action.skip

Erstellen einer AWS-gehosteten VIF für eine MVE mit VMware-SD-WAN

Gehostete VIFs können sich mit öffentlichen oder privaten AWS-Clouddiensten verbinden: Eine gehostete VIF kann sich nicht mit einer virtuellen Transitschnittstelle verbinden. Diese Verbindungen teilen sich die Bandbreite.

So erstellen Sie eine gehostete VIF von einer MVE zu AWS

  1. Wechseln Sie im Megaport Portal auf die Seite Services (Dienste), und wählen Sie die MVE für die Verbindung aus.

  2. Klicken Sie auf +Connection (Neue Verbindung), und klicken Sie dann auf die Kachel „Cloud“.

  3. Wählen Sie als Dienstanbieter AWS aus, wählen Sie als AWS-Verbindungstyp „Hosted Connection“ (Gehostete Verbindung) aus, wählen Sie den Zielport aus, und klicken Sie auf Next (Weiter).
    Sie können den Länderfilter verwenden, um die Auswahl einzuschränken.
    Gehostete VIF-Verbindung hinzufügen

  4. Geben Sie die folgenden Verbindungsdetails an:

    • Connection Name (Name der Verbindung) – Der Name der VXC-Verbindung, der im Megaport Portal angezeigt wird.

      Tipp

      Verwenden Sie denselben Namen, den Sie auf dem nächsten Bildschirm als AWS-Verbindungsnamen verwenden.

    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie für den VXC eine eindeutige Identifikationsnummer an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

      Hinweis

      Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

    • Rate Limit (Übertragungsratenlimit) – Dies ist die Geschwindigkeit Ihrer Verbindung in Mbit/s. Zulässige Werte reichen von 1 Mbit/s bis 5 Gbit/s in 1-Mbit/s-Schritten. Beachten Sie, dass die Summe aller gehosteten virtuellen VXCs zu einem Dienst die MVE-Kapazität überschreiten kann, jedoch wird die Gesamtsumme niemals die MVE-Kapazität überschreiten.

    • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) (optional) – Geben Sie eine nicht verwendete VLAN-ID für diese Verbindung an.
      Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.
      Verbindungsdetails
  5. Klicken Sie auf Next (Weiter).

  6. Geben Sie die Verbindungsdetails für den AWS-Dienst an. AWS-Verbindungsdetails

    Hier sind Details für jedes Feld:

    • Wählen Sie Public (Öffentlich) oder Private (Privat).
      Private (Privat) – Zugriff auf private AWS-Dienste wie VPC, EC2-Instanzen, Load Balancer, RDS-DB-Instanzen in einem privaten IP-Adressraum.
      Public (Öffentlich) – Zugriff auf öffentliche AWS-Dienste wie Amazon Simple Storage Service (S3), DynamoDB, CloudFront und Glacier. Sie erhalten außerdem Globale IP-Präfixe von Amazon (ungefähr 2.000 Präfixe).
      Hinweis: Öffentliche VIFs erfordern einen manuellen Eingriff von Amazon, was bis zu 72 Stunden dauern kann.

    • AWS Connection Name (AWS-Verbindungsname) – Dies ist ein Textfeld mit dem Namen Ihrer virtuellen Schnittstelle, die in der AWS-Konsole angezeigt wird. Der AWS-Verbindungsname wird automatisch mit dem Namen gefüllt, der in einem vorherigen Schritt angegeben wurde.

    • AWS Account ID (AWS-Konto-ID) – Dies ist die ID des Kontos, das Sie verbinden möchten. Sie finden diesen Wert im Verwaltungsbereich Ihrer AWS-Konsole.

    • Customer ASN (Kunden-ASN) (optional) – Spezifiziert die ASN, die für BGP-Peering-Sitzungen auf allen mit dem MVE verbundenen VXCs verwendet wird. Dieser Wert wird bei der Konfiguration der MVE definiert und kann, sobald er definiert ist, nicht mehr geändert werden.

    • BGP Auth Key (BGP-Authentifizierungsschlüssel) (optional) – Geben Sie den BGP MD5-Schlüssel an. Wenn Sie dieses Feld leer lassen, handelt Megaport automatisch mit AWS einen Schlüssel für Sie aus, der im Megaport Portal angezeigt wird. Der Schlüssel wird nicht in der AWS-Konsole angezeigt.

    • Customer IP Address (Kunden-IP-Adresse) – Der IP-Adressbereich (im CIDR-Format), der in Ihrem Netzwerk für Peering verwendet wird. Dieses Feld ist für private Verbindungen optional. Wenn es leer gelassen wird, weist Megaport eine Adresse zu.

    • Amazon IP Address (Amazon-IP-Adresse) – Der IP-Adressbereich im CIDR-Format, der im AWS-VPC-Netzwerk für Peering zugewiesen wurde. Dieses Feld ist für private Verbindungen optional. Wenn es leer bleibt, weist Megaport automatisch eine Adresse zu.

    • Prefixes (Präfixe) (optional) – (nur für öffentliche Verbindungen sichtbar) Geben Sie IP-Präfixe an, die AWS bekannt gegeben werden sollen. Geben Sie die Präfixe an, die Sie bei der Bereitstellung einer öffentlichen Direct Connect-Verbindung ankündigen möchten (nur RIR-zugewiesene IPv4-Adressen).

      Sobald Sie Präfixe für eine öffentliche Verbindung konfiguriert haben, können Sie diese nicht mehr ändern und das Feld ist ausgeblendet. Um diesen Wert zu ändern, erstellen Sie ein Support-Ticket bei AWS, damit diese Änderung ohne Beeinträchtigung vorgenommen werden kann. Alternativ können Sie die gehostete VIF stornieren und neu bestellen. In beiden Fällen müssen Sie warten, bis AWS die Anfrage manuell genehmigt hat.

  7. Klicken Sie auf Next (Weiter), um zur Übersicht der Verbindungsdetails zu gelangen. Fügen Sie den VXC zum Warenkorb hinzu, und bestellen Sie die Verbindung.

Der AWS VXC wird im Megaport Portal als Verbindung der MVE angezeigt.

VXC-Details

Akzeptieren Sie anschließend die Verbindung in AWS.

Akzeptieren der virtuellen Schnittstelle für private Verbindungen

Wenige Minuten nach der Bestellung einer privaten gehosteten VIF-VXC ist die entsprechende eingehende VIF-Anfrage in der AWS-Konsole auf der Seite „AWS Direct Connect > Virtual Interfaces“ sichtbar. (Dies ist für die Region spezifisch, die mit dem AWS-Zielport verknüpft ist.) Wenn Ihre VIF nach ein paar Minuten nicht erscheint, prüfen Sie, ob die korrekte Region angezeigt wird.

So überprüfen und akzeptieren Sie die private virtuelle Schnittstelle

  1. Klicken Sie auf der Seite AWS Direct Connect > Virtual Interface (Virtuelle Schnittstelle) auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
    Akzeptieren von virtuellen AWS-Schnittstellen

    Der Name und die Konto-ID der VIF müssen mit den im Portal angegebenen Werten übereinstimmen, und die BGP-ASN muss mit der im VXC konfigurierten Kunden-ASN übereinstimmen. Die Amazon-ASN ist die AWS-ASN der Standardregion und nicht der bei der Konfiguration angegebene Wert - dieser wird aktualisiert, wenn die virtuelle Schnittstelle akzeptiert und zugewiesen wird.

  2. Klicken Sie auf Accept (Akzeptieren).

  3. Wählen Sie den Gateway-Typ und dann das spezifische Gateway für diese neue virtuelle Schnittstelle aus.
    Angeben eines Gateways

  4. Klicken Sie auf Accept virtual interface (Virtuelle Schnittstelle akzeptieren).

Der Status der Verbindung wechselt von confirming (Bestätigung läuft) zu pending (Ausstehend) und dann zu available (Verfügbar), sobald das BGP eingerichtet ist. Beachten Sie, dass es manchmal eine Verzögerung beim BGP-Status available (verfügbar) gibt, bis er bei AWS erscheint. Sie können den aktuellen Status der Layer 3-Verknüpfung jedoch in der Portalansicht bestätigen.

Akzeptieren der virtuellen Schnittstelle für öffentliche Verbindungen

Einige Minuten nach der Bestellung einer öffentlichen gehosteten VIF-VXC wird die entsprechende eingehende VIF-Anfrage auf der Seite AWS Direct Connect > Virtual Interfaces (AWS Direct Connect > Virtuelle Schnittstellen) der AWS-Konsole angezeigt. Dies ist für die Region spezifisch, die mit dem AWS-Zielport verknüpft ist.

So überprüfen und akzeptieren Sie die öffentliche virtuelle Schnittstelle

  1. Klicken Sie auf der Seite „AWS Direct Connect“ > „Virtual Interface“ (Virtuelle Schnittstelle) auf die ID der Schnittstelle, um die Konfigurations- und Peering-Details anzuzeigen.
  2. Überprüfen Sie die Konfigurationsdetails, und klicken Sie auf Accept (Akzeptieren). Wenn Sie dazu aufgefordert werden, klicken Sie auf Confirm (Bestätigen).

Der Status der Verbindung ändert sich von confirming (Bestätigung läuft) zu verifying (Verifizierung läuft). An diesem Punkt muss die Verbindung von Amazon verifiziert werden - ein Vorgang, der bis zu 72 Stunden dauern kann. Nach der Verifizierung ändert sich der Status in available (Verfügbar).

Hinzufügen von AWS-Verbindungsdetails zu Palo Alto VM-Series

Nachdem Sie die Verbindung von Ihrer MVE zu AWS erstellt und die Verbindung in der AWS-Konsole eingerichtet haben, müssen Sie sie in VM-Series konfigurieren. Dies umfasst das Hinzufügen einer Geräteschnittstelle und das Konfigurieren der BGP-Einstellungen.

So konfigurieren Sie eine AWS-Verbindung zwischen einer Palo Alto-MVE und AWS

  1. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
    Klicken Sie auf das Zahnradsymbol für die AWS-Verbindung aus Ihrer MVE, und klicken Sie auf die Ansicht „Details“. Notieren Sie sich die Werte für A-End VLAN (A-Ende-VLAN), Customer Address (Kundenadresse) (und CIDR), Amazon Address (Amazon-Adresse) und Customer ASN (Kunden-ASN).

  2. Melden Sie sich bei der VM-Series an.

  3. Wählen Sie „Network“ (Netzwerk) > „Schnittstellen“ (Interfaces) aus.

  4. Wählen Sie die A-Ende-MVE (ethernet1/1) aus.

  5. Klicken Sie unten auf dem Bildschirm auf Add Subinterface (Unterschnittstelle hinzufügen).
    Unterschnittstelle (Subinterface) hinzufügen

  6. Geben Sie die folgenden Details an:

    • Interface Name (Name der Schnittstelle) – Geben Sie einen Namen für die Unterschnittstelle ein. Geben Sie in das nebenstehende Feld eine Nummer zur Identifizierung der Unterschnittstelle ein.

    • Comment (Kommentar) – Geben Sie einen alternativen Namen ein, zum Beispiel AWS VIF dxvif-fh9aokej.

    • Tag – Geben Sie das innere VLAN des A-Endes an, das mit dem im Megaport Portal erstellten AWS-VXC verbunden ist.

    • Virtual Router (Virtueller Router) – Wählen Sie einen virtuellen Router zur Schnittstelle aus, wie es Ihr Netzwerk erfordert.

  7. Wählen Sie die IPv4-Registerkarte aus.

  8. Wählen Sie Static (Statisch) als Typ aus.
  9. Klicken Sie auf +Add (Hinzufügen), um eine neue IP-Adresse hinzuzufügen.
  10. Geben Sie die IPv4-Adresse und die Netzmaske ein.
  11. Klicken Sie auf OK.
  12. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    Schaltfläche „Commit“ (Bestätigen)
  13. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen). Änderungen bestätigen

Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle ethernet1/1 angezeigt.

Als Nächstes erstellen Sie eine Sicherheitszone, damit die Schnittstelle den Datenverkehr weiterleiten kann.

So erstellen Sie eine Sicherheitszone

  1. Wählen Sie die Unterschnittstelle ethernet1/1.1010 aus.
  2. Wählen Sie in der Dropdown-Liste „Security Zone“ (Sicherheitszone) die Option „New Zone“ (Neue Zone) aus.
  3. Geben Sie einen Namen für die Sicherheitszone an.
    Einstellungen für die Sicherheitszone
  4. Klicken Sie unter „Interfaces“ (Schnittstellen) auf +Add (Hinzufügen), und fügen Sie ethernet1/1.1010 zur Sicherheitszone hinzu.
  5. Geben Sie alle zusätzlichen Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind.
  6. Wählen Sie in der Dropdown-Liste „Zone Protection Profile“ (Zonenschutzprofil) die Option „New Zone Protection Profile“ (Schutzprofil der neuen Zone) aus.
  7. Geben Sie alle Details an, die für die Sicherheit Ihres Netzwerks erforderlich sind. In diesem Beispiel werden alle Standardeinstellungen verwendet.
    Zonenschutzprofil
  8. Klicken Sie auf OK.
  9. Klicken Sie auf dem Bildschirm „Layer 3 Subinterface“ (Layer-3-Unterschnittstelle) auf OK.
  10. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    Schaltfläche „Commit“ (Bestätigen)
  11. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen). Änderungen bestätigen

An diesem Punkt haben Sie die Schnittstelle erstellt. Als Nächstes werden Sie die BGP-Sitzung erstellen.

So erstellen Sie die BGP-Sitzung

  1. Wählen Sie „Network“ (Netzwerk) > „Virtuelle Routers“ (Virtuelle Router) aus.
  2. Wählen Sie den virtuellen Router aus.
    Virtuellen Router auswählen
  3. Wählen Sie im linken Bereich „BGP“ aus.
  4. Geben Sie die folgenden BGP-Details an:
    • Enable (Aktivieren) – Aktivieren Sie dieses Kontrollkästchen, damit die BGP-Sitzung nach dem Bestätigen dieser Änderungen gestartet wird.
    • Router ID – Geben Sie eine IP-Adresse auf diesem Palo Alto-System an, die als Router-ID verwendet werden soll. Dies ist der Wert für Customer Address (Kundenadresse) aus den Megaport-Verbindungsdetails hinzu.
    • AS Number (AS-Nummer) – Geben Sie die ASN an, die Sie in der AWS-VIF-Bestellung verwendet haben. Dies ist der Wert für „Customer ASN“ (Kunden-ASN) aus der AWS-Verbindung im Megaport Portal. BGP-Details
  5. Klicken Sie unter „Auth Profiles“ (Authentifizierungsprofile) auf +Add (Hinzufügen).
  6. Geben Sie unter „Profile Name“ einen Profilnamen an.
    Profilname
  7. Geben Sie ein Authentifizierungspasswort ein, und bestätigen Sie es.
  8. Klicken Sie auf OK.
  9. Wählen Sie die Registerkarte „Peer Group“ aus.
    Registerkarte „Peer Group“
  10. Klicken Sie auf +Add (Hinzufügen), um eine Peer-Gruppe hinzuzufügen.
  11. Geben Sie einen Namen für die Peer-Gruppe an. Beispiel: AWS-VIF-xxxx.
  12. Geben Sie als Sitzungstyp „eBGP“ an.
  13. Geben Sie alle zusätzlichen Details an, die für Ihr Netzwerk erforderlich sind.
  14. Klicken Sie auf +Add (Hinzufügen), um einen neuen Peer hinzuzufügen.
  15. Geben Sie die Details für den Peer an:
    • Name – Geben Sie einen Namen für den Peer an.
    • Peer AS – Geben Sie die Autonomous System Number (ASN) für den Peer an.
    • Local Address (Lokale Adresse) – Wählen Sie in den Dropdown-Listen die korrekte Unterschnittstelle und die korrekte IP-Adresse aus.
    • Peer Address (Peer-Adresse) – Geben Sie die IPv4-Adresse der AWS-Seite ein. Dies ist die Amazon Address (Amazon-Adresse) aus den Verbindungsdetails des Megaport Portal. Bildschirm der BGP-Peer-Gruppe
  16. Wählen Sie die Registerkarte „Connection Options“ (Verbindungsoptionen) aus.
    Registerkarte „Verbindungsoptionen“
  17. Wählen Sie das zuvor erstellte „Auth Profile“ (Authentifizierungsprofil) aus.
  18. Klicken Sie auf dem Bildschirm „Peer Group - Peer“ auf OK.
  19. Klicken Sie auf dem Bildschirm „BGP - Peer Group/Peer“ auf OK.
  20. Klicken Sie auf dem Bildschirm „Virtual Router“ (Virtueller Router) auf OK.
    Virtueller Router
  21. Klicken Sie in der rechten oberen Ecke auf Commit (Bestätigen).
    Schaltfläche „Commit“ (Bestätigen)
  22. Überprüfen Sie die Änderungen, und klicken Sie auf Commit (Bestätigen). Änderungen bestätigen

Validieren Ihrer AWS-Verbindung

So überprüfen Sie den Status des BGP-Peers

  1. Wählen Sie „Network“ (Netzwerk) > „Virtuelle Routers“ (Virtuelle Router) aus.
  2. Suchen Sie Ihren virtuellen Router („default“).
  3. Klicken Sie auf der rechten Seite in der Spalte „Runtime Stats“ (Laufzeitstatistiken) auf More Runtime Stats (Weitere Laufzeitstatistiken).
    Laufzeitstatistiken
  4. Wählen Sie die Registerkarte „BGP“ und dann die Registerkarte „Peer“ aus.
  5. Überprüfen Sie, ob der Peer-Status Established (Eingerichtet) ist.
    Status „Established“ (Eingerichtet)

    Sie können den Status auch in Ihrem AWS Direct Connect-Portal überprüfen (die Aktualisierung kann einige Minuten dauern).
    AWS-Status