Creazione di una connessione Azure per un MVE con Palo Alto VM-Series

È possibile creare una connessione di rete da un MVE (un firewall Palo Alto VM-Series) ad Azure ExpressRoute con Virtual Cross Connect (VXC). È possibile creare una connessione privata o una connessione pubblica (Microsoft).

Ci sono tre parti nell’aggiungere una connessione ExpressRoute al tuo MVE e VM-Series.

1. Configura il tuo piano ExpressRoute e implementa il circuito ExpressRoute nella console Azure. Quando implementato, ottieni una chiave di servizio. Per ulteriori dettagli, consulta la documentazione ExpressRoute di Microsoft.

2. Nel Megaport Portal, crea una connessione (VXC) dal tuo MVE alla tua posizione ExpressRoute.

3. Nel VM-Series, crea una nuova interfaccia e aggiungi i dettagli della connessione ExpressRoute.

Le istruzioni in questo argomento descrivono la seconda e la terza parte.

Aggiungere la connessione ExpressRoute nel Megaport Portal

Per configurare la connessione ExpressRoute, è necessario creare la connessione nel Megaport Portal.

Per creare una connessione ad ExpressRoute dal Megaport Portal

1. Nel Megaport Portal, vai alla pagina Servizi e seleziona l’MVE che vuoi utilizzare.

2. Fai clic su +Connessione sull’MVE.
   

3. Fai clic sulla tessera Cloud.

4. Seleziona Microsoft Azure come fornitore.
   

5. Inserisci la chiave di servizio ExpressRoute nel campo Chiave del servizio Microsoft Azure a destra. Il Portal verifica la chiave e mostra le posizioni delle porte disponibili in base alla regione ExpressRoute. Ad esempio, se il tuo servizio ExpressRoute è implementato nella regione Australia Est a Sydney, puoi selezionare le posizioni di Sydney.

6. Seleziona il punto di connessione per la tua prima connessione. Per implementare una seconda connessione (e si consiglia di farlo), puoi creare un secondo VXC - inserisci la stessa chiave di servizio e seleziona l’altra posizione di connessione.

   Alcuni link utili appaiono sullo schermo di configurazione a risorse tra cui la console Azure Resource Manager e alcuni video tutorial.

7. Fai clic su Avanti.

8. Specifica i dettagli della connessione:

   • Nome Connessione – Il nome del tuo VXC che verrà mostrato nel Megaport Portal.

   • Riferimento del Livello di Servizio (opzionale) – Specificare un numero identificativo univoco per il tuo servizio Megaport da utilizzare per scopi di fatturazione, come un numero di centro di costo, un ID cliente unico, o un numero di ordine di acquisto. Il numero di riferimento del livello di servizio appare per ogni servizio nella sezione Prodotto della fattura. Puoi anche modificare questo campo per un servizio esistente.

   • Limitazione della velocità – La velocità della tua connessione in Mbps. La limitazione della velocità per il VXC sarà limitata al massimo consentito in base alla chiave del servizio ExpressRoute.

   • Stato VXC – Seleziona Abilitato o Arresta per definire lo stato iniziale della connessione. Per ulteriori informazioni, consulta Arresto di un VXC per il test di failover.

     Nota

     Se selezioni Arresta, il traffico non fluirà attraverso questo servizio e si comporterà come se fosse inattivo sulla rete Megaport. La fatturazione per questo servizio rimarrà attiva e ti verrà comunque addebitata questa connessione.

   • vNIC A-End – Seleziona una vNIC A-End dal menu a discesa. Per ulteriori informazioni sulle vNIC, vedi Creare un MVE nel Megaport Portal.

   • VLAN A-End Preferita – Specifica un ID VLAN inutilizzato per questa connessione (per ExpressRoute questo è l’S-Tag). Questo deve essere un ID VLAN univoco per questo MVE e può variare da 2 a 4093. Se specifichi un ID VLAN già in uso, il sistema visualizza il prossimo numero VLAN disponibile. L’ID VLAN deve essere univoco per procedere con l’ordine. Se non specifichi un valore, Megaport lo assegnerà.

   • Durata Minima – Seleziona Nessuna durata minima, 12 Mesi, 24 Mesi, o 36 Mesi. Durate più lunghe comportano una tariffa mensile più bassa. 12 Mesi è selezionato di default. Prendi nota delle informazioni visualizzate sullo schermo per evitare penali per recesso anticipato (ETF).

     Abilita l’opzione Rinnovo Durata Minima per i servizi con una durata di 12, 24 o 36 mesi per rinnovare automaticamente il contratto allo stesso prezzo scontato e durata alla fine del contratto. Se non rinnovi il contratto, alla fine del termine, il contratto si convertirá automaticamente in un contratto a tempo indeterminato per il periodo di fatturazione successivo, allo stesso prezzo, senza sconti di durata.

     Per ulteriori informazioni, guarda Prezzi VXC e Termini di contratto e Fatturazione VXC, Megaport Internet e IX.

   • Etichette Risorsa – Puoi utilizzare le etichette delle risorse per aggiungere i tuoi metadati di riferimento a un servizio Megaport. Per aggiungere un’etichetta:

     1. Clicca su Aggiungi Etichette.
     2. Clicca su Aggiungi Nuova Etichetta.
     3. Inserisci i dettagli nei campi:
        • Chiave – stringa con lunghezza massima 128. I valori validi sono a-z 0-9 _ : . / \ -
        • Valore – stringa con lunghezza massima 256. I valori validi sono a-z A-Z 0-9 _ : . @ / + \ - (spazio)
     4. Clicca su Salva.

     Se hai già etichette di risorse per quel servizio, puoi gestirle cliccando su Gestisci Etichette.

     Avviso

     Non includere mai informazioni sensibili in un’etichetta di risorsa. Le informazioni sensibili includono comandi che restituiscono definizioni di tag esistenti e informazioni che identificheranno una persona o un’azienda.

   • Configura single VLAN di peering Azure – Di default, questa opzione è abilitata per MVE e consigliamo vivamente di mantenerla abilitata con Palo Alto VM-Series.
     Questa opzione offre una soluzione VLAN a tag singolo. Configuri il peering in Azure con la VLAN MVE (A-End) e la VLAN peer impostata in Azure (B-End). Nota, puoi avere solo un tipo di peering (Privato o Microsoft) per VXC con questa opzione.

     Importante

     Se non abiliti questa opzione, il VXC sembra attivo ma non riconosce il traffico.

   • VLAN di peering Azure – Questo valore deve corrispondere alla VLAN A-End per il peering VLAN a tag singolo. Puoi anche impostare una differente VLAN di peering Azure, se necessario.
     

9. Fai clic su Avanti e procedi con il processo di ordinazione.

Quando la configurazione del VXC si completa, l’icona del VXC è verde.

Nella console di gestione delle risorse Azure, lo stato del fornitore sarà Provisioned.

Quando approvvigionato, devi configurare i peerings. Puoi configurare il peering privato e di Microsoft. Fai clic sul peer da configurare e fornisci questi dettagli:

• ASN Peer – Inserisci l’ASN per il MVE.
• Sotto-reti IPv4 – Da ciascuna di queste sotto-reti, MVE utilizza il primo indirizzo IP utilizzabile e Microsoft utilizza il secondo IP utilizzabile per il proprio router.
• ID VLAN – Inserisci la VLAN A-End dal MVE. (Nota, l’ID VLAN nella console Azure può essere diverso dalla VLAN A-End.)
• Chiave condivisa (opzionale) – Inserisci una password MD5 per BGP.

Aggiungere la connessione ExpressRoute a VM-Series

Dopo aver creato la connessione dal tuo MVE ad Azure e impostato la connessione nella console Azure, è necessario configurarla in VM-Series. Questo comporta la creazione di un’interfaccia e la configurazione delle impostazioni BGP, ASN, VLAN e valori MD5.

Per aggiungere la connessione Cloud Azure in VM-Series

1. Raccogli i dettagli della connessione dalla console Azure.
   Visualizza i dettagli della connessione che hai creato in Azure per questa connessione. Nota i valori per l’ASN Peer, la Chiave condivisa, l’ID VLAN e la Sub-rete IPv4 principale.

2. Raccogli i dettagli della connessione dal Megaport Portal.
   Fai clic sull’icona ingranaggio per la connessione Azure dal tuo MVE e fai clic sulla visualizzazione dei Dettagli. Nota il valore per l’VLAN A-End.

3. Accedi al VM-Series.

4. Scegli Rete > Interfacce.

5. Seleziona l’ MVE A-End (ethernet1/1).

6. Fai clic su Aggiungi Sottointerfaccia.

7. Fornisci questi dettagli:

   • Nome Interfaccia – Inserisci un nome per la sottointerfaccia. Nel campo adiacente, inserisci un numero per identificare la sottointerfaccia.

   • Commento – Inserisci un altro nome.

   • Tag – Specifica l’ VLAN A-End associata a questa connessione Azure nel Megaport Portal.

   • Router Virtuale – Seleziona un router virtuale per l’interfaccia, come richiesto dalla tua rete.

8. Seleziona la scheda IPv4.

9. Seleziona Statico come Tipo.
10. Fai clic su +Aggiungi per aggiungere un nuovo indirizzo IP.
11. Inserisci l’indirizzo IPv4 e la maschera di rete.
    Questi valori sono disponibili nella console Azure. Gli indirizzi IP e la CIDR compaiono nel campo Sub-rete IPv4 principale; MVE utilizza il primo indirizzo IP utilizzabile e Azure utilizza il secondo IP utilizzabile per il proprio router. Per questo campo, inserisci l’indirizzo IP di MVE (primo utilizzabile).
12. Fai clic su OK.
13. Fai clic su Commit nell’angolo in alto a destra.
    
14. Rivedi le modifiche e fai clic su Commit.
    

La nuova interfaccia VLAN appare con la tua interfaccia fisica ethernet1/1.

Successivamente, creerai una zona di sicurezza in modo che l’interfaccia possa instradare il traffico.

Per creare una zona di sicurezza

1. Seleziona la sottointerfaccia ethernet1/1.1010.
2. Seleziona Nuova Zona dal menu a discesa Zona di Sicurezza.
3. Specifica un nome per la zona di sicurezza.
   
4. Fai clic su +Aggiungi sotto Interfacce e aggiungi ethernet1/1.1010 alla zona di sicurezza.
5. Specifica eventuali dettagli aggiuntivi come richiesto per la sicurezza della tua rete.
6. Seleziona Nuovo profilo di protezione zona dal menu a discesa Profilo di protezione zona.
7. Specifica eventuali dettagli come richiesto per la sicurezza della tua rete. Questo esempio utilizza tutti i valori predefiniti.
   
8. Fai clic su OK.
9. Fai clic su OK nella schermata Sottointerfaccia Layer3.
10. Fai clic su Commit nell’angolo in alto a destra.
    
11. Rivedi le modifiche e fai clic su Commit.
    

A questo punto, hai creato l’interfaccia. Successivamente, devi creare la sessione BGP.

Per creare la sessione BGP

1. In VM-Series, scegli Rete > Router virtuali.
2. Seleziona il router virtuale.
   
3. Nel riquadro sinistro, seleziona BGP.

4. Fornisci i seguenti dettagli BGP:

   • Abilita – Seleziona questa casella di controllo per avviare la sessione BGP dopo aver confermato queste modifiche.
   • ID Router – Inserisci il primo indirizzo IP utilizzabile dall’IPv4 Sub-rete principale dalla console Azure.
   • Numero AS – Fornisci l’ASN per la connessione MVE. Utilizza l’ASN Peer dalla console Azure.
     

5. Fai clic su +Aggiungi sotto Profili Auth.

6. Specifica un nome del profilo.
   
7. Inserisci e conferma la password di autenticazione.
8. Fai clic su OK.
9. Seleziona la scheda Gruppo Peer.
   
10. Fai clic su +Aggiungi per aggiungere un gruppo di peer.
11. Specifica un nome per il gruppo di peer. Ad esempio, AWS-xxxx.
12. Specifica eBGP come tipo di sessione.
13. Specifica eventuali dettagli aggiuntivi come richiesto per la tua rete.
14. Fai clic su +Aggiungi per aggiungere un nuovo peer.
15. Specifica i dettagli per il peer:
    • Nome – Specifica un nome per il peer.
    • ASN Peer – Specifica l’ASN lato Azure di 12076. Questo è un valore fisso e appare nei dettagli di connessione sulla console Azure.
    • Indirizzo locale – Seleziona la sottointerfaccia e l’indirizzo IP appropriati dal menu a discesa.
    • Indirizzo peer – Inserisci il secondo indirizzo IP utilizzabile dall’IPv4 Sub-rete principale dalla console Azure.
      

Validazione della tua connessione Azure

Per controllare lo stato del peer BGP

1. Scegli Rete > Router virtuali.
2. Trova il tuo router virtuale (default).
3. Fai clic su Altre Statistiche Runtime nella colonna Statistiche Runtime sulla destra.
   
4. Seleziona la scheda BGP, e poi seleziona la scheda Peer.
5. Verifica che lo stato del peer sia Established.