action.skip
Documentación de Megaport
Planificar su implementación
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Planificación de la implementación de Palo Alto Networks VM-Series MVE

Este tema proporciona una descripción general del proceso de aprovisionamiento y describe las consideraciones de implementación para Megaport Virtual Edge (MVE).

Firewall VM-Series de Palo Alto Networks

Necesitará una licencia VM-Series de Palo Alto Networks para usar en la red definida por software (SDN) de Megaport. Para obtener más información, consulte Licenciamiento.

Megaport le proporciona:

  • Una máquina virtual para alojar la imagen del Next Generation Firewall (NGFW)
  • Una conexión Megaport Internet para terminar el túnel entre MVE y el CPE en la sucursal a través de internet
  • Acceso al ecosistema de Megaport.

Características de VM-Series

VM-Series ofrece servicios NGFW en una máquina virtual. Alojar VM-Series en MVE no solo optimiza la conectividad de red del borde a la nube, sino que también aplica servicios y políticas de seguridad avanzados a lo largo de los segmentos de backbone de Megaport.

La oferta Secure Access Service Edge (SASE) de Palo Alto Networks es para clientes que adoptan la arquitectura SASE y necesitan seguridad adicional para su red en el borde.

Integrar VM-Series en la plataforma NaaS de Megaport extiende los siguientes elementos SASE fundamentales entre el borde y la trama de red de la nube:

  • Next-generation firewall, incluidas políticas de firewall corporativas con estado, traducción de direcciones de red (NAT), servicios de protección contra intrusiones, inspección de Secure Sockets Layer (SSL) e inteligencia de amenazas.

  • Secure web gateway (SWG) protege los dispositivos de destinos maliciosos en internet mediante filtrado de contenido web y análisis de malware.

  • Zero trust network access (ZTNA), que controla el acceso a las aplicaciones verificando a los usuarios y dispositivos antes de cada sesión de aplicación y confirma que cumplen la política de la organización para acceder a esa aplicación.

  • La segmentación y las listas blancas controlan las aplicaciones que se comunican a través de diferentes subredes, bloquean el movimiento lateral de amenazas y ayudan a cumplir con las normativas.

  • Threat Prevention, DNS Security y WildFire aplican políticas específicas por aplicación que previenen malware y detienen amenazas previamente desconocidas de infectar la nube.

VM-Series también admite la integración de usuarios remotos con soluciones SASE de Palo Alto Networks con Prisma Access. Prisma Access proporciona dos métodos de conexión de acceso de usuario remoto:

  • GlobalProtect – Extiende la visibilidad y el control de Prisma Access sobre todo el tráfico de red, aplicaciones, puertos y protocolos al usuario para acceso seguro a aplicaciones en internet o en data centers.
  • Explicit proxy – Permite acceso SWG a aplicaciones SaaSSoftware como Servicio (SaaS) es una forma de computación en la nube en la que el proveedor ofrece a un cliente el uso de software de aplicación y gestiona todos los recursos físicos y de software utilizados por la aplicación. SaaS a veces se denomina “software bajo demanda” y generalmente se cobra según un modelo de pago por uso o mediante una tarifa de suscripción.
     basadas en internet mediante HTTP y HTTPS.

Para obtener más información sobre estas funciones, consulte la VM-Series Tech Docs.

Nota

Si ya ha implementado un firewall VM-Series, puede conectarlo a un MVE para que su sede o sucursales accedan a servicios en la nube mediante interconexiones privadas.

Consideraciones de implementación

Esta sección proporciona una descripción general de las opciones y características de implementación de MVE.

Palo Alto Networks utiliza appliances virtuales o físicos al igual que muchas otras plataformas. Sin embargo, con Palo Alto Networks, puede configurar los appliances para varios usos diferentes. Por ejemplo, puede configurar un appliance de Palo Alto Networks para utilizarlo:

  • Estrictamente como un next-generation firewall (NGFW) para oficinas remotas con configuración y registro locales únicamente.

  • Como gestión centralizada con registro centralizado, o como gestión centralizada sin registro centralizado.

Proveedores de SD-WAN

MVE está integrado con Palo Alto Networks, que utiliza el orquestador de red Panorama de Palo Alto (VM-Series) para crear la red superpuesta privada.

Para obtener información sobre todas las NFVsMVE es una plataforma de Virtualización de Funciones de Red (NFV) bajo demanda y neutral respecto al proveedor que proporciona infraestructura virtual para servicios de red en el borde de la red global definida por software (SDN) de Megaport. Las tecnologías de red como SD-WAN y NGFW se alojan directamente en la red global de Megaport a través de Megaport Virtual Edge.
 compatibles en la plataforma MVE, consulte la Megaport Virtual Edge (MVE) product page.

Ubicaciones de MVE

Para obtener una lista de ubicaciones globales donde puede conectarse a un MVE, consulte Ubicaciones de Megaport Virtual Edge.

Dimensionamiento de su instancia de MVE

El tamaño de la instancia determina las capacidades de MVE, como cuántas conexiones concurrentes puede admitir.

Al elegir un tamaño de instancia de MVE, tenga en cuenta lo siguiente:

  • Cualquier aumento en la carga del flujo de datos de la red puede degradar el rendimiento. Por ejemplo, establecer túneles seguros con IPsec, añadir path steering del tráfico, o usar inspección profunda de paquetes (DPI) puede afectar la velocidad máxima de throughput.

  • Planes futuros para escalar la red.

Para comprobar qué tamaños de instancia de MVE están disponibles para su implementación, use el Megaport Portal durante el proceso de configuración de MVE. La disponibilidad de tamaños de instancia depende tanto del proveedor seleccionado como de la ubicación de implementación, y puede variar en consecuencia. El Megaport Portal muestra los tamaños que están disponibles para el proveedor y la ubicación que seleccionó.

Para comprobar los tamaños de instancia de MVE en el Megaport Portal

  1. En el Megaport Portal, vaya a la página Services (Servicios).

  2. Haga clic en Create MVE (Crear MVE).
    Botón Create MVE

  3. Seleccione Palo Alto VM-Series.

  4. Seleccione la versión del software.

  5. Haga clic en Next (Siguiente).

  6. Seleccione una ubicación de MVE.

    Seleccione una ubicación geográficamente cercana a su sucursal objetivo y/o a sus ubicaciones on-premises.

    Puede usar el campo Search (Buscar) para encontrar el nombre del Port, el país, la ciudad del área metropolitana (Metro City) o la dirección de su Port de destino. También puede filtrar por zona de diversidad.

  7. Aparece una lista de tamaños de instancia disponibles según la ubicación seleccionada. Los tamaños disponibles se resaltan en verde y están etiquetados como Available (Disponible). Los tamaños admiten diferentes números de conexiones concurrentes, y las métricas de los productos de cada socio varían ligeramente.

    Nota

    Si el tamaño de MVE que desea no está en la lista, entonces no hay suficiente capacidad en la ubicación seleccionada. Puede seleccionar otra ubicación con suficiente capacidad o ponerse en contacto con su Gerente de cuenta para analizar los requisitos.

¿Qué pasa si necesito más capacidad de MVE en el futuro?

Para aumentar su capacidad de MVE, tiene estas opciones:

  • Puede aprovisionar otra instancia de MVE, añadirla a su red overlay de , y dividir la carga de trabajo entre las dos MVE.

  • Puede aprovisionar una instancia de MVE más grande, añadirla a su red overlay de , migrar las conexiones desde la MVE antigua a la nueva y más grande MVE, y luego retirar la MVE antigua.

Si necesita más cores (vCPUs), puede:

  • Crear un nuevo MVE con más cores y dar de baja el anterior (esta opción requerirá que reconfigure su firewall).
  • Crear un nuevo MVE como segundo firewall para descargar capacidad del primer firewall.

Puede ajustar el ancho de banda de Megaport Internet en cualquier momento sin tener que desmantelar la máquina virtual.

Seguridad

MVE proporciona capacidad segura desde y hacia sus ubicaciones de sucursales habilitadas para internet, a cualquier endpoint o proveedor de servicios en la SDN de Megaport. Las instancias alojadas por el CSP de productos SD-WAN de partners enrutan tráfico crítico a través de la SDN de Megaport, reduciendo la dependencia de internet. El tráfico permanece cifrado y bajo el control de sus políticas mientras viaja a través de la SDN de Megaport, hacia o desde MVE.

Licencias

Usted aporta su propia licencia VM-Series para usar con MVE. Es su responsabilidad tener las licencias adecuadas para los endpoints creados en la red de Megaport.

Para adquirir una licencia VM-Series, recomendamos que comience con la credit estimator tool de Palo Alto Networks.

Recomendaciones:

  • Asegúrese de que el número de vCPUs que selecciona se ajusta a sus requisitos.
  • Elija Kernel-based Virtual Machine (KVM) como entorno.
  • Para obtener el mejor rendimiento, recomendamos que haga coincidir el número de vCPUs de su licencia VM-Series con el número de vCPUs en su MVE.

Etiquetado de VLAN

Megaport utiliza Q-in-QLa tunelización 802.1Q (también conocida como Q-in-Q o 802.1ad) es una técnica utilizada por proveedores de Capa 2 del modelo OSI para clientes. 802.1ad admite tanto una etiqueta interna como una externa mediante la cual la externa (a veces llamada S-tag de proveedor de servicios) puede eliminarse para exponer las etiquetas internas (C-tag o de cliente) que segmentan los datos.
 para diferenciar los VXC y los MVE en un sistema de hardware host. El MVE del tenant recibe tráfico sin etiqueta para el enlace orientado a internet, y tráfico 802.1Q con una sola etiqueta para los VXC hacia otros destinos en la red de Megaport (como on-ramps de CSP u otros MVE). Para obtener más información, consulte Configurar Q-in-Q.

vNICs

Cada MVE puede tener hasta cinco vNICs. Un MVE de VM-Series se crea con dos vNICs de forma predeterminada. Puede añadir hasta tres más, para un total de cinco.

Antes de especificar el número de vNICs en su MVE:

  • Tenga en cuenta que el número de vNICs no se puede cambiar después de haber solicitado un MVE. Decida de antemano cuántas vNICs especificar cuando cree el MVE.

  • Consulte con su proveedor de servicios para asegurarse de que la funcionalidad no se vea afectada si añade una vNIC.

Nota

Si necesita cambiar el número de vNICs después de haber solicitado un MVE, tendrá que cancelar y volver a pedir el MVE.

Para obtener más información, consulte Tipos de conexiones de vNIC.