Pular para conteúdo
Documentação da Megaport
Conectando MVEs
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Conectando MVEs Integrados com Palo Alto Networks VM-Series

Este tópico descreve como conectar um Megaport Virtual Edge (MVE) integrado ao firewall de próxima geração (NGFW) da Palo Alto Networks a outro MVE.

Essa implantação usa a rede definida por software (SDN) privada da Megaport para reduzir a dependência da internet e conectar filiais corporativas.

Filial para filial

Com dois MVEs configurados, você pode criar um VXC privado para conectá-los na rede da Megaport sem a necessidade de qualquer infraestrutura física. Um VXC é essencialmente uma conexão Ethernet privada ponto a ponto entre uma MVE de Extremidade A e uma MVE de Extremidade B.

Nota

A interface voltada para a internet em um MVE pode alcançar a interface voltada para a internet em outro MVE pela internet pública. Ou seja, você pode trocar tráfego de MVE para MVE em diferentes metrópoles pela internet. O modelo básico de conexão consiste em um MVE em uma metrópole conectando-se por meio de uma conexão Megaport Internet a um MVE em outra metrópole. A conectividade consiste em uma conexão gerenciada pelo cliente/parceiro de SD-WAN, não pela Megaport. Para obter mais informações, consulte Visão geral do Megaport Internet.

Antes de começar

Provisione dois MVEs em locais diferentes. Se você ainda não criou MVEs, consulte Criando um MVE do VM-Series.

Criando um VXC entre dois MVEs

Uma implantação de VXC privado entre dois MVEs integrados com Palo Alto Networks começa no Megaport Portal. Para concluir a configuração, você usará o Palo Alto Networks VM-Series.

Para criar um VXC

  1. No Megaport Portal, vá para a página Services (Serviços) e clique em +Connection (Conexão) ao lado da MVE de Extremidade A de origem.

  2. Selecione VXC privado.

    VXC privado

  3. Selecione a MVE de Extremidade B de destino e o local.
    Use o filtro Country para restringir a seleção.

  4. Clique em Next (Próximo).

  5. Especifique os detalhes da conexão:

    • Connection Name (Nome da Conexão) – O nome do seu VXC a ser exibido no Megaport Portal. Especifique um nome para o VXC que seja facilmente identificável, por exemplo, LA MVE 2 para Dallas MVE 4. Você pode alterar o nome depois, se desejar.

    • Service Level Reference (Referência de Nível de Serviço) (opcional) – Especifique um número de identificação exclusivo para o seu serviço da Megaport a ser usado para fins de cobrança, como um número do centro de custo, ID exclusivo do cliente ou número da ordem de compra. O número de referência de nível de serviço aparece para cada serviço na seção Produto da fatura. Você também pode editar este campo para um serviço existente.

    • Rate Limit (Limite de taxa) – A velocidade da sua conexão em Mbps. A velocidade máxima é exibida. Embora o limite de taxa para um VXC possa ser de vários Gbps, a capacidade de computação da MVE da Extremidade A ou da Extremidade B pode influenciar a vazão do circuito. Consulte a documentação da Palo Alto Networks para mais informações.

    • VXC State (Estado do VXC) – Selecione Enabled (Habilitado) ou Shut Down (Desligar) para definir o estado inicial da conexão. Para mais informações, consulte Desligando um VXC para Teste de Failover.

      Nota

      Se você selecionar Shut Down (Desligar), o tráfego não fluirá por este serviço e ele se comportará como se estivesse inativo na rede da Megaport. A cobrança deste serviço permanecerá ativa e você ainda será cobrado por esta conexão.

    • vNIC selection (Seleção de vNIC) – Dependendo da definição dos MVEs que você está usando, talvez seja necessário especificar as vNICs da Extremidade A e da Extremidade B.

      • A-End vNIC (vNIC da Extremidade A) – Especifique uma vNIC usando o padrão pré-preenchido ou selecione na lista suspensa.

      • B-End vNIC (vNIC da Extremidade B) – Especifique uma vNIC usando o padrão pré-preenchido ou selecione na lista suspensa.

        Para mais informações sobre a seleção de vNIC ao conectar MVEs com serviços diferentes, consulte Tipos de Conexões vNIC.

    • Preferred A-End VLAN (VLAN Preferencial da Extremidade A) – Especifique a tag VLAN 802.1q para esta conexão para a Extremidade A.
      Cada VXC é entregue como uma VLAN separada no MVE. O ID da VLAN deve ser exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID da VLAN deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, a Megaport atribuirá um. Para um MVE da Palo Alto Networks, ele também será usado para configurar a tag VLAN no Palo Alto Networks PAN-OS.

    • Preferred B-End VLAN (VLAN Preferencial da Extremidade B) – Especifique a tag VLAN 802.1q para esta conexão que você receberá por meio da VLAN da Extremidade B. Para um MVE da Palo Alto Networks, ela também será usada para configurar a tag VLAN no Palo Alto Networks PAN-OS.

    • Minimum Term (Prazo Mínimo) – Selecione Sem Prazo Mínimo, 12 meses, 24 meses, 36 meses, 48 meses ou 60 meses. Prazos mais longos resultam em um valor mensal mais baixo. 12 meses é selecionado por padrão. Observe as informações na tela para evitar taxas de rescisão antecipada (ETF).

      Habilite a opção Renovação do Prazo Mínimo para serviços com prazo de 12, 24, 36, 48 ou 60 meses para renovar automaticamente o contrato ao final do prazo pelo mesmo preço com desconto e com a mesma duração do prazo. Se você não renovar o contrato, ao final do prazo, o contrato passará automaticamente para um contrato mês a mês para o período de faturamento seguinte, pelo mesmo preço, sem descontos por prazo.

      Para mais informações, consulte Preços do VXC e Termos de Contrato e Faturamento de VXC, Megaport Internet, e IX.

    • Resource Tags (Tags de recurso) – Você pode usar tags de recurso para adicionar seus próprios metadados de referência a um serviço da Megaport.
      Para adicionar uma tag:

      1. Clique em Add Tags (Adicionar tags).
      2. Clique em Add New Tag (Adicionar nova tag).
      3. Insira os detalhes nos campos:
        • Key (Chave) – string com comprimento máximo de 128. Valores válidos são a-z 0-9 _ : . / \ -
        • Value (Valor) – string com comprimento máximo de 256. Valores válidos são a-z A-Z 0-9 _ : . @ / + \ - (espaço)
      4. Clique em Save (Salvar).

      Se você já tiver tags de recurso para esse serviço, poderá gerenciá-las clicando em Manage Tags (Gerenciar tags).

      Aviso

      Nunca inclua informações sensíveis em uma tag de recurso. Informações sensíveis incluem comandos que retornam definições de tags existentes e informações que identifiquem uma pessoa ou empresa.

  6. Clique em Next (Próximo) para visualizar a página Resumo.

  7. Confirme a configuração e clique em Add VXC (Adicionar VXC).

  8. Clique em Review Order (Revisar Pedido) para prosseguir pelo processo de checkout.

Depois que o VXC for implementado, você poderá visualizá-lo na página Services do Megaport Portal. A página Services exibe o VXC sob a MVE da Extremidade A e a MVE da Extremidade B. Observe que o número do identificador do serviço é o mesmo para o VXC em ambas as extremidades da conexão.

A próxima etapa é configurar as MVEs de Extremidade A e de Extremidade B no Palo Alto Networks VM-Series.

Nota

O próximo procedimento configura a conectividade IP com BGP, fornecendo apenas uma entre muitas soluções. Consulte a documentação do seu fornecedor para opções específicas de design e configuração de rede antes de configurar interfaces para as MVEs.

Configurando a MVE de Extremidade A no VM-Series

Configure a nova interface VLAN no VM-Series, incluindo nome, valor da VLAN e detalhes de endereço IP.

Para configurar a MVE de Extremidade A no VM-Series

  1. Faça login na sua instância do VM-Series.

  2. Escolha Rede > Interfaces.

  3. Selecione a MVE de Extremidade A (ethernet1/1).

  4. Clique em Add Subinterface (Adicionar Subinterface).

  5. Forneça estes detalhes:

    • Interface Name (Nome da Interface) – Insira um nome para a subinterface. No campo adjacente, insira um número para identificar a subinterface.

    • Comment (Comentário) – Insira um nome alternativo, por exemplo, PA-MVE-1 para PA-MVE-2.

    • Tag (Tag) – Especifique o valor da VLAN associado ao VXC que você criou anteriormente. Para facilitar, especifique o mesmo número do Nome da Interface.

    • Virtual Router (Roteador Virtual) – Selecione um roteador virtual para a interface, conforme necessário pela sua rede.

  6. Selecione a guia IPv4 (IPv4).

  7. Selecione Static (Estático) como o Tipo.
  8. Clique em +Add (Adicionar) para adicionar um novo endereço IP.
  9. Insira o endereço IPv4 e a máscara de rede.
  10. Clique em OK (OK).
  11. Clique em Commit (Confirmar) no canto superior direito.
    Botão Commit
  12. Revise as alterações e clique em Commit (Confirmar).
    Commit changes

A nova interface VLAN aparece junto à sua interface física ethernet1/1.

Em seguida, você criará uma zona de segurança para que a interface possa rotear o tráfego.

Para criar uma zona de segurança

  1. Selecione a subinterface ethernet1/1.1010.
  2. Selecione Nova Zona na lista suspensa Zona de Segurança.
  3. Especifique um nome para a zona de segurança.
    Configurações de zona de segurança
  4. Clique em +Add (Adicionar) em Interfaces e adicione ethernet1/1.1010 à zona de segurança.
  5. Especifique quaisquer detalhes adicionais conforme necessário para a segurança da sua rede.
  6. Selecione Novo Perfil de proteção de zona na lista suspensa Perfil de proteção de zona.
  7. Especifique quaisquer detalhes conforme necessário para a segurança da sua rede. Este exemplo usa todos os padrões.
    Perfil de proteção de zona
  8. Clique em OK (OK).
  9. Clique em OK (OK) na tela Subinterface de Camada 3.
  10. Clique em Commit (Confirmar) no canto superior direito.
    Botão Commit
  11. Revise as alterações e clique em Commit (Confirmar).
    Commit changes

Configurando a MVE de Extremidade B no VM-Series

  • Siga o mesmo procedimento para configurar a interface da Extremidade B, usando um endereço IP diferente.

Validando sua conexão

Em seguida, você testará a conectividade entre as MVEs da Palo Alto Networks.

Nota

Como a Palo Alto é um firewall, você deve enable ICMP antes que uma interface possa responder a uma solicitação de eco ICMP.

Para validar sua conexão

  1. Faça login na sua instância do VM-Series.
  2. Escolha Rede > Interfaces.
  3. Selecione a subinterface recém-criada.
    Selecionar subinterface
  4. Selecione a guia Advanced (Avançado).
    Guia Advanced
  5. Selecione Novo Perfil de gerenciamento na lista suspensa.
  6. Especifique um nome de perfil no campo Name (Nome).
    Perfil de gerenciamento de interface
  7. Selecione Ping na lista Serviços de rede.
  8. Para adicionar endereços IP ou sub-redes específicos à ACL, clique em +Add (Adicionar) em Endereços IP permitidos.
  9. Clique em OK (OK).
    Subinterface de Camada 3
  10. Clique em OK (OK).
  11. Clique em Commit (Confirmar) no canto superior direito.
    Botão Commit
  12. Revise as alterações e clique em Commit (Confirmar).
    Commit changes
  13. Repita as etapas de 1 a 12 para a segunda MVE da Palo Alto Networks.
  14. Escolha Dispositivo > Solução de problemas para testar a conectividade entre as MVEs da Palo Alto Networks.
  15. Selecione Ping na lista suspensa Select Test (Selecionar teste).
    Selecionar teste de ping
  16. Insira os detalhes relevantes.
    Veja a Palo Alto Networks Tech Docs para informações sobre esses campos.
  17. Clique em Execute (Executar) para executar o teste.
    Ping bem-sucedido