跳转至
Megaport 技术文档
连接 MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

连接集成 Palo Alto Networks VM-Series 的 MVE

本主题介绍如何将一个集成 Palo Alto Networks 下一代防火墙(NGFW)的 Megaport Virtual Edge(MVE)连接到另一个 MVE。

此部署使用 Megaport 私有软件定义网络(SDN)以减少对互联网的依赖,并连接企业分支机构位置

分支到分支

在配置了两个 MVE 之后,您可以在 Megaport 网络上创建一个私有 VXC 将它们连接起来,而无需任何物理基础设施。VXC 本质上是 A 端 MVE 与 B 端 MVE 之间的私有点到点以太网连接。

注意

MVE 上的面向互联网的接口可以通过公共互联网访问另一台 MVE 上的面向互联网的接口。也就是说,您可以在不同都市圈的 MVE 之间通过互联网交换流量。基本连接模型包括一台位于某都市圈的 MVE 通过一个 Megaport Internet 连接到另一都市圈的 MVE。该连通性由客户/SD-WAN 合作伙伴管理,而非由 Megaport 管理。有关更多信息,请参阅 Megaport Internet 概述

开始之前

在不同位置预配两个 MVE。如果您尚未创建 MVE,请参阅 创建 VM-Series MVE

在两个 MVE 之间创建 VXC

在两个集成 Palo Alto Networks 的 MVE 之间部署私有 VXC,从 Megaport Portal 开始。要完成配置,您将使用 Palo Alto Networks VM-Series。

创建 VXC 的方法

  1. Megaport Portal 中,转到 Services (服务) 页面,并在源 A 端 MVE 旁单击 +Connection (添加连接)

  2. 选择 私有 VXC。

    私有 VXC

  3. 选择目标 B 端 MVE 和位置。
    使用 Country 筛选器缩小选择范围。

  4. 单击 Next (下一步)

  5. 指定连接详细信息:

    • Connection Name (连接名称) – 您的 VXC 在 Megaport Portal 中显示的名称。为 VXC 指定一个易于识别的名称,例如 LA MVE 2 to Dallas MVE 4。如有需要,您可在稍后更改该名称。

    • Service Level Reference (服务级别参考) (可选) – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号,例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

    • Rate Limit (速率限制) – 您的连接速率(Mbps)。会显示最大速率。尽管 VXC 的速率限制最高可达数个 Gbps,但 A 端或 B 端 MVE 的计算能力可能会影响电路吞吐量。有关更多信息,请参阅 Palo Alto Networks 的文档。

    • VXC State (VXC 状态) – 选择 Enabled (已启用)Shut Down (关机) 以定义连接的初始状态。有关更多信息,请参阅关闭 VXC 进行故障转移测试

      注意

      如果选择 Shut Down (关机),流量将不会通过此服务传输,并且在 Megaport 网络上该服务将表现为宕机状态。此服务的计费仍会继续,并且您仍将为此连接付费。

    • vNIC selection (vNIC 选择) – 取决于您所使用的 MVE 的配置,您可能需要指定 A 端与 B 端 vNIC。

      • A-End vNIC (A 端 vNIC) – 使用预填充的默认值指定 vNIC,或从下拉列表中选择。

      • B-End vNIC (B 端 vNIC) – 使用预填充的默认值指定 vNIC,或从下拉列表中选择。

        有关在连接不同服务的 MVE 时进行 vNIC 选择的更多信息,请参阅 vNIC 连接类型

    • Preferred A-End VLAN (首选 A 端 VLAN) – 为此连接的 A 端指定 802.1q VLAN 标记。
      每个 VXC 都作为 MVE 上的单独 VLAN 提供。VLAN ID 必须在此 MVE 上唯一,可选范围为 2 到 4093。如果您指定的 VLAN ID 已在使用,系统会显示下一个可用的 VLAN 编号。VLAN ID 必须唯一才能继续下单。如果您未指定值,Megaport 将分配一个。对于 Palo Alto Networks MVE,它也将用于在 Palo Alto Networks PAN-OS 中配置 VLAN 标记。

    • Preferred B-End VLAN (首选 B 端 VLAN) – 指定此连接在 B 端接收的 802.1q VLAN 标记。对于 Palo Alto Networks MVE,它也将用于在 Palo Alto Networks PAN-OS 中配置 VLAN 标记。

    • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长,每月费率越低。12 个月 为默认选择。请注意屏幕上的信息,以避免提前终止费用(ETF)。

      对于合约期为 12、24、36、48 或 60 个月的服务,启用 最低合约期续订 选项,可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约,在合约期结束时, 合约将在下一个计费周期自动转为按月合约,价格相同,但不含合约期折扣。

      有关更多信息,请参阅 VXC 定价与合同条款VXC、Megaport Internet 与 IX 计费

    • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
      要添加标签:

      1. 单击 Add Tags (添加标签)
      2. 单击 Add New Tag (添加新标签)
      3. 在各字段中输入详细信息:
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
      4. 单击 Save (保存)

      如果该服务已存在资源标签,您可以单击 Manage Tags (管理标签) 进行管理。

      警告

      切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令,以及可识别个人或公司的信息。

  6. 单击 Next (下一步) 查看 Summary 页面。

  7. 确认配置并单击 Add VXC (添加 VXC)

  8. 单击 Review Order (审核订单) 以继续结账流程。

VXC 部署完成后,您可以在 Megaport Portal 的 Services 页面查看它。Services 页面会在 A 端 MVE 与 B 端 MVE 下方显示该 VXC。请注意,连接两端的 VXC 服务标识符编号相同。

下一步是在 Palo Alto Networks VM-Series 中配置 A 端与 B 端 MVE。

注意

下述过程通过 BGP 配置 IP 连通性,仅是众多可行方案之一。请在为 MVE 配置接口之前,查阅您的供应商文档以获取特定的网络设计与配置选项。

在 VM-Series 中配置 A 端 MVE

在 VM-Series 中配置新的 VLAN 接口,包括名称、VLAN 值和 IP 地址等详细信息。

在 VM-Series 中配置 A 端 MVE 的方法

  1. 登录到您的 VM-Series 实例。

  2. 选择 Network > Interfaces。

  3. 选择 A 端 MVE(ethernet1/1)。

  4. 单击 Add Subinterface (添加子接口)

  5. 提供以下详细信息:

    • Interface Name (接口名称) – 为子接口输入名称。在相邻字段中输入一个数字以标识该子接口。

    • Comment (注释) – 输入一个备用名称,例如 PA-MVE-1 to PA-MVE-2

    • Tag (标记) – 指定与您先前创建的 VXC 关联的 VLAN 值。为便于使用,请指定与 Interface Name 相同的数字。

    • Virtual Router (虚拟路由器) – 根据您的网络需要,为该接口选择一个虚拟路由器。

  6. 选择 IPv4 选项卡。

  7. 将 Type 设为 Static (静态)
  8. 单击 +Add (添加) 以添加新的 IP 地址。
  9. 输入 IPv4 地址和子网掩码。
  10. 单击 OK (确定)
  11. 单击右上角的 Commit (提交)
    提交按钮
  12. 审核更改并单击 Commit (提交)
    提交更改

新的 VLAN 接口会与您的 ethernet1/1 物理接口一起显示。

接下来,您将创建一个安全区域,使该接口可以转发流量。

创建安全区域

  1. 选择 ethernet1/1.1010 子接口。
  2. 在 Security Zone 下拉列表中选择 New Zone。
  3. 为安全区域指定名称。
    安全区域设置
  4. 在 Interfaces 下单击 +Add (添加),并将 ethernet1/1.1010 添加到该安全区域。
  5. 根据网络安全需要指定其他详细信息。
  6. 在 Zone Protection Profile 下拉列表中选择 New Zone Protection Profile。
  7. 根据网络安全需要指定相关详细信息。本示例全部使用默认值。
    区域防护配置文件
  8. 单击 OK (确定)
  9. 在 Layer3 Subinterface 界面中单击 OK (确定)
  10. 单击右上角的 Commit (提交)
    提交按钮
  11. 审核更改并单击 Commit (提交)
    提交更改

在 VM-Series 中配置 B 端 MVE

  • 按相同步骤配置 B 端接口,但使用不同的 IP 地址。

验证您的连接

接下来,您将测试 Palo Alto Networks MVE 之间的连通性。

注意

因为 Palo Alto 是防火墙,您必须先启用 ICMP,接口才能响应 ICMP 回显请求。

验证连接

  1. 登录到您的 VM-Series 实例。
  2. 选择 Network > Interfaces。
  3. 选择新建的子接口。
    选择子接口
  4. 选择 Advanced (高级) 选项卡。
    高级选项卡
  5. 从下拉列表中选择 New Management Profile。
  6. Name (名称) 字段中指定配置文件名称
    接口管理配置文件
  7. 在 Network Services 列表中选择 Ping。
  8. 要将特定 IP 地址或子网添加到 ACL,请在 Permitted IP Addresses 下单击 +Add (添加)
  9. 单击 OK (确定)
    三层子接口
  10. 单击 OK (确定)
  11. 单击右上角的 Commit (提交)
    提交按钮
  12. 审核更改并单击 Commit (提交)
    提交更改
  13. 对第二个 Palo Alto Networks MVE 重复步骤 1 到 12。
  14. 选择 Device > Troubleshooting 以测试 Palo Alto Networks MVE 之间的连通性。
  15. 在 Select Test 下拉列表中选择 Ping。
    选择 ping 测试
  16. 输入相关详细信息。
    有关这些字段的信息,请参阅 Palo Alto Networks Tech Docs
  17. 单击 Execute (执行) 运行测试。
    ping 成功