action.skip
Megaport Documentation
Connexion des MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Connexion des MVE Intégrés avec Palo Alto Networks VM-Series

Ce sujet décrit comment connecter un Megaport Virtual Edge (MVE) intégré avec le pare-feu de nouvelle génération (NGFW) de Palo Alto Networks à un autre MVE.

Ce déploiement utilise le réseau défini par logiciel (SDN) privé de Megaport pour réduire la dépendance à l’internet et connecter des sites d’entreprise.

Agence à agence

Avec deux MVE configurés, vous pouvez créer un VXC privé pour les connecter sur le réseau Megaport sans nécessité d’infrastructure physique. Un VXC est essentiellement une connexion Ethernet point à point privée entre un A-End MVE et un B-End MVE.

Remarque

L’interface faisant face à internet sur un MVE peut atteindre l’interface de ce type sur un autre MVE via l’internet public. C’est-à-dire que vous pouvez échanger du trafic entre les MVE dans différents métros sur l’internet. Le modèle de connexion de base consiste en un MVE dans un métro connectant via une connexion Megaport Internet à un MVE dans un autre métro. La connectivité consiste en une connexion gérée par le client/partenaire SD-WAN, et non par Megaport. Pour plus d’informations, voir Aperçu de Megaport Internet.

Avant de commencer

Provisionnez deux MVE dans différentes localisations. Si vous n’avez pas encore créé de MVE, voir Créer un MVE de type VM-Series.

Créer un VXC entre deux MVE

Un déploiement privé de VXC entre deux MVE intégrés avec Palo Alto Networks commence dans le Megaport Portal. Pour terminer la configuration, vous utiliserez le VM-Series de Palo Alto Networks.

Pour créer un VXC

  1. Dans le Megaport Portal, allez à la page Services et cliquez sur +Connexion à côté du MVE origine A-End.

  2. Sélectionnez Private VXC.

    Private VXC

  3. Sélectionnez le MVE destination B-End et l’emplacement.
    Utilisez le filtre par pays pour affiner la sélection.

  4. Cliquez sur Suivant.

  5. Spécifiez les détails de la connexion:

    • Nom de la Connexion – Le nom de votre VXC tel qu’il doit apparaître dans le Megaport Portal. Spécifiez un nom pour le VXC qui est facilement identifiable, par exemple, LA MVE 2 à Dallas MVE 4. Vous pouvez changer le nom plus tard si vous le souhaitez.

    • Référence du Niveau de Service (facultatif) – Spécifiez un numéro d’identification unique pour votre service Megaport à utiliser à des fins de facturation, tel qu’un numéro de centre de coût, un identifiant client unique, ou un numéro de commande d’achat. Le numéro de référence du niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

    • Limite de Débit – La vitesse de votre connexion en Mbps. La vitesse maximale est affichée. Bien que la limite de débit d’un VXC puisse atteindre plusieurs Gbps, la capacité de calcul du MVE A-End ou B-End peut influencer le débit du circuit. Consultez la documentation de Palo Alto Networks pour plus d’informations.

    • État du VXC – Sélectionnez Activé ou Arrêter pour définir l’état initial de la connexion. Pour plus d’informations, voir Arrêter un VXC pour les tests de basculement.

      Remarque

      Si vous sélectionnez Arrêter, le trafic ne transitera pas par ce service et il se comportera comme si la connexion était interrompue sur le réseau Megaport. La facturation pour ce service restera active et vous continuerez à être facturé pour cette connexion.

    • Sélection de vNIC – Selon la définition des MVE que vous utilisez, vous pourriez avoir à spécifier les vNIC A-End et B-End.

      • vNIC A-End – Spécifiez une vNIC en utilisant la valeur par défaut pré-remplie, ou sélectionnez dans la liste déroulante.

      • vNIC B-End – Spécifiez une vNIC en utilisant la valeur par défaut pré-remplie, ou sélectionnez dans la liste déroulante.

        Pour plus d’informations sur la sélection de vNIC lors de la connexion de MVE à différents services, voir Types de connexions vNIC.

    • VLAN A-End Préféré – Spécifiez le tag VLAN 802.1q pour cette connexion pour l’A-End.
      Chaque VXC est livré en tant que VLAN séparé sur le MVE. L’ID VLAN doit être unique sur ce MVE et peut varier de 2 à 4093. Si vous spécifiez un ID VLAN déjà utilisé, le système affiche le prochain numéro de VLAN disponible. L’ID VLAN doit être unique pour procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport en assignera une. Pour un MVE Palo Alto Networks, il servira également à configurer le tag VLAN dans le système PAN-OS de Palo Alto Networks.

    • VLAN B-End Préféré – Spécifiez le tag VLAN 802.1q pour cette connexion que vous recevrez via le VLAN B-End. Pour un MVE Palo Alto Networks, il servira également à configurer le tag VLAN dans le système PAN-OS de Palo Alto Networks.

    • Durée Minimale – Sélectionnez Pas de Durée Minimale, 12 Mois, 24 Mois, ou 36 Mois. Les durées plus longues entraînent un tarif mensuel réduit. 12 Mois est sélectionné par défaut. Prenez note des informations à l’écran pour éviter les frais de résiliation anticipée (ETF).

      Activez l’option Renouvellement de la Durée Minimale pour les services d’une durée de 12, 24, ou 36 mois afin de renouveler automatiquement le contrat au même prix réduit et pour la même durée à la fin du contrat. Si vous ne renouvelez pas le contrat, à la fin de la durée, le contrat basculera automatiquement sur un contrat mensuel pour la période de facturation suivante, au même prix, sans remises liées à la durée.

      Pour plus d’informations, voir Tarification et conditions contractuelles de VXC et Facturation de VXC, Megaport Internet, et IX.

    • Étiquettes de Ressource – Vous pouvez utiliser des étiquettes de ressource pour ajouter vos propres métadonnées de référence à un service Megaport.
      Pour ajouter une étiquette:

      1. Cliquez sur Ajouter des étiquettes.
      2. Cliquez sur Ajouter une nouvelle étiquette.
      3. Entrez les détails dans les champs:
        • Clé – chaîne de longueur maximale 128. Les valeurs valides sont a-z 0-9 _: . / \ -
        • Valeur – chaîne de longueur maximale 256. Les valeurs valides sont a-z A-Z 0-9 _: . @ / + \ - (espace)
      4. Cliquez sur Enregistrer.

      Si vous avez déjà des étiquettes de ressource pour ce service, vous pouvez les gérer en cliquant sur Gérer les étiquettes.

      Avertissement

      Ne jamais inclure d’informations sensibles dans une étiquette de ressource. Les informations sensibles incluent les commandes qui renvoient des définitions d’étiquettes existantes et les informations qui identifieront une personne ou une entreprise.

  6. Cliquez sur Suivant pour voir la page de Résumé.

  7. Confirmez la configuration et cliquez sur Ajouter VXC.

  8. Cliquez sur Réviser la commande pour poursuivre le processus de paiement.

Une fois le VXC déployé, vous pouvez le voir sur la page Services du Megaport Portal. La page Services affiche le VXC sous le MVE A-End et le MVE B-End. Notez que le numéro d’identification de service est le même pour le VXC aux deux extrémités de la connexion.

L’étape suivante consiste à configurer les MVE A-End et B-End dans la série VM de Palo Alto Networks.

Remarque

La procédure suivante configure la connectivité IP avec BGP, offrant ainsi une solution parmi d’autres. Consultez la documentation de votre fournisseur pour des options spécifiques de conception et de configuration réseau avant de configurer les interfaces pour les MVE.

Configurer le MVE A-End dans la série VM

Configurez la nouvelle interface VLAN dans la série VM, incluant le nom, la valeur VLAN, et les détails de l’adresse IP.

Pour configurer le MVE A-End dans la série VM

  1. Connectez-vous à votre instance VM-Series.

  2. Choisissez Network > Interfaces.

  3. Sélectionnez le MVE A-End (ethernet1/1).

  4. Cliquez sur Add Subinterface.

  5. Fournissez ces détails:

    • Nom de l’interface – Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.

    • Commentaire – Entrez un nom alternatif, par exemple, PA-MVE-1 à PA-MVE-2.

    • Tag – Spécifiez la valeur VLAN associée au VXC que vous avez créé plus tôt. Pour faciliter l’utilisation, spécifiez le même numéro que le nom de l’interface.

    • Routeur Virtuel – Sélectionnez un routeur virtuel pour l’interface, comme requis par votre réseau.

  6. Sélectionnez l’onglet IPv4.

  7. Sélectionnez Static comme type.
  8. Cliquez sur +Add pour ajouter une nouvelle adresse IP.
  9. Entrez l’adresse IPv4 et le masque de sous-réseau.
  10. Cliquez sur OK.
  11. Cliquez sur Commit dans le coin supérieur droit.
    Bouton Commit
  12. Passez en revue les changements et cliquez sur Commit.
    Modifications Commit

La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1.

Ensuite, vous allez créer une zone de sécurité pour que l’interface puisse router le trafic.

Pour créer une zone de sécurité

  1. Sélectionnez la sous-interface ethernet1/1.1010.
  2. Sélectionnez Nouvelle zone dans la liste déroulante Zone de sécurité.
  3. Spécifiez un nom pour la zone de sécurité.
    Paramètres de zone de sécurité
  4. Cliquez sur +Add sous Interfaces et ajoutez ethernet1/1.1010 à la zone de sécurité.
  5. Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
  6. Sélectionnez Nouveau profil de protection de zone dans la liste déroulante du profil de protection de zone.
  7. Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
    Profil de protection de zone
  8. Cliquez sur OK.
  9. Cliquez sur OK dans l’écran de sous-interface Layer3.
  10. Cliquez sur Commit dans le coin supérieur droit.
    Bouton Commit
  11. Passez en revue les changements et cliquez sur Commit.
    Modifications Commit

Configurer le MVE B-End dans la série VM

  • Suivez la même procédure pour configurer l’interface B-End, en utilisant une adresse IP différente.

Validation de votre connexion

Ensuite, vous allez tester la connectivité entre les MVE de Palo Alto Networks.

Remarque

Étant donné que Palo Alto est un pare-feu, vous devez activer ICMP avant qu’une interface puisse répondre à une requête d’écho ICMP.

Pour valider votre connexion

  1. Connectez-vous à votre instance VM-Series.
  2. Choisissez Network > Interfaces.
  3. Sélectionnez la sous-interface nouvellement créée.
    Sélectionner la sous-interface
  4. Sélectionnez l’onglet Advanced.
    Onglet Avancé
  5. Sélectionnez Nouveau profil de gestion dans la liste déroulante.
  6. Spécifiez un nom de profil dans le champ Nom.
    Profil de gestion d'interface
  7. Sélectionnez Ping dans la liste des Services Réseau.
  8. Pour ajouter des adresses IP spécifiques ou des sous-réseaux à l’ACL, cliquez sur +Add sous Adresses IP autorisées.
  9. Cliquez sur OK.
    Sous-interface Layer 3
  10. Cliquez sur OK.
  11. Cliquez sur Commit dans le coin supérieur droit.
    Bouton Commit
  12. Passez en revue les changements et cliquez sur Commit.
    Modifications Commit
  13. Répétez les étapes 1 à 12 pour le second MVE Palo Alto Networks.
  14. Choisissez Device > Troubleshooting pour tester la connectivité entre les MVE Palo Alto Networks.
  15. Sélectionnez Ping dans la liste déroulante Select Test.
    Sélectionner le test ping
  16. Entrez les détails pertinents.
    Voir les Docs Techniques de Palo Alto Networks pour des informations sur ces champs.
  17. Cliquez sur Exécuter pour lancer le test.
    Ping réussi