Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Création d’une connexion Azure pour un MVE avec Palo Alto VM-Series

Vous pouvez créer une connexion réseau d’un MVE (un pare-feu Palo Alto VM-Series) vers Azure ExpressRoute avec des Virtual Cross Connects (VXCs). Vous pouvez créer une connexion privée ou une connexion publique (Microsoft).

Important

Avant de commencer, créez un MVE (VM-Series). Pour plus d’informations, voir Création d’un VM-Series MVE.

Il y a trois parties à ajouter une connexion ExpressRoute à votre MVE et VM-Series.

1. Configurez votre plan ExpressRoute et déployez le circuit ExpressRoute dans la console Azure. Lorsqu’il est déployé, vous obtenez une clé de service. Pour plus de détails, voir la documentation ExpressRoute de Microsoft.

2. Dans le Megaport Portal, créez une connexion (VXC) de votre MVE vers votre emplacement ExpressRoute.

3. Dans VM-Series, créez une nouvelle interface et ajoutez les détails de la connexion ExpressRoute.

Les instructions de ce sujet décrivent les deuxième et troisième parties.

Remarque

MVE pour Palo Alto nécessite des étapes de configuration à la fois dans VM-Series et dans le Megaport Portal pour toutes les connexions cloud.

Ajouter la connexion ExpressRoute dans le Megaport Portal

Pour configurer la connexion ExpressRoute, vous devez créer la connexion dans le Megaport Portal.

Pour créer une connexion à ExpressRoute depuis le Megaport Portal

1. Dans le Megaport Portal, allez à la page Services et sélectionnez le MVE que vous souhaitez utiliser.

2. Cliquez sur +Connexion sur le MVE.
   

3. Cliquez sur la tuile Cloud.

4. Sélectionnez Microsoft Azure comme fournisseur.
   

5. Ajoutez la clé de service ExpressRoute dans le champ Microsoft Azure Service Key à droite. Le Portal vérifie la clé, puis affiche les lieux de port disponibles basés sur la région ExpressRoute. Par exemple, si votre service ExpressRoute est déployé dans la région Australia East à Sydney, vous pouvez sélectionner les emplacements de Sydney.

6. Sélectionnez le point de connexion pour votre première connexion. Pour déployer une deuxième connexion (et c’est recommandé), vous pouvez créer un second VXC - entrez la même clé de service et sélectionnez l’autre emplacement de connexion.

   Des liens utiles apparaissent sur l’écran de configuration vers des ressources, y compris la console Azure Resource Manager et quelques vidéos tutoriels.

7. Cliquez sur Suivant.

8. Spécifiez les détails de la connexion:

   • Nom de la Connexion – Le nom de votre VXC à afficher dans le Megaport Portal.

   • Référence du Niveau de Service (facultatif) – Spécifiez un numéro d’identification unique pour votre service Megaport à utiliser à des fins de facturation, tel qu’un numéro de centre de coût, un identifiant client unique, ou un numéro de commande d’achat. Le numéro de référence du niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

   • Limite de Débit – La vitesse de votre connexion en Mbps. La limite de débit pour le VXC sera plafonnée au maximum autorisé basé sur la clé de service ExpressRoute.

   • État du VXC – Sélectionnez Activé ou Arrêté pour définir l’état initial de la connexion. Pour plus d’informations, voir Arrêter un VXC pour tester le basculement.

     Remarque

     Si vous sélectionnez Arrêté, le trafic ne circulera pas à travers ce service et il se comportera comme s’il était en panne sur le réseau Megaport. La facturation pour ce service restera active et vous serez quand même facturé pour cette connexion.

   • vNIC A-End – Sélectionnez un vNIC A-End dans la liste déroulante. Pour plus d’informations sur les vNICs, voir Création d’un MVE dans le Megaport Portal.

   • VLAN A-End Préféré – Spécifiez un identifiant VLAN inutilisé pour cette connexion (pour ExpressRoute, c’est le S-Tag). Cela doit être un identifiant VLAN unique sur ce MVE et peut s’étendre de 2 à 4093. Si vous spécifiez un identifiant VLAN déjà utilisé, le système affiche le prochain numéro de VLAN disponible. L’identifiant VLAN doit être unique pour poursuivre la commande. Si vous ne spécifiez pas de valeur, Megaport en assignera un.

   • Durée Minimale – Sélectionnez Pas de Durée Minimale, 12 Mois, 24 Mois, ou 36 Mois. Les durées plus longues entraînent un tarif mensuel réduit. 12 Mois est sélectionné par défaut. Prenez note des informations à l’écran pour éviter les frais de résiliation anticipée (ETF).

     Activez l’option Renouvellement de la Durée Minimale pour les services d’une durée de 12, 24, ou 36 mois afin de renouveler automatiquement le contrat au même prix réduit et pour la même durée à la fin du contrat. Si vous ne renouvelez pas le contrat, à la fin de la durée, le contrat basculera automatiquement sur un contrat mensuel pour la période de facturation suivante, au même prix, sans remises liées à la durée.

     Pour plus d’informations, voir Tarification et conditions contractuelles de VXC et VXC, Megaport Internet, et IX Facturation.

   • Étiquettes de Ressource – Vous pouvez utiliser des étiquettes de ressource pour ajouter vos propres métadonnées de référence à un service Megaport.
     Pour ajouter une étiquette:

     1. Cliquez sur Ajouter des étiquettes.
     2. Cliquez sur Ajouter une nouvelle étiquette.
     3. Entrez les détails dans les champs:
        • Clé – chaîne de longueur maximale 128. Les valeurs valides sont a-z 0-9 _: . / \ -
        • Valeur – chaîne de longueur maximale 256. Les valeurs valides sont a-z A-Z 0-9 _: . @ / + \ - (espace)
     4. Cliquez sur Enregistrer.

     Si vous avez déjà des étiquettes de ressource pour ce service, vous pouvez les gérer en cliquant sur Gérer les étiquettes.

     Avertissement

     Ne jamais inclure d’informations sensibles dans une étiquette de ressource. Les informations sensibles incluent les commandes qui renvoient des définitions d’étiquettes existantes et les informations qui identifieront une personne ou une entreprise.

   • Configurer le VLAN de Peering Azure unique – Par défaut, cette option est activée pour MVE et nous vous recommandons fortement de la garder activée avec Palo Alto VM-Series. Cette option fournit une solution de VLAN à étiquette unique. Vous configurez le peering dans Azure avec le VLAN MVE (A-End) et le VLAN pair configuré dans Azure (B-End). Notez que vous pouvez avoir un seul type de peering (Privé ou Microsoft) par VXC avec cette option.

     Important

     Si vous n’activez pas cette option, le VXC apparaît actif mais ne reconnaît pas le trafic.

   • VLAN de Peering Azure – Cette valeur doit correspondre au VLAN A-End pour le peering VLAN à étiquette unique. Un VLAN de peering Azure différent peut également être configuré, si nécessaire.
     

9. Cliquez sur Suivant et procédez au processus de commande.

Lorsque la configuration du VXC est terminée, l’icône VXC est verte.

Dans la console de gestion des ressources Azure, le statut du fournisseur sera Provisioned.

Une fois provisionné, vous devez configurer les peerings. Vous pouvez configurer le peering privé et Microsoft. Cliquez sur le pair à configurer et fournissez ces détails:

• ASN Pairé – Entrez l’ASN pour le MVE.
• Sous-réseaux IPv4 – De chacun de ces sous-réseaux, MVE utilise la première adresse IP utilisable et Microsoft utilise la deuxième adresse IP utilisable pour son routeur.
• ID VLAN – Entrez le VLAN A-End depuis le MVE. (Notez que l’ID VLAN dans la console Azure peut être différent du VLAN A-End.)
• Clé Partagée (optionnel) – Entrez un mot de passe MD5 pour le BGP.

Ajouter la connexion ExpressRoute à VM-Series

Après avoir créé la connexion de votre MVE à Azure et configuré la connexion dans la console Azure, vous devez la configurer dans VM-Series. Cela implique de créer une interface et de configurer les paramètres BGP, les ASNs, les VLANs et les valeurs MD5.

Pour ajouter la connexion Cloud Azure dans VM-Series

1. Rassemblez les détails de la connexion depuis la console Azure. Affichez les détails de la connexion créée dans Azure pour cette connexion. Notez les valeurs pour le ASN Pairé, Clé Partagée, ID VLAN, et Sous-réseau IPv4 Principal.

2. Rassemblez les détails de la connexion depuis le Megaport Portal. Cliquez sur l’icône de paramètres pour la connexion Azure depuis votre MVE et cliquez sur l’option de vue Détails. Notez la valeur pour le VLAN A-End.

3. Connectez-vous à VM-Series.

4. Choisissez Réseau > Interfaces.

5. Sélectionnez le A-End MVE (ethernet1/1).

6. Cliquez sur Ajouter une Sous-Interface.

7. Fournissez ces détails:

   • Nom de l’Interface – Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour indiquer la sous-interface.

   • Commentaire – Entrez un nom alternatif.

   • Tag – Spécifiez le VLAN A-End associé à cette Connexion Azure dans le Megaport Portal.

   • Routeur Virtuel – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.

8. Sélectionnez l’onglet IPv4.

9. Sélectionnez Statique comme Type.
10. Cliquez sur +Ajouter pour ajouter une nouvelle adresse IP.
11. Entrez l’adresse IPv4 et le masque de réseau. Ces valeurs sont disponibles dans la console Azure. Les adresses IP et CIDR apparaissent dans le champ Sous-réseau IPv4 Principal ; MVE utilise la première adresse IP utilisable et Azure utilise la deuxième adresse IP utilisable pour son routeur. Pour ce champ, entrez l’adresse IP MVE (première utilisable).
12. Cliquez sur OK.
13. Cliquez sur Commit dans le coin supérieur droit.
    
14. Passez en revue les modifications et cliquez sur Commit.
    

La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1.

Ensuite, vous créerez une zone de sécurité pour que l’interface puisse router le trafic.

Pour créer une zone de sécurité

1. Sélectionnez la sous-interface ethernet1/1.1010.
2. Sélectionnez Nouvelle Zone dans la liste déroulante Zone de Sécurité.
3. Spécifiez un nom pour la zone de sécurité.
   
4. Cliquez sur +Ajouter sous Interfaces et ajoutez ethernet1/1.1010 à la zone de sécurité.
5. Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
6. Sélectionnez Nouveau Profil de Protection de Zone dans la liste déroulante Profil de Protection de Zone.
7. Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
   
8. Cliquez sur OK.
9. Cliquez sur OK dans l’écran de la Sous-Interface Layer3.
10. Cliquez sur Commit dans le coin supérieur droit.
    
11. Passez en revue les modifications et cliquez sur Commit.
    

À ce stade, vous avez créé l’interface. Ensuite, vous devez créer la session BGP.

Pour créer la session BGP

1. Dans VM-Series, choisissez Réseau > Routeurs Virtuels.
2. Sélectionnez le routeur virtuel.
   
3. Dans le volet de gauche, sélectionnez BGP.

4. Fournissez les détails suivants pour le BGP:

   • Activer – Cochez cette case pour démarrer la session BGP après avoir appliqué ces modifications.
   • ID du Routeur – Entrez la première adresse IP utilisable du Sous-réseau IPv4 Principal depuis la console Azure.
   • Numéro AS – Fournissez l’ASN pour la connexion MVE. Fournissez l’ASN pour la connexion MVE. Utilisez le ASN Pairé depuis la console Azure.
     

5. Cliquez sur +Ajouter sous Profils d’Authentification.

6. Spécifiez un Nom de Profil.
   
7. Entrez et confirmez le mot de passe d’authentification.
8. Cliquez sur OK.
9. Sélectionnez l’onglet Groupe de Peers.
   
10. Cliquez sur +Ajouter pour ajouter un groupe de peers.
11. Spécifiez un nom pour le groupe de peers. Par exemple, AWS-xxxx.
12. Spécifiez eBGP comme type de session.
13. Spécifiez tous les détails supplémentaires requis pour votre réseau.
14. Cliquez sur +Ajouter pour ajouter un nouveau peer.
15. Spécifiez les détails pour le peer:
    • Nom – Spécifiez un nom pour le peer.
    • AS du Peer – Spécifiez l’ASN côté Azure de 12076. C’est une valeur fixe, qui apparaît dans les détails de connexion sur la console Azure.
    • Adresse Locale – Sélectionnez la sous-interface appropriée et l’adresse IP dans la liste déroulante.
    • Adresse du Peer – Entrez la deuxième adresse IP utilisable du Sous-réseau IPv4 Principal depuis la console Azure.
      

Validation de votre connexion Azure

Pour vérifier le statut du peer BGP

1. Choisissez Réseau > Routeurs Virtuels.
2. Localisez votre routeur virtuel (par défaut).
3. Cliquez sur Plus de Statistiques Runtime dans la colonne Statistiques Runtime à droite.
   
4. Sélectionnez l’onglet BGP, puis sélectionnez l’onglet Peer.
5. Vérifiez que le statut du peer est Established.