Erstellen einer Google Cloud Services-Verbindung für eine MVE mit Palo Alto VM-Series

Sie können eine Netzwerkverbindung von einer MVE (eine Palo Alto VM-Serie) zu Google Cloud über Partner Interconnect herstellen.

Bei der Verbindung zu Google Cloud Platform (GCP) über Partner Interconnect mit Megaport bildet der Virtual Cross Connect (VXC) die Layer 2-Komponente der Verbindung, und Layer 3-BGP wird direkt zwischen dem Kunden und GCP eingerichtet.

Wichtig

Bevor Sie beginnen, müssen Sie erst eine MVE (VM-Series-Firewall) erstellen. Weitere Informationen dazu finden Sie unter Erstellen einer MVE. Die MVE muss sich im aktiven Zustand befinden.

Das Hinzufügen einer Google Cloud-Verbindung zu Ihrer MVE und VM-Series besteht aus drei Schritten.

1. Erstellen Sie eine Partner Interconnect-Anbindung in der Google Cloud Console oder über CLI gcloud. Kopieren Sie den Kopplungsschlüssel, der als Teil der Anbindung bereitgestellt wird. Weitere Informationen dazu finden Sie in der Google-Dokumentation zu Google Partner Interconnects.

2. Erstellen Sie im Megaport Portal eine VXC-Verbindung von Ihrer MVE, um eine Verbindung zu Ihrer Google Cloud-Anbindung herzustellen.

3. Erstellen Sie in VM-Series eine neue Schnittstelle, und fügen Sie die Details der Google Cloud-Verbindung hinzu.

Diese Anleitung führt Sie schrittweise durch den zweiten und dritten Teil.

Hinweis

MVE für Palo Alto VM-Series erfordert bei allen Cloudverbindungen Konfigurationsschritte sowohl in VM-Series als auch im Megaport Portal.

Hinzufügen der Google Cloud-Verbindung im Megaport Portal

Zum Einrichten der GPC-Verbindung müssen Sie die Verbindung im Megaport Portal erstellen.

So stellen Sie einen VXC zur Google Cloud Platform über das Megaport Portal bereit

1. Wechseln Sie im Megaport Portal auf die Seite Services (Dienste), und wählen Sie die MVE für die Verbindung aus.

2. Klicken Sie auf +Connection (Neue Verbindung), und klicken Sie dann auf die Kachel „Cloud“.

3. Wählen Sie Google als Anbieter aus.
   

4. Kopieren Sie den Kopplungsschlüssel aus der Google Cloud Console, und fügen Sie ihn in das Feld im rechten Bereich ein.
   Die entsprechenden Google-Ziele werden auf Basis der Region Ihrer GCI-Partner-Verbindung angezeigt.

5. Wählen Sie den Zielort für Ihre Verbindung und klicken Sie auf Next (Weiter).

6. Geben Sie die folgenden Verbindungsdetails an:

   • Connection Name (Name der Verbindung) – Der Name der VXC-Verbindung, der im Megaport Portal angezeigt wird.

     Hinweis

     Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

   • Rate Limit (Übertragungsratenlimit) – Geben Sie den gleichen Wert ein, den Sie als Google-Portgeschwindigkeit ausgewählt haben.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Dies ist das VLAN dieser Verbindung, das Sie über die MVE erreichen. Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.

7. Fügen Sie den VXC zu Ihrer Bestellung hinzu, und schließen Sie den Bestellvorgang ab.

8. Wenn Sie den VXC bereitgestellt haben, gehen Sie zurück zu Ihrer Anbindung in der Google Cloud Console und akzeptieren Sie den Anhang.
   Sie erhalten Ihre private IP-Adresse von Google, um BGP zu konfigurieren.
   Stellen Sie sicher, dass Sie die Anbindung vorab aktivieren bzw. die Anbindung als aktiv markieren, nachdem Sie den VXC konfiguriert haben. Andernfalls können Sie BGP nicht mit Ihrer SD-WAN-Instanz einrichten.

Hinweis

Die Google ASN wird immer 16550 sein.

Hinzufügen der Google Cloud-Verbindung zu VM-Series

Nachdem Sie die Verbindung von Ihrer MVE zu Google Cloud erstellt und die Verbindung in der Google-Konsole eingerichtet haben, müssen Sie sie in VM-Series konfigurieren. Dies beinhaltet die Konfiguration von BGP-Einstellungen, ASNs und VLANs.

So fügen Sie die Google Cloud-Verbindung in VM-Series hinzu

1. Notieren Sie sich die in der Google-Konsole angezeigten Verbindungsdetails.
   Zeigen Sie die Details der Verbindung an, die Sie in Google Cloud für diese Verbindung erstellt haben. Notieren Sie sich die Werte für Peer ASN, Cloud Router BGP IP und BGP Peer ID.
   

2. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
   Klicken Sie auf das Zahnradsymbol für die Google-Verbindung von Ihrer MVE aus, und klicken Sie dann auf die Ansicht „Details“. Beachten Sie den Wert für das A-Ende-VLAN.

3. Melden Sie sich bei der VM-Series an.

4. Wählen Sie „Network“ (Netzwerk) > „Schnittstellen“ (Interfaces) aus.

5. Wählen Sie die A-Ende-MVE (ethernet1/1) aus.

6. Klicken Sie auf Add Subinterface (Unterschnittstelle hinzufügen).

7. Geben Sie die folgenden Details an:

   • Interface Name (Name der Schnittstelle) – Geben Sie einen Namen für die Unterschnittstelle ein. Geben Sie in das nebenstehende Feld eine Nummer zur Identifizierung der Unterschnittstelle ein.

   • Comment (Kommentar) – Geben Sie einen alternativen Namen ein.

   • Tag – Geben Sie das A-Ende-VLAN an, das dieser Google-Verbindung im Megaport Portal zugeordnet ist.

   • Virtual Router (Virtueller Router) – Wählen Sie einen virtuellen Router zur Schnittstelle aus, wie es Ihr Netzwerk erfordert.

8. Wählen Sie die IPv4-Registerkarte aus.

9. Wählen Sie Static (Statisch) als Typ aus.
10. Klicken Sie auf +Add (Hinzufügen), um eine neue IP-Adresse hinzuzufügen.
11. Geben Sie die IPv4-Adresse und die Netzmaske ein.
    Diese Werte sind in den Details der VLAN-Anbindung in der Google Cloud-Konsole verfügbar. Die IP-Adresse wird im Feld BGP Peer IP angezeigt.
12. Klicken Sie auf OK.
13. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    
14. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen).

Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle ethernet1/1 angezeigt.

Als Nächstes erstellen Sie eine Sicherheitszone, damit die Schnittstelle den Datenverkehr weiterleiten kann.

So erstellen Sie eine Sicherheitszone

1. Wählen Sie die Unterschnittstelle ethernet1/1.1010 aus.
2. Wählen Sie in der Dropdown-Liste „Security Zone“ (Sicherheitszone) die Option „New Zone“ (Neue Zone) aus.
3. Geben Sie einen Namen für die Sicherheitszone an.
   
4. Klicken Sie unter „Interfaces“ (Schnittstellen) auf +Add (Hinzufügen), und fügen Sie ethernet1/1.1010 zur Sicherheitszone hinzu.
5. Geben Sie alle zusätzlichen Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind.
6. Wählen Sie in der Dropdown-Liste „Zone Protection Profile“ (Zonenschutzprofil) die Option „New Zone Protection Profile“ (Schutzprofil der neuen Zone) aus.
7. Geben Sie alle Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind. In diesem Beispiel werden alle Standardeinstellungen verwendet.
   
8. Klicken Sie auf OK.
9. Klicken Sie auf dem Bildschirm „Layer 3 Subinterface“ (Layer-3-Unterschnittstelle) auf OK.
10. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    
11. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen).

An diesem Punkt haben Sie die Schnittstelle erstellt. Als Nächstes werden Sie die BGP-Sitzung erstellen.

So erstellen Sie die BGP-Sitzung

1. Wählen Sie in VM-Series „Network“ (Netzwerk) > „Virtual Routers“ (Virtuelle Router) aus.
2. Wählen Sie den virtuellen Router aus.
   
3. Wählen Sie im linken Bereich „BGP“ aus.

4. Geben Sie die folgenden BGP-Details an:

   • Enable (Aktivieren) – Aktivieren Sie dieses Kontrollkästchen, damit die BGP-Sitzung nach dem Bestätigen dieser Änderungen gestartet wird.
   • Router ID (Router-ID) – Geben Sie die Cloud Router BGP IP (Cloudrouter-BGP-IP) aus den Details zur VLAN-Anbindung in der Google Cloud-Konsole an.
   • AS Number (AS-Nummer) – Geben Sie die ASN (Autonomous System Number) für die MVE-Verbindung an. Geben Sie die Peer ASN an, die Sie in der BGP-Konfiguration für die VLAN-Anbindung in der Google Cloud-Konsole definiert haben.

5. Klicken Sie unter „Auth Profiles“ (Authentifizierungsprofile) auf +Add (Hinzufügen).

6. Geben Sie unter „Profile Name“ einen Profilnamen an.
   
7. Geben Sie ein Authentifizierungspasswort ein, und bestätigen Sie es.
8. Klicken Sie auf OK.
9. Wählen Sie die Registerkarte „Peer Group“ aus.
   
10. Klicken Sie auf +Add (Hinzufügen), um eine Peer-Gruppe hinzuzufügen.
11. Geben Sie einen Namen für die Peer-Gruppe an. Zum Beispiel: AWS-xxxx.
12. Geben Sie als Sitzungstyp „eBGP“ an.
13. Geben Sie alle zusätzlichen Details an, die für Ihr Netzwerk erforderlich sind.
14. Klicken Sie auf +Add (Hinzufügen), um einen neuen Peer hinzuzufügen.
15. Geben Sie die Details für den Peer an:
    • Name – Geben Sie einen Namen für den Peer an.
    • Peer AS – Geben Sie die Google-seitige Autonomous System Number (ASN) von 16550 an. Dies ist ein fester Wert, der in den Verbindungsdetails der Google-Konsole angezeigt wird.
    • Local Address (Lokale Adresse) – Wählen Sie in den Dropdown-Listen die korrekte Unterschnittstelle und die korrekte IP-Adresse aus.
    • Peer Address (Peer-Adresse) – Geben Sie die Cloud Router BGP IP (Cloudrouter-BGP-IP) aus den Details zur VLAN-Anbindung in der Google Cloud-Konsole ein.
      

Google Cloud erfordert Unterstützung für BGP Multihop. Sie können die Multihop-Unterstützung von VM-Series auf der Registerkarte „Connection Options“ (Verbindungsoptionen) des BGP-Peers konfigurieren:

Validieren der Google Cloud-Verbindung

So überprüfen Sie den Status des BGP-Peers

1. Wählen Sie „Network“ (Netzwerk) > „Virtuelle Routers“ (Virtuelle Router) aus.
2. Suchen Sie Ihren virtuellen Router („default“).
3. Klicken Sie auf der rechten Seite in der Spalte „Runtime Stats“ (Laufzeitstatistiken) auf More Runtime Stats (Weitere Laufzeitstatistiken).
   
4. Wählen Sie die Registerkarte „BGP“ und dann die Registerkarte „Peer“ aus.
5. Überprüfen Sie, ob der Peer-Status Established (Eingerichtet) ist.
   

---

Letztes Update: 2024-02-12