Pular para conteúdo
Documentação da Megaport
Conectando MVEs
PDF

Conectando MVEs Integrados com Palo Alto Networks VM-Series

Este tópico descreve como conectar um Megaport Virtual Edge (MVE) integrado com o firewall de próxima geração (NGFW) da Palo Alto Networks a outro MVE.

Essa implantação usa a rede definida por software (SDN) privada da Megaport para reduzir a dependência da internet e conectar locais de filiais corporativas.

Filial para filial

Com dois MVEs configurados, você pode criar um VXC privado para conectá-los na rede Megaport sem a necessidade de infraestrutura física. Um VXC é essencialmente uma conexão Ethernet ponto a ponto privada entre uma terminação A MVE e uma terminação B MVE.

Aviso

A interface voltada para a internet de um MVE pode alcançar a interface voltada para a internet de outro MVE pela internet pública. Ou seja, você pode trocar tráfego de MVE para MVE em diferentes Metros pela internet, dentro do mesmo país. O modelo básico de conexão consiste em um MVE em uma Metro conectando-se via uma conexão Megaport Internet a um MVE em outra Metro. A conectividade consiste em uma conexão gerenciada pelo cliente/parceiro SD-WAN, não gerenciada pela Megaport. Para mais informações, consulte Visão Geral do Megaport Internet.

Antes de começar

Criando um VXC entre dois MVEs

Um VXC privado entre dois MVEs integrados com Palo Alto Networks começa no Megaport Portal. Para completar a configuração, você usará o Palo Alto Networks VM-Series.

Para criar um VXC

  1. No Megaport Portal, vá para a página Serviços e clique em +Conexão ao lado do MVE da terminação A de origem.

  2. Selecione VXC Privado.

    VXC Privado

  3. Selecione oMVE da terminação B de destino e a localização.
    Use o filtro de País para refinar a seleção.

  4. Clique em Próximo.

  5. Especifique os detalhes da conexão:

    • Nome da Conexão – O nome do seu VXC a ser exibido no Megaport Portal. Especifique um nome para o VXC que seja facilmente identificável, por exemplo, LA MVE 2 to Dallas MVE 4. Você pode alterar o nome mais tarde, se desejar.

    • Referência de Nível de Serviço (opcional) – Especifique um número de identificação único para o VXC a ser usado para fins de faturamento, como um número de centro de custos ou um ID exclusivo de cliente. O número de referência do nível de serviço aparece para cada serviço na seção Produto da fatura. Você também pode editar este campo para um serviço existente.

    • Limite de Taxa – A velocidade da sua conexão em Mbps. A velocidade máxima é exibida. Embora o limite de taxa para um VXC possa ser de até 10 Gbps, a capacidade computacional da terminação A ou terminação B MVE pode influenciar a taxa de transferência do circuito. Consulte a documentação da Palo Alto Networks para mais informações.

    • Estado do VXC – Selecione Ativado ou Desativado para definir o estado inicial da conexão. Para mais informações, consulte Desativando um VXC para Testes de Failover.

      Aviso

      Se você selecionar Desativado, o tráfego não passará por este serviço e ele se comportará como se estivesse inativo na rede Megaport. O faturamento para este serviço permanecerá ativo e você ainda será cobrado por esta conexão.

    • Seleção de vNIC – Dependendo da definição dos MVEs que você está usando, pode ser necessário especificar vNICs de terminação A e terminação B.

      • vNIC da Terminação A – Especifique um vNIC usando o valor padrão pré-preenchido ou selecione na lista suspensa.

      • vNICda Terminação B – Especifique um vNIC usando o valor padrão pré-preenchido ou selecione na lista suspensa.

        Para mais informações sobre a seleção de vNIC ao conectar MVEs com diferentes serviços, consulte Tipos de Conexões vNIC.

    • VLAN Preferida da Terminação A – Especifique a tag VLAN 802.1q para esta conexão para a terminação A.
      Cada VXC é entregue como uma VLAN separada no MVE. O ID da VLAN deve ser único neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID da VLAN deve ser exclusivo para prosseguir com o pedido. Para um MVE da Palo Alto Networks, ele também será usado para configurar a tag VLAN no Palo Alto Networks PAN-OS.

    • VLAN Preferida da Terminação B – Especifique a tag VLAN 802.1q para esta conexão que você receberá através da VLAN da terminação B. Para um MVE da Palo Alto Networks, ele também será usado para configurar a tag VLAN no Palo Alto Networks PAN-OS.

    • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Prazos mais longos resultam em uma tarifa mensal mais baixa. 12 Meses é selecionado por padrão.
      Observe as informações na tela para evitar taxas de rescisão antecipada (ETF). Consulte Preços e Termos de Contrato do VXC e VXC, Megaport Internet, e Faturamento de IX para mais informações.

  6. Clique em Próximo para visualizar a página de resumo.

  7. Confirme a configuração e clique em Adicionar VXC.

  8. Clique em Fazer Pedido para prosseguir com o processo de finalização da compra.

Uma vez que o VXC for implantado, você pode visualizá-lo na página de Serviços do Megaport Portal. A página de Serviços exibe o VXC sob oMVE da terminação A e o MVE da terminação B. Observe que o número de identificação do serviço é o mesmo para o VXC em ambas as extremidades da conexão.

O próximo passo é configurar os MVEs das terminações A e B no Palo Alto Networks VM-Series.

Aviso

O próximo procedimento configura a conectividade IP com BGP, fornecendo apenas uma solução entre muitas. Consulte a documentação do seu fornecedor para opções específicas de design e configuração de rede antes de configurar as interfaces para os MVEs.

Configurando o MVE da terminação A no VM-Series

  1. Faça login na sua instância do VM-Series.

  2. Escolha Network > Interfaces.

  3. Selecione o MVE da terminação A (ethernet1/1).

  4. Clique em Add Subinterface.

  5. Forneça os seguintes detalhes:

    • Interface Name – Insira um nome para a subinterface. No campo adjacente, insira um número para identificar a subinterface.

    • Comment – Insira um nome alternativo, por exemplo, PA-MVE-1 to PA-MVE-2.

    • Tag – Especifique o valor VLAN associado ao VXC que você criou anteriormente. Para facilitar o uso, especifique o mesmo número que o Nome da Interface.

    • Virtual Router – Selecione um roteador virtual para a interface, conforme exigido pela sua rede.

  6. Selecione a guia IPv4.

  7. Selecione Static como o Tipo.
  8. Clique em +Add para adicionar um novo endereço IP.
  9. Insira o endereço IPv4 e a máscara de rede.
  10. Clique em OK.
  11. Clique em Commit no canto superior direito.
    Botão Commit
  12. Revise as alterações e clique em Commit. Confirmar alterações

A nova interface VLAN aparecerá com sua interface física ethernet1/1.

Em seguida, você criará uma zona de segurança para que a interface possa rotear o tráfego.

Para criar uma zona de segurança

  1. Selecione a subinterface ethernet1/1.1010.
  2. Selecione New Zone na lista suspensa Security Zone.
  3. Especifique um nome para a zona de segurança.
    Configurações da zona de segurança
  4. Clique em +Add em Interfaces e adicione ethernet1/1.1010 à zona de segurança.
  5. Especifique quaisquer detalhes adicionais conforme necessário para a segurança da sua rede.
  6. Selecione New Zone Protection Profile na lista suspensa Zone Protection Profile.
  7. Especifique quaisquer detalhes conforme necessário para a segurança da sua rede. Este exemplo usa todos os padrões. Perfil de Proteção de Zona
  8. Clique em OK.
  9. Clique em OK na tela Layer3 Subinterface.
  10. Clique em Commit no canto superior direito.
    Botão Commit
  11. Revise as alterações e clique em Commit. Confirmar alterações

Configurando o MVE da terminação B no VM-Series

  • Siga o mesmo procedimento para configurar a interface da terminação B, usando um endereço IP diferente.

Validando sua conexão

Em seguida, você testará a conectividade entre os MVEs da Palo Alto Networks.

Aviso

Como o Palo Alto é um firewall, você deve habilitar o ICMP antes que uma interface possa responder a uma solicitação de eco ICMP.

Para validar sua conexão

  1. Faça login na sua instância do VM-Series.
  2. Escolha Network > Interfaces.
  3. Selecione a subinterface recém-criada.
    Selecionar subinterface
  4. Selecione a guia Advanced.
    Guia Advanced
  5. Selecione New Management Profile na lista suspensa.
  6. Especifique um nome de perfil no campo Name. Perfil de gerenciamento de interface
  7. Selecione Ping na lista Network Services.
  8. Para adicionar endereços IP ou sub-redes específicos à ACL, clique em +Add em Permitted IP Addresses.
  9. Clique em OK. Subinterface Layer 3
  10. Clique em OK.
  11. Clique em Commit no canto superior direito.
    Botão Commit
  12. Revise as alterações e clique em Commit. Confirmar alterações
  13. Repita os passos de 1 a 12 para o segundo MVE da Palo Alto Networks.
  14. Escolha Device > Troubleshooting para testar a conectividade entre os MVEs da Palo Alto Networks.
  15. Selecione Ping na lista suspensa Select Test.
    Selecionar teste de ping
  16. Insira os detalhes relevantes.
    Consulte os Documentos Técnicos da Palo Alto Networks para mais informações sobre esses campos.
  17. Clique em Execute para executar o teste. Ping bem-sucedido