Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Erstellen einer Azure-Verbindung für eine MVE mit Palo Alto VM-Series

Sie können eine Netzwerkverbindung von einer MVE (einer Palo Alto VM-Series Firewall) zu Azure ExpressRoute mit Virtual Cross Connects (VXCs) herstellen. Sie können entweder eine private Verbindung oder eine öffentliche (Microsoft) Verbindung erstellen.

Wichtig

Bevor Sie beginnen, erstellen Sie eine MVE (VM-Series). Weitere Informationen finden Sie unter Erstellen einer VM-Series MVE.

Das Hinzufügen einer ExpressRoute-Verbindung zu Ihrer MVE und VM-Series umfasst drei Teile.

1. Richten Sie Ihren ExpressRoute-Plan ein und stellen Sie den ExpressRoute-Circuit in der Azure-Konsole bereit. Nach der Bereitstellung erhalten Sie einen Service Key. Weitere Details finden Sie in der Microsoft ExpressRoute documentation.

2. Erstellen Sie im Megaport Portal eine Verbindung (VXC) von Ihrer MVE zu Ihrem ExpressRoute-Standort.

3. Erstellen Sie in VM-Series ein neues Interface und fügen Sie die Details der ExpressRoute-Verbindung hinzu.

Die Anweisungen in diesem Thema beschreiben den zweiten und dritten Teil.

Hinweis

MVE für Palo Alto erfordert für alle Cloud-Verbindungen Konfigurationsschritte sowohl in VM-Series als auch im Megaport Portal.

Hinzufügen der ExpressRoute-Verbindung im Megaport Portal

Um die ExpressRoute-Verbindung einzurichten, müssen Sie die Verbindung im Megaport Portal erstellen.

So erstellen Sie im Megaport Portal eine Verbindung zu ExpressRoute

1. Gehen Sie im Megaport Portal zur Seite Services und wählen Sie die MVE aus, die Sie verwenden möchten.

2. Klicken Sie auf +Connection (+Verbindung) auf der MVE.
   

3. Klicken Sie auf die Kachel Cloud.

4. Wählen Sie Microsoft Azure als Anbieter aus.
   

5. Fügen Sie den ExpressRoute Service Key in das Feld Microsoft Azure Service Key auf der rechten Seite ein.
   Der Portal überprüft den Schlüssel und zeigt dann die verfügbaren Port-Standorte basierend auf der ExpressRoute-Region an. Wenn Ihr ExpressRoute-Dienst beispielsweise in der Region Australia East in Sydney bereitgestellt wird, können Sie die Standorte in Sydney auswählen.

6. Wählen Sie den Verbindungspunkt für Ihre erste Verbindung aus.
   Um eine zweite Verbindung bereitzustellen (empfohlen), können Sie eine zweite VXC erstellen – geben Sie denselben Service Key ein und wählen Sie den anderen Verbindungsstandort aus.

   Auf dem Konfigurationsbildschirm erscheinen einige hilfreiche Links zu Ressourcen, darunter die Azure Resource Manager-Konsole und einige Tutorial-Videos.

7. Klicken Sie auf Next (Weiter).

8. Geben Sie die Verbindungsdetails an:

   • Connection Name (Verbindungsname) – Der Name Ihrer VXC, der im Megaport Portal angezeigt wird.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.

   • Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbit/s. Das Rate Limit (Übertragungsratenlimit) für die VXC wird basierend auf dem ExpressRoute Service Key auf das maximal Zulässige begrenzt.

   • VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den anfänglichen Status der Verbindung festzulegen. Weitere Informationen finden Sie unter Herunterfahren einer VXC für Failover-Tests.

     Hinweis

     Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Datenverkehr über diesen Dienst und er verhält sich so, als wäre er im Megaport Netzwerk ausgefallen. Die Abrechnung für diesen Dienst bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.

   • A-End vNIC (A-End-vNIC) – Wählen Sie eine A-End vNIC aus der Dropdown-Liste aus. Weitere Informationen zu vNICs finden Sie unter Erstellen einer MVE im Megaport Portal.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Geben Sie eine ungenutzte VLAN-ID für diese Verbindung an (für ExpressRoute ist dies der S-Tag). Diese muss auf dieser MVE eindeutig sein und kann zwischen 2 und 4093 liegen. Wenn Sie eine bereits verwendete VLAN-ID angeben, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport einen zu.

   • Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.

     Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.

     Weitere Informationen finden Sie unter VXC Preise und Vertragsbedingungen und Abrechnung für VXC, Megaport Internet und IX.

   • Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
     So fügen Sie einen Tag hinzu:

     1. Klicken Sie auf Tags hinzufügen.
     2. Klicken Sie auf Neuen Tag hinzufügen.
     3. Geben Sie Details in die Felder ein:
        • Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
        • Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
     4. Klicken Sie auf Speichern.

     Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.

     Warnung

     Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.

   • Configure Single Azure Peering VLAN – Standardmäßig ist diese Option für MVE aktiviert, und wir empfehlen dringend, sie mit Palo Alto VM-Series aktiviert zu lassen.
     Diese Option stellt eine Single-Tag-VLAN-Lösung bereit. Sie konfigurieren Peering in Azure mit dem MVE VLAN (A-Ende) und dem Peer-VLAN, das in Azure festgelegt ist (B-Ende). Beachten Sie, dass Sie mit dieser Option nur einen Peering-Typ (Private oder Microsoft) pro VXC haben können.

     Wichtig

     Wenn Sie diese Option nicht aktivieren, erscheint die VXC zwar als aktiv, erkennt jedoch keinen Datenverkehr.

   • Azure Peering VLAN – Dieser Wert muss für Single-Tag-VLAN-Peering mit dem A-End VLAN übereinstimmen. Bei Bedarf kann auch ein anderes Azure Peering VLAN festgelegt werden.
     

9. Klicken Sie auf Next (Weiter) und führen Sie den Bestellvorgang fort.

Wenn die VXC-Konfiguration abgeschlossen ist, ist das VXC-Symbol grün.

In der Azure Resource Management-Konsole ist der Provider-Status Provisioned.

Nach der Bereitstellung müssen Sie Peering konfigurieren. Sie können Private Peering und Microsoft Peering konfigurieren. Klicken Sie auf das zu konfigurierende Peering und geben Sie folgende Details an:

• Peer ASN (Peer-ASN) – Geben Sie die ASN für die MVE ein.
• IPv4 Subnets – Aus jedem dieser Subnetze verwendet MVE die erste nutzbare IP-Adresse und Microsoft verwendet die zweite nutzbare IP für seinen Router.
• VLAN ID – Geben Sie das A-End VLAN von der MVE ein. (Hinweis: Die VLAN-ID in der Azure-Konsole kann sich vom A-End VLAN unterscheiden.)
• Shared Key (optional) – Geben Sie ein MD5Manchmal als MD5-Hash oder BGP-Schlüssel bezeichnet. Der Message-Digest (MD5) Algorithmus ist eine weit verbreitete kryptografische Funktion, die eine Zeichenfolge aus 32 hexadezimalen Ziffern erzeugt. Dieser Wert wird als Passwort oder Schlüssel zwischen Routern verwendet, die BGP-Informationen austauschen.
  -Kennwort für BGP ein.

Hinzufügen der ExpressRoute-Verbindung zu VM-Series

Nachdem Sie die Verbindung von Ihrer MVE zu Azure erstellt und die Verbindung in der Azure-Konsole eingerichtet haben, müssen Sie sie in VM-Series konfigurieren. Dies umfasst das Erstellen eines Interfaces und das Konfigurieren von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So fügen Sie die Azure-Cloud-Verbindung in VM-Series hinzu

1. Sammeln Sie die Verbindungsdetails aus der Azure-Konsole.
   Zeigen Sie die Details der in Azure erstellten Verbindung für diese Verbindung an. Notieren Sie die Werte für Peer ASN (Peer-ASN), Shared Key, VLAN ID und IPv4 Primary Subnet.

2. Sammeln Sie die Verbindungsdetails aus dem Megaport Portal.
   Klicken Sie auf das Zahnradsymbol für die Azure-Verbindung Ihrer MVE und klicken Sie auf die Detailansicht. Notieren Sie den Wert für das A-End VLAN.

3. Melden Sie sich bei der VM-Series an.

4. Wählen Sie Network > Interfaces.

5. Wählen Sie die A-Ende-MVE (ethernet1/1).

6. Klicken Sie auf Add Subinterface.

7. Geben Sie folgende Details an:

   • Interface Name – Geben Sie einen Namen für die Subschnittstelle ein. Geben Sie im angrenzenden Feld eine Nummer zur Identifizierung der Subschnittstelle ein.

   • Comment – Geben Sie einen alternativen Namen ein.

   • Tag – Geben Sie das A-End VLAN an, das im Megaport Portal mit dieser Azure-Verbindung verknüpft ist.

   • Virtual Router – Wählen Sie je nach Netzwerk einen virtuellen Router für das Interface aus.

8. Wählen Sie die Registerkarte IPv4.

9. Wählen Sie Static als Typ.
10. Klicken Sie auf +Add (+Hinzufügen), um eine neue IP-Adresse hinzuzufügen.
11. Geben Sie die IPv4-Adresse und die Netzmaske ein.
    Diese Werte sind in der Azure-Konsole verfügbar. Die IP-Adressen und CIDR erscheinen im Feld IPv4 Primary Subnet; MVE verwendet die erste nutzbare IP-Adresse und Azure verwendet die zweite nutzbare IP für seinen Router. Geben Sie für dieses Feld die IP-Adresse der MVE (erste nutzbare) ein.
12. Klicken Sie auf OK.
13. Klicken Sie oben rechts auf Commit.
    
14. Überprüfen Sie die Änderungen und klicken Sie auf Commit.
    

Die neue VLAN-Schnittstelle wird zusammen mit Ihrer physischen Schnittstelle ethernet1/1 angezeigt.

Als Nächstes erstellen Sie eine Security Zone, damit das Interface Verkehr routen kann.

So erstellen Sie eine Security Zone

1. Wählen Sie die Subschnittstelle ethernet1/1.1010 aus.
2. Wählen Sie in der Dropdown-Liste Security Zone die Option New Zone.
3. Geben Sie einen Namen für die Security Zone an.
   
4. Klicken Sie unter Interfaces auf +Add (+Hinzufügen) und fügen Sie ethernet1/1.1010 der Security Zone hinzu.
5. Geben Sie alle zusätzlichen Details an, die für Ihre Netzwerksicherheit erforderlich sind.
6. Wählen Sie in der Dropdown-Liste Zone Protection Profile die Option New Zone Protection Profile.
7. Geben Sie alle Details an, die für Ihre Netzwerksicherheit erforderlich sind. Dieses Beispiel verwendet alle Standardwerte.
   
8. Klicken Sie auf OK.
9. Klicken Sie im Bildschirm Layer3 Subinterface auf OK.
10. Klicken Sie oben rechts auf Commit.
    
11. Überprüfen Sie die Änderungen und klicken Sie auf Commit.
    

An diesem Punkt haben Sie das Interface erstellt. Als Nächstes müssen Sie die BGP-Session erstellen.

So erstellen Sie die BGP-Session

1. Wählen Sie in VM-Series Network > Virtual Routers.
2. Wählen Sie den virtuellen Router aus.
   
3. Wählen Sie im linken Bereich BGP aus.

4. Geben Sie die folgenden BGP-Details an:

   • Aktivieren – Aktivieren Sie dieses Kontrollkästchen, um die BGP-Session nach dem Commit dieser Änderungen zu starten.
   • Router ID – Geben Sie die erste nutzbare IP-Adresse aus dem IPv4 Primary Subnet aus der Azure-Konsole ein.
   • AS Number – Geben Sie die ASN für die MVE-Verbindung an. Geben Sie die ASN für die MVE-Verbindung an. Verwenden Sie die Peer ASN (Peer-ASN) aus der Azure-Konsole.
     

5. Klicken Sie unter Auth Profiles auf +Add (+Hinzufügen).

6. Geben Sie einen Profilnamen an.
   
7. Geben Sie das Auth-Kennwort ein und bestätigen Sie es.
8. Klicken Sie auf OK.
9. Wählen Sie die Registerkarte Peer Group.
   
10. Klicken Sie auf +Add (+Hinzufügen), um eine Peer-Gruppe hinzuzufügen.
11. Geben Sie einen Namen für die Peer-Gruppe an. Zum Beispiel AWS-xxxx.
12. Geben Sie eBGP als Sitzungsart an.
13. Geben Sie alle zusätzlichen Details an, die für Ihr Netzwerk erforderlich sind.
14. Klicken Sie auf +Add (+Hinzufügen), um einen neuen Peer hinzuzufügen.
15. Geben Sie die Details für den Peer an:
    • Name – Geben Sie einen Namen für den Peer an.
    • Peer AS – Geben Sie die Azure-seitige ASN von 12076 an. Dies ist ein fester Wert und erscheint in den Verbindungsdetails in der Azure-Konsole.
    • Local Address – Wählen Sie die passende Subschnittstelle und IP-Adresse aus der Dropdown-Liste.
    • Peer Address – Geben Sie die zweite nutzbare IP-Adresse aus dem IPv4 Primary Subnet aus der Azure-Konsole ein.
      

Überprüfen Ihrer Azure-Verbindung

So prüfen Sie den Status des BGP-Peers

1. Wählen Sie Network > Virtual Routers.
2. Suchen Sie Ihren virtuellen Router (default).
3. Klicken Sie in der Spalte Runtime Stats rechts auf More Runtime Stats.
   
4. Wählen Sie die Registerkarte BGP und dann die Registerkarte Peer aus.
5. Vergewissern Sie sich, dass der Peer-Status Established ist.