跳转至
Megaport 技术文档
规划部署
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

规划您的 Check Point 部署

本主题概述了供应流程,并介绍了 Megaport Virtual Edge (MVE) 的部署注意事项。

您提供 Megaport 提供
来自分支的互联网连接 用于承载虚拟安全实例的平台
在分支部署的 Check Point CloudGuard 从分支到 Megaport 网络上任意目标的完整连接,以及与其他 Megaport 产品和服务的互操作
在分支安装的客户驻地设备 (CPE) Megaport Internet 连接,通过互联网在 MVE 与分支的 CPE 之间终止隧道
在 Megaport SDN 上使用的 Check Point CloudGuard 软件许可 访问 Megaport 生态系统

部署注意事项

本节概述 MVE 的部署选项和功能。

注意

Check Point 的架构与许多其他防火墙厂商不同。

Check Point 使用集中式的安全管理服务器(策略服务器)来管理和配置其安全网关,包括 MVE。安全管理服务器定义安全策略并将其分发到网关,由网关负责执行这些策略。

初始访问和管理

  • 使用 vNIC 0 与设备进行初始通信。
  • 将 vNIC 0 配置为无标签,以便进行首次管理员登录。
  • Check Point 防火墙默认禁用 Internet 控制消息协议(ICMP)。在部署后无法立即使用 ping 或其他基于 ICMP 的工具验证连通性。
  • 当 MVE 上线后,请使用 SSH 或 HTTPS 登录。

策略与高级配置

  • 使用 Check Point Smart Console 进行高级配置和策略管理。在创建或发布防火墙策略之前,必须先完整配置 Smart Console。
  • 部署管理网关(安全管理服务器)以定义并分发防火墙策略。您可以在任何 CSP 环境中部署该管理网关。

有关自动化 Check Point CloudGuard 部署的信息,请参阅 CloudGuard Network Security - How to configure cloud-init automationHow to provide user data in KVM with Configuration Drive

网络和安全厂商

MVE 与 Check Point CloudGuard 集成,在您的网络与云环境之间提供高级威胁防护以及基于策略的安全流量路由。

有关在 MVE 平台上受支持的 NFVsMVE 是一个按需、供应商中立的网络功能虚拟化 (NFV) 平台,可在 Megaport 的全球软件定义网络 (SDN) 的边缘为网络服务提供虚拟基础设施。 通过 Megaport Virtual Edge,SD-WAN 和 NGFW 等网络技术直接托管在 Megaport 的全球网络上。
 的更多信息,请参阅 Megaport Virtual Edge (MVE) product page

MVE 位置

有关可连接到 MVE 的全球位置列表,请参阅 Megaport Virtual Edge 位置

为您的 MVE 实例选择规格

实例规格决定 MVE 的能力,例如可支持的并发连接数量。

在选择 MVE 实例规格时,请注意以下事项:

  • 网络数据流负载的任何提升都可能降低性能。例如,建立基于 IPsec 的安全隧道、添加流量路径引导,或启用深度包检测 (DPI) 都会影响最大吞吐速率。

  • 未来的网络扩展计划。

要查看适用于您部署的 MVE 实例规格,请在 MVE 设置过程中使用 Megaport Portal。实例规格的可用性取决于所选厂商和部署位置,并可能据此有所不同。Megaport Portal 会显示您所选厂商与位置可用的规格。

在 Megaport Portal 中查看 MVE 实例规格

  1. Megaport Portal 中,转到 Services (服务) 页面。

  2. 单击 Create MVE (创建 MVE)
    创建 MVE 按钮

  3. 选择 Check Point CloudGuard Network (Check Point CloudGuard 网络)

  4. 选择软件版本。

  5. 单击 Next (下一步)

  6. 选择一个 MVE 位置。

    选择一个在地理位置上靠近您的目标分支和/或本地位置的地点。

    您可以使用 Search (搜索) 字段查找目标 Port 的名称、国家/地区、都会区或地址。您也可以按多样性区域进行筛选。

  7. 系统会根据所选位置显示可用实例规格列表。可用规格将以绿色突出显示,并标记为 Available (可用)。这些规格支持不同的并发连接数量,且各合作伙伴产品的指标可能略有差异。

    注意

    如果您想要的 MVE 规格未出现在列表中,则表示所选位置的容量不足。您可以选择另一个容量充足的位置,或联系您的客户经理以讨论需求。

如果将来需要更多 MVE 容量怎么办?

要增加 MVE 容量,您可以:

  • 您可以再开通一个 MVE 实例,将其添加到您的 overlay 网络,并在两个 MVE 之间分担工作负载。

  • 您可以开通更大的 MVE 实例,将其添加到您的 overlay 网络,把连接从旧的 MVE 迁移到新的更大 MVE,然后退役旧的 MVE。

您可以随时调整 Megaport Internet 带宽,而无需拆除虚拟机。

安全

MVE 通过 Megaport SDN 在您的分支位置与云或数据中心目标之间提供安全连接。托管在 MVE 上的 Check Point CloudGuard 实例可对穿越 Megaport 私有网络骨干的流量进行检测、加固与控制。流量从边缘到目标始终保持加密并受策略约束。

许可

在 Megaport Portal 中创建 MVE 之前,请确保您的用户账户具有下单权限。有关更多信息,请参阅 创建账户

您还需要有效的 Check Point CloudGuard 许可。要获取或管理 Check Point CloudGuard 许可,请参阅 Check Point User Center

VLAN 标记

Megaport 使用 Q-in-Q802.1Q 隧道(也称为 Q-in-Q 或 802.1ad)是一种 OSI 第 2 层服务提供商在为客户提供服务时使用的技术。802.1ad 支持 内层外层 两种标签,其中 外层(有时称为面向服务提供商的 S-tag)可以被移除,以显露 内层(C-tag 或客户)标签,用于对数据进行分段。
 来区分同一主机硬件系统上的 VXC 与 MVE。租户 MVE 的面向互联网链路接收未打标签的流量,而指向 Megaport 网络上其他目标(例如 CSP 接入点或其他 MVE)的 VXC 则接收单标签 802.1Q 流量。有关更多信息,请参阅 配置 Q-in-Q

vNICs

与 Check Point 集成的 MVE 支持一个 vNIC。