跳轉到
Megaport 技術文件
連線 MVE
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

連線與 Palo Alto Networks VM-Series 整合的 MVE

本主題說明如何將一個與 Palo Alto Networks 次世代防火牆(NGFW)整合的 Megaport Virtual Edge (MVE) 連線到另一個 MVE。

此部署使用 Megaport 的私有軟體定義網路(SDN),以降低對網際網路的依賴並連結企業分支據點

分支對分支

在設定好兩個 MVE 後,您可以建立私有 VXC,在 Megaport 網路上將它們連接,而不需要任何實體基礎設施。VXC 本質上是 A-End MVE 與 B-End MVE 之間的私有點對點乙太網路連線。

備註

MVE 上面向網際網路的介面可以透過公用網際網路連到另一個 MVE 的面向網際網路介面。也就是說,您可以在不同都會區的 MVE 之間透過網際網路交換流量。基本連線模型是在一個都會區的 MVE 透過 Megaport Internet 連線到另一個都會區的 MVE。此連線是由客戶/SD-WAN 合作夥伴管理,而非由 Megaport 管理。欲了解更多資訊,請參閱 Megaport Internet 總覽

開始之前

請在不同位置佈建兩個 MVE。若您尚未建立 MVE,請參閱 建立 VM-Series MVE

建立兩個 MVE 之間的 VXC

在與 Palo Alto Networks 整合的兩個 MVE 之間部署私有 VXC,作業從 Megaport Portal 開始。要完成設定,您將使用 Palo Alto Networks VM-Series。

若要建立 VXC

  1. Megaport Portal 中,前往 Services (服務) 頁面,並在起始 A-End MVE 旁點選 +Connection (新增連線)

  2. 選取 Private VXC。

    私有 VXC

  3. 選取目標 B-End MVE 與位置。
    使用 Country 篩選器來縮小選項範圍。

  4. 按一下 Next (下一步)

  5. 指定連線詳細資料:

    • Connection Name (連線名稱) – 顯示在 Megaport Portal 的 VXC 名稱。請為 VXC 指定容易識別的名稱,例如 LA MVE 2 到 Dallas MVE 4。您日後可再變更名稱。

    • Service Level Reference (服務層級參考) (選用) – 指定一組用於計費用途的 Megaport 服務唯一識別編號,例如成本中心編號、唯一的客戶 ID,或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。

    • Rate Limit (速率上限) – 您的連線速率(Mbps)。畫面會顯示最高速率。儘管 VXC 的速率上限可達數個 Gbps,A-End 或 B-End MVE 的運算能力可能影響電路的輸送量。請參閱 Palo Alto Networks 文件以取得更多資訊。

    • VXC State (VXC 狀態) – 選取 Enabled (已啟用)Shut Down (關機) 以定義連線的初始狀態。欲了解更多資訊,請參閱為容錯移轉測試關閉 VXC

      備註

      如果您選取 Shut Down (關機),流量將不會經過此服務,且在 Megaport 網路上會被視為關閉狀態。此服務的計費仍會持續,您仍需為此連線付費。

    • vNIC selection (vNIC 選擇) – 視您所使用的 MVE 定義而定,您可能需要指定 A-End 與 B-End 的 vNIC。

      • A-End vNIC (A 端 vNIC) – 使用預先填入的預設值,或從下拉式清單中選取 vNIC。

      • B-End vNIC (B 端 vNIC) – 使用預先填入的預設值,或從下拉式清單中選取 vNIC。

        如需在連接不同服務的 MVE 時關於 vNIC 選擇的更多資訊,請參閱 vNIC 連線類型

    • Preferred A-End VLAN (偏好的 A 端 VLAN) – 指定此連線在 A-End 的 802.1q VLAN 標記。
      每個 VXC 都會作為 MVE 上的獨立 VLAN 提供。VLAN ID 在此 MVE 上必須唯一,範圍為 2 到 4093。若您指定了已在使用中的 VLAN ID,系統會顯示下一個可用的 VLAN 編號。VLAN ID 必須唯一才能繼續下單。若您未指定數值,Megaport 會指派一個。對於 Palo Alto Networks MVE,此數值也會用於在 Palo Alto Networks PAN-OS 中設定 VLAN 標記。

    • Preferred B-End VLAN (偏好的 B 端 VLAN) – 指定此連線在 B-End 將接收的 802.1q VLAN 標記。對於 Palo Alto Networks MVE,此數值也會用於在 Palo Alto Networks PAN-OS 中設定 VLAN 標記。

    • Minimum Term (最短合約期限) – 選擇 無最短合約期限、12 個月、24 個月、36 個月、48 個月,或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊,以避免產生提前終止費用(ETF)。

      針對 12、24、36、48 或 60 個月期的服務,啟用最短合約期限續約 選項,可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約,於合約期滿時, 合約將在下一個計費期間自動轉為按月合約,價格相同,但不再享有期限折扣。

      如需更多資訊,請參閱 VXC 價格與合約條款VXC、Megaport Internet 與 IX 計費

    • Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
      若要新增標籤:

      1. 按一下 Add Tags(新增標籤)
      2. 按一下 Add New Tag(新增標籤)
      3. 在欄位中輸入詳細資料:
        • Key(鍵) – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
        • Value(值) – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -(空格)
      4. 按一下 Save(儲存)

      如果您已經為該服務建立資源標籤,您可以按一下 Manage Tags(管理標籤) 來進行管理。

      警告

      請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令,以及可識別個人或公司的資訊。

  6. 按一下 Next (下一步) 以檢視摘要頁面。

  7. 確認設定後,按一下 Add VXC (新增 VXC)

  8. 按一下 Review Order (檢視訂單) 以繼續結帳流程。

VXC 佈建完成後,您可以在 Megaport Portal 的 Services 頁面檢視它。Services 頁面會在 A-End MVE 與 B-End MVE 之下顯示該 VXC。請注意,此連線兩端的 VXC 服務識別碼相同。

接下來的步驟是在 Palo Alto Networks VM-Series 中設定 A-End 與 B-End MVE。

備註

下一個程序將使用 BGP 設定 IP 連線,這只是眾多方案之一。在為 MVE 設定介面之前,請參閱您的廠商文件以取得特定的網路設計與設定選項。

在 VM-Series 中設定 A-End MVE

在 VM-Series 中設定新的 VLAN 介面,包括名稱、VLAN 值與 IP 位址詳細資料。

若要在 VM-Series 中設定 A-End MVE

  1. 登入您的 VM-Series 執行個體。

  2. 選擇 Network > Interfaces。

  3. 選取 A-End MVE(ethernet1/1)。

  4. 按一下 Add Subinterface (新增子介面)

  5. 提供以下詳細資料:

    • Interface Name (介面名稱) – 輸入子介面的名稱。在相鄰欄位中輸入識別此子介面的編號。

    • Comment (備註) – 輸入替代名稱,例如 PA-MVE-1 到 PA-MVE-2

    • Tag (標記) – 指定與您先前建立之 VXC 相關聯的 VLAN 值。為了方便,可指定與 Interface Name 相同的數字。

    • Virtual Router (虛擬路由器) – 視您的網路需求,為此介面選取一個虛擬路由器。

  6. 選取 IPv4 分頁。

  7. 將 Type 設為 Static
  8. 按一下 +Add (新增) 以新增 IP 位址。
  9. 輸入 IPv4 位址與子網路遮罩。
  10. 按一下 OK (確定)
  11. 在右上角按一下 Commit (提交)
    Commit 按鈕
  12. 檢閱變更後按一下 Commit (提交)
    提交變更

新的 VLAN 介面會與您的 ethernet1/1 實體介面一同顯示。

接著,您將建立安全性區域,使該介面能夠路由流量。

建立安全性區域

  1. 選取 ethernet1/1.1010 子介面。
  2. 在 Security Zone 下拉式清單中選取 New Zone。
  3. 為安全性區域指定名稱。
    安全性區域設定
  4. 在 Interfaces 底下按一下 +Add (新增),將 ethernet1/1.1010 加入安全性區域。
  5. 視您的網路安全需求指定任何其他詳細資料。
  6. 在 Zone Protection Profile 下拉式清單中選取 New Zone Protection Profile。
  7. 視您的網路安全需求指定相關詳細資料。本範例使用所有預設值。
    Zone Protection 設定檔
  8. 按一下 OK (確定)
  9. 在 Layer3 Subinterface 畫面按一下 OK (確定)
  10. 在右上角按一下 Commit (提交)
    Commit 按鈕
  11. 檢閱變更後按一下 Commit (提交)
    提交變更

在 VM-Series 中設定 B-End MVE

  • 使用不同的 IP 位址,依相同步驟設定 B-End 介面。

驗證您的連線

接下來,您將測試 Palo Alto Networks MVE 之間的連通性。

備註

因為 Palo Alto 是防火牆,您必須先 enable ICMP,介面才能回應 ICMP echo 要求。

驗證連線的步驟

  1. 登入您的 VM-Series 執行個體。
  2. 選擇 Network > Interfaces。
  3. 選取新建立的子介面。
    選取子介面
  4. 選取 Advanced (進階) 分頁。
    Advanced 分頁
  5. 從下拉式清單選取 New Management Profile。
  6. Name (名稱) 欄位中指定設定檔名稱
    介面管理設定檔
  7. 在 Network Services 清單中選取 Ping。
  8. 若要將特定 IP 位址或子網加入 ACL,於 Permitted IP Addresses 底下按一下 +Add (新增)
  9. 按一下 OK (確定)
    Layer 3 子介面
  10. 按一下 OK (確定)
  11. 在右上角按一下 Commit (提交)
    Commit 按鈕
  12. 檢閱變更後按一下 Commit (提交)
    提交變更
  13. 為第二個 Palo Alto Networks MVE 重複步驟 1 至 12。
  14. 選擇 Device > Troubleshooting,以測試 Palo Alto Networks MVE 之間的連通性。
  15. 在 Select Test 下拉式清單中選取 Ping。
    選取 Ping 測試
  16. 輸入相關詳細資料。
    如需這些欄位的資訊,請參閱 Palo Alto Networks Tech Docs
  17. 按一下 Execute (執行) 以執行測試。
    Ping 成功