Creación de una VIF alojada de AWS para un MVE con Palo Alto SD-WAN

Las VIF alojadas se pueden conectar a servicios en la nube de AWS públicos o privados. Una VIF alojada no puede conectarse a una interfaz virtual de tránsito. Estas conexiones comparten ancho de banda.

Para crear una VIF alojada de un MVE a AWS

1. En el Megaport Portal, vaya a la página Services (Servicios) y seleccione el MVE para la conexión.

2. Haga clic en +Connection (+Conexión) y haga clic en la ficha Cloud (Nube).

3. Seleccione AWS como proveedor de servicios, seleccione Hosted VIF (VIF alojada) como tipo de conexión AWS, seleccione el puerto de destino y haga clic en Next (Siguiente).
   Puede utilizar el filtro Country (País) para limitar la selección.
   

4. Especifique estos detalles de conexión:

   • Connection Name (Nombre de Conexión) – El nombre de su VXC que se mostrará en el Portal de Megaport.

     Consejo

     Debe coincidir con el nombre de la conexión de AWS en la siguiente pantalla para facilitar la asignación.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para la VXC que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

     Nota

     Las cuentas gestionadas por los socios pueden aplicar una oferta de socio a un servicio. Para conocer más detalles, consulte Asociar un acuerdo con un servicio.

   • Rate Limit (Límite de Velocidad) – La velocidad de su conexión en Mbps. Los valores aceptados van desde 1 Mbps a 5 Gbps con incrementos de 1 Mbps. Tenga en cuenta que la suma de todas las VXC virtuales alojadas en un servicio puede exceder la capacidad del MVE, pero el total agregado nunca rebasará la capacidad del MVE.

   • Preferred A-End VLAN (VLAN Preferida en el Extremo A) (opcional) – Especifique un ID de VLAN que no se haya utilizado para esta conexión.
     Debe ser un ID de VLAN único en este MVE, que puede ir de 2 a 4093. Si se especifica un ID de VLAN que ya se haya utilizado, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport le asignará uno.
     

5. Haga clic en Next (Siguiente).

6. Especifique los detalles del servicio AWS.

   Aquí están los detalles de cada campo:

   • Seleccione Public (Público) o Private (Privado).
     Private (Privado) – Acceda a servicios privados de AWS, como una VPC, instancias de EC2, equilibradores de carga, instancias de base de datos RDS, en un espacio privado de una dirección IP.
     Public (Público) – Acceda a los servicios públicos de AWS, como Amazon Simple Storage Service (S3), DynamoDB, CloudFront y Glacier. También recibirá prefijos IP globales de Amazon (unos 2000 prefijos).
     Nota: Las VIF públicas requieren la intervención manual de Amazon y pueden tardar hasta 72 horas.

   • AWS Connection Name (Nombre de la Conexión AWS) – Este es un campo de texto y será el nombre de su interfaz virtual que aparezca en la consola de AWS. El nombre de la conexión AWS se rellena automáticamente con el nombre especificado en un paso anterior.

   • AWS Account ID (ID de la Cuenta de AWS) – Este es el ID de la cuenta que desea conectar. Puede encontrar este valor en la sección de gestión de su consola de AWS.

   • Customer ASN (ASN del cliente) (opcional) – Especifica el ASN utilizado para las sesiones de emparejamiento de BGP en cualquier VXC conectada al MVE. Este valor se define cuando se configura el MVE y, una vez definido, no puede cambiarse.

   • BGP Auth Key (Clave de Autenticación de BGP) (opcional) – Especifique la clave BGP MD5. Si deja este campo en blanco, Megaport negociará automáticamente una clave para el usuario con AWS y la mostrará en el Portal de Megaport. La clave no se mostrará en la consola de AWS.

   • Customer IP Address (Dirección IP del cliente) – El espacio de dirección IP (en formato CIDR) utilizado en su red para el emparejamiento. Este campo es opcional para las conexiones privadas y, si se deja en blanco, Megaport asigna una dirección.

   • Amazon IP Address (Dirección IP de Amazon) – El espacio de dirección IP en formato CIDR asignado en la red VPC de AWS para el emparejamiento. Este campo es opcional para las conexiones privadas y, si se deja en blanco, Megaport asigna una dirección automáticamente.

   • Prefixes (Prefijos) (opcional) – (visible solo para las conexiones públicas) Especifique los prefijos IP para anunciar a AWS. Especifique los prefijos que anunciará al implementar una conexión directa pública (solo direcciones IPv4 asignadas por el RIR).

     Una vez que se configuran los prefijos para una conexión pública, no se pueden cambiar y el campo aparece atenuado. Para cambiar este valor, cree una incidencia de soporte con AWS para que puedan realizar este cambio de forma que no afecte. También puede cancelar la VIF alojada y volver a pedirla. En ambos casos, hay que esperar a que AWS apruebe manualmente la solicitud.

7. Haga clic en Next (Siguiente) para pasar al resumen de detalles de la conexión, añada la VXC al carrito y pida la conexión.

La VXC de AWS aparece como conexión para el MVE en el Portal de Megaport.

A continuación, acepte la conexión en AWS.

Aceptación de la interfaz virtual para conexiones privadas

Unos minutos después de pedir una VXC de VIF alojada privada, la solicitud de VIF entrante correspondiente será visible en la página AWS Direct Connect > Virtual Interfaces (Interfaces virtuales) en la consola de AWS. (Esto es específico de la región asociada al puerto AWS de destino). Si su VIF no aparece después de unos minutos, asegúrese de estar consultando la región correcta.

Para revisar y aceptar la interfaz virtual privada

1. En la página AWS Direct Connect > Virtual Interface (Interfaz virtual), haga clic en el ID de la interfaz para mostrar la configuración y los detalles de emparejamiento.
   

   El nombre y el ID de cuenta de la VIF deben coincidir con los valores proporcionados en el Portal y el ASN de BGP debe coincidir con el ASN del cliente configurado con la VXC. El ASN de Amazon es el ASN de AWS de la región predeterminada y no el valor especificado durante la configuración (se actualiza cuando se acepta y asigna la interfaz virtual).

2. Haga clic en Accept (Aceptar).

3. Seleccione el tipo de gateway y, luego, la gateway específica para esta nueva interfaz virtual.
   

4. Haga clic en Accept virtual interface (Aceptar interfaz virtual).

El estado de la conexión cambia de confirming (confirmando) a pending (pendiente) y, luego, cambia a available (disponible) cuando se establece el BGP. Tenga en cuenta que a veces hay un retraso en el estado de BGP available (disponible) que aparece en el extremo de AWS, aunque puede confirmar el estado actual del enlace de la capa 3 a través de la vista del Portal.

Aceptación de la interfaz virtual para conexiones públicas

Varios minutos después de pedir una VXC de VIF alojada pública, la solicitud de VIF entrante correspondiente aparecerá en la página AWS Direct. Connect > Virtual Interfaces (Interfaces virtuales) de la consola de AWS. Esto es específico de la región asociada al puerto AWS de destino.

Para revisar y aceptar la interfaz virtual pública

1. En la página AWS Direct Connect > Virtual Interface (Interfaz virtual), haga clic en el ID de la interfaz para mostrar la configuración y los detalles de emparejamiento.
2. Revise los detalles de la configuración y haga clic en Accept (Aceptar) y, cuando se le solicite, haga clic en Confirm (Confirmar).

El estado de la conexión cambia de confirming (confirmando) a verifying (verificando). En este punto, Amazon tiene que verificar la conexión, un proceso que puede tardar hasta 72 horas. Cuando se verifica, el estado cambia a available (disponible).

Adición de los detalles de conexión de AWS a Palo Alto VM-Series

Después de crear la conexión del MVE a AWS y de configurar la conexión en la consola de AWS, debe configurarla en VM-Series. Esto implica la adición de una interfaz de dispositivo y la configuración de los ajustes del BGP.

Para configurar una conexión AWS entre un MVE de Palo Alto y AWS

1. Recopile los detalles de la conexión del Portal de Megaport.
   Haga clic en el icono del engranaje de la conexión de AWS desde su MVE y haga clic en la vista Details (Detalles). Anote los valores de A-End VLAN (VLAN del Extremo A), Customer Address (Dirección del cliente) (y CIDR), Amazon Address (Dirección de Amazon) y Customer ASN (ASN del cliente).

2. Inicie sesión en VM-Series.

3. Elija Network (Red) > Interfaces.

4. Seleccione el MVE del Extremo A (ethernet1/1).

5. Haga clic en Add Subinterface (Añadir subinterfaz) en la parte inferior de la pantalla.
   

6. Proporcione estos detalles:

   • Interface Name (Nombre de la Interfaz) – Introduzca un nombre para la subinterfaz. En el campo adyacente, introduzca un número para identificar la subinterfaz.

   • Comment (Comentario) – Introduzca un nombre alternativo, por ejemplo, AWS VIF dxvif-fh9aokej.

   • Tag (Etiqueta) – Especifique el valor de la VLAN interna del extremo A asociado a la VXC de AWS creada en el Portal de Megaport.

   • Virtual Router (Enrutador virtual) – Seleccione un enrutador virtual para la interfaz, según lo requiera su red.

7. Seleccione la pestaña IPv4.

8. Seleccione Static (Estático) como Type (Tipo).
9. Haga clic en +Add (+Añadir) para añadir una nueva dirección IP.
10. Introduzca la dirección IPv4 y la máscara de red.
11. Haga clic en OK (Aceptar).
12. Haz clic en Commit (Asignar) en la esquina superior derecha.
    
13. Revise los cambios y haga clic en Commit (Asignar).

La nueva interfaz VLAN aparecerá con su interfaz física ethernet1/1.

A continuación, creará una zona de seguridad para que la interfaz pueda enrutar el tráfico.

Para crear una zona de seguridad

1. Seleccione la subinterfaz ethernet1/1.1010.
2. Seleccione New Zone (Nueva zona) en la lista desplegable Security Zone (Zona de seguridad).
3. Especifique un nombre para la zona de seguridad.
   
4. Haga clic en +Add (+Añadir) en Interfaces y añada ethernet1/1.1010 a la zona de seguridad.
5. Especifique cualquier otro detalle necesario para la seguridad de su red.
6. Seleccione New Zone Protection Profile (Nuevo perfil de protección de zona) en la lista desplegable Zone Protection Profile (Perfil de protección de zona).
7. Especifique los detalles necesarios para la seguridad de su red. En este ejemplo se utilizan todos los valores predeterminados.
   
8. Haga clic en OK (Aceptar).
9. Haga clic en OK (Aceptar) en la pantalla Layer3 Subinterface (Subinterfaz de capa 3).
10. Haz clic en Commit (Asignar) en la esquina superior derecha.
    
11. Revise los cambios y haga clic en Commit (Asignar).

Ya ha creado la interfaz. A continuación, creará la sesión de BGP.

Para crear la sesión de BGP

1. Elija Network (Red) > Virtual Routers (Enrutadores virtuales).
2. Seleccione el enrutador virtual.
   
3. En el panel izquierdo, seleccione BGP.
4. Proporcione los siguientes detalles de BGP:
   • Enable (Habilitar) – Marque esta casilla de verificación para iniciar la sesión BGP después de asignar estos cambios.
   • Router ID (ID del enrutador) – Especifique una dirección IP en este sistema Palo Alto para usarla como ID del enrutador. Es el valor de Customer ASN (ASN del cliente) en los detalles de la conexión de Megaport.
   • AS Number (Número de AS) – Especifique el ASN que utilizó en el pedido de VIF de AWS. Es el valor de Customer ASN (ASN del cliente) de la conexión de AWS en el Portal de Megaport.
5. Haga clic en +Add (+Añadir) en Auth Profiles (Perfiles de autenticación).
6. Especifique un nombre en Profile Name (Nombre de perfil).
   
7. Introduzca y confirme la contraseña de autenticación.
8. Haga clic en OK (Aceptar).
9. Seleccione la pestaña Peer Group (Grupo de pares).
   
10. Haga clic en +Add (+Añadir) para añadir un grupo de pares.
11. Especifique un nombre para el grupo de pares. Por ejemplo, AWS-VIF-xxxx.
12. Especifique eBGP como tipo de sesión.
13. Especifique cualquier detalle adicional necesario para su red.
14. Haga clic en +Add (+Añadir) para añadir un nuevo par.
15. Especifique los detalles del par:
    • Name (Nombre) – Especifique un nombre para el par.
    • Peer AS (AS del par) – Especifique el número de sistema autónomo (ASN) del par.
    • Local Address (Dirección local) – Seleccione la subinterfaz y la dirección IP adecuadas en la lista desplegable.
    • Peer Address (Dirección de par) – Introduzca la dirección IPv4 del lado de AWS. Es el valor de Amazon Address (Dirección de Amazon) en los detalles de la conexión del Portal de Megaport.
16. Seleccione la pestaña Connection Options (Opciones de conexión).
    
17. Seleccione el perfil de autenticación creado anteriormente.
18. Haga clic en OK (Aceptar) en la pantalla Peer Group - Peer (Grupo de pares - Par).
19. Haga clic en OK (Aceptar) en la pantalla BGP - Peer Group - Peer (BGP - Grupo de pares - Par).
20. Haga clic en OK (Aceptar) en la pantalla Virtual Router (Enrutador virtual).
    
21. Haz clic en Commit (Asignar) en la esquina superior derecha.
    
22. Revise los cambios y haga clic en Commit (Asignar).

Validación de su conexión a AWS

Para verificar el estado del par BGP

1. Elija Network (Red) > Virtual Routers (Enrutadores virtuales).
2. Localice su enrutador virtual (predeterminado).
3. Haga clic en More Runtime Stats (Más estadísticas de tiempo de ejecución) en la columna Runtime Stats (Estadísticas de tiempo de ejecución) de la derecha.
   
4. Seleccione la pestaña BGP y, a continuación, la pestaña Peer (Par).

5. Verifique que el estado del par sea Established (Establecido).
   

   También puede comprobar el estado en su portal de AWS Direct Connect (puede tardar unos minutos en actualizarse).
   

---

Última actualización: 2024-02-09