action.skip
Documentación de Megaport
Conectar MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Conexión de MVEs integrados con Palo Alto Networks VM-Series

Este tema describe cómo conectar un Megaport Virtual Edge (MVE) integrado con el firewall de próxima generación (NGFW) de Palo Alto Networks a otro MVE.

Esta implementación utiliza la red privada definida por software (SDN) de Megaport para reducir la dependencia de internet y conectar las sedes de sucursales de la empresa.

Sucursal a sucursal

Si configura dos MVE, podrá crear una VXC privada para conectarla a la red de Megaport sin necesidad de infraestructuras físicas. Una VXC es una conexión Ethernet privada punto a punto entre un MVE de Extremo A y un MVE de Extremo B.

Antes de empezar

Aprovisione dos MVEs en ubicaciones diferentes. Si aún no ha creado MVEs, consulte Creación de un MVE VM-Series.

Creación de un VXC entre dos MVEs

Una implementación de VXC privado entre dos MVEs integrados con Palo Alto Networks comienza en el Megaport Portal. Para completar la configuración, utilizará Palo Alto Networks VM-Series.

Para crear un VXC

  1. En el Megaport Portal, vaya a la página Services (Servicios) y haga clic en +Connection (Añadir conexión) junto al MVE de origen del extremo A.

  2. Seleccione VXC privado.

    VXC privado

  3. Seleccione el MVE de destino del extremo B y la ubicación.
    Utilice el filtro País para acotar la selección.

  4. Haga clic en Next (Siguiente).

  5. Especifique los detalles de la conexión:

    • Connection Name (Nombre de la conexión) – El nombre de su VXC que se mostrará en el Megaport Portal. Especifique un nombre para el VXC que sea fácilmente identificable, por ejemplo, LA MVE 2 to Dallas MVE 4. Si lo desea, puede cambiar el nombre más adelante.

    • Service Level Reference (Referencia de nivel de servicio) (opcional) – Especifique un número de identificación único para su servicio de Megaport que se utilizará con fines de facturación, como un número de centro de costos, un ID de cliente único o un número de orden de compra. El número de referencia de nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

    • Rate Limit (Límite de velocidad) – La velocidad de su conexión en Mbps. Se muestra la velocidad máxima. Aunque el límite de velocidad para un VXC puede ser de varios Gbps, la capacidad de cómputo del MVE del extremo A o del extremo B puede influir en el rendimiento del circuito. Consulte la documentación de Palo Alto Networks para obtener más información.

    • VXC State (Estado del VXC) – Seleccione Enabled (Habilitado) o Shut Down (Apagar) para definir el estado inicial de la conexión. Para obtener más información, consulte Apagar un VXC para pruebas de conmutación por error.

      Nota

      Si selecciona Shut Down (Apagar), el tráfico no fluirá a través de este servicio y se comportará como si estuviera caído en la red de Megaport. La facturación de este servicio permanecerá activa y se le seguirá cobrando por esta conexión.

    • vNIC selection (selección de vNIC) – Según la definición de los MVEs que esté utilizando, es posible que tenga que especificar las vNIC de los extremos A y B.

      • A-End vNIC (vNIC del extremo A) – Especifique una vNIC utilizando el valor predeterminado predefinido o selecciónela en la lista desplegable.

      • B-End vNIC (vNIC del extremo B) – Especifique una vNIC utilizando el valor predeterminado predefinido o selecciónela en la lista desplegable.

        Para obtener más información sobre la selección de vNIC al conectar MVEs con diferentes servicios, consulte Tipos de conexiones vNIC.

    • Preferred A-End VLAN (VLAN preferida del extremo A) – Especifique la etiqueta VLAN 802.1q para esta conexión para el extremo A.
      Cada VXC se entrega como una VLAN independiente en el MVE. El ID de VLAN debe ser único en este MVE y puede variar de 2 a 4093. Si especifica un ID de VLAN que ya está en uso, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport asignará uno. Para un MVE de Palo Alto Networks, también se utilizará para configurar la etiqueta VLAN en Palo Alto Networks PAN-OS.

    • Preferred B-End VLAN (VLAN preferida del extremo B) – Especifique la etiqueta VLAN 802.1q para esta conexión que recibirá a través de la VLAN del extremo B. Para un MVE de Palo Alto Networks, también se utilizará para configurar la etiqueta VLAN en Palo Alto Networks PAN-OS.

    • Minimum Term (Plazo mínimo) – Seleccione Sin plazo mínimo, 12 meses, 24 meses, 36 meses, 48 meses o 60 meses. Los plazos más largos se traducen en una tarifa mensual más baja. 12 meses está seleccionado de forma predeterminada. Tenga en cuenta la información en la pantalla para evitar cargos por terminación anticipada (ETF).

      Habilite la opción Renovación del plazo mínimo para servicios con un plazo de 12, 24, 36, 48 o 60 meses para renovar automáticamente el contrato al mismo precio con descuento y con la misma duración del plazo al finalizar el contrato. Si no renueva el contrato, al final del plazo, el contrato pasará automáticamente a un contrato mes a mes para el siguiente período de facturación, al mismo precio, sin descuentos por plazo.

      Para obtener más información, consulte Precios de VXC y términos del contrato y Facturación de VXC, Megaport Internet, e IX.

    • Resource Tags (Etiquetas de recursos) – Puede usar etiquetas de recursos para añadir sus propios metadatos de referencia a un servicio de Megaport.
      Para añadir una etiqueta:

      1. Haga clic Add Tags (Añadir etiquetas).
      2. Haga clic Add New Tag (Añadir nueva etiqueta).
      3. Introduzca los detalles en los campos:
        • Key (Clave) – cadena de longitud máxima 128. Los valores válidos son a-z 0-9 _ : . / \ -
        • Value (Valor) – cadena de longitud máxima 256. Los valores válidos son a-z A-Z 0-9 _ : . @ / + \ - (espacio)
      4. Haga clic Save (Guardar).

      Si ya tiene etiquetas de recursos para ese servicio, puede administrarlas haciendo clic en Manage Tags (Administrar etiquetas).

      Advertencia

      Nunca incluya información confidencial en una etiqueta de recurso. La información confidencial incluye comandos que devuelven definiciones de etiquetas existentes e información que identificará a una persona o a una empresa.

  6. Haga clic en Next (Siguiente) para ver la página Resumen.

  7. Confirme la configuración y haga clic en Add VXC (Añadir VXC).

  8. Haga clic en Review Order (Revisar pedido) para continuar con el proceso de pago.

Una vez implementado el VXC, puede verlo en la página Servicios del Megaport Portal. La página Servicios muestra el VXC bajo el MVE del extremo A y el MVE del extremo B. Tenga en cuenta que el número de identificador de servicio es el mismo para el VXC en ambos extremos de la conexión.

El siguiente paso es configurar los MVEs de los extremos A y B en Palo Alto Networks VM-Series.

Nota

El siguiente procedimiento configura la conectividad IP con BGP y proporciona solo una de muchas soluciones posibles. Consulte la documentación de su proveedor para conocer opciones específicas de diseño y configuración de red antes de configurar interfaces para los MVEs.

Configuración del MVE del extremo A en VM-Series

Configure la nueva interfaz VLAN en VM-Series, incluido el nombre, el valor de VLAN y los detalles de la dirección IP.

Para configurar el MVE del extremo A en VM-Series

  1. Inicie sesión en su instancia de VM-Series.

  2. Elija Red > Interfaces.

  3. Seleccione el MVE del extremo A (ethernet1/1).

  4. Haga clic en Add Subinterface (Añadir subinterfaz).

  5. Proporcione estos detalles:

    • Interface Name (Nombre de la interfaz) – Introduzca un nombre para la subinterfaz. En el campo adyacente, introduzca un número para identificar la subinterfaz.

    • Comment (Comentario) – Introduzca un nombre alternativo, por ejemplo, PA-MVE-1 to PA-MVE-2.

    • Tag (Etiqueta) – Especifique el valor de VLAN asociado con el VXC que creó anteriormente. Para facilitar su uso, especifique el mismo número que el Nombre de la interfaz.

    • Virtual Router (Router virtual) – Seleccione un router virtual para la interfaz, según lo requiera su red.

  6. Seleccione la pestaña IPv4.

  7. Seleccione Static (Estático) como Tipo.
  8. Haga clic en +Add (Añadir) para añadir una nueva dirección IP.
  9. Introduzca la dirección IPv4 y la máscara de red.
  10. Haga clic en OK (Aceptar).
  11. Haga clic en Commit (Aplicar) en la esquina superior derecha.
    Botón Commit
  12. Revise los cambios y haga clic en Commit (Aplicar).
    Aplicar cambios

La nueva interfaz VLAN aparece junto a su interfaz física ethernet1/1.

A continuación, creará una zona de seguridad para que la interfaz pueda enrutar tráfico.

Para crear una zona de seguridad

  1. Seleccione la subinterfaz ethernet1/1.1010.
  2. Seleccione Nueva zona en la lista desplegable Zona de seguridad.
  3. Especifique un nombre para la zona de seguridad.
    Configuración de la zona de seguridad
  4. Haga clic en +Add (Añadir) en Interfaces y añada ethernet1/1.1010 a la zona de seguridad.
  5. Especifique cualquier detalle adicional según se requiera para la seguridad de su red.
  6. Seleccione Nuevo perfil de protección de zona en la lista desplegable Perfil de protección de zona.
  7. Especifique cualquier detalle según se requiera para la seguridad de su red. Este ejemplo utiliza todos los valores predeterminados.
    Perfil de protección de zona
  8. Haga clic en OK (Aceptar).
  9. Haga clic en OK (Aceptar) en la pantalla de Subinterfaz de Capa 3.
  10. Haga clic en Commit (Aplicar) en la esquina superior derecha.
    Botón Commit
  11. Revise los cambios y haga clic en Commit (Aplicar).
    Aplicar cambios

Configuración del MVE del extremo B en VM-Series

  • Siga el mismo procedimiento para configurar la interfaz del extremo B, utilizando una dirección IP diferente.

Validar su conexión

A continuación, probará la conectividad entre los MVEs de Palo Alto Networks.

Nota

Debido a que Palo Alto es un firewall, debe habilitar ICMP antes de que una interfaz pueda responder a una solicitud de eco ICMP.

Para validar su conexión

  1. Inicie sesión en su instancia de VM-Series.
  2. Elija Red > Interfaces.
  3. Seleccione la subinterfaz recién creada.
    Seleccionar subinterfaz
  4. Seleccione la pestaña Advanced (Avanzado).
    Pestaña Avanzado
  5. Seleccione Nuevo perfil de administración en la lista desplegable.
  6. Especifique un nombre de perfil en el campo Name (Nombre).
    Perfil de administración de la interfaz
  7. Seleccione Ping en la lista Network Services (Servicios de red).
  8. Para añadir direcciones IP o subredes específicas a la ACL, haga clic en +Add (Añadir) en Permitted IP Addresses (Direcciones IP permitidas).
  9. Haga clic en OK (Aceptar).
    Subinterfaz de Capa 3
  10. Haga clic en OK (Aceptar).
  11. Haga clic en Commit (Aplicar) en la esquina superior derecha.
    Botón Commit
  12. Revise los cambios y haga clic en Commit (Aplicar).
    Aplicar cambios
  13. Repita los pasos 1 al 12 para el segundo MVE de Palo Alto Networks.
  14. Elija Dispositivo > Solución de problemas para probar la conectividad entre los MVEs de Palo Alto Networks.
  15. Seleccione Ping en la lista desplegable Seleccionar prueba.
    Seleccionar prueba de ping
  16. Introduzca los detalles pertinentes.
    Consulte los Palo Alto Networks Tech Docs para obtener información sobre estos campos.
  17. Haga clic en Execute (Ejecutar) para ejecutar la prueba.
    Ping correcto