action.skip

Palo Alto VM シリーズと統合された MVE の接続

このトピックでは、Palo Alto 次世代ファイアウォール (NGFW) と統合された Megaport Virtual Edge (MVE) を別の MVE に接続する方法について説明します。

この展開では、MegaportのプライベートSDN(Software Defined Network)を利用して、インターネットへの依存度を下げ、企業のブランチを接続しています。

ブランチからブランチへ

2台のMVEが設定されていれば、物理的なインフラストラクチャを必要とせず、プライベートVXCを作成してMegaportネットワーク上で接続することができます。VXCは基本的に、AエンドのMVEとBエンドのMVEの間のプライベートポイントツーポイントイーサネット接続です。

開始する前に

  • 別々のロケーションに 2 つの MVE をプロビジョニングします。まだ MVE を作成していない場合は、「Palo Alto MVE の作成」を参照してください。

2 つの MVE 間での VXC の作成

Palo Alto と統合された 2 つの MVE 間のプライベート VXC 構築は、Megaport Portal で開始されます。構成を完了するには、Palo Alto VM シリーズを使用します。

VXCを作成するには

  1. Megaport Portalで、「Services(サービス)」ページに移動し、送信側のAエンドMVEの横の「+Connection(+接続)をクリックします。

  2. プライベート VXC を選択します。

    プライベートVXC

  3. 宛先のBエンドMVEとロケーションを選択します。
    国フィルターを使用して、選択を絞り込みます。

  4. Next (次へ)」をクリックします。

  5. VXC の詳細を指定します。

    • Connection Name (接続名) – 簡単に識別できる VXC の名前を指定します。例えば、LA MVE 2からDallas MVE 4へなどです。必要に応じて、後で名前を変更できます。

    • Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する VXC の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。

    • Rate Limit (帯域制限) – 帯域制限を Mbps で指定します。最高速度が表示されます。VXC の帯域制限は最大10 Gbps ですが、A エンドまたは B エンドの MVE の演算能力が回線のスループットに影響する可能性があります。詳細については、Palo Alto のドキュメンテーションを参照してください。

    • vNIC selection (vNIC 選択) – 使用する MVE の定義によっては、A エンドと B エンドの vNIC を指定する必要があります。

      • A-End vNIC (A エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。

      • B-End vNIC (B エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。

        異なるサービスを持つ MVE を接続する場合の vNIC の選択については、「vNIC 接続の種類」を参照してください。

    • Preferred VLAN (優先 VLAN) – この接続の 802.1q VLAN タグを指定します。各 VXC は、MVE 上で個別の VLAN として配信されます。VLAN ID は、この MVE で一意である必要があり、2 から 4093 の範囲で指定できます。Megaport は、両方の MVE インスタンスで同じ VLAN ID を使用しようとし、Palo Alto PAN-OS の VLAN タグの設定にも使用されます。既に使用されている VLAN ID を指定した場合は、MVE 発注時に通知されます。

  6. Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。

  7. 設定を確認し、「Add VXC(VXCの追加)」をクリックします。

  8. [Order(注文)] をクリックして、チェックアウト プロセスを続行します。

VXC が構築されると、「Portal Services(ポータルサービス)」ページで表示できます。「Services(サービス」ページでは、AエンドMVEとBエンドMVEの下にあるVXCが表示されます。サービス ID 番号は、接続の両端の VXC で同じであることに注意してください。

次のステップは、Palo Alto VM シリーズで A エンドと B エンドの MVE を設定することです。

注意

次の手順では、BGPによるIP接続を設定しますが、これは数あるソリューションのうちの1つに過ぎません。MVE のインターフェイスを設定する前に、ベンダーの資料を参照して、特定のネットワーク設計および設定のオプションを確認してください。

VM シリーズでの A エンド MVE の構成

  1. VM シリーズ インスタンスにログインします。

  2. 「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。

  3. A エンド MVE を選択します (「ethernet1/1」)。

  4. Add Subinterface (サブインターフェイスの追加)」をクリックします。

  5. 次の詳細を入力します。

    • Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。

    • Comment (コメント) – 代替名を入力します。例: PA-MVE-1→PA-MVE-2

    • Tag (タグ) – 先に作成した VXC に関連する VLAN 値を指定します。使いやすいように、インターフェイス名と同じ番号を指定してください。

    • Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。

  6. 「IPv4」タブを選択します。

  7. タイプとして「Static (静的)」を選択します。
  8. +Add (+追加)」をクリックして、新しい IP アドレスを追加します。
  9. IPv4 アドレスとネットマスクを入力します。
  10. OK」をクリックします。
  11. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  12. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット

新しい VLAN インターフェイスは「ethernet1/1」物理インターフェイスと一緒に表示されます。

次に、インターフェイスがトラフィックをルーティングできるように、セキュリティ ゾーンを作成します。

セキュリティ ゾーンを作成するには

  1. 「ethernet1/1.1010」サブインターフェイスを選択します。
  2. 「Security Zone (セキュリティ ゾーン)」のドロップダウン リストから「New Zone (新規ゾーン)」を選択します。
  3. セキュリティ ゾーンの名前を指定します。
    セキュリティ ゾーン設定
  4. 「Interfaces (インターフェイス)」の下の「+Add (+追加)」をクリックし、セキュリティ ゾーンに「ethernet1/1.1010」を追加します。
  5. ネットワーク セキュリティに必要な追加情報を指定します。
  6. 「Zone Protection Profile (ゾーン保護プロファイル)」のドロップダウン リストから「New Zone Protection Profile (新規ゾーン保護プロファイル)」を選択します。
  7. ネットワーク セキュリティに必要な情報を指定します。この例では、すべてのデフォルトを使用しています。
    ゾーン保護プロファイル
  8. OK」をクリックします。
  9. 「Layer 3 Subinterface (レイヤー 3 サブインターフェイス)」画面で「OK」をクリックします。
  10. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  11. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット

VM シリーズでの B エンド MVE の構成

  • 同じ手順で、異なる IP アドレスを使用して B エンド インターフェイスを設定します。

接続の検証

次に、Palo Alto MVE 間の接続性をテストします。

注意

Palo Alto はファイアウォールなので、インターフェイスが ICMP エコー要求に応答する前に ICMP を有効にする必要があります。

接続を検証するには

  1. VM シリーズ インスタンスにログインします。
  2. 「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
  3. 新しく作成したサブインターフェイスを選択します。
    インターフェイスの選択
  4. [Advanced(詳細設定)] タブを選択します。
    詳細タブ
  5. ドロップダウン リストから「New Management Profile (新しい管理プロファイル)」を選択します。
  6. 「Name (名前)」フィールドにプロファイル名を指定します。 インターフェイス管理プロファイル
  7. 「Network Services (ネットワーク サービス)」リストから「Ping」を選択します。
  8. 特定の IP アドレスまたはサブネットを ACL に追加するには、「Permitted IP Addresses (許可された IP アドレス)」の下の「+Add (+追加)」をクリックします。
  9. OK」をクリックします。
    レイヤー 3 サブインターフェイス
  10. OK」をクリックします。
  11. 右上の「Commit (コミット)」をクリックします。
    「Commit (コミット)」ボタン
  12. 変更内容を確認し、「Commit (コミット)」をクリックします。 変更のコミット
  13. 2 つ目の Palo Alto MVE についても手順 1 から 12 を繰り返します。
  14. 「Device (デバイス)」>「Troubleshooting (トラブルシューティング)」を選択して、Palo Alto MVE 間の接続をテストします。
  15. 「Select Test (テストの選択)」ドロップダウン リストから「Ping」を選択します。
    Ping テストの選択
  16. 関連する詳細を入力します。
    これらのフィールドに関する情報については、「Palo Alto 技術文書」を参照してください。
  17. Execute (実行)」をクリックしてテストを実行します。
    Ping 成功