action.skip
Documentazione Megaport
Connessione tra MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Connessione di MVE integrati con Palo Alto Networks VM-Series

Questo argomento descrive come collegare un Megaport Virtual Edge (MVE) integrato con il firewall di nuova generazione (NGFW) di Palo Alto Networks a un altro MVE.

Questo deployment utilizza il network privato software defined network (SDN) di Megaport per ridurre la dipendenza da internet e connettere le sedi aziendali.

Da sede a sede

Con due MVE configurati, è possibile creare un VXC privato per collegarli sulla rete Megaport senza bisogno di alcuna infrastruttura fisica. Un VXC è essenzialmente una connessione Ethernet privata punto-punto tra un MVE End-A e un MVE End-B.

Nota

L’interfaccia rivolta verso internet su un MVE può raggiungere l’interfaccia rivolta verso internet su un altro MVE attraverso internet pubblico. Vale a dire, è possibile scambiare traffico da MVE a MVE in diverse metropoli attraverso internet. Il modello di connessione di base consiste in un MVE in una metropoli che si collega tramite una connessione Megaport Internet a un MVE in un’altra metropoli. La connettività consiste in una connessione gestita dal cliente/partner SD-WAN, non gestita da Megaport. Per maggiori informazioni, consulta la Panoramica di Megaport Internet.

Prima di iniziare

Provvistione due MVE in diverse località. Se non hai già creato MVE, consulta Creazione di un MVE della serie VM.

Creazione di un VXC tra due MVE

Un deployment VXC privato tra due MVE integrati con Palo Alto Networks inizia nel Megaport Portal. Per completare la configurazione, utilizzerai Palo Alto Networks VM-Series.

Per creare un VXC

  1. Nel Megaport Portal, vai alla pagina Servizi e clicca su +Connessione accanto al MVE End-A di origine.

  2. Seleziona VXC privato.

    VXC privato

  3. Seleziona il MVE e la location End-B destinatari.
    Usa il filtro Paese per restringere la selezione.

  4. Clicca su Avanti.

  5. Specifica i dettagli della connessione:

    • Nome Connessione – Il nome del tuo VXC da mostrare nel Megaport Portal. Specifica un nome per il VXC che sia facilmente identificabile, per esempio, LA MVE 2 a Dallas MVE 4. Puoi modificare il nome successivamente, se preferisci.

    • Riferimento del Livello di Servizio (opzionale) – Specificare un numero identificativo univoco per il tuo servizio Megaport da utilizzare per scopi di fatturazione, come un numero di centro di costo, un ID cliente unico, o un numero di ordine di acquisto. Il numero di riferimento del livello di servizio appare per ogni servizio nella sezione Prodotto della fattura. Puoi anche modificare questo campo per un servizio esistente.

    • Limite di Velocità – La velocità della tua connessione in Mbps. Viene visualizzata la velocità massima. Sebbene il limite di velocità per un VXC possa raggiungere diversi Gbps, la capacità di calcolo del MVE End-A o End-B può influenzare la larghezza di banda del circuito. Consulta la documentazione di Palo Alto Networks per maggiori informazioni.

    • Stato VXC – Seleziona Abilitato o Arresta per definire lo stato iniziale della connessione. Per maggiori informazioni, consulta Arresto di un VXC per il test di failover.

      Nota

      Se selezioni Arresta, il traffico non passerà attraverso questo servizio e si comporterà come se fosse inattivo sulla rete Megaport. La fatturazione per questo servizio resterà attiva e continuerai a essere addebitato per questa connessione.

    • Selezione vNIC – A seconda della definizione dei MVE che stai utilizzando, potrebbe essere necessario specificare i vNIC End-A e End-B.

      • vNIC End-A – Specifica un vNIC utilizzando il valore predefinito precompilato, o seleziona dalla lista a discesa.

      • vNIC End-B – Specifica un vNIC utilizzando il valore predefinito precompilato, o seleziona dalla lista a discesa.

        Per maggiori informazioni sulla selezione dei vNIC quando si collegano MVE con diversi servizi, consulta Tipi di Connessioni vNIC.

    • VLAN A-End Preferita – Specifica il tag VLAN 802.1q per questa connessione per l’End-A.
      Ogni VXC viene fornito come VLAN separata sul MVE. L’ID VLAN deve essere unico su questo MVE e può variare da 2 a 4093. Se specifici un ID VLAN già in uso, il sistema mostra il numero VLAN disponibile successivo. L’ID VLAN deve essere unico per procedere con l’ordine. Se non specifichi un valore, Megaport ne assegnerà uno. Per un MVE di Palo Alto Networks, sarà utilizzato anche per configurare il tag VLAN in Palo Alto Networks PAN-OS.

    • VLAN B-End Preferita – Specifica il tag VLAN 802.1q per questa connessione che riceverai attraverso la VLAN End-B. Per un MVE di Palo Alto Networks, sarà utilizzato anche per configurare il tag VLAN in Palo Alto Networks PAN-OS.

    • Durata Minima – Seleziona Nessuna durata minima, 12 Mesi, 24 Mesi, o 36 Mesi. Durate più lunghe comportano una tariffa mensile più bassa. 12 Mesi è selezionato di default. Prendi nota delle informazioni visualizzate sullo schermo per evitare penali per recesso anticipato (ETF).

      Abilita l’opzione Rinnovo Durata Minima per i servizi con una durata di 12, 24 o 36 mesi per rinnovare automaticamente il contratto allo stesso prezzo scontato e durata alla fine del contratto. Se non rinnovi il contratto, alla fine del termine, il contratto si convertirá automaticamente in un contratto a tempo indeterminato per il periodo di fatturazione successivo, allo stesso prezzo, senza sconti di durata.

      Per maggiori informazioni, consulta Prezzi e termini contrattuali di VXC e Fatturazione di VXC, Megaport Internet e IX.

    • Etichette Risorsa – Puoi utilizzare le etichette delle risorse per aggiungere i tuoi metadati di riferimento a un servizio Megaport. Per aggiungere un’etichetta:

      1. Clicca su Aggiungi Etichette.
      2. Clicca su Aggiungi Nuova Etichetta.
      3. Inserisci i dettagli nei campi:
        • Chiave – stringa con lunghezza massima 128. I valori validi sono a-z 0-9 _ : . / \ -
        • Valore – stringa con lunghezza massima 256. I valori validi sono a-z A-Z 0-9 _ : . @ / + \ - (spazio)
      4. Clicca su Salva.

      Se hai già etichette di risorse per quel servizio, puoi gestirle cliccando su Gestisci Etichette.

      Avviso

      Non includere mai informazioni sensibili in un’etichetta di risorsa. Le informazioni sensibili includono comandi che restituiscono definizioni di tag esistenti e informazioni che identificheranno una persona o un’azienda.

  6. Clicca su Avanti per visualizzare la pagina Riepilogo.

  7. Conferma la configurazione e clicca su Aggiungi VXC.

  8. Clicca su Rivedi Ordine per procedere attraverso il processo di checkout.

Una volta che il VXC è stato distribuito, è possibile visualizzarlo nella pagina dei Servizi del Megaport Portal. La pagina dei Servizi mostra il VXC sotto il MVE End-A e il MVE End-B. Nota che il numero identificativo del servizio è lo stesso per il VXC ad entrambe le estremità della connessione.

Il passo successivo è configurare i MVE End-A e End-B nel Palo Alto Networks VM-Series.

Nota

La procedura successiva configura la connettività IP con BGP, fornendo solo una delle molte soluzioni possibili. Consulta la documentazione del tuo vendor per opzioni specifiche di progettazione e configurazione di rete prima di configurare le interfacce per i MVE.

Configurazione del MVE End-A in VM-Series

Configura la nuova interfaccia VLAN in VM-Series, inclusi nome, valore VLAN e dettagli dell’indirizzo IP.

Per configurare il MVE End-A in VM-Series

  1. Accedi alla tua istanza VM-Series.

  2. Scegli Network > Interfaces.

  3. Seleziona il MVE End-A (ethernet1/1).

  4. Clicca su Aggiungi Subinterfaccia.

  5. Fornisci questi dettagli:

    • Nome interfaccia – Inserisci un nome per la subinterfaccia. Nel campo adiacente, inserisci un numero per identificare la subinterfaccia.

    • Commento – Inserisci un nome alternativo, per esempio, PA-MVE-1 a PA-MVE-2.

    • Tag – Specifica il valore VLAN associato al VXC creato in precedenza. Per facilità d’uso, specifica lo stesso numero del Nome Interfaccia.

    • Router virtuale – Seleziona un router virtuale per l’interfaccia, come richiesto dalla tua rete.

  6. Seleziona la scheda IPv4.

  7. Seleziona Statico come Tipo.
  8. Clicca su +Aggiungi per aggiungere un nuovo indirizzo IP.
  9. Inserisci l’indirizzo IPv4 e la netmask.
  10. Clicca su OK.
  11. Clicca su Commit nell’angolo in alto a destra.
    Pulsante Commit
  12. Rivedi le modifiche e clicca su Commit.
    Conferma modifiche

La nuova interfaccia VLAN appare con la tua interfaccia fisica ethernet1/1.

Successivamente, creerai una zona di sicurezza in modo che l’interfaccia possa instradare il traffico.

Per creare una zona di sicurezza

  1. Seleziona la subinterfaccia ethernet1/1.1010.
  2. Seleziona Nuova Zona dal menu a discesa Zona di Sicurezza.
  3. Specifica un nome per la zona di sicurezza.
    Impostazioni zona di sicurezza
  4. Clicca su +Aggiungi sotto Interfacce e aggiungi ethernet1/1.1010 alla zona di sicurezza.
  5. Specifica eventuali dettagli aggiuntivi secondo le esigenze di sicurezza della tua rete.
  6. Seleziona Nuovo Profilo Protezione Zona dal menu a discesa Profilo Protezione Zona.
  7. Specifica eventuali dettagli secondo le esigenze di sicurezza della tua rete. Questo esempio utilizza tutti i valori predefiniti.
    Profilo protezione zona
  8. Clicca su OK.
  9. Clicca su OK nella schermata Subinterfaccia Layer3.
  10. Clicca su Commit nell’angolo in alto a destra.
    Pulsante Commit
  11. Rivedi le modifiche e clicca su Commit.
    Conferma modifiche

Configurazione del MVE End-B in VM-Series

  • Segui la stessa procedura per configurare l’interfaccia End-B, utilizzando un indirizzo IP diverso.

Validazione della tua connessione

Successivamente, testerai la connettività tra i MVE di Palo Alto Networks.

Nota

Poiché Palo Alto è un firewall, devi abilitare ICMP prima che un’interfaccia possa rispondere a una richiesta di echo ICMP.

Per validare la tua connessione

  1. Accedi alla tua istanza VM-Series.
  2. Scegli Network > Interfaces.
  3. Seleziona la subinterfaccia appena creata.
    Seleziona subinterfaccia
  4. Seleziona la scheda Avanzate.
    Scheda Avanzate
  5. Seleziona Nuovo Profilo Gestione dal menu a discesa.
  6. Specifica un nome profilo nel campo Nome.
    Profilo Gestione Interfaccia
  7. Seleziona Ping dalla lista dei Servizi di Rete.
  8. Per aggiungere indirizzi IP o subnet specifici all’ACL, clicca su +Aggiungi sotto Indirizzi IP Permesso.
  9. Clicca su OK.
    Subinterfaccia Layer 3
  10. Clicca su OK.
  11. Clicca su Commit nell’angolo in alto a destra.
    Pulsante Commit
  12. Rivedi le modifiche e clicca su Commit.
    Conferma modifiche
  13. Ripeti i passaggi da 1 a 12 per il secondo MVE di Palo Alto Networks.
  14. Scegli Device > Troubleshooting per testare la connettività tra i MVE di Palo Alto Networks.
  15. Seleziona Ping dal menu a discesa Seleziona Test.
    Seleziona test ping
  16. Inserisci i dettagli pertinenti.
    Consulta Palo Alto Networks Tech Docs per informazioni su questi campi.
  17. Clicca su Esegui per avviare il test.
    Ping riuscito