Aller au contenu
Documentation Megaport
Connexions MVE Azure

Création d’une connexion Azure pour un MVE avec Palo Alto VM-Series

Vous pouvez créer une connexion réseau entre un MVE (un pare-feu Palo Alto VM-Series) et Azure ExpressRoute à l’aide de connexions transversales virtuelles (VXC). Vous pouvez créer soit une connexion privée, soit une connexion publique (Microsoft).

Important

Avant de commencer, créez un MVE (VM-Series). Pour plus de détails, voir Création d’un MVE.

L’ajout d’une connexion ExpressRoute à votre MVE et à votre VM-Series se fait en trois parties.

  1. Configurez votre plan ExpressRoute et déployez le circuit ExpressRoute dans la console Azure. Lors du déploiement, vous obtenez une clé de service. Pour plus de détails, voir la documentation Microsoft ExpressRoute.

  2. Dans le Portail Megaport, créez une connexion (VXC) entre votre MVE et votre emplacement ExpressRoute.

  3. Dans VM-Series, créez une nouvelle interface et ajoutez les détails de la connexion ExpressRoute.

Les instructions de cette rubrique passent en revue les deuxième et troisième parties.

Remarque

MVE pour Palo Alto nécessite des étapes de configuration à la fois dans VM-Series et dans le Portail Megaport pour toutes les connexions au cloud.

Ajout de la connexion ExpressRoute dans le Portail Megaport

Pour mettre en place la connexion ExpressRoute, vous devez créer la connexion dans le Portail Megaport.

Pour créer une connexion vers ExpressRoute à partir du Portail Megaport

  1. Dans le Megaport Portal, allez à la page Services et sélectionnez le MVE que vous souhaitez utiliser.

  2. Cliquez sur +Connection (+Connexion) sur le MVE.
    Ajouter une connexion

  3. Cliquez sur la vignette Cloud.

  4. Sélectionnez Azure ExpressRoute comme fournisseur. Ajouter une connexion

  5. Ajoutez la clé de service ExpressRoute dans le champ du volet de droite.
    Le portail vérifie la clé et affiche ensuite les emplacements de port disponibles en fonction de la région ExpressRoute. Par exemple, si votre service ExpressRoute est déployé dans la région Australie Est à Sydney, vous pouvez sélectionner les cibles de Sydney.

  6. Sélectionnez le point de connexion pour votre première connexion.
    Pour déployer une deuxième connexion (ce qui est recommandé), vous pouvez créer une deuxième VXC - entrez la même clé de service et sélectionnez la cible de l’autre connexion. Quelques liens utiles sur les ressources apparaissent sur l’écran de configuration, dont la console Azure Resource Manager et des vidéos de tutoriels.

  7. Précisez ces détails de connexion :

    • Name your connection (Nommez votre connexion) – Le nom de votre VXC qui doit apparaître sur le Portail Megaport.

    • Service Level Reference (Référence de niveau de service) (optionnelle) – Spécifiez un numéro d’identification unique pour la VXC à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

      Remarque

      Les comptes gérés par les partenaires peuvent appliquer un accord partenaire à un service. Pour plus de détails, voir Association d’une transaction à un service.

    • Rate Limit (Débit maximal) – Il s’agit de la vitesse de votre connexion en Mbits/s. Le débit maximal pour la VXC est plafonné au maximum autorisé en fonction de la clé de service ExpressRoute.

    • Preferred A-End VLAN (VLAN A-End préféré) – Spécifiez un ID VLAN inutilisé pour cette connexion (pour ExpressRoute, il s’agit du S-Tag). Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.

    • Configure Single Azure Peering VLAN (Configurer un seul VLAN de peering Azure) – Par défaut, cette option est activée pour MVE et nous recommandons fortement de la conserver avec Palo Alto VM-Series.
      Cette option fournit une solution VLAN à balise unique. Vous configurez le peering dans Azure avec le VLAN MVE (A-End) et le VLAN du pair défini dans Azure (B-End). Notez que vous ne pouvez avoir qu’un seul type de peering (privé ou Microsoft) par VXC avec cette option.

      Important

      Si vous n’activez pas cette option, la VXC semble active mais elle ne reconnaît pas le trafic.

    • Azure Peering VLAN (VLAN de peering Azure) – Cette valeur doit correspondre au VLAN de l’A-End.
      Détails de la connexion Azure

  8. Cliquez sur Next (Suivant) et procédez à la commande.

Lorsque la configuration du VXC est terminée, l’icône VXC est verte.

Nouvelle VXC

Dans la console Azure Resource Management, le statut du fournisseur sera « Provisionné ».

Statut du fournisseur Azure

Une fois le provisionnement effectué, vous devez configurer les peerings. Vous pouvez configurer le peering privé et Microsoft. Cliquez sur le pair à configurer et fournissez ces détails :

  • Peer ASN (ASN pair) – Entrez l’ASN du MVE.
  • IPv4 Subnets (Sous-réseaux IPv4) – À partir de chacun de ces sous-réseaux, MVE utilise la première adresse IP utilisable et Microsoft utilise la deuxième adresse IP utilisable pour son routeur.
  • VLAN ID (ID du VLAN) – Entrez le VLAN de l’A-End du MVE. (Remarque : l’ID du VLAN dans la console Azure peut être différent du VLAN de l’A-End).
  • Shared Key (Clé partagée) – En option, entrez un mot de passe MD5 pour BGP.

Configuration du peering Azure

Ajout de la connexion ExpressRoute à VM-Series

Après avoir créé la connexion de votre MVE à Azure et configuré la connexion dans la console Azure, vous devez la configurer dans VM-Series. Cela implique de créer une interface et de configurer les paramètres BGP, les ASN, les VLAN et les valeurs MD5.

Pour ajouter la connexion Azure Cloud dans VM-Series

  1. Récupérez les détails de la connexion depuis la console Azure.
    Affichez les détails de la connexion que vous avez créée dans Azure pour cette connexion. Notez les valeurs des champs Peer ASN (ASN de pair), Shared Key (Clé partagée), VLAN ID (ID du VLAN) et IPv4 Primary Subnet (Sous-réseau principal IPv4).

  2. Récupérez les détails de la connexion depuis le Portail Megaport.
    Cliquez sur l’icône d’engrenage de la connexion Azure de votre MVE et cliquez sur la vue Details (Détails). Notez la valeur pour le VLAN A-End.

  3. Connectez-vous à la VM-Series.

  4. Choisissez Network > Interfaces (Réseau > Interfaces).

  5. Sélectionnez le MVE A-End (ethernet1/1).

  6. Cliquez sur Add Subinterface (Ajouter une sous-interface).

  7. Fournissez ces détails :

    • Interface Name – (Nom de l’interface) Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.

    • Comment – (Commentaire) Entrez un autre nom.

    • Tag (Balise) – Spécifiez le VLAN A-End associé à cette connexion Azure dans le portail Megaport.

    • Virtual Router (Routeur virtuel) – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.

  8. Sélectionnez l’onglet IPv4.

  9. Sélectionnez Static (Statique) comme Type.
  10. Cliquez sur +Add (+Ajouter) pour ajouter une nouvelle adresse IP.
  11. Saisissez l’adresse IPv4 et le masque de réseau.
    Ces valeurs sont disponibles dans la console Azure. Les adresses IP et CIDR apparaissent dans le champ IPv4 Primary Subnet (Sous-réseau principal IPv4) ; MVE utilise la première adresse IP utilisable et Azure utilise la deuxième IP utilisable pour son routeur. Dans ce champ, entrez l’adresse IP du MVE (première adresse utilisable).
  12. Cliquez sur OK.
  13. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    Bouton de validation
  14. Vérifiez les modifications et cliquez sur Commit (Valider). Valider les modifications

La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1.

Ensuite, vous allez créer une zone de sécurité afin que l’interface puisse acheminer le trafic.

Pour créer une zone de sécurité

  1. Sélectionnez la sous-interface ethernet1/1.1010.
  2. Sélectionnez New Zone (Nouvelle zone) dans la liste déroulante Security Zone (Zone de sécurité).
  3. Spécifiez un nom pour la zone de sécurité.
    Paramètres de zone de sécurité
  4. Cliquez sur +Add (+Ajouter) sous Interfaces et ajoutez ethernet1/1.1010 à la zone de sécurité.
  5. Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
  6. Sélectionnez New Zone Protection Profile (Nouveau profil de protection de zone) dans la liste déroulante Zone Protection Profile (Profil de protection de zone).
  7. Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
    Profil de protection de zone
  8. Cliquez sur OK.
  9. Cliquez sur OK (OK) dans l’écran Layer3 Subinterface (Sous-interface de la Couche 3).
  10. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    Bouton de validation
  11. Vérifiez les modifications et cliquez sur Commit (Valider). Valider les modifications

À ce stade, vous avez créé l’interface. Ensuite, vous devez créer la session BGP.

Pour créer la session BGP

  1. Dans VM-Series, choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
  2. Sélectionnez le routeur virtuel.
    Sélectionnez le routeur virtuel
  3. Dans le volet de gauche, sélectionnez BGP.

  4. Fournissez les détails BGP suivants :

    • Enable (Activer) – Cochez cette case pour démarrer la session BGP après avoir validé ces modifications.
    • Router ID (ID du routeur) – Entrez la première adresse IP utilisable dans IPv4 Primary Subnet (Sous-réseau principal IPv4) de la console Azure.
    • AS Number (Numéro AS) – Fournissez l’ASN pour la connexion MVE. Fournissez l’ASN pour la connexion MVE. Utilisez le Peer ASN (ASN pair) à partir de la console Azure. Détails de BGP

  5. Cliquez sur +Add (+Ajouter) sous Auth Profiles (Profils d’authentification).

  6. Spécifiez un Nom de Profil.
    Profile Name (Nom de profil)
  7. Saisissez et confirmez le mot de passe d’authentification.
  8. Cliquez sur OK.
  9. Sélectionnez l’onglet Peer Group (Groupe de pairs).
    Onglet Peer Group (Groupe de pairs)
  10. Cliquez sur +Add (+Ajouter) pour ajouter un groupe de pairs.
  11. Spécifiez un nom pour le groupe de pairs. Par exemple, AWS-xxxx.
  12. Spécifiez eBGP comme type de session.
  13. Spécifiez tous les détails supplémentaires requis pour votre réseau.
  14. Cliquez sur +Add (+Ajouter) pour ajouter un nouveau pair.
  15. Spécifiez les détails pour le pair :
    • Name (Nom) – Spécifiez un nom pour le pair.
    • Peer AS (AS du pair) – Entrez l’ASN côté Azure de 12076. Il s’agit d’une valeur fixe, qui apparaît dans les détails de la connexion sur la console Azure.
    • Local Address (Adresse locale) – Sélectionnez la sous-interface et l’adresse IP appropriées dans la liste déroulante.
    • Peer Address (Adresse du pair) – Entrez la deuxième adresse IP utilisable du IPv4 Primary Subnet (Sous-réseau principal IPv4) de la console Azure.
      Écran Groupe de pairs BGP

Validation de votre connexion Azure

Pour vérifier le statut du pair BGP

  1. Choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
  2. Localisez votre routeur virtuel (par défaut).
  3. Cliquez sur More Runtime Stats (Plus de statistiques d’exécution) dans la colonne Runtime Stats (Statistiques d’exécution) sur la droite.
    Statistiques d'exécution
  4. Sélectionnez l’onglet BGP, puis sélectionnez l’onglet Peer (Pair).
  5. Vérifiez que le statut du pair est Established (Établi).
    Statut établi
Dernière mise à jour: 2024-02-12