Erstellen einer Azure-Verbindung für eine MVE mit Palo Alto VM-Series

Sie können eine Netzwerkverbindung von einer MVE (einer Palo Alto VM-Series-Firewall) zu Azure ExpressRoute mit Virtual Cross Connections (VXCs) erstellen. Sie können entweder eine private Verbindung oder eine öffentliche (Microsoft-)Verbindung erstellen.

Wichtig

Bevor Sie beginnen, müssen Sie erst eine MVE (VM-Series) erstellen. Weitere Informationen dazu finden Sie unter Erstellen einer MVE.

Das Hinzufügen einer ExpressRoute-Verbindung zu Ihrer MVE und VM-Series besteht aus drei Schritten.

1. Richten Sie Ihren ExpressRoute-Plan ein, und stellen Sie die ExpressRoute-Leitung in der Azure-Konsole bereit. Nach der Bereitstellung erhalten Sie einen Dienstschlüssel. Weitere Details dazu finden Sie in der Microsoft ExpressRoute-Dokumentation.

2. Erstellen Sie im Megaport Portal eine Verbindung (VXC) von Ihrer MVE zu Ihrem ExpressRoute-Standort.

3. Erstellen Sie in VM-Series eine neue Schnittstelle, und fügen Sie die Details der ExpressRoute-Verbindung hinzu.

Unter diesem Thema finden Sie eine Anleitung für den zweiten und dritten Schritt.

Hinweis

MVE für Palo Alto erfordert bei allen Cloudverbindungen Konfigurationsschritte sowohl in VM-Series als auch im Megaport Portal.

Hinzufügen der ExpressRoute-Verbindung im Megaport Portal

Zum Einrichten der ExpressRoute-Verbindung müssen Sie die Verbindung im Megaport Portal erstellen.

So erstellen Sie eine Verbindung zu ExpressRoute über das Megaport Portal

1. Wechseln Sie im Megaport Portal auf die Seite Services (Dienste), und wählen Sie die gewünschte MVE aus.

2. Klicken Sie für die MVE auf +Connection (Neue Verbindung).
   

3. Klicken Sie auf die Cloud-Kachel.

4. Wählen Sie Azure ExpressRoute als Anbieter aus.

5. Fügen Sie den ExpressRoute-Dienstschlüssel in das Feld im rechten Bereich ein.
   Das Portal verifiziert den Schlüssel und zeigt dann die verfügbaren Portstandorte auf Basis der ExpressRoute-Region an. Wenn Ihr ExpressRoute-Dienst zum Beispiel in der Region „Australien East“ in Sydney eingesetzt wird, können Sie die Ziele in Sydney auswählen.

6. Wählen Sie den Verbindungspunkt für Ihre erste Verbindung aus.
   Zur Einrichtung einer zweiten Verbindung (und dies wird empfohlen) können Sie einen weiteren VXC erstellen - geben Sie dafür denselben Dienstschlüssel ein, und wählen Sie das andere Verbindungsziel aus. Auf dem Konfigurationsbildschirm werden einige hilfreiche Links zu Ressourcen angezeigt, darunter die Azure Resource Manager-Konsole und einige Lernvideos.

7. Geben Sie die folgenden Verbindungsdetails an:

   • Connection Name (Name der Verbindung) – Der Name der VXC-Verbindung, der im Megaport Portal angezeigt wird.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie für den VXC eine eindeutige Identifikationsnummer an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

     Hinweis

     Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

   • Rate Limit (Übertragungsratenlimit) – Dies ist die Geschwindigkeit Ihrer Verbindung in Mbit/s. Das Übertragungsratenlimit für den VXC ist basierend auf dem ExpressRoute-Dienstschlüssel auf den maximal zulässigen Wert begrenzt.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Geben Sie eine nicht verwendete VLAN-ID für diese Verbindung an (bei ExpressRoute ist dies das S-Tag). Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.

   • Configure Single Azure Peering VLAN (Einzelnes Azure Peering-VLAN konfigurieren) – Standardmäßig ist diese Option für MVE aktiviert, und wir empfehlen dringend, sie bei Palo Alto VM-Series aktiviert zu lassen.
     Diese Option bietet eine VLAN-Lösung mit nur einem Tag. Sie konfigurieren Peering in Azure mit dem MVE-VLAN (A-Ende) und dem in Azure eingestellten Peer-VLAN (B-Ende). Beachten Sie, dass Sie mit dieser Option nur einen Peering-Typ (Privat oder Microsoft) pro VXC haben können.

     Wichtig

     Wenn Sie diese Option nicht aktivieren, scheint der VXC zwar aktiv zu sein, aber er erkennt keinen Datenverkehr.

   • Azure Peering VLAN (Azure-Peering-VLAN) – Dieser Wert muss mit dem A-Ende-VLAN übereinstimmen.
     

8. Klicken Sie auf Next (Weiter), um mit dem Bestellvorgang fortzufahren.

Wenn die VXC-Konfiguration abgeschlossen ist, ist das VXC-Symbol grün.

In der Azure Resource Management-Konsole ändert sich der Anbieterstatus in „Provisioned“ (Bereitgestellt).

Nach der Bereitstellung müssen Sie Peerings konfigurieren. Sie können privates und Microsoft-Peering konfigurieren. Klicken Sie auf den gewünschten Peer, um die folgenden Details zu konfigurieren und bereitzustellen:

• Peer ASN (Peer-ASN) – Geben Sie die ASN für die MVE ein.
• IPv4 Subnets (IPv4-Subnetze) – Von jedem dieser Subnetze verwendet MVE die erste nutzbare IP-Adresse und Microsoft die zweite nutzbare IP für seinen Router.
• VLAN ID (VLAN-ID) – Geben Sie das A-Ende-VLAN aus der MVE ein. (Hinweis: Die VLAN-ID in der Azure-Konsole kann sich vom A-Ende-VLAN unterscheiden).
• Shared Key (Gemeinsam verwendeter Schlüssel) – Geben Sie optional ein MD5-Passwort für BGP ein.

Hinzufügen der ExpressRoute-Verbindung zu VM-Series

Nachdem Sie die Verbindung von Ihrer MVE zu Azure erstellt und die Verbindung in der Azure-Konsole eingerichtet haben, müssen Sie sie in VM-Series konfigurieren. Dies umfasst das Erstellen einer Schnittstelle und die Konfiguration von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So fügen Sie die Azure Cloud-Verbindung in VM-Series hinzu

1. Notieren Sie sich die in der Azure-Konsole angezeigten Verbindungsdetails.
   Zeigen Sie die Details der Verbindung an, die Sie in Azure für diese Verbindung erstellt haben. Notieren Sie sich die Werte für Peer ASN, Shared Key (Gemeinsam verwendeter Schlüssel), VLAN ID und IPv4 Primary Subnet (Primäres IPv4-Subnetz).

2. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
   Klicken Sie auf das Zahnradsymbol für die Azure-Verbindung von Ihrer MVE aus, und klicken Sie dann auf die Ansicht „Details“. Beachten Sie den Wert für das A-Ende-VLAN.

3. Melden Sie sich bei der VM-Series an.

4. Wählen Sie „Network“ (Netzwerk) > „Schnittstellen“ (Interfaces) aus.

5. Wählen Sie die A-Ende-MVE (ethernet1/1) aus.

6. Klicken Sie auf Add Subinterface (Unterschnittstelle hinzufügen).

7. Geben Sie die folgenden Details an:

   • Interface Name (Name der Schnittstelle) – Geben Sie einen Namen für die Unterschnittstelle ein. Geben Sie in das nebenstehende Feld eine Nummer zur Identifizierung der Unterschnittstelle ein.

   • Comment (Kommentar) – Geben Sie einen alternativen Namen ein.

   • Tag – Geben Sie das A-Ende-VLAN an, das dieser Azure-Verbindung im Megaport Portal zugeordnet ist.

   • Virtual Router (Virtueller Router) – Wählen Sie einen virtuellen Router zur Schnittstelle aus, wie es Ihr Netzwerk erfordert.

8. Wählen Sie die IPv4-Registerkarte aus.

9. Wählen Sie Static (Statisch) als Typ aus.
10. Klicken Sie auf +Add (Hinzufügen), um eine neue IP-Adresse hinzuzufügen.
11. Geben Sie die IPv4-Adresse und die Netzmaske ein.
    Diese Werte sind in der Azure-Konsole verfügbar. Die IP-Adressen und CIDR werden im Feld IPv4 Primary Subnet (Primäres IPv4-Subnetz) angezeigt. MVE verwendet die erste nutzbare IP-Adresse, und Azure verwendet die zweite nutzbare IP für seinen Router. Geben Sie für dieses Feld die MVE-IP-Adresse (erste verwendbare IP-Adresse) ein.
12. Klicken Sie auf OK.
13. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    
14. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen).

Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle ethernet1/1 angezeigt.

Als Nächstes erstellen Sie eine Sicherheitszone, damit die Schnittstelle den Datenverkehr weiterleiten kann.

So erstellen Sie eine Sicherheitszone

1. Wählen Sie die Unterschnittstelle ethernet1/1.1010 aus.
2. Wählen Sie in der Dropdown-Liste „Security Zone“ (Sicherheitszone) die Option „New Zone“ (Neue Zone) aus.
3. Geben Sie einen Namen für die Sicherheitszone an.
   
4. Klicken Sie unter „Interfaces“ (Schnittstellen) auf +Add (Hinzufügen), und fügen Sie ethernet1/1.1010 zur Sicherheitszone hinzu.
5. Geben Sie alle zusätzlichen Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind.
6. Wählen Sie in der Dropdown-Liste „Zone Protection Profile“ (Zonenschutzprofil) die Option „New Zone Protection Profile“ (Schutzprofil der neuen Zone) aus.
7. Geben Sie alle Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind. In diesem Beispiel werden alle Standardeinstellungen verwendet.
   
8. Klicken Sie auf OK.
9. Klicken Sie auf dem Bildschirm „Layer 3 Subinterface“ (Layer-3-Unterschnittstelle) auf OK.
10. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    
11. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen).

An diesem Punkt haben Sie die Schnittstelle erstellt. Als Nächstes müssen Sie die BGP-Sitzung erstellen.

So erstellen Sie die BGP-Sitzung

1. Wählen Sie in VM-Series „Network“ (Netzwerk) > „Virtual Routers“ (Virtuelle Router) aus.
2. Wählen Sie den virtuellen Router aus.
   
3. Wählen Sie im linken Bereich „BGP“ aus.

4. Geben Sie die folgenden BGP-Details an:

   • Enable (Aktivieren) – Aktivieren Sie dieses Kontrollkästchen, damit die BGP-Sitzung nach dem Bestätigen dieser Änderungen gestartet wird.
   • Router ID (Router-ID) – Geben Sie die erste nutzbare IP-Adresse aus dem IPv4 Primary Subnet (Primäres IPv4-Subnetz) der Azure-Konsole ein.
   • AS Number (AS-Nummer) – Geben Sie die ASN (Autonomous System Number) für die MVE-Verbindung an. Geben Sie die ASN (Autonomous System Number) für die MVE-Verbindung an. Verwenden Sie die Peer ASN aus der Azure-Konsole.

5. Klicken Sie unter „Auth Profiles“ (Authentifizierungsprofile) auf +Add (Hinzufügen).

6. Geben Sie unter „Profile Name“ einen Profilnamen an.
   
7. Geben Sie ein Authentifizierungspasswort ein, und bestätigen Sie es.
8. Klicken Sie auf OK.
9. Wählen Sie die Registerkarte „Peer Group“ aus.
   
10. Klicken Sie auf +Add (Hinzufügen), um eine Peer-Gruppe hinzuzufügen.
11. Geben Sie einen Namen für die Peer-Gruppe an. Zum Beispiel: AWS-xxxx.
12. Geben Sie als Sitzungstyp „eBGP“ an.
13. Geben Sie alle zusätzlichen Details an, die für Ihr Netzwerk erforderlich sind.
14. Klicken Sie auf +Add (Hinzufügen), um einen neuen Peer hinzuzufügen.
15. Geben Sie die Details für den Peer an:
    • Name – Geben Sie einen Namen für den Peer an.
    • Peer AS (Peer-AS) – Geben Sie die Azure-seitige ASN 12076 an. Dies ist ein fester Wert, der in den Verbindungsdetails der Azure-Konsole angezeigt wird.
    • Local Address (Lokale Adresse) – Wählen Sie in den Dropdown-Listen die korrekte Unterschnittstelle und die korrekte IP-Adresse aus.
    • Peer Address (Peer-Adresse) – Geben Sie die zweite nutzbare IP-Adresse aus dem IPv4 Primary Subnet (Primäres IPv4-Subnetz) der Azure-Konsole hinzu.
      

Validieren Ihrer Azure-Verbindung

So überprüfen Sie den Status des BGP-Peers

1. Wählen Sie „Network“ (Netzwerk) > „Virtuelle Routers“ (Virtuelle Router) aus.
2. Suchen Sie Ihren virtuellen Router („default“).
3. Klicken Sie auf der rechten Seite in der Spalte „Runtime Stats“ (Laufzeitstatistiken) auf More Runtime Stats (Weitere Laufzeitstatistiken).
   
4. Wählen Sie die Registerkarte „BGP“ und dann die Registerkarte „Peer“ aus.
5. Überprüfen Sie, ob der Peer-Status Established (Eingerichtet) ist.
   

---

Letztes Update: 2024-02-12