跳轉到
Megaport 技術文件
Azure MVE 連線
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

為 MVE 使用 Palo Alto VM-Series 建立 Azure 連線

您可以使用 Virtual Cross Connect(VXC)從 MVE(Palo Alto VM-Series 防火牆)建立到 Azure ExpressRoute 的網路連線。您可以建立私有連線或公開(Microsoft)連線。

重要

在開始之前,請先建立 MVE(VM-Series)。如需詳細資訊,請參閱 建立 VM-Series MVE

將 ExpressRoute 連線新增至您的 MVE 與 VM-Series 共有三個部分。

  1. 設定您的 ExpressRoute 方案並在 Azure 主控台部署 ExpressRoute 線路。部署完成後,您會取得服務金鑰。更多詳細資料,請參閱 Microsoft 的 ExpressRoute documentation

    若要檢查連線到特定 Azure Partner 位置的延遲與價格,請開始新增連線到 Microsoft Azure的程序,但不要提供 Microsoft Azure Service Key (Microsoft Azure 服務金鑰),改為按一下 View all Azure Partner locations (檢視所有 Azure Partner 位置)。您可以在沒有服務金鑰的情況下進入 Connection Details 頁面,並檢視所選連接埠的定價。若要下單建立 Microsoft Azure 連線,您需要提供服務金鑰
    新的連線 'Select Port' 頁面,已選取 Microsoft Azure 供應商。顯示連接埠清單,包含其位置、區域與預期延遲

  2. 在 Megaport Portal 中,從您的 MVE 建立一條連線(VXC)到您的 ExpressRoute 位置。

  3. 在 VM-Series 中,建立新的介面,並加入 ExpressRoute 連線的詳細資料。

本主題中的指示說明第二與第三部分。

備註

用於 Palo Alto 的 MVE 在所有雲端連線中,都需要同時在 VM-Series 與 Megaport Portal 內進行設定步驟。

在 Megaport Portal 中新增 ExpressRoute 連線

若要設定 ExpressRoute 連線,您需要先在 Megaport Portal 中建立此連線。

從 Megaport Portal 建立到 ExpressRoute 的連線

  1. Megaport Portal 中,前往 Services (服務) 頁面,並選取您要使用的 MVE。

  2. 在 MVE 上按一下 +Connection (新增連線)
    新增連線

  3. 按一下 Cloud (雲端) 磚塊。

  4. 將提供者選擇為 Microsoft Azure
    新的連線 'Select Port' 頁面,已選取 Microsoft Azure Provider

  5. 將 ExpressRoute 服務金鑰新增到 Microsoft Azure Service Key (Microsoft Azure 服務金鑰) 欄位。
    Portal 會驗證金鑰,然後根據 ExpressRoute 區域顯示可用的連接埠位置。例如,若您的 ExpressRoute 服務部署在位於雪梨的 Australia East 區域,您可以選取雪梨的位置。

  6. 為您的第一條連線選取連線點。
    若要部署第二條連線(建議這樣做),您可以建立第二條 VXC,輸入相同的服務金鑰並選取另一個連線位置。

    設定畫面會顯示一些實用連結,指向 Azure Resource Manager 主控台與教學影片等資源。

  7. 按一下 Next (下一步)

  8. 指定連線詳細資訊:

    • Connection Name (連線名稱) – 在 Megaport Portal 中顯示的 VXC 名稱。

    • Service Level Reference (服務層級參考) (選用) – 指定一組用於計費用途的 Megaport 服務唯一識別編號,例如成本中心編號、唯一的客戶 ID,或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。

    • Rate Limit (速率上限) – 您的連線速率(Mbps)。VXC 的速率上限會根據 ExpressRoute 服務金鑰允許的最大值進行限制。

    • VXC State (VXC 狀態) – 選取 Enabled (已啟用)Shut Down (關機) 以定義連線的初始狀態。如需詳細資訊,請參閱 為容錯移轉測試關閉 VXC

      備註

      如果您選取 Shut Down (關機),流量將不會通過此服務,且在 Megaport 網路上其行為會如同中斷。此服務的計費仍會持續,您仍會被收取此連線的費用。

    • A-End vNIC – 從下拉式清單選取 A-End vNIC。 如需 vNIC 的詳細資訊,請參閱 在 Megaport Portal 中建立 MVE

    • Preferred A-End VLAN (偏好的 A-End VLAN) – 指定一個未使用的 VLAN ID 作為此連線的 VLAN(對於 ExpressRoute,這是 S-Tag)。此值必須在此 MVE 上唯一,且範圍為 2 到 4093。若您指定的 VLAN ID 已被使用,系統會顯示下一個可用的 VLAN 編號。VLAN ID 必須唯一才能繼續下單。若您未指定,Megaport 會指派一個。

    • Minimum Term (最短合約期限) – 選擇 無最短合約期限、12 個月、24 個月、36 個月、48 個月,或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊,以避免產生提前終止費用(ETF)。

      針對 12、24、36、48 或 60 個月期的服務,啟用最短合約期限續約 選項,可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約,於合約期滿時, 合約將在下一個計費期間自動轉為按月合約,價格相同,但不再享有期限折扣。

      如需詳細資訊,請參閱 VXC 定價與合約條款VXC、Megaport Internet 與 IX Billing

    • Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
      若要新增標籤:

      1. 按一下 Add Tags(新增標籤)
      2. 按一下 Add New Tag(新增標籤)
      3. 在欄位中輸入詳細資料:
        • Key(鍵) – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
        • Value(值) – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -(空格)
      4. 按一下 Save(儲存)

      如果您已經為該服務建立資源標籤,您可以按一下 Manage Tags(管理標籤) 來進行管理。

      警告

      請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令,以及可識別個人或公司的資訊。

    • Configure Single Azure Peering VLAN (設定單一 Azure Peering VLAN) – 預設此選項會為 MVE 啟用,且我們強烈建議在 Palo Alto VM-Series 中保持啟用。
      此選項提供單一標記 VLAN 的解決方案。您會使用 MVE 的 VLAN(A-End)與在 Azure 設定的對等 VLAN(B-End)在 Azure 中設定 Peering。注意,每條 VXC 在此選項下僅能有一種 Peering 類型(Private 或 Microsoft)。

      重要

      如果未啟用此選項,VXC 會顯示為作用中,但無法辨識流量。

    • Azure Peering VLAN – 對於單一標記 VLAN 的 Peering,此值需要與 A-End VLAN 相同。若有需要,也可設定不同的 Azure Peering VLAN。

    Azure 連線詳細資料

  9. 按一下 Next (下一步),並依序完成訂購流程。

當 VXC 設定完成後,VXC 圖示會變為綠色。

新的 VXC

在 Azure Resource Management 主控台中,供應者狀態將為 Provisioned

Azure 供應者狀態

佈建完成後,您需要設定 Peering。您可以設定 Private 與 Microsoft Peering。按一下要設定的對等端,並提供以下詳細資料:

  • Peer ASN (對等端 ASN) – 輸入 MVE 的 ASN。
  • IPv4 Subnets (IPv4 子網路) – 從每個子網路中,MVE 使用第一個可用 IP 位址,Microsoft 使用第二個可用 IP 作為其路由器。
  • VLAN ID – 輸入 MVE 的 A-End VLAN。(注意,Azure 主控台中的 VLAN ID 可以與 A-End VLAN 不同。)
  • Shared Key (共用金鑰) (選用) – 輸入 BGP 的 MD5有時稱為 MD5 雜湊或 BGP 金鑰。訊息摘要 (MD5) 演算法是一種廣泛使用的密碼學雜湊函式,會產生一串 32 個十六進位數字的字串。它用作在交換 BGP 資訊的路由器之間的密碼或金鑰。
     密碼。

Azure Peering 設定

將 ExpressRoute 連線加入 VM-Series

在您從 MVE 到 Azure 建立連線,並在 Azure 主控台完成設定後,您需要在 VM-Series 中進行設定。這包括建立介面並設定 BGP 參數、ASN、VLAN 與 MD5 值。

在 VM-Series 中新增 Azure 雲端連線

  1. 從 Azure 主控台收集連線詳細資料。
    顯示您在 Azure 中為此連線所建立的連線詳細資料。請記下 Peer ASN (對等端 ASN)Shared Key (共用金鑰)VLAN IDIPv4 Primary Subnet (IPv4 主要子網路) 的值。

  2. 從 Megaport Portal 收集連線詳細資料。
    按一下從您 MVE 到 Azure 連線的齒輪圖示,然後按一下詳細資料檢視。 請記下 A-End VLAN 的值。

  3. 登入 VM-Series。

  4. 選擇 Network > Interfaces。

  5. 選取 A-End MVE(ethernet1/1)。

  6. 按一下 Add Subinterface (新增次介面)

  7. 提供以下詳細資料:

    • Interface Name (介面名稱) – 輸入次介面的名稱。於相鄰欄位輸入一個數字以識別此次介面。

    • Comment (備註) – 輸入替代名稱。

    • Tag (標記) – 指定在 Megaport Portal 中與此 Azure 連線關聯的 A-End VLAN。

    • Virtual Router (虛擬路由器) – 依您的網路需求,為此介面選取虛擬路由器。

  8. 選取 IPv4 分頁。

  9. 將 Type 設為 Static
  10. 按一下 +Add (新增) 以加入新的 IP 位址。
  11. 輸入 IPv4 位址與 netmask。
    這些值可在 Azure 主控台中取得。IP 位址與 CIDR 會出現在 IPv4 Primary Subnet (IPv4 主要子網路) 欄位;MVE 使用第一個可用 IP 位址,Azure 使用第二個可用 IP 作為其路由器。此欄位請輸入 MVE(第一個可用)IP 位址。
  12. 按一下 OK (確定)
  13. 按一下右上角的 Commit (提交)
    Commit 按鈕
  14. 檢閱變更並按一下 Commit (提交)
    提交變更

新的 VLAN 介面會與您的 ethernet1/1 實體介面一同顯示。

接著,您將建立安全性區域,以便該介面能夠轉送流量。

建立安全性區域

  1. 選取 ethernet1/1.1010 次介面。
  2. 從 Security Zone 下拉式清單中選取 New Zone。
  3. 為安全性區域指定名稱。
    安全性區域設定
  4. 在 Interfaces 下方按一下 +Add (新增),將 ethernet1/1.1010 加入安全性區域。
  5. 視您的網路安全需求指定其他詳細資料。
  6. 從 Zone Protection Profile 下拉式清單中選取 New Zone Protection Profile。
  7. 依您的網路安全需求指定相關詳細資料。本範例全部使用預設值。
    區域防護設定檔
  8. 按一下 OK (確定)
  9. 在 Layer3 Subinterface 畫面中按一下 OK (確定)
  10. 按一下右上角的 Commit (提交)
    Commit 按鈕
  11. 檢閱變更並按一下 Commit (提交)
    提交變更

此時,您已建立該介面。接著,您需要建立 BGP 工作階段。

建立 BGP 工作階段

  1. 在 VM-Series 中,選擇 Network > Virtual Routers。
  2. 選取虛擬路由器。
    選取虛擬路由器
  3. 在左側窗格中選取 BGP。

  4. 提供以下 BGP 詳細資料:

    • Enable (啟用) – 勾選此核取方塊,在提交這些變更後啟動 BGP 工作階段。
    • Router ID (路由器 ID) – 輸入 Azure 主控台中 IPv4 Primary Subnet (IPv4 主要子網路) 的第一個可用 IP 位址。
    • AS Number (AS 編號) – 請提供 MVE 連線的 ASN。請提供 MVE 連線的 ASN。使用 Azure 主控台中的 Peer ASN (對等端 ASN)
      BGP 詳細資料

  5. 在 Auth Profiles 下方按一下 +Add (新增)

  6. 指定設定檔名稱。
    設定檔名稱
  7. 輸入並確認驗證密碼。
  8. 按一下 OK (確定)
  9. 選取 Peer Group (對等群組) 分頁。
    Peer Group 分頁
  10. 按一下 +Add (新增) 以新增對等群組。
  11. 為對等群組指定名稱。例如,AWS-xxxx。
  12. 將工作階段類型指定為 eBGP。
  13. 視您的網路需求指定其他詳細資料。
  14. 按一下 +Add (新增) 以新增新的對等端。
  15. 指定對等端的詳細資料:
    • Name (名稱) – 指定對等端的名稱。
    • Peer AS (對等端 AS) – 指定 Azure 端的 ASN 12076。這是固定值,並會出現在 Azure 主控台的連線詳細資料中。
    • Local Address (本機位址) – 從下拉式清單中選取正確的次介面與 IP 位址。
    • Peer Address (對等端位址) – 輸入 Azure 主控台中 IPv4 Primary Subnet (IPv4 主要子網路) 的第二個可用 IP 位址。
      BGP 對等群組畫面

驗證您的 Azure 連線

檢查 BGP 對等端的狀態

  1. 選擇 Network > Virtual Routers。
  2. 找出您的虛擬路由器(default)。
  3. 在右側的 Runtime Stats 欄位中按一下 More Runtime Stats (更多執行時統計資料)
    Runtime stats
  4. 選取 BGP 分頁,然後選取 Peer (對等端) 分頁。
  5. 確認對等狀態為 Established(已建立)。
    已建立狀態