action.skip
Documentación de Megaport
Planificar su implementación
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planificación de su implementación de Check Point

Este tema proporciona una descripción general del proceso de aprovisionamiento y describe las consideraciones de implementación para Megaport Virtual Edge (MVE).

You Provide Megaport Provides
Conexión a internet desde la sucursal Plataforma para alojar instancias virtuales de seguridad
Check Point CloudGuard implementado en la sucursal Conexión completa desde una sucursal a cualquier destino en la red de Megaport e interoperación con otros productos y servicios de Megaport
Equipo en las instalaciones del cliente (CPE) instalado en la sucursal Conexión Megaport Internet para terminar el túnel entre MVE y el CPE en la sucursal a través de internet
Licencia de software Check Point CloudGuard para usar en la SDN de Megaport Acceso al ecosistema de Megaport

Consideraciones de implementación

Esta sección proporciona una descripción general de las opciones y características de implementación de MVE.

Nota

La arquitectura de Check Point es diferente de la de muchos otros proveedores de firewall.

Check Point utiliza un Security Management Server (Policy Server) central para administrar y configurar sus Security Gateways, incluidos MVEs. El Security Management Server define políticas de seguridad y las distribuye a los gateways, que luego aplican esas políticas.

Initial access and management (Acceso y administración inicial)

  • Utilice la vNIC 0 para la comunicación inicial con el dispositivo.
  • Configure la vNIC 0 como untagged para permitir el primer inicio de sesión administrativo.
  • Los firewalls de Check Point deshabilitan el Protocolo de Mensajes de Control de Internet (ICMP) de forma predeterminada. No puede usar ping u otras herramientas basadas en ICMP para verificar la conectividad inmediatamente después del despliegue.
  • Una vez que el MVE esté activo, inicie sesión mediante SSH o HTTPS.

Policy and advanced configuration (Política y configuración avanzada)

  • Utilice Check Point Smart Console para la configuración avanzada y la gestión de políticas. Debe configurar por completo Smart Console antes de poder crear o publicar políticas de firewall.
  • Implemente un Management Gateway (Security Management Server) para definir y distribuir políticas de firewall. Puede implementar el Management Gateway en cualquier entorno de CSP.

Para obtener información sobre la automatización de implementaciones de Check Point CloudGuard, consulte CloudGuard Network Security - How to configure cloud-init automation y How to provide user data in KVM with Configuration Drive.

Proveedores de red y seguridad

MVE se integra con Check Point CloudGuard para ofrecer prevención avanzada de amenazas y enrutamiento seguro del tráfico basado en políticas entre su red y los entornos en la nube.

Para obtener más información sobre las NFVsMVE es una plataforma de Virtualización de Funciones de Red (NFV) bajo demanda y neutral respecto al proveedor que proporciona infraestructura virtual para servicios de red en el borde de la red global definida por software (SDN) de Megaport. Las tecnologías de red como SD-WAN y NGFW se alojan directamente en la red global de Megaport a través de Megaport Virtual Edge.
 compatibles en la plataforma MVE, consulte la Megaport Virtual Edge (MVE) product page.

Ubicaciones de MVE

Para obtener una lista de ubicaciones globales donde puede conectarse a un MVE, consulte Ubicaciones de Megaport Virtual Edge.

Dimensionamiento de su instancia de MVE

El tamaño de la instancia determina las capacidades de MVE, como cuántas conexiones concurrentes puede admitir.

Al elegir un tamaño de instancia de MVE, tenga en cuenta lo siguiente:

  • Cualquier aumento en la carga del flujo de datos de la red puede degradar el rendimiento. Por ejemplo, establecer túneles seguros con IPsec, añadir path steering del tráfico, o usar inspección profunda de paquetes (DPI) puede afectar la velocidad máxima de throughput.

  • Planes futuros para escalar la red.

Para comprobar qué tamaños de instancia de MVE están disponibles para su implementación, use el Megaport Portal durante el proceso de configuración de MVE. La disponibilidad de tamaños de instancia depende tanto del proveedor seleccionado como de la ubicación de implementación, y puede variar en consecuencia. El Megaport Portal muestra los tamaños que están disponibles para el proveedor y la ubicación que seleccionó.

Para comprobar los tamaños de instancia de MVE en el Megaport Portal

  1. En el Megaport Portal, vaya a la página Services (Servicios).

  2. Haga clic en Create MVE (Crear MVE).
    Botón Create MVE

  3. Seleccione Check Point CloudGuard Network.

  4. Seleccione la versión del software.

  5. Haga clic en Next (Siguiente).

  6. Seleccione una ubicación de MVE.

    Seleccione una ubicación geográficamente cercana a su sucursal objetivo y/o a sus ubicaciones on-premises.

    Puede usar el campo Search (Buscar) para encontrar el nombre del Port, el país, la ciudad del área metropolitana (Metro City) o la dirección de su Port de destino. También puede filtrar por zona de diversidad.

  7. Aparece una lista de tamaños de instancia disponibles según la ubicación seleccionada. Los tamaños disponibles se resaltan en verde y están etiquetados como Available (Disponible). Los tamaños admiten diferentes números de conexiones concurrentes, y las métricas de los productos de cada socio varían ligeramente.

    Nota

    Si el tamaño de MVE que desea no está en la lista, entonces no hay suficiente capacidad en la ubicación seleccionada. Puede seleccionar otra ubicación con suficiente capacidad o ponerse en contacto con su Gerente de cuenta para analizar los requisitos.

¿Qué pasa si necesito más capacidad de MVE en el futuro?

Para aumentar su capacidad de MVE, tiene estas opciones:

  • Puede aprovisionar otra instancia de MVE, añadirla a su red overlay de , y dividir la carga de trabajo entre las dos MVE.

  • Puede aprovisionar una instancia de MVE más grande, añadirla a su red overlay de , migrar las conexiones desde la MVE antigua a la nueva y más grande MVE, y luego retirar la MVE antigua.

Puede ajustar el ancho de banda de Megaport Internet en cualquier momento sin tener que desmantelar la máquina virtual.

Seguridad

MVE proporciona conectividad segura entre sus ubicaciones de sucursal y destinos en la nube o data centers a través de la SDN de Megaport. Las instancias de Check Point CloudGuard alojadas en MVE inspeccionan, aseguran y controlan el tráfico a través del backbone de red privada de Megaport. El tráfico permanece cifrado y con aplicación de políticas desde el borde hasta el destino.

Licencias

Antes de crear un MVE en el Megaport Portal, asegúrese de que su cuenta de usuario tenga permisos de pedido. Para obtener más información, consulte Crear una cuenta.

También necesita una licencia válida de Check Point CloudGuard. Para obtener o gestionar una licencia de Check Point CloudGuard, consulte el Check Point User Center.

Etiquetado de VLAN

Megaport utiliza Q-in-QLa tunelización 802.1Q (también conocida como Q-in-Q o 802.1ad) es una técnica utilizada por proveedores de Capa 2 del modelo OSI para clientes. 802.1ad admite tanto una etiqueta interna como una externa mediante la cual la externa (a veces llamada S-tag de proveedor de servicios) puede eliminarse para exponer las etiquetas internas (C-tag o de cliente) que segmentan los datos.
 para diferenciar los VXC y los MVE en un sistema de hardware host. El MVE del tenant recibe tráfico sin etiqueta para el enlace orientado a internet, y tráfico 802.1Q con una sola etiqueta para los VXC hacia otros destinos en la red de Megaport (como on-ramps de CSP u otros MVE). Para obtener más información, consulte Configurar Q-in-Q.

vNICs

Se admite una vNIC para la integración de MVE con Check Point.