Creación de un MVE de VM-Series

En este tema se describe cómo crear y configurar un Megaport Virtual Edge (MVE) con el firewall de próxima generación (NGFW) VM-Series. Puede utilizar VM-Series para proteger el tráfico de aplicaciones que fluye a través del MVE.

Antes de empezar, necesita cuentas de usuario con permisos de pedido que proporcionen acceso al Portal de Megaport y el firewall VM-Series.

Para obtener más detalles sobre como configurar una cuenta de Megaport, consulte Creación de una cuenta.

Palo Alto Networks proporciona la documentación de VM-Series en la documentación técnica de VM-Series.

Pasos básicos

En esta sección se proporciona una descripción general de los pasos de configuración en el Portal de Megaport y VM-Series. Los procedimientos detallados siguen este resumen de pasos básicos.

Los pasos básicos son:

• Obtenga una licencia de Palo Alto Networks para VM-Series.
• Establezca una contraseña de administrador temporal para VM-Series.
• Genere una clave pública SSH para la autenticación.
• Cree el MVE de Palo Alto Networks VM-Series en el Megaport Portal.
  Le recomendamos encarecidamente que aprovisione una conexión de Megaport Internet en la interfaz virtual Management Plane (Plano de gestión).
• Vea la asignación de la dirección IP pública del MVE en el Portal de Megaport.
• Permita el acceso seguro de la consola a VM-Series.

Licencias

Para crear un MVE en el Portal de Megaport, necesita una licencia válida de Palo Alto Networks. Después de comprar un firewall VM-Series, recibirá un código de autorización por correo electrónico. Utilizará este código de autenticación para registrar el MVE en Palo Alto Networks.

Para obtener un código de autorización de Palo Alto Networks para VM-Series

1. Inicie sesión en el portal de soporte al cliente de Palo Alto Networks con las credenciales de su cuenta.

2. Elija Assets (Activos) > VM-Series Auth-Codes (Códigos de autenticación de VM-Series) > Add VM-Series Auth-Code (Añadir código de autenticación de VM-Series).

3. Introduzca el código de autenticación que ha recibido por correo electrónico en el campo Add VM-Series Auth-Code (Añadir código de autenticación de VM-Series).

4. Marque la casilla de verificación en el extremo derecho para guardar.
   La página mostrará la lista de códigos de autenticación registrados en su cuenta de soporte.

5. Para ver todos los recursos implementados, elija Assets (Activos) > Devices (Dispositivos).

Una vez que esté registrado el producto, aparecerá en la página Registration Completion (Finalización de registro) de Palo Alto Networks.

El siguiente paso es generar un par de claves SSH para la autenticación.

Acceso administrativo a MVE

Usted establece acceso administrativo y de gestión a MVE/VM-Series mediante un par de claves SSH pública/privada para conexiones seguras. La clave SSH pública le permite utilizar SSH en VM-Series, establecer la contraseña administrativa y habilitar el acceso HTTPS.

Megaport es compatible con el tipo de clave RSA de 2048 bits.

Para generar un par de claves SSH (Linux/Mac OSX)

• Ejecute el comando SSH keygen:

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

El comando generador de claves creará un par de claves SSH y añadirá dos archivos a su directorio ~/.ssh:

• megaport-mve-instance-1-2048 – Contiene la clave privada.
• megaport-mve-instance-1-2048.pub – Contiene la clave pública autorizada para acceder a la cuenta de Palo Alto.

Para generar un par de claves SSH (Windows, con PuTTYgen)

1. Abra PuTTYGen.
2. En la sección Key (Clave), seleccione RSA 2048 bit (RSA de 2048 bits) y haga clic en Generate (Generar).
3. Mueva el ratón al azar en la pequeña pantalla para generar los pares de claves.
4. Introduzca un comentario de clave, que identificará la clave.
   Esto es práctico cuando se utilizan varias claves SSH.
5. Introduzca una frase de contraseña para la clave y vuelva a introducirla para confirmarla.
   La frase de contraseña sirve para proteger su clave. Se le pedirá cuando se conecte vía SSH.
6. Haga clic en Save private key (Guardar clave privada), elija una ubicación y haga clic en Save (Guardar).
7. Haga clic en Save public key (Guardar clave pública), elija una ubicación y haga clic en Save (Guardar).

Copiará y pegará el contenido del archivo de la clave pública en el Portal de Megaport para distribuir la clave pública al dispositivo de Palo Alto VM-Series. Su clave privada coincidirá con la clave pública para conceder el acceso. Solo una clave privada tiene acceso a VM-Series para el acceso SSH.

Creación de un MVE en el Portal de Megaport

Antes de crear un MVE, hay que determinar la mejor ubicación - una que admita el MVE y esté en el área metropolitana más compatible. Puede conectar varias ubicaciones a un MVE individual. Para obtener más detalles sobre la ubicación, consulte Planificación de la implementación de Palo Alto.

Puede implementar varios MVE en la misma área metropolitana por motivos de redundancia o capacidad. Como parte del proceso de creación de MVE, también creará dos conexiones de Megaport Internet.

Para crear el MVE de VM-Series (computación)

1. Desde el Megaport Portal, vaya a la página Services (Servicios).

2. Haga clic en Create MVE (Crear MVE).
   

3. Seleccione la ubicación del MVE.

   Seleccione una ubicación geográficamente cercana a su sucursal objetivo o a sus instalaciones.

   El país que elija debe ser un mercado en el que ya se haya registrado.

   Si no ha registrado un mercado de facturación en la ubicación en la que implementará el MVE, siga el procedimiento de Habilitación de mercados de facturación.

   Para buscar un mercado local en la lista, introduzca un país en el filtro de países o información de la región metropolitana en el filtro de búsqueda.

   

4. Haga clic en Next (Siguiente).

5. Seleccione Palo Alto VM-Series y la versión del software.
   El MVE estará configurado para que sea compatible con esta versión de software de Palo Alto Networks.

6. Especifique los detalles del MVE:

   • MVE Name (Nombre del MVE) – Especifique un nombre para el MVE que sea fácilmente identificable, sobre todo si quiere aprovisionar más de uno. Este nombre aparecerá en el Portal de Megaport.

     Nota

     Las cuentas gestionadas por los socios pueden asociar una oferta de socio a un servicio con una suscripción mínima de 12 meses. Para conocer más detalles, consulte Asociar un acuerdo con un servicio.

   • Size (Tamaño) – Seleccione un tamaño en la lista desplegable. La lista muestra todos los tamaños que coinciden con la capacidad de la CPU en la ubicación seleccionada. Los tamaños admiten un número variable de conexiones simultáneas, y las métricas de los productos individuales de los socios varían ligeramente. Para obtener más información, consulte Planificación de la implementación de Palo Alto.

     Nota

     Si el tamaño de MVE que desea no está en la lista, no hay suficiente capacidad en la ubicación elegida. Puede elegir otra ubicación con suficiente capacidad o comunicarse con el gestor de la cuenta para analizar los requisitos.

   • Período de vigencia mínimo – Seleccione No Minimum Term (Sin período de vigencia mínimo) para pagar por uso, o un período de vigencia de 12, 24 o 36 meses. Los períodos de vigencia más largos generan una tarifa mensual más baja para el tamaño de MVE. De forma predeterminada, se seleccionará un período de vigencia de 12 meses.

     Nota

     Los socios y las cuentas gestionadas por socios seleccionan suscripciones de MVE en lugar de condiciones del contrato de MVE.

     Para conocer los detalles de los períodos de vigencia del contrato, consulte Precios y períodos de vigencia del contrato de MVE.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para el MVE que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

   • License Data (Datos de licencia) (opcional) – Especifique el código de autenticación de VM-Series (la licencia válida para el dispositivo virtual). El código de autenticación se utiliza para registrar la instancia de MVE de VM-Series en Palo Alto Networks. Puede encontrarlo en el portal de soporte de Palo Alto Networks.

   • Admin Password (Contraseña de administrador) – Especifique una contraseña de administrador temporal. La contraseña debe tener un mínimo de 8 caracteres e incluir:
     - Una letra mayúscula (A-Z)
     - Una letra minúscula (a-z)
     - Un número (0-9)
     - Un símbolo

     Nota

     Megaport no almacena las contraseñas de los clientes.

   • SSH Key (Clave SSH) – Copie y pegue aquí el contenido de su clave SSH pública. Puede encontrar la clave pública en el archivo megaport-mve-instance-1-2048.pub generado anteriormente.

   • Virtual Interfaces (vNICs) (Interfaces virtuales [vNIC]) – Cada MVE está configurado con dos vNIC denominadas Management Plane (Plano de gestión) y Data Plane (Plano de datos) de forma predeterminada. Para cambiar el nombre, escriba sobre el texto del nombre en el cuadro.

     Puede añadir un total de cinco vNIC al MVE, incluidas las dos añadidas de forma predeterminada.

     Para añadir una vNIC:

     • Haga clic en +Add (+Añadir).

       

     • Introduzca un nombre para la vNIC.

       

     Nota

     Si desea aumentar o disminuir la cantidad de vNIC de este MVE después de haberlo implementado, deberá eliminar todo el MVE y volver a crearlo. No puede añadir ni eliminar vNIC en un MVE implementado.

   

7. Haga clic en Next (Siguiente) para ver la pantalla Summary (Resumen).
   La tarifa mensual se basa en la ubicación, el tamaño y el plazo del contrato.
   

8. Confirme la configuración y el precio y, a continuación, haga clic en Add MVE (Añadir MVE).
   Se le solicitará que cree una conexión de Megaport Internet. Una conexión de Megaport Internet proporciona conectividad y permite que MVE se registre y se comunique con los sistemas de licencias de Palo Alto Networks y, opcionalmente, Panorama.
   

Para crear la conexión de Megaport Internet

1. Haga clic en Create Megaport Internet (Crear Megaport Internet) para continuar (recomendado) o en Not now (Ahora no) para proporcionar acceso a Internet por su cuenta más adelante.
   Se asignará automáticamente un puerto de destino en la misma zona de diversidad que el MVE.

   Nota

   MVE requiere conectividad a Internet en la interfaz virtual Management Plane (Plano de gestión). Puede aprovisionar una conexión de Megaport Internet o configurar una conexión a Internet de terceros mediante una VXC privada. Le recomendamos encarecidamente que pida una conexión de Megaport Internet para el arranque y la implementación iniciales de MVE, a fin de garantizar que MVE esté aprovisionado y funcione correctamente.

2. Especifique los detalles de la conexión:

   • Connection Name (Nombre de la conexión) – Especifique un nombre único para la conexión de Megaport Internet.
     Recomendamos incluir “Management Plane” (Plano de gestión) en el nombre para consultarlo más adelante.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para la conexión de Megaport Internet que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura.

     Consejo

     Utilice los mismos números de referencia de nivel de servicio para la conexión de Megaport Internet y MVE para facilitar la identificación del par correspondiente en la factura.

   • Rate Limit (Límite de velocidad) – Especifique la velocidad de la conexión de Megaport Internet.
     Esta velocidad se puede ajustar de 20 Mbps a 10 Gbps en incrementos de 1 Mbps. Puede cambiar la velocidad según sea necesario después de crear la conexión de Megaport Internet. Los detalles de facturación mensual aparecen en función de la ubicación y el límite de velocidad.

   • vNIC – Seleccione vNIC-0 Management Plane en la lista desplegable.

     Importante

     La conexión a Internet en la interfaz virtual de gestión se utilizará únicamente para fines de gestión, como la concesión de licencias, las actualizaciones y la comunicación con Panorama. Si necesita que el tráfico de Internet fluya entre sucursales, usuarios o la nube, creará una segunda conexión de Megaport Internet en la interfaz virtual Data Plane (Plano de datos). Para obtener más información, consulte Para crear una segunda conexión de Megaport Internet en la interfaz virtual Data Plane (Plano de datos).

   • Preferred A-End VLAN (VLAN Preferida en el Extremo A) (opcional) – Especifique un ID de VLAN que no se haya utilizado para esta conexión.
     Debe ser un ID de VLAN único en este MVE, que puede ir de 2 a 4093. Si se especifica un ID de VLAN que ya se haya utilizado, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport le asignará uno. Como alternativa, puede hacer clic en Untag (Quitar etiqueta). Esta selección elimina el etiquetado VLAN para esta conexión y se configurará sin un ID de VLAN.

     

3. Haga clic en Next (Siguiente) para pasar al resumen de detalles de la conexión, haga clic en Add VXC (Añadir VXC) y pida la conexión.

4. Revise el Acuerdo de solicitud de servicios.
5. Haga clic en Save (Guardar) para guardar el MVE configurado antes de realizar el pedido.
6. Haga clic en Order (Realizar pedido) en la esquina superior izquierda de la pantalla, en Configured Services (Servicios configurados).
   
7. Si tiene un código promocional, haga clic en Add Promo Code (Añadir código promocional), introdúzcalo y luego haga clic en Add Code (Añadir código).
8. Haga clic en Order Now (Realizar pedido ahora).
   

Nota

Se requiere una segunda conexión de Megaport Internet si el firewall intercambiará tráfico de Internet con sucursales. Cada conexión de Megaport Internet de la interfaz virtual Data Plane (Plano de datos) recibe su propia dirección IP pública única.

Para crear una segunda conexión de Megaport Internet en la interfaz virtual Data Plane (Plano de datos)

1. Desde el Megaport Portal, vaya a la página Services (Servicios).

2. Haga clic en +Connection (+Conexión) en el MVE de Palo Alto.

3. Seleccione Megaport Internet.
   
   Se asignará automáticamente un puerto de destino en la misma zona de diversidad que el MVE.

4. Especifique los detalles de la conexión:

   • Connection Name (Nombre de conexión) – Especifique un nombre único para la conexión de Megaport Internet de la interfaz virtual Data Plane (Plano de datos). Recomendamos incluir “Data Plane” (Plano de datos) en el nombre para consultarlo más adelante.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para la conexión de Megaport Internet que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura.

   • Rate Limit (Límite de velocidad) – Especifique la velocidad de la conexión de Megaport Internet.
     Esta velocidad se puede ajustar de 20 Mbps a 10 Gbps en incrementos de 1 Mbps. Puede cambiar la velocidad según sea necesario después de crear la conexión de Megaport Internet. Los detalles de facturación mensual aparecen en función de la ubicación y el límite de velocidad.

   • A-END vNIC (vNIC de extremo A) – Seleccione vNIC-1 Data Plane en la lista desplegable.

   • Preferred A-End VLAN (VLAN Preferida en el Extremo A) (opcional) – Especifique un ID de VLAN que no se haya utilizado para esta conexión.
     Debe ser un ID de VLAN único en este MVE, que puede ir de 2 a 4093. Si se especifica un ID de VLAN que ya se haya utilizado, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport le asignará uno.

     

5. Haga clic en Next (Siguiente) para pasar al resumen de detalles de la conexión, haga clic en Add VXC (Añadir VXC) y pida la conexión.

6. Revise el Acuerdo de solicitud de servicios.
7. Haga clic en Save (Guardar) para guardar el MVE configurado antes de realizar el pedido.
8. Haga clic en Order (Realizar pedido).
   
9. Si tiene un código promocional, haga clic en Add Promo Code (Añadir código promocional), introdúzcalo y luego haga clic en Add Code (Añadir código).
10. Haga clic en Order Now (Realizar pedido ahora).
    

Al pedir el MVE se aprovisiona la instancia y se asignan direcciones IP desde el SDN de Megaport. El tiempo de aprovisionamiento del MVE de Palo Alto varía según las versiones y depende de si proporciona un código de autorización de licencia. MVE puede tardar hasta 15 minutos en aprovisionarse antes de que pueda iniciar sesión y continuar con la configuración.

Después de pedir el MVE desde el Portal de Megaport, puede utilizar Palo Alto Panorama para gestionar el firewall.

Visualización de MVE en el Portal de Megaport

Tras crear un MVE, podrá verlo en el Portal de Megaport en la página Services (Servicios). También puede ver las direcciones IP públicas asignadas.

Para ver un MVE en el Portal de Megaport

• Vaya a la página Services (Servicios).

El icono de Megaport Internet es distinto del icono de la VXC estándar en el Portal de Megaport, tal y como se muestra en la imagen.

Para obtener más información sobre la página Services (Servicios), consulte Explicación de la página Services (Servicios).

Para ver las direcciones IP públicas asignadas al MVE

1. Haga clic en el icono de engranaje junto a la conexión de Megaport Internet.
   Aparecerá la pantalla Connection Configuration (Configuración de conexión). Desde aquí, puede modificar cualquiera de los detalles de la conexión de Megaport Internet.
   
2. Haga clic en la pestaña Detalles.
   
3. Localice la dirección IP pública (IPv4 o IPv6).
   Estas son las direcciones IP públicas asignadas al MVE.

Actualización de la contraseña de administrador

A continuación, reemplazará la contraseña temporal que estableció en el Portal de Megaport por una nueva contraseña segura.

Para actualizar la contraseña de administrador

1. Inicie sesión en el sistema de Palo Alto utilizando la contraseña de administrador temporal que estableció en el Portal de Megaport.
2. Elija Device (Dispositivo) > Administrators (Administradores).
3. Seleccione el usuario admin.
   
4. Introduzca la contraseña temporal anterior y una nueva contraseña segura, y confirme la nueva contraseña.
   
5. Haga clic en OK (Aceptar).
6. Elija Config (Configuración) > Save Changes (Guardar cambios).

Configuración de la interfaz Data Plane (Plano de datos)

A continuación, configurará la interfaz Data Plane (Plano de datos) y le asignará un tipo de interfaz.

Para configurar la interfaz Data Plane (Plano de datos)

1. Elija Network (Red) > Interfaces.
2. Seleccione ethernet1/1 en la columna Interface (Interfaz).
   
3. Seleccione Layer3 (Capa 3) en la lista desplegable Interface Type (Tipo de interfaz).
   
4. Haga clic en OK (Aceptar).
5. Resalte la fila ‘ethernet1/1’ y haga clic en Add Subinterface (Añadir subinterfaz) en la parte inferior de la pantalla.

6. Proporcione estos detalles:

   • Interface Name (Nombre de la Interfaz) – Introduzca un nombre para la subinterfaz. En el campo adyacente, introduzca un número para identificar la subinterfaz.

   • Comment (Comentario) – Introduzca un nombre alternativo.

   • Tag (Etiqueta) – Especifique el valor de A-End VLAN (VLAN del extremo A) asociado con el puerto de destino de Megaport Internet.

   • Virtual Router (Enrutador virtual) – Seleccione un enrutador virtual para la interfaz, según lo requiera su red.
     

7. Seleccione la pestaña IPv4.

8. Seleccione DHCP Client (Cliente DHCP) como Type (Tipo).
9. Haga clic en OK (Aceptar).
10. Haz clic en Commit (Asignar) en la esquina superior derecha.
    
11. Revise los cambios y haga clic en Commit (Asignar).

Siguientes pasos

Dado que ya ha implementado un MVE, el siguiente paso será conectar una VXC a un CSP, un puerto local o una red de terceros. De manera opcional, conecte un Puerto físico al MVE a través de una VXC privada o conéctese a un proveedor de servicios en el Marketplace de Megaport.

---

Última actualización: 2024-02-09