Palo Alto VM シリーズと統合された MVE の接続
このトピックでは、Palo Alto 次世代ファイアウォール (NGFW) と統合された Megaport Virtual Edge (MVE) を別の MVE に接続する方法について説明します。
この展開では、MegaportのプライベートSDN(Software Defined Network)を利用して、インターネットへの依存度を下げ、企業のブランチを接続しています。
2台のMVEが設定されていれば、物理的なインフラストラクチャを必要とせず、プライベートVXCを作成してMegaportネットワーク上で接続することができます。VXCは基本的に、AエンドのMVEとBエンドのMVEの間のプライベートポイントツーポイントイーサネット接続です。
開始する前に
- 別々のロケーションに 2 つの MVE をプロビジョニングします。まだ MVE を作成していない場合は、「Palo Alto MVE の作成」を参照してください。
2 つの MVE 間での VXC の作成
Palo Alto と統合された 2 つの MVE 間のプライベート VXC 構築は、Megaport Portal で開始されます。構成を完了するには、Palo Alto VM シリーズを使用します。
VXCを作成するには
-
Megaport Portalで、「Services(サービス)」ページに移動し、送信側のAエンドMVEの横の「+Connection(+接続)をクリックします。
-
プライベート VXC を選択します。
-
宛先のBエンドMVEとロケーションを選択します。
国フィルターを使用して、選択を絞り込みます。 -
「Next (次へ)」をクリックします。
-
VXC の詳細を指定します。
-
Connection Name (接続名) – 簡単に識別できる VXC の名前を指定します。例えば、LA MVE 2からDallas MVE 4へなどです。必要に応じて、後で名前を変更できます。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する VXC の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。
-
Rate Limit (帯域制限) – 帯域制限を Mbps で指定します。最高速度が表示されます。VXC の帯域制限は最大10 Gbps ですが、A エンドまたは B エンドの MVE の演算能力が回線のスループットに影響する可能性があります。詳細については、Palo Alto のドキュメンテーションを参照してください。
-
vNIC selection (vNIC 選択) – 使用する MVE の定義によっては、A エンドと B エンドの vNIC を指定する必要があります。
-
A-End vNIC (A エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。
-
B-End vNIC (B エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。
異なるサービスを持つ MVE を接続する場合の vNIC の選択については、「vNIC 接続の種類」を参照してください。
-
-
Preferred VLAN (優先 VLAN) – この接続の 802.1q VLAN タグを指定します。各 VXC は、MVE 上で個別の VLAN として配信されます。VLAN ID は、この MVE で一意である必要があり、2 から 4093 の範囲で指定できます。Megaport は、両方の MVE インスタンスで同じ VLAN ID を使用しようとし、Palo Alto PAN-OS の VLAN タグの設定にも使用されます。既に使用されている VLAN ID を指定した場合は、MVE 発注時に通知されます。
-
-
「Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。
-
設定を確認し、「Add VXC(VXCの追加)」をクリックします。
-
[Order(注文)] をクリックして、チェックアウト プロセスを続行します。
VXC が構築されると、「Portal Services(ポータルサービス)」ページで表示できます。「Services(サービス」ページでは、AエンドMVEとBエンドMVEの下にあるVXCが表示されます。サービス ID 番号は、接続の両端の VXC で同じであることに注意してください。
次のステップは、Palo Alto VM シリーズで A エンドと B エンドの MVE を設定することです。
注意
次の手順では、BGPによるIP接続を設定しますが、これは数あるソリューションのうちの1つに過ぎません。MVE のインターフェイスを設定する前に、ベンダーの資料を参照して、特定のネットワーク設計および設定のオプションを確認してください。
VM シリーズでの A エンド MVE の構成
-
VM シリーズ インスタンスにログインします。
-
「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
-
A エンド MVE を選択します (「ethernet1/1」)。
-
「Add Subinterface (サブインターフェイスの追加)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – サブインターフェイスの名前を入力します。隣接するフィールドに、サブインターフェイスを識別する数値を入力します。
-
Comment (コメント) – 代替名を入力します。例: PA-MVE-1→PA-MVE-2。
-
Tag (タグ) – 先に作成した VXC に関連する VLAN 値を指定します。使いやすいように、インターフェイス名と同じ番号を指定してください。
-
Virtual Router (仮想ルーター) – ネットワークで必要に応じて、インターフェイスへの仮想ルーターを選択します。
-
-
「IPv4」タブを選択します。
- タイプとして「Static (静的)」を選択します。
- 「+Add (+追加)」をクリックして、新しい IP アドレスを追加します。
- IPv4 アドレスとネットマスクを入力します。
- 「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
新しい VLAN インターフェイスは「ethernet1/1」物理インターフェイスと一緒に表示されます。
次に、インターフェイスがトラフィックをルーティングできるように、セキュリティ ゾーンを作成します。
セキュリティ ゾーンを作成するには
- 「ethernet1/1.1010」サブインターフェイスを選択します。
- 「Security Zone (セキュリティ ゾーン)」のドロップダウン リストから「New Zone (新規ゾーン)」を選択します。
- セキュリティ ゾーンの名前を指定します。
- 「Interfaces (インターフェイス)」の下の「+Add (+追加)」をクリックし、セキュリティ ゾーンに「ethernet1/1.1010」を追加します。
- ネットワーク セキュリティに必要な追加情報を指定します。
- 「Zone Protection Profile (ゾーン保護プロファイル)」のドロップダウン リストから「New Zone Protection Profile (新規ゾーン保護プロファイル)」を選択します。
- ネットワーク セキュリティに必要な情報を指定します。この例では、すべてのデフォルトを使用しています。
- 「OK」をクリックします。
- 「Layer 3 Subinterface (レイヤー 3 サブインターフェイス)」画面で「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
VM シリーズでの B エンド MVE の構成
- 同じ手順で、異なる IP アドレスを使用して B エンド インターフェイスを設定します。
接続の検証
次に、Palo Alto MVE 間の接続性をテストします。
注意
Palo Alto はファイアウォールなので、インターフェイスが ICMP エコー要求に応答する前に ICMP を有効にする必要があります。
接続を検証するには
- VM シリーズ インスタンスにログインします。
- 「Network (ネットワーク)」>「Interfaces (インターフェイス)」の順に選択します。
- 新しく作成したサブインターフェイスを選択します。
- [Advanced(詳細設定)] タブを選択します。
- ドロップダウン リストから「New Management Profile (新しい管理プロファイル)」を選択します。
- 「Name (名前)」フィールドにプロファイル名を指定します。
- 「Network Services (ネットワーク サービス)」リストから「Ping」を選択します。
- 特定の IP アドレスまたはサブネットを ACL に追加するには、「Permitted IP Addresses (許可された IP アドレス)」の下の「+Add (+追加)」をクリックします。
- 「OK」をクリックします。
- 「OK」をクリックします。
- 右上の「Commit (コミット)」をクリックします。
- 変更内容を確認し、「Commit (コミット)」をクリックします。
- 2 つ目の Palo Alto MVE についても手順 1 から 12 を繰り返します。
- 「Device (デバイス)」>「Troubleshooting (トラブルシューティング)」を選択して、Palo Alto MVE 間の接続をテストします。
- 「Select Test (テストの選択)」ドロップダウン リストから「Ping」を選択します。
- 関連する詳細を入力します。
これらのフィールドに関する情報については、「Palo Alto 技術文書」を参照してください。 - 「Execute (実行)」をクリックしてテストを実行します。