Créer une connexion hébergée sur AWS pour un MVE avec Palo Alto VM-Series

Une connexion hébergée peut prendre en charge une interface virtuelle privée, publique ou de transit. Il s’agit de connexions dédiées et elles sont recommandées pour les environnements de production.

Pour créer une connexion hébergée à partir d’un MVE vers AWS

1. Dans le Megaport Portal, accédez à la page Services et sélectionnez le MVE pour la connexion.

2. Cliquez sur +Connection (+Connexion), puis sur Cloud.

3. Sélectionnez AWS comme fournisseur de services, sélectionnez Hosted Connection (Connexion hébergée) comme type de connexion AWS, sélectionnez le port de destination et cliquez surNext (Suivant).
   Vous pouvez utiliser le filtre Country (Pays) pour restreindre la sélection.
   Chaque port de destination est doté d’une icône bleue ou orange pour indiquer sa zone de diversité. Pour bénéficier de la diversité, vous devez créer deux connexions dans des zones différentes.
   

4. Précisez ces détails de connexion :

   • Name your connection (Nommez votre connexion) – Le nom de votre VXC qui doit apparaître sur le Portail Megaport.

   • Service Level Reference (Référence de niveau de service) (optionnelle) – Spécifiez un numéro d’identification unique pour la VXC à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

     Remarque

     Les comptes gérés par les partenaires peuvent appliquer un accord partenaire à un service. Pour plus de détails, voir Association d’une transaction à un service.

   • Rate Limit (Débit maximal) – Il s’agit de la vitesse de votre connexion en Mbits/s. La vitesse ne peut pas être modifiée une fois déployée. La liste déroulante montre les débits maximaux prédéfinis disponibles pour votre MVE, jusqu’à 10 Gbits/s.

   • Preferred A-End VLAN (VLAN A-End préféré) – Le cas échéant, spécifiez un ID VLAN inutilisé pour cette connexion.
     Il doit s’agir d’un ID VLAN unique sur ce MVE, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.
     

5. Cliquez sur Next (Suivant).

6. Précisez les détails de la connexion pour le service AWS.

   • AWS Connection Name (Nom de la connexion AWS) – Il s’agit d’un champ de texte qui portera le nom de votre interface virtuelle qui apparaît dans la console AWS. Le champ AWS Connection Name (Nom de la connexion AWS) est automatiquement renseigné avec le nom spécifié dans une étape précédente.

   • AWS Account ID (ID du compte AWS) – Il s’agit de l’ID du compte auquel vous souhaitez vous connecter. Vous pouvez trouver cette valeur dans la section Management (Gestion) de votre console AWS.
     

7. Cliquez sur Next (Suivant) pour passer au résumé des détails de la connexion, cliquez sur Add VXC (Ajouter VXC) et commandez la connexion.

Une fois que la connexion VXC est déployée avec succès, elle apparaît sur la page Services du Portail Megaport et est associée au MVE. Cliquez sur le nom de la VXC pour afficher les détails de cette connexion. Notez que l’état de service (couche 2) est en ligne, mais que BGP (couche 3) sera hors ligne, car la configuration n’existe pas encore.

Une fois le déploiement effectué dans le portail Megaport, vous devez accepter la connexion dans la console AWS et créer une interface virtuelle pour la connexion :

Pour accepter une connexion hébergée

1. Dans AWS, accédez à Services > AWS Direct Connect > Connections (Services > AWS Direct Connect > Connexions) et cliquez sur le nom de la connexion.
   

2. Cliquez sur Accept (Accepter) en haut à droite de la fenêtre.
   

   L’état sera défini sur Pending (En attente) pendant quelques minutes, le temps qu’AWS déploie la connexion. Après le déploiement, le statut passe de ordering (commande) à available (disponible).

La connexion est maintenant disponible, mais vous devez créer une VIF pour vous connecter aux services AWS.

Conseil

Pour plus d’informations sur l’acceptation des connexions AWS, voir la documentation AWS.

Création d’une interface virtuelle

Une fois que vous avez créé et accepté une connexion hébergée, créez une VIF et rattachez la connexion hébergée à une passerelle.

Conseil

AWS fournit desinstructions détaillées pour la création d’interfaces publiques, privées et de transit.

Pour créer et rattacher une VIF

1. Dans la console AWS, cliquez sur Create Virtual Interface (Créer une interface virtuelle).
   

2. Sélectionnez le type d’interface.

   Le type variera en fonction du type de service auquel vous devez accéder.

   • Private (Privé) – Accédez aux ressources qui se trouvent dans un VPC en utilisant leur adresse IP privée. Vous pouvez choisir de terminer une interface virtuelle privée sur une passerelle virtuelle privée (pour accéder à un seul VPC) ou sur une passerelle Direct Connect (cela vous donne une mise en correspondance de 1 VIF vers 10 VPC).
   • Public – Accédez à tous les points de terminaison publics AWS ainsi qu’à toutes les ressources AWS qui sont accessibles par une adresse IP publique.
   • Transit – Transportez le trafic d’une passerelle Direct Connect vers une ou plusieurs passerelles de transit. Lorsque vous choisissez l’option Transit pour la VIF, les connexions plus lentes sont filtrées et n’apparaissent plus dans l’interface.
     

3. Précisez les détails de la configuration :

   • Virtual interface name (Nom de l’interface virtuelle) – Entrez un nom pour l’interface virtuelle.
   • Connection (Connexion) – La connexion physique où vous souhaitez que cette interface virtuelle soit fournie. Le nom que vous avez fourni pour la connexion hébergée dans le Portail Megaport apparaît ici.
   • Virtual interface owner (Propriétaire de l’interface virtuelle) – Le compte qui sera propriétaire de l’interface virtuelle. Sélectionnez My AWS account (Mon compte AWS).
   • Direct Connect gateway (Passerelle Direct Connect) – Sélectionnez la passerelle Direct Connect pour y rattacher cette interface virtuelle. Une VIF de transit n’est pas directement rattachée à une passerelle de transit, mais à une passerelle Direct Connect.
   • VLAN – Le VLAN attribué à l’interface virtuelle. Laissez cette valeur telle quelle. L’adresse VLAN est renseignée et semble être modifiable ; cependant, vous recevrez un message d’erreur si vous essayez de la modifier.
   • BGP ASN (ASN BGP) – Entrez le numéro de système autonome (ASN) du Border Gateway Protocol (BGP) pour le côté MVE de la session BGP.

   Les informations suivantes sur le BGP peuvent être complétées ou laissées vides. Lorsque les champs sont laissés vides, ils sont automatiquement renseignés par AWS.
   

   Vous pouvez également choisir si vous souhaitez que l’interface virtuelle prenne en charge les trames Jumbo. Activez la MTU Jumbo pour prendre en charge un paquet Ethernet de 8 500 octets.

4. Cliquez sur Create Virtual Interface (Créer une interface virtuelle).

   Pour consulter les détails et l’état de la VIF, naviguez vers Services > AWS Direct Connect > Connections (Connexions) > Nom de la connexion hébergée créée sur Megaport.
   

   BGP n’a pas été configuré, le statut de l’interface est donc down (inactif).

Une fois que vous avez accepté la connexion et créé la VIF dans AWS, l’état de la VXC passe à configured (configurée) dans le Portail Megaport.

Ajout des détails de la connexion AWS à VM-Series

Après avoir créé la connexion de votre MVE à AWS et configuré la connexion dans la console AWS, vous devez la configurer dans VM-Series. Cela implique de créer une interface et de configurer les paramètres BGP.

Pour ajouter la connexion AWS dans VM-Series

1. Récupérez les détails de la connexion depuis la console AWS.
   Affichez les détails de l’interface virtuelle que vous avez créée dans AWS pour cette connexion hébergée. Notez les valeurs des champs BGP ASN (ASN BGP), BGP Auth Key (Clé d’authentification BGP), Your Peer IP (Votre IP pair), et Amazon Peer IP (IP de pair Amazon).
   

2. Récupérez les détails de la connexion depuis le Portail Megaport.
   Pour afficher les détails, cliquez sur l’icône d’engrenage de la connexion AWS depuis votre MVE et cliquez sur la vue Details (Détails). Notez la valeur pour le VLAN A-End.

3. Connectez-vous à la VM-Series.

4. Choisissez Network > Interfaces (Réseau > Interfaces).

5. Cliquez sur Add Subinterface (Ajouter une sous-interface).

6. Fournissez ces détails :

   • Interface Name – (Nom de l’interface) Entrez un nom pour la sous-interface. Dans le champ adjacent, entrez un numéro pour identifier la sous-interface.

   • Comment (Commentaire) – Saisissez un autre nom, par exemple, AWS VIF dxvif-fh9aokej.

   • Tag (Balise) – Spécifiez la valeur du VLAN interne A-End associée à l’AWS VXC que vous avez créé dans le portail Megaport.

   • Virtual Router (Routeur virtuel) – Sélectionnez un routeur virtuel pour l’interface, selon les besoins de votre réseau.

7. Sélectionnez l’onglet IPv4.

8. Sélectionnez Static (Statique) comme Type.
9. Cliquez sur +Add (+Ajouter) pour ajouter une nouvelle adresse IP.
10. Saisissez l’adresse IPv4 et le masque de réseau.
    Ces valeurs sont disponibles dans les détails de l’interface virtuelle dans la console AWS. L’adresse IP et le masque réseau apparaissent dans le champ Your Peer IP (Votre IP pair).
11. Cliquez sur OK.
12. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    
13. Vérifiez les modifications et cliquez sur Commit (Valider).
    La nouvelle interface VLAN apparaît avec votre interface physique ethernet1/1.

Ensuite, vous allez créer une zone de sécurité afin que l’interface puisse acheminer le trafic.

Pour créer une zone de sécurité

1. Sélectionnez la sous-interface ethernet1/1.1010.
2. Sélectionnez New Zone (Nouvelle zone) dans la liste déroulante Security Zone (Zone de sécurité).
3. Spécifiez un nom pour la zone de sécurité.
   
4. Cliquez sur +Add (+Ajouter) sous Interfaces et ajoutez ethernet1/1.1010 à la zone de sécurité.
5. Spécifiez tous les détails supplémentaires requis pour la sécurité de votre réseau.
6. Sélectionnez New Zone Protection Profile (Nouveau profil de protection de zone) dans la liste déroulante Zone Protection Profile (Profil de protection de zone).
7. Spécifiez tous les détails requis pour la sécurité de votre réseau. Cet exemple utilise toutes les valeurs par défaut.
   
8. Cliquez sur OK.
9. Cliquez sur OK (OK) dans l’écran Layer3 Subinterface (Sous-interface de la Couche 3).
10. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    
11. Vérifiez les modifications et cliquez sur Commit (Valider).

À ce stade, vous avez créé l’interface. Ensuite, vous allez créer la session BGP.

Pour créer la session BGP

1. Dans VM-Series, choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
2. Sélectionnez le routeur virtuel.
   
3. Dans le volet de gauche, sélectionnez BGP.

4. Fournissez les détails BGP suivants :

   • Enable (Activer) – Cochez cette case pour démarrer la session BGP après avoir validé ces modifications.
   • Router ID (ID du routeur) – Saisissez l’adresse IP qui apparaît dans le champ Your Peer IP (Votre IP pair) pour les détails de l’interface virtuelle dans la console AWS.
   • AS Number (Numéro AS) – Fournissez l’ASN pour la connexion MVE. Utilisez l’ASN BGP à partir des détails de l’interface virtuelle dans la console AWS.

5. Cliquez sur +Add (+Ajouter) sous Auth Profiles (Profils d’authentification).

6. Spécifiez un Nom de Profil.
   
7. Saisissez et confirmez le mot de passe d’authentification.
8. Cliquez sur OK.
9. Sélectionnez l’onglet Peer Group (Groupe de pairs).
   
10. Cliquez sur +Add (+Ajouter) pour ajouter un groupe de pairs.
11. Spécifiez un nom pour le groupe de pairs. Par exemple, AWS-xxxx.
12. Spécifiez eBGP comme type de session.
13. Spécifiez tous les détails supplémentaires requis pour votre réseau.
14. Cliquez sur +Add (+Ajouter) pour ajouter un nouveau pair.
15. Spécifiez les détails pour le pair :
    • Name (Nom) – Spécifiez un nom pour le pair.
    • Peer AS (AS du pair) – Spécifiez le numéro de système autonome (ASN) côté Amazon. Par défaut, il s’agit de 64512.
    • Local Address (Adresse locale) – Sélectionnez la sous-interface et l’adresse IP appropriées dans la liste déroulante.
    • Peer Address (Adresse du pair) – Saisissez l’adresse IPv4 côté AWS. Il s’agit de l’Amazon Peer IP (IP de pair Amazon) à partir des détails de l’interface virtuelle dans la console AWS.
      
16. Sélectionnez l’onglet Connection Options (Options de connexion).
    
17. Sélectionnez le profil d’authentification précédemment créé.
18. Cliquez sur OK (OK) dans l’écran Peer Group - Peer (Groupe de pairs - Pair).
19. Cliquez sur OK (OK) dans l’écran BGP - Peer Group/Peer (Groupe de pair/Pair).
20. Cliquez sur OK (OK) dans l’écran Virtual Router (Routeur virtuel).
21. Cliquez sur Commit (Valider) dans le coin supérieur droit.
    
22. Vérifiez les modifications et cliquez sur Commit (Valider).

Validation de la connexion AWS

Pour vérifier le statut du pair BGP

1. Choisissez Network > Virtual Routers (Réseau > Routeurs virtuels).
2. Localisez votre routeur virtuel (par défaut).
3. Cliquez sur More Runtime Stats (Plus de statistiques d’exécution) dans la colonne Runtime Stats (Statistiques d’exécution) sur la droite.
   
4. Sélectionnez l’onglet BGP, puis sélectionnez l’onglet Peer (Pair).

5. Vérifiez que le statut du pair est Established (Établi).
   

   Vous pouvez également vérifier le statut sur votre portail AWS Direct Connect (l’actualisation peut prendre quelques minutes).
   

---

Dernière mise à jour: 2024-02-12