Erstellen einer AWS-gehosteten VIF für eine MVE mit Fortinet SD-WAN

Gehostete VIFs können sich mit öffentlichen oder privaten AWS-Clouddiensten verbinden: Eine gehostete VIF kann sich nicht mit einer virtuellen Transitschnittstelle verbinden. Diese Verbindungen teilen sich die Bandbreite.

So erstellen Sie eine gehostete VIF von einer MVE zu AWS

  1. Gehen Sie im Megaport Portal auf die Seite „Services“ (Dienste), und wählen Sie die MVE für die Verbindung aus.

  2. Klicken Sie auf +Connection (+Verbindung) und anschließend auf „Cloud“.

  3. Wählen Sie AWS als Dienstanbieter und die gehostete VIF als AWS-Verbindungstyp. Wählen Sie anschließend den Zielport und klicken Sie auf Next (Weiter).
    Sie können den Länderfilter verwenden, um die Auswahl einzuschränken.
    Gehostete VIF-Verbindung hinzufügen

  4. Geben Sie die folgenden Verbindungsdetails an:

    • Connection Name (Name der Verbindung) – Der Name der VXC-Verbindung, der im Megaport Portal angezeigt wird. (Tipp: Verwenden Sie denselben Namen, den Sie auf dem nächsten Bildschirm für den AWS-Verbindungsnamen verwenden.)
    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Identifikationsnummer für den VXC an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.
    • Rate Limit (Übertragungsratenlimit) – Dies ist die Geschwindigkeit Ihrer Verbindung in Mbit/s. Zulässige Werte reichen von 1 Mbit/s bis 5 Gbit/s in 1-Mbit/s-Schritten. Beachten Sie, dass die Summe aller gehosteten virtuellen VXCs zu einem Dienst die MVE-Kapazität überschreiten kann, jedoch wird die Gesamtsumme niemals die MVE-Kapazität überschreiten.
    • Preferred A-End VLAN (Bevorzugtes A-End-VLAN) – Geben Sie optional eine nicht verwendete VLAN-ID für diese Verbindung an. Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.
      Verbindungsdetails
  5. Klicken Sie auf Next (Weiter).

  6. Geben Sie die Verbindungsdetails für den AWS-Dienst an. AWS-Verbindungsdetails

    Hier sind Details für jedes Feld:

    • Wählen Sie Public (Öffentlich) oder Private (Privat).
      Private (Privat) – Zugriff auf private AWS-Dienste wie z. B. eine VPC, EC2-Instanzen, Load Balancer, RDS-DB-Instanzen im privaten IP-Adressbereich.
      Public (Öffentlich) – Zugriff auf öffentliche AWS-Dienste wie Amazon Simple Storage Service (S3), DynamoDB, CloudFront und Glacier. Sie erhalten außerdem globale IP- Präfixe von Amazon (etwa 2.000 Präfixe).
      Hinweis: Öffentliche VIFs erfordern einen manuellen Eingriff von Amazon, was bis zu 72 Stunden dauern kann.

    • AWS Connection Name (AWS-Verbindungsname) – Dies ist ein Textfeld. Es enthält den Namen Ihrer virtuellen Schnittstelle, die in der AWS-Konsole erscheint. Der AWS-Verbindungsname wird automatisch mit dem Namen gefüllt, der in einem vorherigen Schritt angegeben wurde.

    • AWS Account ID (AWS-Konto-ID) – Dies ist die ID des Kontos, das Sie verbinden möchten. Sie finden diesen Wert im Verwaltungsbereich Ihrer AWS-Konsole.

    • Kunden-ASN – Ein optionales Feld; es gibt die ASN an, die für BGP-Peering-Verbindungen auf allen mit der MVE verbundenen VXCs verwendet wird. Dieser Wert wird bei der Konfiguration der MVE definiert und kann, sobald es definiert ist, nicht mehr geändert werden.

    • BGP Auth Key – Ein optionales Feld zur Angabe des BGP-MD5-Schlüssels. Wenn Sie dieses Feld leer lassen, handelt Megaport automatisch einen Schlüssel für Sie mit AWS aus und zeigt ihn im Megaport Portal an. (Der Schlüssel wird nicht in der AWS-Konsole angezeigt.)

    • Customer IP Address – Der IP-Adressbereich (im CIDR-Format), der in Ihrem Netzwerk für das Peering verwendet wird. Dieses Feld ist für private Verbindungen optional. Wenn es leer gelassen wird, weist Megaport eine Adresse zu.

    • Amazon IP-Address (Amazone IP-Adresse) – Der IP-Adressbereich im CIDR-Format, der im AWS-VPC-Netzwerk für Peering zugewiesen ist. Dieses Feld ist für private Verbindungen optional. Megaport weist automatisch eine Adresse zu, wenn es leer gelassen wird.

    • Prefixes – (nur für öffentliche Verbindungen sichtbar) Ein optionales Feld für IP-Präfixe, die AWS gemeldet werden sollen. Geben Sie die Präfixe an, die Sie bei der Bereitstellung einer öffentlichen Direktverbindung ankündigen möchten (nur RIR-zugewiesene IPv4-Adressen).

      Sobald Sie Präfixe für eine öffentliche Verbindung konfiguriert haben, können Sie diese nicht mehr ändern und das Feld ist ausgeblendet. Um diesen Wert zu ändern, erstellen Sie ein Support-Ticket bei AWS, damit diese Änderung ohne Beeinträchtigung vorgenommen werden kann. Alternativ können Sie die gehostete VIF stornieren und neu bestellen. In beiden Fällen müssen Sie warten, bis AWS die Anfrage manuell genehmigt hat.

  7. Klicken Sie auf Next (Weiter), um zur Verbindungsdetailübersicht zu gelangen. Fügen Sie den VXC zum Warenkorb hinzu und bestellen Sie die Verbindung.

Der AWS VXC wird im Megaport Portal als Verbindung der MVE angezeigt.

VXC-Details

Akzeptieren Sie anschließend die Verbindung in AWS.

Akzeptieren der virtuellen Schnittstelle für private Verbindungen

Zwei bis drei Minuten nach der Bestellung eines privaten gehosteten VIF-VXC wird die entsprechende eingehende VIF-Anfrage in der AWS-Konsole auf der Seite „AWS Direct Connect“ > „Virtual Interface“ (Virtuelle Schnittstelle) angezeigt. (Dies ist für den Bereich spezifisch, der mit dem AWS-Zielport verknüpft ist.) Wenn Ihre VIF nach ein paar Minuten nicht erscheint, prüfen Sie, ob Sie den richtigen Bereich sehen.

So überprüfen und akzeptieren Sie die private virtuelle Schnittstelle

  1. Klicken Sie auf der Seite AWS Direct Connect > Virtual Interface (AWS Direct Connect > Virtuelle Schnittstelle) auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
    Akzeptieren von virtuellen AWS-Schnittstellen

    Der Name und die Konto-ID der VIF müssen mit den Werten übereinstimmen, die im Portal angegeben wurden. Die BGP-ASN muss mit der Kunden-ASN übereinstimmen, die mit dem VXC konfiguriert wurde. Die Amazon-ASN ist die AWS-ASN des Standardbereichs und nicht der bei der Konfiguration angegebene Wert. Sie wird aktualisiert, wenn die virtuelle Schnittstelle akzeptiert und zugewiesen wird.

  2. Klicken Sie auf Accept (Akzeptieren).

  3. Wählen Sie den Gateway-Typ und dann das spezifische Gateway für diese neue virtuelle Schnittstelle.
    Angeben eines Gateways

  4. Klicken Sie auf Accept virtual interface (Virtuelle Schnittstelle akzeptieren).

Der Status der Verbindung wechselt von confirming (Bestätigung läuft) zu pending (Ausstehend) und dann zu available (Verfügbar), sobald das BGP eingerichtet ist. Beachten Sie, dass es manchmal eine Verzögerung beim BGP-Status available (verfügbar) gibt, bis er bei AWS erscheint. Sie können den aktuellen Status der Layer 3-Verknüpfung jedoch in der Portalansicht bestätigen.

Akzeptieren der virtuellen Schnittstelle für öffentliche Verbindungen

Einige Minuten nach der Bestellung eines öffentlichen gehosteten VIF-VXC wird die entsprechende eingehende VIF-Anfrage in der AWS-Konsole auf der Seite AWS Direct Connect > Virtual Interfaces (AWS Direct Connect > Virtuelle Schnittstellen) angezeigt. (Dies ist für die Region spezifisch, die mit dem AWS-Zielport verknüpft ist.)

So überprüfen und akzeptieren Sie die öffentliche virtuelle Schnittstelle

  1. Klicken Sie auf der Seite „AWS Direct Connect > Virtual Interface“ (AWS Direct Connect > Virtuelle Schnittstelle) auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
  2. Überprüfen Sie die Konfigurationsdetails und klicken Sie auf Accept (Akzeptieren). Klicken Sie bei Aufforderung auf Confirm (Bestätigen).

Der Status der Verbindung ändert sich von confirming (Bestätigung läuft) zu verifying (Verifizierung läuft). An diesem Punkt muss die Verbindung von Amazon verifiziert werden - ein Vorgang, der bis zu 72 Stunden dauern kann. Nach der Verifizierung wechselt der Status zu available (verfügbar).

Hinzufügen von AWS-Verbindungsdetails zu FortiManager

Nachdem Sie die Verbindung von Ihrer MVE zu AWS erstellt und die Verbindung in der AWS-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies umfasst das Hinzufügen einer Geräteschnittstelle und die Konfiguration von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So konfigurieren Sie eine AWS-Verbindung zwischen einer Fortinet-MVE und AWS

  1. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
    Um die Details anzuzeigen, klicken Sie auf das Zahnradsymbol für die AWS-Verbindung von Ihrer MVE aus, und klicken Sie dann auf die Ansicht „Details“. Notieren Sie sich die Werte für A-End VLAN, Customer Address (Kundenadresse) (und CIDR), Amazon Address und Customer ASN (Kunden-ASN).

  2. Melden Sie sich beim FortiManager an.

    Hinweis

    Sie können sich auch bei Ihrer MVE-Instanz anmelden: https://<mve-ip-address>

  3. Wählen Sie in Ihrem verwalteten Gerät im Menü System die Option Interface (Schnittstelle) aus.
    System-Schnittstelle
    Die Seite zeigt Port1 als Ihre physische Schnittstelle an.

  4. Klicken Sie auf +Create New > Interface (Erstellen > Schnittstelle), und geben Sie folgende Informationen ein:

    • Interface Name (Schnittstellenname) – Geben Sie einen aussagekräftigen Namen für die Schnittstelle an.
    • Alias Name – Geben Sie optional einen alternativen Namen an. Verwenden Sie zur einfachen Referenz für diese Verbindung die AWS Virtual Interface ID als Alias.
    • Type (Typ) – Wählen Sie „VLAN“.
    • Interface (Schnittstelle) – Wählen Sie die übergeordnete Schnittstelle: Port1.
    • VLAN ID – Geben Sie das A-Ende-VLAN an, das für diese AWS-Verbindung im Megaport Portal aufgeführt ist.
    • Role (Rolle) – Wählen Sie „Undefined“ (Nicht definiert).
    • Addressing Mode (Adressierungsmodus) – Wählen Sie „Manual“ (Manuell) aus.
    • IP/Netmask – Geben Sie die Kundenadresse aus den VXC-Details im Megaport Portal an.
    • Administrative Access (Administrativer Zugriff) - Wählen Sie aus, wie Sie auf diese Schnittstelle zugreifen möchten, z. B. über HTTPS, PING oder SSH.
    • DHCP Server - Klicken Sie auf OFF (Aus).
      Schnittstelleneinstellungen
  5. Klicken Sie auf OK.
    Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle Port1 angezeigt.

Sie können einen execute ping-Befehl von FortiOS aus ausführen, um die Verbindung zu überprüfen.

Hinweis

Sie müssen die Konfiguration an die MVE übertragen, was geschieht, wenn Sie AutoUpdate konfiguriert haben. Wenn Sie die Verbindung nicht erfolgreich anpingen können, gehen Sie in FortiManager zu „Manage Devices“ (Geräte verwalten), wählen Sie die MVE aus, und wählen Sie im Menü „More“ (Mehr) die Option Refresh Device (Gerät aktualisieren) aus. Wenn Sie dazu aufgefordert werden, wählen Sie für den Config Status (Konfigurationsstatus) die Option „AutoUpdate“ aus.

An diesem Punkt haben wir die Schnittstelle erstellt. Als Nächstes müssen wir die BGP-Sitzung erstellen.

So bauen Sie die BGP-Sitzung auf

  1. Wählen Sie in FortiManager Router > BGP aus.
    BGP-Einstellungen

  2. Geben Sie die folgenden Informationen an:

    • Local AS (Lokale AS) – Fügen Sie den Wert Customer ASN (Kunden-ASN) aus den Details der Megaport-Verbindung hinzu.
    • Router ID (Router-ID) – Fügen Sie den Wert Customer Address (Kundenadresse) aus den Details der Megaport-Verbindung hinzu.
      Schnittstelleneinstellungen
  3. Klicken Sie unter „Neighbors“ (Nachbarn) auf +Create New (Neu erstellen).

    Nachbar erstellen

  4. Fügen Sie unter Neighbor IP (Nachbar-IP) die Amazon Address aus den Details zur Megaport-Verbindung hinzu.

  5. Geben Sie für Remote ASN die Amazon-seitige ASN ein.
    Standardmäßig ist dies 64512.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Apply (Anwenden).

    Neuen Nachbar anwenden

Der Nachbar ist konfiguriert, aber Sie müssen noch die BGP-Authentifizierungsinformationen hinzufügen. BGP-Details kann allerdings nicht über die Weboberfläche festlegt werden, sondern nur über die Befehlszeile.

So fügen Sie die BGP-Autorisierung hinzu

  1. SSH zur MVE-Instanz unter Verwendung Ihrer privaten Schlüsseldatei.
    Beispiel:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  2. Verwenden Sie folgende Befehle, um ein Kennwort für den BGP-Nachbarn hinzuzufügen.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

CLI-Schritte für BGP

Validieren Ihrer AWS-Verbindung

Mit den folgenden Befehlen können Sie Verbindungsdetails, einschließlich des Verbindungsstatus, über die CLI überprüfen:

  • get system interface – Zeigt Konfigurationsdetails und den aktuellen Status der Geräteschnittstellen an.
  • get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status der BGP-Nachbarn an.

Letztes Update: