跳转至
Megaport 技术文档
Azure MVE 连接
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

使用 Palo Alto VM-Series 为 MVE 创建 Azure 连接

您可以使用 Virtual Cross Connect(VXC)从 MVE(Palo Alto VM-Series 防火墙)到 Azure ExpressRoute 创建网络连接。您可以创建私有连接或公共(Microsoft)连接。

重要

开始之前,请先创建一个 MVE(VM-Series)。有关详细信息,请参阅 创建 VM-Series MVE

将 ExpressRoute 连接添加到您的 MVE 和 VM-Series 包含三个部分。

  1. 在 Azure 控制台中设置您的 ExpressRoute 方案并部署 ExpressRoute 电路。部署后,您将获得一个服务密钥。更多详细信息,请参阅 Microsoft ExpressRoute documentation

    要查看连接到特定 Azure 合作伙伴位置的时延和价格,请开始添加到 Microsoft Azure 的连接的流程,但不要提供 Microsoft Azure Service Key (Microsoft Azure 服务密钥),而是点击 View all Azure Partner locations (查看所有 Azure 合作伙伴位置)。您可以在没有服务密钥的情况下继续进入连接详细信息页面并查看所选端口的定价。要下单购买 Microsoft Azure 连接,您需要提供服务密钥
    新建连接 'Select Port' 页面,已选择 Microsoft Azure 服务提供商。显示一个端口列表,包含它们的位置、区域和预期时延

  2. 在 Megaport Portal 中,从您的 MVE 到 ExpressRoute 位置创建一个连接(VXC)。

  3. 在 VM-Series 中,创建一个新接口并添加 ExpressRoute 连接的详细信息。

本主题中的步骤描述第二和第三部分。

注意

Palo Alto 的 MVE 对所有云连接都需要在 VM-Series 和 Megaport Portal 中进行配置步骤。

在 Megaport Portal 中添加 ExpressRoute 连接

要设置 ExpressRoute 连接,您需要在 Megaport Portal 中创建该连接。

在 Megaport Portal 中创建到 ExpressRoute 的连接

  1. Megaport Portal 中,转到 Services (服务) 页面并选择要使用的 MVE。

  2. 在 MVE 上单击 +Connection (添加连接)
    添加连接

  3. 单击 Cloud (云) 磁贴。

  4. 选择 Microsoft Azure 作为提供商
    新建连接的 'Select Port' 页面,已选择 Microsoft Azure 提供商

  5. 将 ExpressRoute 服务密钥添加到 Microsoft Azure Service Key (Microsoft Azure 服务密钥) 字段。
    Portal 会验证该密钥,然后根据 ExpressRoute 区域显示可用的端口位置。例如,如果您的 ExpressRoute 服务部署在 Sydney 的 Australia East 区域,您可以选择 Sydney 的位置。

  6. 为第一个连接选择连接点。
    要部署第二条连接(推荐这样做),您可以创建第二个 VXC - 输入相同的服务密钥并选择另一处连接位置。

    在配置屏幕上会显示一些有用的链接,指向 Azure Resource Manager 控制台和一些教程视频等资源。

  7. 单击 Next (下一步)

  8. 指定连接详细信息:

    • Connection Name (连接名称) – 您的 VXC 在 Megaport Portal 中显示的名称。

    • Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

    • Rate Limit (速率限制) – 您的连接速率,单位为 Mbps。VXC 的速率限制将根据 ExpressRoute 服务密钥的允许上限进行封顶。

    • VXC State (VXC 状态) – 选择 Enabled (已启用)Shut Down (关机) 以定义连接的初始状态。有关更多信息,请参阅 为故障切换测试关闭 VXC.

      注意

      如果选择 Shut Down (关机),流量将不会通过此服务,并且在 Megaport 网络上其行为与宕机相同。对此服务的计费将保持活动状态,您仍会为此连接付费。

    • A-End vNIC (A 端 vNIC) – 从下拉列表中选择一个 A 端 vNIC。 有关 vNIC 的更多信息,请参阅 在 Megaport Portal 中创建 MVE.

    • Preferred A-End VLAN (首选 A 端 VLAN) – 为此连接指定一个未使用的 VLAN ID(对于 ExpressRoute,这是 S-Tag)。此 MVE 上必须使用唯一的 VLAN ID,取值范围为 2 到 4093。如果指定了已在使用的 VLAN ID,系统会显示下一个可用的 VLAN 编号。要继续下单,VLAN ID 必须唯一。如果未指定值,Megaport 将分配一个。

    • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。

      对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。

      有关详细信息,参见 VXC 定价与合约条款VXC、Megaport Internet 与 IX 计费

    • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
      要添加标签:

      1. 单击 Add Tags (添加标签)
      2. 单击 Add New Tag (添加新标签)
      3. 在各字段中输入详细信息:
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
      4. 单击 Save (保存)

      如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。

      警告

      切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。

    • Configure Single Azure Peering VLAN (配置单一 Azure Peering VLAN) – 默认情况下,MVE 会启用此选项,我们强烈建议在 Palo Alto VM-Series 中保持启用。
      该选项提供单标签 VLAN 方案。您在 Azure 中使用 MVE 的 VLAN(A 端)以及在 Azure 中设置的对端 VLAN(B 端)来配置 Peering。注意,启用此选项时,每个 VXC 只能有一种 Peering 类型(Private 或 Microsoft)。

      重要

      如果不启用此选项,VXC 会显示为活动状态,但不会识别流量。

    • Azure Peering VLAN (Azure 侧 Peering VLAN) – 此值在单标签 VLAN Peering 中需要与 A 端 VLAN 匹配。必要时也可以设置与之不同的 Azure Peering VLAN。
      Azure 连接详细信息

  9. 单击 Next (下一步) 并完成订购流程。

配置完成后,VXC 图标将显示为绿色。

新的 VXC

在 Azure Resource Management 控制台中,提供程序状态将为 Provisioned

Azure 提供程序状态

预配完成后,您需要配置 Peering。您可以配置 Private 和 Microsoft Peering。单击要配置的对等体并提供以下详细信息:

  • Peer ASN (对等体 ASN) – 输入 MVE 的 ASN。
  • IPv4 Subnets (IPv4 子网) – 对于这些子网中的每一个,MVE 使用第一个可用 IP 地址,Microsoft 使用第二个可用 IP 作为其路由器。
  • VLAN ID (VLAN 标识) – 输入来自 MVE 的 A 端 VLAN。(注意,Azure 控制台中的 VLAN ID 可以与 A 端 VLAN 不同。)
  • Shared Key (共享密钥) (可选) – 为 BGP 输入 MD5有时称为 MD5 哈希或 BGP 密钥。 消息摘要(MD5)算法是一种广泛使用的密码学哈希函数,生成由 32 个十六进制数字组成的字符串。 它用于在交换 BGP 信息的路由器之间作为密码或密钥。
     密码。

Azure Peering 配置

在 VM-Series 中添加 ExpressRoute 连接

在从 MVE 到 Azure 创建连接并在 Azure 控制台中完成设置之后,您需要在 VM-Series 中进行配置。这包括创建接口并配置 BGP 设置、ASN、VLAN 和 MD5 值。

在 VM-Series 中添加 Azure 云连接

  1. 从 Azure 控制台收集连接详细信息。
    显示您在 Azure 中为此连接创建的连接详情。记录 Peer ASN (对等体 ASN)Shared Key (共享密钥)VLAN IDIPv4 Primary Subnet (IPv4 主子网) 的取值。

  2. 从 Megaport Portal 收集连接详细信息。
    单击来自您 MVE 的 Azure 连接的齿轮图标,然后单击 Details 视图。 记录 A-End VLAN (A 端 VLAN) 的取值。

  3. 登录到 VM-Series。

  4. 选择 Network > Interfaces。

  5. 选择 A 端 MVE(ethernet1/1)。

  6. 单击 Add Subinterface (添加子接口)

  7. 提供以下详细信息:

    • Interface Name (接口名称) – 为子接口输入一个名称。在相邻字段中输入一个编号以标识该子接口。

    • Comment (备注) – 输入其他名称。

    • Tag (标签) – 指定在 Megaport Portal 中与此 Azure 连接关联的 A 端 VLAN。

    • Virtual Router (虚拟路由器) – 根据您的网络需要,将一个虚拟路由器选择到该接口。

  8. 选择 IPv4 (IPv4 选项卡)

  9. 选择 Static (静态) 作为类型。
  10. 单击 +Add (添加) 以添加新的 IP 地址。
  11. 输入 IPv4 地址和子网掩码。
    这些值可在 Azure 控制台中获取。IP 地址和 CIDR 显示在 IPv4 Primary Subnet (IPv4 主子网) 字段中;MVE 使用第一个可用 IP 地址,Azure 使用第二个可用 IP 作为其路由器。对于此字段,输入 MVE(第一个可用)IP 地址。
  12. 单击 OK (确定)
  13. 在右上角单击 Commit (提交)
    Commit 按钮
  14. 检查更改并单击 Commit (提交)
    提交更改

新的 VLAN 接口会与您的物理接口 ethernet1/1 一起显示。

接下来,您将创建一个安全区域,使该接口能够转发流量。

创建安全区域

  1. 选择 ethernet1/1.1010 子接口。
  2. 在 Security Zone 下拉列表中选择 New Zone。
  3. 为该安全区域指定一个名称。
    安全区域设置
  4. 在 Interfaces 下单击 +Add (添加),并将 ethernet1/1.1010 添加到该安全区域。
  5. 根据您的网络安全需要指定其他详细信息。
  6. 在 Zone Protection Profile 下拉列表中选择 New Zone Protection Profile。
  7. 根据您的网络安全需要指定相关详细信息。本示例使用全部默认值。
    区域防护配置文件
  8. 单击 OK (确定)
  9. 在 Layer3 Subinterface 界面单击 OK (确定)
  10. 在右上角单击 Commit (提交)
    Commit 按钮
  11. 检查更改并单击 Commit (提交)
    提交更改

此时,您已创建接口。接下来,您需要创建 BGP 会话。

创建 BGP 会话

  1. 在 VM-Series 中,选择 Network > Virtual Routers。
  2. 选择该虚拟路由器。
    选择虚拟路由器
  3. 在左侧窗格中选择 BGP。

  4. 提供以下 BGP 详细信息:

    • Enable (启用) – 在提交这些更改后,选中此复选框以启动 BGP 会话。
    • Router ID (路由器 ID) – 从 Azure 控制台的 IPv4 Primary Subnet (IPv4 主子网) 中输入第一个可用 IP 地址。
    • AS Number (AS 号) – 为 MVE 连接提供 ASN。为 MVE 连接提供 ASN。使用来自 Azure 控制台的 Peer ASN (对等体 ASN)
      BGP 详细信息

  5. 在 Auth Profiles 下单击 +Add (添加)

  6. 指定配置文件名称。
    配置文件名称
  7. 输入并确认认证密码。
  8. 单击 OK (确定)
  9. 选择 Peer Group (对等组) 选项卡。
    Peer Group 选项卡
  10. 单击 +Add (添加) 以添加对等组。
  11. 为该对等组指定名称。例如,AWS-xxxx。
  12. 将会话类型指定为 eBGP。
  13. 根据您的网络需要指定其他详细信息。
  14. 单击 +Add (添加) 以添加新的对等体。
  15. 为该对等体指定详细信息:
    • Name (名称) – 为此对等体指定一个名称。
    • Peer AS (对等体 AS) – 指定 Azure 侧 ASN 12076。该值是固定的,并显示在 Azure 控制台的连接详细信息中。
    • Local Address (本地地址) – 从下拉列表中选择相应的子接口和 IP 地址。
    • Peer Address (对等体地址) – 从 Azure 控制台的 IPv4 Primary Subnet (IPv4 主子网) 中输入第二个可用 IP 地址。
      BGP 对等组界面

验证您的 Azure 连接

检查 BGP 对等体状态

  1. 选择 Network > Virtual Routers。
  2. 找到您的虚拟路由器(default)。
  3. 在右侧的 Runtime Stats 列中单击 More Runtime Stats (更多运行时统计)
    运行时统计
  4. 选择 BGP (BGP 选项卡),然后选择 Peer (对等体选项卡)
  5. 确认对等体状态为 Established
    Established 状态