action.skip

Conexión de MVE integrados con Palo Alto VM-Series

En este tema se describe cómo conectar un Megaport Virtual Edge (MVE) integrado con el firewall de próxima generación (NGFW) de Palo Alto a otro MVE.

Esta implementación utiliza la red privada definida por software (SDN) de Megaport para reducir la dependencia de internet y conectar las ubicaciones de sucursales de la empresa.

De sucursal a sucursal

Si configura dos MVE, podrá crear una VXC privada para conectarla a la red de Megaport sin necesidad de infraestructuras físicas. Una VXC es una conexión Ethernet privada punto a punto entre un MVE de Extremo A y un MVE de Extremo B.

Antes de empezar

Creación de una VXC entre dos MVE

La implementación de una VXC privada entre dos MVE integrados con Palo Alto se inicia en el Portal de Megaport. Para completar la configuración, utilizará Palo Alto VM-Series.

Para crear una VXC

  1. Desde el Megaport Portal, vaya a la página Services (Servicios) y haga clic en +Connection (+Conexión), junto al MVE del Extremo A de origen.

  2. Seleccione Private VXC (VXC Privada).

    VXC Privada

  3. Seleccione el MVE de Extremo B de destino y la ubicación.
    Utilice el filtro Country (País) para limitar la selección.

  4. Haga clic en Next (Siguiente).

  5. Especifique los detalles de la VXC:

    • Connection Name (Nombre de la Conexión) – Especifique un nombre para la VXC que sea fácilmente identificable. Por ejemplo, LA MVE 2 a Dallas MVE 4. Si lo desea, puede cambiar el nombre más adelante.

    • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para la VXC que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

    • Rate Limit (Límite de Velocidad) – Especifique un límite de velocidad en Mbps. Se muestra la velocidad máxima. Aunque el límite de velocidad de una VXC puede ser de hasta 10 Gbps, la capacidad de cálculo del MVE del extremo A o del extremo B puede influir en el rendimiento del circuito. Consulte la documentación de Palo Alto para obtener más información.

    • vNIC selection (Selección de vNIC) – Dependiendo de la definición de los MVE que esté utilizando, es posible que deba especificar las vNIC de los extremos A y B.

      • A-End vNIC (vNIC de extremo A) – Especifique una vNIC con el valor predeterminado o selecciónela en la lista desplegable.

      • B-End vNIC (vNIC de extremo B) – Especifique una vNIC con el valor predeterminado o selecciónela en la lista desplegable.

        Consulte Tipos de conexiones vNIC para obtener detalles sobre la selección de vNIC al conectar MVE con diferentes servicios.

    • Preferred VLAN (VLAN Preferida) – Especifique la etiqueta VLAN 802.1q para esta conexión. Cada VXC se proporciona como una VLAN independiente en el MVE. El ID de la VLAN debe ser único en este MVE y puede ir de 2 a 4093. Megaport intentará usar el mismo ID de VLAN en ambas instancias de MVE, y también se usará para configurar la etiqueta VLAN en Palo Alto PAN-OS. Si se especifica un ID de VLAN que ya se haya utilizado, se le avisará al solicitar el MVE.

  6. Haga clic en Next (Siguiente) para ver la pantalla Summary (Resumen).

  7. Confirme la configuración y haga clic en Add VXC (Añadir VXC).

  8. Haga clic en Order (Realizar Pedido) para continuar con el proceso de pago.

Cuando se haya implementado la VXC, se mostrará en la página Services (Servicios) del Portal de Megaport. La página de servicios mostrará la VXC bajo el MVE del Extremo A y el MVE del Extremo B. Tenga en cuenta que el número de identificador de servicio es el mismo para la VXC en ambos extremos de la conexión.

El siguiente paso es configurar los MVE del extremo A y del extremo B en Palo Alto VM-Series.

Nota

El siguiente procedimiento configura la conectividad IP con el BGP, proporcionando solo una de las diversas soluciones que hay. Consulte la documentación de su proveedor para conocer las opciones específicas de diseño y configuración de la red antes de configurar las interfaces para los MVE.

Configuración del MVE del Extremo A en VM-Series

  1. Inicie sesión en su instancia de VM-Series.

  2. Elija Network (Red) > Interfaces.

  3. Seleccione el MVE del Extremo A (ethernet1/1).

  4. Haga clic en Add Subinterface (Añadir subinterfaz).

  5. Proporcione estos detalles:

    • Interface Name (Nombre de la Interfaz) – Introduzca un nombre para la subinterfaz. En el campo adyacente, introduzca un número para identificar la subinterfaz.

    • Comment (Comentario) – Introduzca un nombre alternativo, por ejemplo, PA-MVE-1 a PA-MVE-2.

    • Tag (Etiqueta) – Especifique el valor de VLAN asociado con la VXC que ha creado anteriormente. Para facilitar su uso, especifique el mismo número que el nombre de la interfaz.

    • Virtual Router (Enrutador virtual) – Seleccione un enrutador virtual para la interfaz, según lo requiera su red.

  6. Seleccione la pestaña IPv4.

  7. Seleccione Static (Estático) como Type (Tipo).
  8. Haga clic en +Add (+Añadir) para añadir una nueva dirección IP.
  9. Introduzca la dirección IPv4 y la máscara de red.
  10. Haga clic en OK (Aceptar).
  11. Haz clic en Commit (Asignar) en la esquina superior derecha.
    Botón Asignar
  12. Revise los cambios y haga clic en Commit (Asignar). Asignar cambios

La nueva interfaz VLAN aparecerá con su interfaz física ethernet1/1.

A continuación, creará una zona de seguridad para que la interfaz pueda enrutar el tráfico.

Para crear una zona de seguridad

  1. Seleccione la subinterfaz ethernet1/1.1010.
  2. Seleccione New Zone (Nueva zona) en la lista desplegable Security Zone (Zona de seguridad).
  3. Especifique un nombre para la zona de seguridad.
    Configuración de la zona de seguridad
  4. Haga clic en +Add (+Añadir) en Interfaces y añada ethernet1/1.1010 a la zona de seguridad.
  5. Especifique cualquier otro detalle necesario para la seguridad de su red.
  6. Seleccione New Zone Protection Profile (Nuevo perfil de protección de zona) en la lista desplegable Zone Protection Profile (Perfil de protección de zona).
  7. Especifique los detalles necesarios para la seguridad de su red. En este ejemplo se utilizan todos los valores predeterminados.
    Perfil de protección de zona
  8. Haga clic en OK (Aceptar).
  9. Haga clic en OK (Aceptar) en la pantalla Layer3 Subinterface (Subinterfaz de capa 3).
  10. Haz clic en Commit (Asignar) en la esquina superior derecha.
    Botón Asignar
  11. Revise los cambios y haga clic en Commit (Asignar). Asignar cambios

Configuración del MVE del Extremo B en VM-Series

  • Siga el mismo procedimiento para configurar la interfaz del extremo B, utilizando una dirección IP diferente.

Validación de su conexión

A continuación, probará la conectividad entre los MVE de Palo Alto.

Nota

Dado que Palo Alto es un firewall, debe habilitar ICMP antes de que una interfaz pueda responder a una solicitud de eco de ICMP.

Para validar su conexión

  1. Inicie sesión en su instancia de VM-Series.
  2. Elija Network (Red) > Interfaces.
  3. Seleccione la nueva subinterfaz.
    Seleccionar la subinterfaz
  4. Seleccione la pestaña Advanced (Avanzado).
    Pestaña Advanced (Avanzado)
  5. Seleccione New Management Profile (Nuevo perfil de gestión) en la lista desplegable.
  6. Especifique un nombre de perfil en el campo Name (Nombre). Perfil de gestión de interfaz
  7. Seleccione Ping en la lista Network Services (Servicios de red).
  8. Para añadir direcciones IP o subredes específicas a la ACL, haga clic en +Add (+Añadir) en Permitted IP Addresses (Direcciones IP permitidas).
  9. Haga clic en OK (Aceptar).
    Subinterfaz de capa 3
  10. Haga clic en OK (Aceptar).
  11. Haz clic en Commit (Asignar) en la esquina superior derecha.
    Botón Asignar
  12. Revise los cambios y haga clic en Commit (Asignar). Asignar cambios
  13. Repita los pasos 1 a 12 para el segundo MVE de Palo Alto.
  14. Elija Device (Dispositivo) > Troubleshooting (Resolución de problemas) para probar la conectividad entre los MVE de Palo Alto.
  15. Seleccione Ping en la lista desplegable Select Test (Seleccionar prueba).
    Seleccionar la prueba Ping
  16. Introduzca los detalles pertinentes.
    Consulte la documentación técnica de Palo Alto para obtener información sobre estos campos.
  17. Haga clic en Execute (Ejecutar) para realizar la prueba.
    Ping correcto