Zum Inhalt

Erstellen einer AWS-gehosteten Verbindung für eine MVE mit Fortinet-SD-WAN

Eine gehostete Verbindung mit einer Kapazität von 500 Mbit/s oder weniger kann eine private oder öffentliche virtuelle Schnittstelle unterstützen. Eine gehostete Verbindung mit einer Kapazität von 1 Gbit/s oder mehr kann eine private oder öffentliche virtuelle Schnittstelle oder eine Transit-VIF unterstützen. Gehostete Verbindungen sind dedizierte Verbindungen, die für Produktionsumgebungen empfohlen werden.

So erstellen Sie eine gehostete Verbindung von einer MVE zu AWS

  1. Gehen Sie im Megaport Portal auf die Seite „Services“ (Dienste), und wählen Sie die MVE für die Verbindung aus.

  2. Klicken Sie auf +Connection (+Verbindung) und anschließend auf „Cloud“.

  3. Wählen Sie AWS als Dienstanbieter und „Hosted Connection“ (Gehostete Verbindung) als AWS-Verbindungstyp. Wählen Sie anschließend den Zielport und klicken Sie auf Next (Weiter).
    Sie können den Länderfilter verwenden, um die Auswahl einzuschränken.
    Jeder Zielport hat entweder ein blaues oder ein oranges Symbol, um seine Diversity-Zone anzugeben. Um Diversity zu erreichen, müssen Sie zwei Verbindungen erstellen, wobei jede Verbindung in einer anderen Zone liegen muss.
    AWS-gehostete Verbindung hinzufügen

  4. Geben Sie die folgenden Verbindungsdetails an:

    • Connection Name (Name der Verbindung) – Der Name der VXC-Verbindung zur Anzeige im Megaport Portal.
    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie für den VXC eine eindeutige Identifikationsnummer an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

    Hinweis

    Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Weitere Informationen dazu finden Sie unter Anwenden eines Angebots auf einen Dienst.

    • Rate Limit (Übertragungsratenlimit) – Dies ist die Geschwindigkeit Ihrer Verbindung in Mbit/s. Die Geschwindigkeit kann nach dem Einrichten nicht mehr geändert werden. In der Dropdown-Liste werden vordefinierte Übertragungsratenlimits angezeigt, die für Ihren MVE verfügbar sind. Das Maximum ist 10 Gbit/s.
    • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Geben Sie optional eine nicht verwendete VLAN-ID für diese Verbindung an. Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.
      Verbindungsdetails
  5. Klicken Sie auf Next (Weiter).

  6. Geben Sie die Verbindungsdetails für den AWS-Dienst an.

    • AWS Connection Name (AWS-Verbindungsname) – Dies ist ein Textfeld. Es enthält den Namen Ihrer virtuellen Schnittstelle, die in der AWS-Konsole angezeigt wird. Der AWS-Verbindungsname wird automatisch mit dem Namen gefüllt, der in einem der vorherigen Schritt angegeben wurde.

    • AWS Account ID (AWS-Konto-ID) – Dies ist die ID des Kontos, das Sie verbinden möchten. Sie finden diesen Wert im Verwaltungsbereich Ihrer AWS-Konsole.
      AWS-Verbindungsdetails

  7. Klicken Sie auf Next (Weiter), um zur Verbindungsdetailübersicht zu gelangen. Klicken Sie auf Add VXC (VXC hinzufügen) und bestellen Sie die Verbindung.

Sobald die VXC-Verbindung erfolgreich bereitgestellt wurde, erscheint sie auf der Seite „Megaport Portal Services“ (Megaport Portal-Dienste) und ist mit dem MVE verbunden. Klicken Sie auf den VXC-Titel, um die Details dieser Verbindung anzuzeigen. Beachten Sie, dass der Dienststatus (Layer 2) aktiv ist, aber BGP (Layer 3) nicht aktiv, weil die Konfiguration noch nicht existiert.

VXC-Details

Nach der Bereitstellung im Megaport Portal müssen Sie die Verbindung in der AWS-Konsole akzeptieren und eine virtuelle Schnittstelle für die Verbindung erstellen:

So akzeptieren Sie eine gehostete Verbindung

  1. Wählen Sie in AWS die Optionen Services > AWS Direct Connect > Connections (Dienste > AWS Direct Connect > Verbindungen) und klicken Sie auf den Verbindungsnamen.
    AWS-Verbindungen

  2. Klicken Sie oben rechts im Fenster auf Accept (Akzeptieren).
    AWS-Verbindungen akzeptieren

    Der Status wird für einige Minuten „pending“ (ausstehend) sein, während AWS die Verbindung an. Nach der Bereitstellung wechselt der Status von ordering (Bestellung läuft) zu available (Verfügbar).

Die Verbindung ist nun verfügbar, allerdings müssen Sie eine VIF erstellen, um eine Verbindung zu den AWS-Diensten herzustellen.

Tipp

Weitere Informationen zum Akzeptieren von AWS-Verbindungen finden Sie in der AWS-Dokumentation.

Erstellen einer virtuellen Schnittstelle

Nachdem Sie eine gehostete Verbindung erstellt und akzeptiert haben, erstellen Sie eine VIF und verbinden die gehostete Verbindung mit einem Gateway.

Tipp

AWS bietet detaillierte Anweisungen zum Erstellen von öffentlichen, privaten und Transit-Schnittstellen.

So erstellen Sie eine VIF und hängen sie an

  1. Klicken Sie in der AWS-Konsole auf Create Virtual Interface (Virtuelle Schnittstelle erstellen).
    Virtuelle AWS-Schnittstelle

  2. Wählen Sie den Schnittstellentyp aus.

    Der Typ hängt von der Art des Dienstes ab, auf den Sie zugreifen möchten.

    • Private (Private) – Zugriff auf Ressourcen auf einer VPC mithilfe von privaten IP-Adressen. Sie können wählen, ob Sie eine private virtuelle Schnittstelle auf einem privaten virtuellen Gateway (für den Zugriff auf eine einzelne VPC) oder auf einem Direct Connect-Gateway terminieren (dadurch können Sie der VIF bis zu 10 VPCs zuordnen).
    • Public (Öffentlich) – Zugriff auf alle öffentlichen AWS-Endpunkte sowie auf alle AWS-Ressourcen, die über eine öffentliche IP-Adresse erreichbar sind.
    • Transit – Transportiert den Datenverkehr von einem Direct Connect Gateway zu einem oder mehreren Transit-Gateways. Wenn Sie für die VIF „Transit“ auswählen, werden langsamere Verbindungen herausgefiltert und nicht mehr angezeigt.
      AWS-Schnittstellentyp
  3. Geben Sie die Konfigurationsdetails an:

    • Virtual interface name (Name der virtuellen Schnittstelle) – Geben Sie einen Namen für die virtuelle Schnittstelle ein.
    • Connection (Verbindung) – Die physische Verbindung, für die diese virtuelle Schnittstelle bereitgestellt werden soll. Hier erscheint der Name, den Sie für die gehostete Verbindung im Megaport Portal angegeben haben.
    • Virtual interface owner (Eigentümer der virtuellen Schnittstelle) – Das Konto, das Eigentümer der virtuellen Schnittstelle wird. Wählen Sie „My AWS account“ (Mein AWS-Konto).
    • Direct Connect Gateway – Wählen Sie das Direct Connect Gateway aus, an das diese virtuelle Schnittstelle angehängt werden soll. Eine Transit-VIF ist nicht direkt mit einem Transit Gateway verbunden, sondern mit einem Direct Connect Gateway.
    • VLAN – Das VLAN, das der virtuellen Schnittstelle zugewiesen ist. Belassen Sie diesen Wert so, wie er ist. Die VLAN-Adresse wird ausgefüllt und scheint bearbeitbar zu sein; Sie erhalten jedoch eine Fehlermeldung, wenn Sie versuchen, sie zu ändern.
    • BGP ASN (BGP-ASN) – Geben Sie die Autonomous System Number (ASN) des Border Gateway Protocol (BGP) für die MVE-Seite der BGP-Sitzung ein.

    Die folgenden BGP-Details können ausgefüllt oder leer gelassen werden. Wenn sie leer bleiben, werden sie automatisch von AWS ausgefüllt.
    AWS-BGP-Details

    Sie können auch wählen, ob die virtuelle Schnittstelle Jumbo-Frames unterstützen soll. Aktivieren Sie Jumbo MTU, um ein Ethernet-Paket von 8.500 Bytes zu unterstützen.

  4. Klicken Sie auf Create virtual interface (Virtuelle Schnittstelle erstellen).

    Um die VIF-Details und den Status anzuzeigen, klicken Sie auf Services > AWS Direct Connect > Connections > Name of the Megaport-Created-Hosted Connection (Dienste > AWS Direct Connect > Verbindungen > Name der von Megaport erstellten gehosteten Verbindung).
    VIF-Details

    Wenn BGP nicht konfiguriert wurde, wird der Status der Schnittstelle als down (Inaktiv) angezeigt.

Sobald die Verbindung akzeptiert und die VIF in AWS erstellt wurde, ändert sich der VXC-Status im Megaport Portal auf configured (Konfiguriert).

Hinzufügen von AWS-Verbindungsdetails zu FortiManager

Nachdem Sie die Verbindung von Ihrer MVE zu AWS erstellt und die Verbindung in der AWS-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies umfasst das Erstellen einer Schnittstelle und die Konfiguration von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So fügen Sie die AWS-Verbindung in FortiManager hinzu

  1. Notieren Sie sich die in der AWS-Konsole angezeigten Verbindungsdetails.
    Zeigen Sie die Details der virtuellen Schnittstelle an, die Sie in AWS für diese gehostete Verbindung erstellt haben. Beachten Sie die Werte für BGP ASN, BGP Auth Key (BGP-Authentifizierungsschlüssel), Your Peer IP (Ihre Peer-IP) und Amazon Peer IP.
    Verbindungsdetails

  2. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
    Klicken Sie auf das Zahnradsymbol für die AWS-Verbindung aus Ihrer MVE, und klicken Sie auf die Ansicht „Details“. Beachten Sie den Wert für das A-Ende-VLAN.

  3. Melden Sie sich beim FortiManager an.

    Hinweis

    Sie können sich auch bei Ihrer MVE-Instanz anmelden: https://<mve-ip-address>

  4. Wählen Sie in Ihrem verwalteten Gerät im Menü System die Option Interface (Schnittstelle) aus.
    System-Schnittstelle
    Die Seite zeigt Port1 als Ihre physische Schnittstelle an.

  5. Klicken Sie auf +Create New > Interface (Erstellen > Schnittstelle), und geben Sie folgende Informationen ein:

    • Interface Name (Schnittstellenname) – Geben Sie einen aussagekräftigen Namen für die Schnittstelle an.
    • Alias Name (Aliasname) – Geben Sie optional einen alternativen Namen an. Verwenden Sie zur einfachen Referenz für diese Verbindung die AWS Virtual Interface ID als Alias.
    • Type (Typ) – Wählen Sie „VLAN“ aus.
    • Interface (Schnittstelle) – Wählen Sie die übergeordnete Schnittstelle: port1.
    • VLAN ID (VLAN-ID) – Geben Sie das A-Ende-VLAN an, das für diese AWS-Verbindung im Megaport Portal aufgeführt ist.
    • Role (Rolle) – Wählen Sie „Undefined“ (Nicht definiert) aus.
    • Addressing Mode (Adressierungsmodus) – Wählen Sie „Manual“ (Manuell) aus.
    • IP/Netmask – Diese Werte sind in den Details der virtuellen Schnittstelle in der AWS-Konsole verfügbar. Die IP-Adresse und Netzmaske werden im Feld Your Peer IP (Ihre Peer-IP) angezeigt.
    • Administrative Access (Administrativer Zugriff) - Legen Sie fest, wie Sie auf diese Schnittstelle zugreifen möchten, z. B. über HTTPS, PING oder SSH.
    • DHCP Server - Klicken Sie auf OFF (Aus).
      Schnittstelleneinstellungen
  6. Klicken Sie auf OK.
    Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle Port1 angezeigt.

Sie können einen execute ping-Befehl von FortiOS aus ausführen, um die Verbindung zu überprüfen.

Hinweis

Sie müssen die Konfiguration an die MVE übertragen, was geschieht, wenn Sie AutoUpdate konfiguriert haben. Wenn Sie die Verbindung nicht erfolgreich anpingen können, gehen Sie in FortiManager zu „Manage Devices“ (Geräte verwalten), wählen Sie die MVE aus, und wählen Sie im Menü „More“ (Mehr) die Option Refresh Device (Gerät aktualisieren) aus. Wenn Sie dazu aufgefordert werden, wählen Sie für den Config Status (Konfigurationsstatus) die Option „AutoUpdate“ aus.

An diesem Punkt haben wir die Schnittstelle erstellt. Als Nächstes müssen wir die BGP-Sitzung erstellen.

  1. Wählen Sie in FortiManager Router > BGP aus.
    BGP-Einstellungen

  2. Geben Sie die folgenden Informationen an:

    • Locale AS (Lokales AS) – Geben Sie die ASN (Autonomous System Number) für die MVE-Verbindung an. Verwenden Sie die BGP ASN aus den Details zur virtuellen Schnittstelle in der AWS-Konsole.
    • Router ID (Router-ID) – Geben Sie die IP-Adresse ein, die in den Details der virtuellen Schnittstelle in der AWS-Konsole im Feld Your Peer IP (Ihre Peer-IP) angezeigt wird.
      Schnittstelleneinstellungen
  3. Klicken Sie unter „Neighbors“ (Nachbarn) auf +Create New (Neu erstellen).

  4. Fügen Sie unter Neighbor IP (Nachbar-IP) die Amazon Peer IP aus den Details zur virtuellen Schnittstelle der AWS-Konsole hinzu.
  5. Geben Sie für Remote ASN die Amazon-seitige ASN ein.
    Standardmäßig ist dies 64512.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Apply (Anwenden).
    Der Nachbar ist konfiguriert, aber wir müssen die BGP-Authentifizierungsinformationen hinzufügen. BGP-Details kann allerdings nicht über die Weboberfläche festlegt werden, sondern nur über die Befehlszeile.

  8. SSH zur MVE-Instanz unter Verwendung Ihrer privaten Schlüsseldatei.
    Beispiel:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. Verwenden Sie folgende Befehle, um ein Kennwort für den BGP-Nachbarn hinzuzufügen.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

CLI-Schritte für BGP

Validieren Ihrer AWS-Verbindung

Mit den folgenden Befehlen können Sie Verbindungsdetails, einschließlich des Verbindungsstatus, über die CLI überprüfen:

  • get system interface – Zeigt Konfigurationsdetails und den aktuellen Status der Geräteschnittstellen an.
  • get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status der BGP-Nachbarn an.

Letztes Update: 2022-10-18