Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Verbinden von MVEs, die mit Palo Alto Networks VM-Series integriert sind

Dieses Thema beschreibt, wie ein Megaport Virtual Edge (MVE), das mit der Next-Generation Firewall (NGFW) von Palo Alto Networks integriert ist, mit einem weiteren MVE verbunden wird.

Diese Bereitstellung nutzt das private Software-Defined Network (SDN) von Megaport, um die Abhängigkeit vom Internet zu reduzieren und Unternehmensstandorte zu verbinden.

Wenn zwei MVEs konfiguriert sind, können Sie einen privaten VXC erstellen, um sie über das Megaport-Netzwerk zu verbinden, ohne dass physische Infrastruktur erforderlich ist. Ein VXC ist im Wesentlichen eine private Punkt-zu-Punkt-Ethernet-Verbindung zwischen einem A-Ende-MVE und einem B-Ende-MVE.

Hinweis

Die internetseitige Schnittstelle eines MVE kann über das öffentliche Internet die internetseitige Schnittstelle eines anderen MVE erreichen. Das heißt, Sie können Traffic zwischen MVE und MVE in unterschiedlichen Metros über das Internet austauschen. Das grundlegende Verbindungsmodell besteht aus einem MVE in einem Metro, das über eine Megaport Internet-Verbindung mit einem MVE in einem anderen Metro verbunden ist. Die Konnektivität besteht aus einer vom Kunden bzw. SD-WAN-Partner verwalteten Verbindung, nicht von Megaport verwaltet. Weitere Informationen finden Sie unter Megaport Internet Übersicht.

Bevor Sie beginnen

Stellen Sie zwei MVEs an unterschiedlichen Standorten bereit. Wenn Sie noch keine MVEs erstellt haben, siehe Erstellen eines VM-Series-MVE.

Erstellen eines VXC zwischen zwei MVEs

Eine private VXC-Bereitstellung zwischen zwei MVEs, die mit Palo Alto Networks integriert sind, beginnt im Megaport Portal. Um die Konfiguration abzuschließen, verwenden Sie Palo Alto Networks VM-Series.

So erstellen Sie einen VXC

1. Gehen Sie im Megaport Portal zur Seite Services und klicken Sie neben dem ursprünglichen A-Ende-MVE auf +Connection (+Verbindung).

2. Wählen Sie Private VXC aus.

   

3. Wählen Sie das Ziel-B-Ende-MVE und den Standort aus.
   Verwenden Sie den Country-Filter, um die Auswahl einzugrenzen.

4. Klicken Sie auf Next (Weiter).

5. Geben Sie die Verbindungsdetails an:

   • Connection Name (Verbindungsname) – Der Name Ihres VXC, der im Megaport Portal angezeigt wird. Geben Sie einen Namen für den VXC an, der leicht zu erkennen ist, zum Beispiel LA MVE 2 zu Dallas MVE 4. Sie können den Namen später bei Bedarf ändern.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.

   • Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbit/s. Die maximale Geschwindigkeit wird angezeigt. Obwohl das Rate Limit (Übertragungsratenlimit) für einen VXC bis zu mehreren Gbit/s betragen kann, kann die Rechenkapazität des A-Ende- oder B-Ende-MVE den Durchsatz der Leitung beeinflussen. Weitere Informationen finden Sie in der Dokumentation von Palo Alto Networks.

   • VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den initialen Zustand der Verbindung festzulegen. Weitere Informationen finden Sie unter Einen VXC für Failover-Tests herunterfahren.

     Hinweis

     Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Traffic durch diesen Service und er verhält sich so, als wäre er im Megaport-Netzwerk ausgefallen. Die Abrechnung für diesen Service bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.

   • vNIC selection – Abhängig von der Definition der von Ihnen verwendeten MVEs müssen Sie möglicherweise A-Ende- und B-Ende-vNICs angeben.

     • A-End vNIC (A-End-vNIC) – Geben Sie eine vNIC an, indem Sie den vorausgefüllten Standard verwenden, oder wählen Sie sie aus der Dropdown-Liste aus.

     • B-End vNIC (B-End-vNIC) – Geben Sie eine vNIC an, indem Sie den vorausgefüllten Standard verwenden, oder wählen Sie sie aus der Dropdown-Liste aus.

       Weitere Informationen zur vNIC-Auswahl beim Verbinden von MVEs mit unterschiedlichen Services finden Sie unter Arten von vNIC-Verbindungen.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Geben Sie den 802.1q-VLAN-Tag für diese Verbindung für das A-Ende an.
     Jeder VXC wird als separates VLAN auf dem MVE bereitgestellt. Die VLAN-ID muss auf diesem MVE eindeutig sein und kann zwischen 2 und 4093 liegen. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport einen zu. Für ein Palo Alto Networks-MVE wird er außerdem verwendet, um den VLAN-Tag in Palo Alto Networks PAN-OS zu konfigurieren.

   • Preferred B-End VLAN (Bevorzugtes B-Ende-VLAN) – Geben Sie den 802.1q-VLAN-Tag für diese Verbindung an, den Sie über das B-Ende-VLAN erhalten. Für ein Palo Alto Networks-MVE wird er außerdem verwendet, um den VLAN-Tag in Palo Alto Networks PAN-OS zu konfigurieren.

   • Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.

     Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.

     Weitere Informationen finden Sie unter VXC Preise und Vertragsbedingungen und Abrechnung für VXC, Megaport Internet und IX.

   • Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
     So fügen Sie einen Tag hinzu:

     1. Klicken Sie auf Tags hinzufügen.
     2. Klicken Sie auf Neuen Tag hinzufügen.
     3. Geben Sie Details in die Felder ein:
        • Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
        • Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
     4. Klicken Sie auf Speichern.

     Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.

     Warnung

     Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.

6. Klicken Sie auf Next (Weiter), um die Seite Summary anzuzeigen.

7. Bestätigen Sie die Konfiguration und klicken Sie auf Add VXC (VXC hinzufügen).

8. Klicken Sie auf Bestellung überprüfen, um den Checkout-Vorgang fortzusetzen.

Sobald der VXC bereitgestellt ist, können Sie ihn auf der Megaport Portal-Seite Services anzeigen. Die Seite Services zeigt den VXC unter dem A-Ende-MVE und dem B-Ende-MVE an. Beachten Sie, dass die Service-Kennnummer an beiden Enden der Verbindung für den VXC gleich ist.

Als Nächstes konfigurieren Sie die A-Ende- und B-Ende-MVEs in der Palo Alto Networks VM-Series.

Hinweis

Das nächste Verfahren konfiguriert die IP-Konnektivität mit BGP und stellt damit nur eine von vielen Lösungen dar. Konsultieren Sie die Dokumentation Ihres Herstellers für spezifische Netzwerkdesign- und Konfigurationsoptionen, bevor Sie Schnittstellen für die MVEs konfigurieren.

Konfigurieren des A-Ende-MVE in VM-Series

Konfigurieren Sie die neue VLAN-Schnittstelle in der VM-Series, einschließlich Name, VLAN-Wert und IP-Adressdetails.

So konfigurieren Sie das A-Ende-MVE in der VM-Series

1. Melden Sie sich bei Ihrer VM-Series-Instanz an.

2. Wählen Sie Network > Interfaces.

3. Wählen Sie das A-Ende-MVE (ethernet1/1).

4. Klicken Sie auf Add Subinterface.

5. Geben Sie folgende Details an:

   • Interface Name – Geben Sie einen Namen für das Subinterface ein. Geben Sie im angrenzenden Feld eine Zahl ein, um das Subinterface zu identifizieren.

   • Comment – Geben Sie einen alternativen Namen ein, zum Beispiel PA-MVE-1 zu PA-MVE-2.

   • Tag – Geben Sie den VLAN-Wert an, der dem zuvor erstellten VXC zugeordnet ist. Geben Sie der Einfachheit halber dieselbe Zahl wie beim Interface Name an.

   • Virtual Router – Wählen Sie einen Virtual Router für die Schnittstelle aus, wie von Ihrem Netzwerk erforderlich.

6. Wählen Sie die Registerkarte IPv4.

7. Wählen Sie Static als Typ.
8. Klicken Sie auf +Hinzufügen, um eine neue IP-Adresse hinzuzufügen.
9. Geben Sie die IPv4-Adresse und die Netzmaske ein.
10. Klicken Sie auf OK.
11. Klicken Sie oben rechts auf Commit.
    
12. Überprüfen Sie die Änderungen und klicken Sie auf Commit.
    

Die neue VLAN-Schnittstelle erscheint zusammen mit Ihrer physischen Schnittstelle ethernet1/1.

Als Nächstes erstellen Sie eine Sicherheitszone, damit die Schnittstelle Traffic weiterleiten kann.

So erstellen Sie eine Sicherheitszone

1. Wählen Sie das Subinterface ethernet1/1.1010 aus.
2. Wählen Sie in der Dropdown-Liste Security Zone die Option New Zone.
3. Geben Sie einen Namen für die Sicherheitszone an.
   
4. Klicken Sie unter Interfaces auf +Hinzufügen und fügen Sie ethernet1/1.1010 zur Sicherheitszone hinzu.
5. Geben Sie alle weiteren Details an, die für Ihre Netzwerksicherheit erforderlich sind.
6. Wählen Sie in der Dropdown-Liste Zone Protection Profile die Option New Zone Protection Profile.
7. Geben Sie die erforderlichen Details für Ihre Netzwerksicherheit an. Dieses Beispiel verwendet alle Standardwerte.
   
8. Klicken Sie auf OK.
9. Klicken Sie im Bildschirm Layer3 Subinterface auf OK.
10. Klicken Sie oben rechts auf Commit.
    
11. Überprüfen Sie die Änderungen und klicken Sie auf Commit.
    

Konfigurieren des B-Ende-MVE in VM-Series

• Folgen Sie demselben Verfahren, um die B-Ende-Schnittstelle zu konfigurieren, und verwenden Sie dabei eine andere IP-Adresse.

Überprüfen Ihrer Verbindung

Als Nächstes testen Sie die Konnektivität zwischen den Palo Alto Networks-MVEs.

Hinweis

Da Palo Alto eine Firewall ist, müssen Sie enable ICMP durchführen, bevor eine Schnittstelle auf eine ICMP-Echoanforderung antworten kann.

So überprüfen Sie Ihre Verbindung

1. Melden Sie sich bei Ihrer VM-Series-Instanz an.
2. Wählen Sie Network > Interfaces.
3. Wählen Sie das neu erstellte Subinterface aus.
   
4. Wählen Sie die Registerkarte Advanced.
   
5. Wählen Sie New Management Profile aus der Dropdown-Liste.
6. Geben Sie im Feld Name einen Profilnamen an.
   
7. Wählen Sie in der Liste Network Services die Option Ping.
8. Um bestimmte IP-Adressen oder Subnetze zur ACL hinzuzufügen, klicken Sie unter Permitted IP Addresses auf +Hinzufügen.
9. Klicken Sie auf OK.
   
10. Klicken Sie auf OK.
11. Klicken Sie oben rechts auf Commit.
    
12. Überprüfen Sie die Änderungen und klicken Sie auf Commit.
    
13. Wiederholen Sie die Schritte 1 bis 12 für das zweite Palo Alto Networks-MVE.
14. Wählen Sie Device > Troubleshooting, um die Konnektivität zwischen den Palo Alto Networks-MVEs zu testen.
15. Wählen Sie in der Dropdown-Liste Select Test die Option Ping.
    
16. Geben Sie die relevanten Details ein.
    Siehe die Palo Alto Networks Tech Docs für Informationen zu diesen Feldern.
17. Klicken Sie auf Execute, um den Test auszuführen.