「MTU」設為 1460。
  7. 針對第四個隧道重複執行這項程序。例如：tunnel.4。在「IPv4」IPv4分頁中，為 BGP 對等端指定適當的值，以符合僅限 IPv4 的高可用性 VPN 的第二個通道。例如：169.254.3.2/30。
建立 IPsec 加密設定檔。
1. 依序選取「Network」「IPSec Crypto」，然後建立新的設定檔。
2. 在下列欄位中輸入值：
  - 名稱：輸入設定檔名稱。例如：ha-vpn。
  - IPSec 通訊協定：選取「ESP」。
  - 加密：新增支援的 IKE 加密方式。
  - 驗證：指定雜湊函式。例如：sha512。
  - DH 群組：選取 DH 群組。例如：group14。
  - Lifetime：選取「Hours」並輸入 3。
3. 按一下 [確定]。
建立 IKE 加密設定檔。
1. 依序選取「Network」>「IKE Crypto」。
2. 在下列欄位中輸入值：
  - 名稱：輸入設定檔名稱。例如：ha-vpn。
  - DH 群組：確認您為 IPsec 加密設定檔選取的 DH 群組是否顯示在清單中。
  - 驗證：指定雜湊函式。例如：sha512。
  - 加密：新增支援的 IKE 加密方式。
3. 在「計時器」窗格中，選取「Key Lifetime」的「小時」，然後輸入 10。
4. 按一下 [確定]。
建立四個 IKE 通道後，請為每個通道建立四個 IKE 閘道。
1. 依序選取「Network」「IKE Gateways」，然後建立新的閘道。
2. 在「General」分頁中，輸入下列欄位的值：
  - 名稱：第一個通道的 IKE 閘道名稱。例如：havpn-v6-tunnel1。
  - 版本：選取 IKEv2 only mode。
  - 地址類型：選取 IPv4。
  - 介面：指定您在本程序開始時建立的迴送介面。例如：loopback.10。
  - 本機 IP 位址：指定適合貴機構內部網路的 IPv4 位址範圍。
  - 對等 IP 位址類型：選取 IP。
  - 對等端位址：指定通道中第一個 HA VPN 介面的外部 IPv4 位址。
  - 驗證：選取 Pre-Shared Key。
  - 預先共用金鑰、確認預先共用金鑰：輸入您在 Google Cloud 中為通道設定的共用密鑰。
  - 本機 ID：選取「IP 位址」，然後指定適合貴機構內部網路的 IPv4 位址。
  - 對等端識別資訊：選取「IP 位址」，以及 HA VPN 介面外部 IPv4 位址。
3. 選取「進階選項」分頁標籤。
4. 針對「IKE Crypto Profile」，選取先前建立的設定檔。例如：ha-vpn。
5. 啟用「Liveness Check」，並在「Interval (sec)」欄位中輸入 5。
6. 按一下 [確定]。
7. 針對其他三個隧道重複上述程序，但請將下列欄位替換為適當的值：
  - 名稱：通道的 IKE 閘道名稱。例如 havpn-v6-tunnel2、havpn-v4-tunnel1 或 havpn-v4-tunnel2。
  - 本機 IP 位址 / 本機 ID：指定適合貴機構內部網路的未使用 IPv4 位址。
  - 對等端位址 / 對等端識別資訊：指定通道相符高可用性 VPN 介面的外部 IPv4 位址。
  - 預先共用金鑰：指定為通道設定的共用密鑰。
建立四個 IPsec 通道。
1. 依序選取「Network」>「IPSec Tunnels」，然後建立新的通道。
2. 在下列欄位中輸入值：
  - 名稱：通道的專屬名稱。例如：hapvpn-tunnel-1。
  - 通道介面：為先前建立的 IKE 閘道通道選取通道介面。例如：tunnel.1。
  - 類型：選取「Auto Key」。
  - 「Address Type」(位址類型)：選取「IPv4」。
  - IKE 閘道：選取先前建立的 IKE 閘道。例如：havpn-v6-tunnel。
  - IPSec 加密設定檔：選取先前建立的設定檔。例如：ha-vpn。
3. 請勿設定 Proxy ID。
4. 按一下 [確定]。
5. 針對其他三個隧道重複上述程序，但請將下列欄位替換為適當的值：
  - 名稱：IPsec 通道的專屬名稱。例如 havpn-tunnel2、havpn-tunnel3 或 havpn-tunnel4。
  - 通道介面：為先前建立的 IKE 閘道通道選取未使用的通道介面。例如 tunnel.2、tunnel.3 或 tunnel.4。
  - IKE 閘道：選取先前建立的 IKE 閘道。例如 havpn-v6-tunnel2、havpn-v4-tunnel1 或 havpn-v4-tunnel2。
選用步驟：設定 ECMP。
1. 依序選取「Network」>「Virtual Routers」>「ROUTER_NAME」>「Router Settings」>「ECMP」。
2. 在「ECMP」分頁中，選取「啟用」。
3. 按一下 [確定]。
設定 BGP。
1. 依序選取「Network」>「Virtual Routers」>「ROUTER_NAME」>「Router Settings」>「BGP」。
2. 在「一般」分頁中，選取「啟用」。
3. 在「Router ID」欄位中，輸入指派給 BGP 對等端的連結本機 IPv4 位址，也就是 BGP 工作階段的 PAN-OS 端。
4. 在「AS 編號」欄位中，輸入 BGP 工作階段 PAN-OS 端的 ASN。
5. 在「選項」中，確認已選取「安裝路線」。
6. 按一下 [確定]。
建立 BGP 對等群組，每個 IPv6 通道包含一個 BGP 對等點。您可以為每個 IPv6 通道建立個別的 BGP 對等群組，以便為每個通道設定不同的 IPv6 下一個躍點位址。
1. 依序選取「網路」>「虛擬路由器」>「ROUTER_NAME」>「路由器設定」>「BGP」>「對等群組」。
2. 在「Peer Group」分頁中，為第一個 IPv6 通道建立新的同類群組。
3. 在「名稱」欄位中，輸入同儕群組的名稱。例如：havpn-bgp-v6-tunnel1。
4. 選取 [啟用]。
5. 選取「Aggregated Confed AS Path」。
6. 在「Type」清單中，選取「EBGP」。
7. 針對「Import Next Hop」，選取「Original」。
8. 針對「Export Next Hop」，選取「Resolve」。
9. 選取「移除私人 AS」。
10. 在「Peer」窗格中，按一下「Add」，將對等端新增至 BGP 對等端群組。
11. 在「Peer」對話方塊中，輸入下列值：
  - 名稱：對等端的名稱。例如：havpn-v6-tunnel1。
  - 選取 [啟用]。
  - 對等 AS：為 BGP 工作階段指派給 Cloud Router 的 ASN。
  - 在「Addressing」分頁中，設定下列選項：
    - 選取「Enable MP-BGP Extensions」。
    - 在「Address Family Type」(位址系列類型) 部分，選取「IPv6」。
    - 在「Local Address」中，針對「Interface」選取您在建立 IKE 閘道通道時定義的第一個通道。例如：tunnel.1。
    - 在「IP」部分，選取 BGP 對等點的連結本機 IPv4 位址。例如：169.254.0.2./30。
    - 在「Peer Address」中，選取「Type」的「IP」。
    - 在「Address」中，選取這個 BGP 工作階段的雲端路由器連結本機 IPv4 位址。例如：169.254.0.1。
  - 按一下 [確定]。
12. 新增對等端後，請按一下「OK」。
13. 針對其他 IPv6 隧道重複執行這個程序，但請在下列欄位中替換適當的值：
  - 名稱：BGP 對等互連群組的專屬名稱。例如：havpn-bgp-v6-tunnel2。
  - 在「Peer」對話方塊中，在下列欄位輸入隧道的適當值：
    - 名稱：對等端的名稱。例如：havpn-v6-tunnel1。
    - 在「Local Address」中，針對「Interface」選取您在建立 IKE 閘道通道時定義的第二個通道。例如：tunnel.2。
    - 在「IP」部分，選取第二個通道的 BGP 對等點的連結本機 IPv4 位址。例如：169.254.1.2./30。
    - 在「Peer Address」中，針對「Address」，選取這個 BGP 工作階段的 Cloud Router 連結本機 IPv4 位址。例如：169.254.1.1。
為 IPv4 通道建立 BGP 對等點群組。
1. 依序選取「網路」>「虛擬路由器」>「ROUTER_NAME」>「路由器設定」>「BGP」>「對等群組」。
2. 在「Peer Group」分頁中，為 IPv4 隧道建立新的同類群組。
3. 在「名稱」欄位中，輸入同儕群組的名稱。例如：havpn-bgp-v4。
4. 選取 [啟用]。
5. 選取「Aggregated Confed AS Path」。
6. 在「Type」清單中，選取「EBGP」。
7. 針對「Import Next Hop」，選取「Original」。
8. 針對「Export Next Hop」，選取「Resolve」。
9. 選取「移除私人 AS」。
10. 在「Peer」窗格中，按一下「Add」，將對等端新增至 BGP 對等端群組。
11. 在「Peer」對話方塊中，輸入下列值：
  - 名稱：輸入對等端名稱。例如：havpn-v4-tunnel1。
  - 選取 [啟用]。
  - 對等 AS：為 BGP 工作階段指派給 Cloud Router 的 ASN。
  - 在「Addressing」分頁中，設定下列選項：
    - 請勿選取「啟用 MP-BGP 擴充功能」。
    - 在「Address Family Type」(位址類型) 中，選取 IPv4。
    - 在「Local Address」中，針對「Interface」選取您在建立 IKE 閘道通道時定義的第 3 個通道。例如：tunnel.3。
    - 在「IP」部分，選取 BGP 對等點的連結本機 IPv4 位址。例如：169.254.2.2./30。
    - 在「Peer Address」中，選取「Type」的 IP。
    - 在「Address」中，選取這個 BGP 工作階段的雲端路由器連結本機 IPv4 位址。例如：169.254.2.1。
  - 按一下 [確定]。
12. 在「Peer」窗格中，按一下「Add」，將第二個對等端加入 BGP 對等端群組。
13. 在「Peer」對話方塊中，輸入下列值：
  - 名稱：輸入對等端名稱。例如：havpn-v4-tunnel2。
  - 選取 [啟用]。
  - 對等 AS：為 BGP 工作階段指派給 Cloud Router 的 ASN。
  - 在「Addressing」分頁中，設定下列選項：
    - 請勿選取「啟用 MP-BGP 擴充功能」。
    - 在「Address Family Type」(位址類型) 部分，選取「IPv4」。
    - 在「Local Address」中，針對「Interface」選取您在建立 IKE 閘道通道時定義的第四個通道。例如：tunnel.4。
    - 在「IP」部分，選取 BGP 對等點的連結本機 IPv4 位址。例如：169.254.3.2./30。
    - 在「Peer Address」中，選取「Type」的「IP」。
    - 在「Address」中，選取這個 BGP 工作階段的雲端路由器連結本機 IPv4 位址。例如：169.254.3.1。
14. 按一下 [確定]。
15. 新增兩個對等端後，請按一下「OK」。
將 BGP 設定規則匯出至 IPv6 通道的 BGP 對等群組。這個步驟可讓您為通道指派不同的 IPv6 後續躍點位址。
1. 依序選取「Network」>「Virtual Routers」>「ROUTER_NAME」 >「Router Settings」>「BGP」>「Export」。
2. 在「Export Rule」對話方塊的「Rules」欄位中輸入名稱。例如：havpn-tunnel1-v6。
3. 選取 [啟用]。
4. 在「Used By」窗格中，按一下「Add」，新增您為第一個 IPv6 隧道建立的 BGP 對等群組。例如：havpn-bgp-v6-tunnel1。
5. 在「比對」分頁中，選取「路由表」清單中的「單播」。
6. 在「位址前置字元」中，新增用於內部網路的 IPv6 位址位址前置字元。
7. 在「Action」分頁中，設定下列選項：
  - 在「動作」清單中，選取「允許」。
  - 在「Next Hop」中，輸入建立通道時指派給 BGP 對等端的 IPv6 下一個躍點位址。例如：2600:2D00:0:2::2。
8. 按一下 [確定]。
9. 針對第二個 IPv6 隧道使用的 BGP 對等群組重複上述程序，但請在下列欄位中替換適當的值：
  - 在「Export Rule」對話方塊的「Rules」欄位中，輸入不重複的名稱。例如：havpn-tunnel2-v6。
  - 在「Used By」窗格中，按一下「Add」，新增為第二個 IPv6 通道建立的 BGP 對等群組。例如：havpn-bgp-v6-tunnel1。
10. 在「Action」分頁中，設定「Next Hop」欄位，輸入為此通道 BGP 對等端指派的 IPv6 後續躍點位址。例如：2600:2D00:0:3::3。

為 IPv4 和 IPv6 流量設定第三方 VPN 透過集合功能整理內容 你可以依據偏好儲存及分類內容。

第三方 VPN 支援雙堆疊流量

Juniper JunOS

事前準備

設定 JunOS

Palo Alto Networks PAN-OS

事前準備

設定 PAN-OS

為 IPv4 和 IPv6 流量設定第三方 VPN