Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Erstellen eines AWS Hosted VIF für ein MVE mit Fortinet SD-WAN

Hosted VIFs können eine Verbindung zu öffentlichen oder privaten AWS-Cloud-Services herstellen: Ein Hosted VIF kann keine Verbindung zu einer Transit Virtual Interface herstellen. Diese Verbindungen teilen sich die Bandbreite.

So erstellen Sie ein Hosted VIF von einem MVE zu AWS

1. Gehen Sie im Megaport Portal zur Seite Services und wählen Sie das MVE für die Verbindung aus.

2. Klicken Sie auf +Connection (+Verbindung) und klicken Sie auf Cloud.

3. Wählen Sie AWS als Service Provider, wählen Sie Hosted VIF als AWS Connection Type, wählen Sie den Zielport, und klicken Sie auf Next (Weiter).
   Sie können den Country-Filter verwenden, um die Auswahl einzuschränken.
   

4. Geben Sie die Verbindungsdetails an:

   • Connection Name (Verbindungsname) – Der Name Ihres VXC, der im Megaport Portal angezeigt wird.

     Tipp

     Stimmen Sie dies mit dem AWS Connection Name (Verbindungsname) auf dem nächsten Bildschirm ab, um die Zuordnung zu erleichtern.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.

   • Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbps. Zulässige Werte beginnen bei 1 Mbps und steigen in Schritten von 1 Mbps. Die maximal verfügbare Geschwindigkeit hängt vom Standort und der Serviceverfügbarkeit ab. Beachten Sie, dass die Summe aller gehosteten virtuellen VXCs zu einem Service die Kapazität des MVE überschreiten kann, die gesamte Aggregation wird jedoch niemals über die Kapazität des MVE hinausgehen.

   • VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den anfänglichen Status der Verbindung festzulegen. Weitere Informationen finden Sie unter Herunterfahren eines VXC für Failover-Tests.

     Hinweis

     Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Traffic über diesen Service und er verhält sich so, als wäre er im Megaport-Netzwerk down. Die Abrechnung für diesen Service bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.

   • A-End vNIC (A-End-vNIC) – Wählen Sie eine A-End-vNIC aus der Dropdown-Liste. Weitere Informationen zu vNICs finden Sie unter Erstellen eines MVE im Megaport Portal.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) (optional) – Geben Sie eine nicht verwendete VLAN-ID für diese Verbindung an.
     Diese muss auf diesem MVE eindeutig sein und kann im Bereich von 2 bis 4093 liegen. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport eine zu.

   • Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.

     Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.

     Weitere Informationen finden Sie unter VXC Preise und Vertragsbedingungen und Abrechnung für VXC, Megaport Internet und IX.

   • Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
     So fügen Sie einen Tag hinzu:

     1. Klicken Sie auf Tags hinzufügen.
     2. Klicken Sie auf Neuen Tag hinzufügen.
     3. Geben Sie Details in die Felder ein:
        • Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
        • Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
     4. Klicken Sie auf Speichern.

     Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.

     Warnung

     Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.

   

5. Klicken Sie auf Next (Weiter).

6. Geben Sie die Details für den AWS-Dienst an.
   

   Details zu den einzelnen Feldern:

   • Wählen Sie Public oder Private.

     • Private – Zugriff auf private AWS-Services wie ein VPC, EC2- Instanzen, Load Balancer, RDS-DB-Instanzen, im privaten IP-Adressraum.

     • Public – Zugriff auf öffentliche AWS-Services wie Amazon Simple Storage Service (S3), DynamoDB, CloudFront und Glacier. Sie erhalten außerdem Amazon’s global IP prefixes (ungefähr 2.000 Präfixe).

       Hinweis

       Public VIFs erfordern manuelles Eingreifen durch Amazon und können bis zu 72 Stunden dauern. Weitere Informationen finden Sie unter Konfigurieren öffentlicher AWS-Verbindungen mit von AWS bereitgestellten IP-Adressen.

   • AWS Connection Name (Verbindungsname) – Dieses Textfeld ist der Name Ihrer Virtual Interface, die in der AWS-Konsole angezeigt wird. Der AWS Connection Name (Verbindungsname) wird automatisch mit dem in einem vorherigen Schritt angegebenen Namen gefüllt.

   • AWS Account ID (AWS-Konto-ID) – Dies ist die ID des Kontos, das Sie verbinden möchten. Sie finden diesen Wert im Verwaltungsbereich Ihrer AWS-Konsole.

   • Customer ASN (optional) – Geben Sie die ASN an, die für BGP-Peering-Sitzungen auf allen mit dem MVE verbundenen VXCs verwendet wird. Dieser Wert wird bei der Konfiguration des MVE festgelegt und kann anschließend nicht mehr geändert werden.

   • BGP Auth Key (optional) – Geben Sie den BGP MD5Manchmal als MD5-Hash oder BGP-Schlüssel bezeichnet. Der Message-Digest (MD5) Algorithmus ist eine weit verbreitete kryptografische Funktion, die eine Zeichenfolge aus 32 hexadezimalen Ziffern erzeugt. Dieser Wert wird als Passwort oder Schlüssel zwischen Routern verwendet, die BGP-Informationen austauschen.
     Schlüssel an. Wenn Sie dieses Feld leer lassen, verhandelt Megaport automatisch mit AWS einen Schlüssel für Sie, der im Megaport Portal angezeigt wird. Der Schlüssel wird in der AWS-Konsole nicht angezeigt.

     Hinweis

     Der BGP Auth Key wird während des Bestellvorgangs generiert, wenn dieses Feld leer gelassen wird. Er wird während der Bestellung nicht auf der Summary-Seite angezeigt. Um den Schlüssel zu sehen, öffnen Sie die Connection Settings, nachdem der Dienst bereitgestellt wurde und aktiv ist.

   • Customer IP Address – Der IP-Adressraum (im CIDR-Format), der in Ihrem Netzwerk für Peering verwendet wird. Dieses Feld ist für private Verbindungen optional und wenn es leer bleibt, weist Megaport eine Adresse zu.

   • Amazon IP Address – Der IP-Adressraum im CIDR-Format, der im AWS-VPC-Netzwerk für Peering zugewiesen wird. Dieses Feld ist für private Verbindungen optional und wenn es leer bleibt, weist Megaport automatisch eine Adresse zu.

   • Prefixes (optional) – (nur für Public-Verbindungen sichtbar) Geben Sie IP-Präfixe an, die an AWS angekündigt werden sollen. Geben Sie die Präfixe an, die Sie beim Bereitstellen einer Public Direct Connect-Verbindung bewerben (nur von einer RIR zugewiesene IPv4-Adressen).

     Sobald Sie Präfixe für eine Public-Verbindung konfiguriert haben, können Sie diese nicht mehr ändern und das Feld ist ausgegraut. Um diesen Wert zu ändern, erstellen Sie ein Support-Ticket bei AWS, damit sie diese Änderung ohne Auswirkungen vornehmen können. Alternativ können Sie das Hosted VIF stornieren und neu bestellen. In beiden Fällen müssen Sie warten, bis AWS die Anfrage manuell genehmigt.

7. Klicken Sie auf Next (Weiter), um zur Zusammenfassung der Verbindungsdetails zu gelangen, fügen Sie das VXC dem Warenkorb hinzu und bestellen Sie die Verbindung.

Das AWS-VXC wird im Megaport Portal als Verbindung für das MVE angezeigt.

Als Nächstes akzeptieren Sie die Verbindung in AWS.

Akzeptieren der virtuellen Schnittstelle für private Verbindungen

Einige Minuten nach der Bestellung eines privaten Hosted VIF VXC ist die entsprechende eingehende VIF-Anfrage in der AWS Direct Connect > Virtual Interfaces-Seite in der AWS-Konsole sichtbar. (Dies ist spezifisch für die Region, die dem Ziel-AWS-Port zugeordnet ist.) Wenn Ihre VIF nach einigen Minuten nicht angezeigt wird, stellen Sie sicher, dass Sie die richtige Region anzeigen.

So prüfen und akzeptieren Sie die private virtuelle Schnittstelle

1. Klicken Sie auf der Seite AWS Direct Connect > Virtual Interface auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
   

   Der Name und die Konto-ID der VIF sollten mit den im Portal angegebenen Werten übereinstimmen und die BGP-ASN sollte mit der Customer ASN übereinstimmen, die mit dem VXC konfiguriert wurde. Die Amazon ASN ist die AWS-ASN der Standardregion und nicht der während der Konfiguration angegebene Wert – diese wird aktualisiert, wenn die Virtual Interface akzeptiert und zugewiesen wird.

2. Klicken Sie auf Akzeptieren.

3. Wählen Sie den Gateway-Typ und dann das spezifische Gateway für diese neue Virtual Interface aus.
   

4. Klicken Sie auf Accept virtual interface.

Der Status der Verbindung ändert sich von confirming zu pending und ändert sich dann zu available, sobald BGP hergestellt ist. Beachten Sie, dass es manchmal zu einer Verzögerung beim Erscheinen des available-BGP-Status auf AWS-Seite kommt, Sie können den aktuellen Status des Layer-3-Links jedoch über die Portal-Ansicht bestätigen.

Akzeptieren der virtuellen Schnittstelle für Public-Verbindungen

Mehrere Minuten nach der Bestellung eines öffentlichen Hosted VIF VXC erscheint die entsprechende eingehende VIF-Anfrage auf der Seite AWS Direct Connect > Virtual Interfaces in der AWS-Konsole (dies ist spezifisch für die Region, die dem Ziel-AWS-Port zugeordnet ist).

So prüfen und akzeptieren Sie die öffentliche virtuelle Schnittstelle

1. Klicken Sie auf der Seite AWS Direct Connect > Virtual Interface auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
2. Überprüfen Sie die Konfigurationsdetails und klicken Sie auf Akzeptieren, und klicken Sie bei Aufforderung auf Bestätigen.

Der Status der Verbindung wechselt von confirming zu verifying. An diesem Punkt muss die Verbindung von Amazon verifiziert werden – ein Prozess, der bis zu 72 Stunden dauern kann. Nach der Verifizierung ändert sich der Status zu available.

Hinzufügen von AWS-Verbindungsdetails zu FortiManager

Nachdem Sie die Verbindung von Ihrem MVE zu AWS erstellt und die Verbindung in der AWS-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies umfasst das Hinzufügen einer Geräteschnittstelle und das Konfigurieren von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So konfigurieren Sie eine AWS-Verbindung zwischen einem Fortinet-MVE und AWS

1. Sammeln Sie die Verbindungsdetails aus dem Megaport Portal.
   Um die Details anzuzeigen, klicken Sie auf das Zahnradsymbol für die AWS-Verbindung von Ihrem MVE und klicken Sie auf die Ansicht Details. Notieren Sie die Werte für A-End VLAN, Customer Address (und CIDR), Amazon Address und Customer ASN.

2. Melden Sie sich beim FortiManager an.

   Hinweis

   Sie können sich auch auf Ihrer MVE-Instanz anmelden: https://<mve-ip-address>

3. Gehen Sie auf Ihrem verwalteten Gerät zum Menü System und wählen Sie Interface.
   
   Die Seite zeigt port1 als Ihre physische Schnittstelle an.

4. Klicken Sie auf +Create New > Interface und geben Sie Folgendes an:

   • Interface Name – Geben Sie einen aussagekräftigen Namen für die Schnittstelle an.
   • Alias Name (optional) – Geben Sie einen alternativen Namen ein. Verwenden Sie zur einfachen Referenz die AWS Virtual Interface ID für diese Verbindung als Alias.
   • Type – Wählen Sie VLAN.
   • Interface – Wählen Sie die übergeordnete Schnittstelle: port1.
   • VLAN ID – Geben Sie das A-End VLAN ein, das für diese AWS-Verbindung im Megaport Portal aufgeführt ist.
   • Role – Wählen Sie Undefined.
   • Addressing Mode – Wählen Sie Manual.
   • IP/Netmask – Geben Sie die Customer Address aus den VXC-Details im Megaport Portal an.
   • Administrative Access - Wählen Sie, wie Sie auf diese Schnittstelle zugreifen möchten, z. B. HTTPS, PING und SSH.
   • DHCP Server - Klicken Sie auf OFF.
     

5. Klicken Sie auf OK.
   Die neue VLAN-Schnittstelle erscheint zusammen mit Ihrer physischen Schnittstelle port1.

Sie können einen execute ping-Befehl von FortiOS ausführen, um die Verbindung zu überprüfen.

Hinweis

Sie müssen die Konfiguration auf das MVE pushen; dies erfolgt, wenn Sie AutoUpdate konfiguriert haben. Wenn Sie die Verbindung nicht erfolgreich pingen können, gehen Sie in FortiManager zu Manage Devices, wählen Sie das MVE aus und wählen Sie im Menü More Refresh Device. Wenn Sie dazu aufgefordert werden, wählen Sie für den Config Status AutoUpdate.

An diesem Punkt haben wir die Schnittstelle erstellt und müssen als Nächstes die BGP-Session erstellen.

So erstellen Sie die BGP-Session

1. Gehen Sie in FortiManager zu Router > BGP.
   

2. Geben Sie Folgendes an:

   • Local AS – Fügen Sie den Wert Customer ASN aus den Megaport-Verbindungsdetails hinzu.
   • Router ID – Fügen Sie den Wert Customer Address aus den Megaport-Verbindungsdetails hinzu.
     

3. Klicken Sie in Neighbors auf +Create New.

   

4. Geben Sie für die Neighbor-IP die Amazon Address aus den Megaport-Verbindungsdetails ein.

5. Geben Sie für Remote ASN die ASN auf der Amazon-Seite ein.
   Standardmäßig ist dies 64512.

6. Klicken Sie auf OK.

7. Klicken Sie auf Anwenden.

   

Der Neighbor ist konfiguriert, aber Sie müssen die BGP-Auth-Informationen hinzufügen. Die Weboberfläche lässt dies nicht zu; Sie müssen die Befehlszeile verwenden, um die BGP-Details hinzuzufügen.

So fügen Sie die BGP-Autorisierung hinzu

1. Stellen Sie per SSH eine Verbindung zur MVE-Instanz her und verwenden Sie dabei Ihre private Schlüsseldatei.
   Zum Beispiel
   ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

2. Verwenden Sie diese Befehle, um ein Passwort für den BGP-Neighbor hinzuzufügen.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

Validieren Ihrer AWS-Verbindung

Sie können Verbindungsdetails, einschließlich des Verbindungsstatus, über die CLI mit diesen Befehlen prüfen:

• get system interface – Zeigt Konfigurationsdetails und den aktuellen Status für die Geräteschnittstellen an.
• get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status für die BGP-Neighbor an.