Fortinet SD-WANによるMVEのAWSホスト型接続の作成

500 Mbps 以下の容量のホスト型接続では、1 つのプライベートまたはパブリック仮想インターフェイスをサポートできます。1 Gbps 以上の容量のホスト型接続では、1 つのプライベート、パブリック、またはトランジット仮想インターフェイスをサポートできます。これらは専用の接続で、本番環境での使用を推奨しています。

MVEからAWSへのホスト型接続を作成するには

  1. Megaport Portal で、 「Services(サービス)」ページに移動し、接続するMVEを選択します。

  2. +Connection (+接続)」、「Cloud (クラウド)」 の順にクリックします。

  3. サービスプロバイダーに AWS、AWS 接続方式にホスト型接続を それぞれ選択して、宛先ポートを選択し、 「Next (次へ)」 をクリックします。
    国フィルターを使用して、選択を絞り込むことができます。
    各宛先ポートでは、青色または橙色のアイコンにより、 その多様性ゾーンを示します。多様性を実現するには、 2つの接続をそれぞれ異なるゾーンで作成する必要があります。
    AWS ホスト型接続の追加

  4. 次の接続の詳細を指定します。

    • Connection Name(接続名) – Megaport Portalに表示される VXC の名前です。
    • Invoice Reference (請求書参照)」 – オプションのフィールド。PO 番号や請求書番号などの任意のテキストにできます。
    • Rate Limit(レート制限) –これは Mbps 単位の接続速度です。展開後は速度を変更できません。ドロップダウンリストには、MVEで使用可能な最大10 Gbpsの事前定義されたレート制限が表示されます。(注:(注:トランジットゲートウェイは、1Gbps以上の速度でのみ利用可能です。)
    • Preferred A-End VLAN(優先AエンドVLAN) –オプションで、この接続に未使用のVLAN IDを指定します。これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。すでに使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
      接続の詳細
  5. Next(次へ)」をクリックします。

  6. AWS サービスの接続の詳細を指定します。

    • AWS Connection Name(AWS接続名) –これはテキストフィールドであり、 AWSコンソールに表示される仮想インターフェイスの名前になります。「AWS Connection Name (AWS 接続名)」 には、1 つ前のステップで指定された名前が自動的に 入力されます。

    • AWS Account ID(AWSアカウントID) –これは、接続するアカウントの IDです。この値は、AWSコンソールの管理セクションに あります。
      AWS接続の詳細

  7. Next (次へ)」 をクリックして接続の詳細の概要に進み、「Add VXC (VXC の追加)」 をクリックして接続を注文します。

VXC 接続を正常に展開すると、その接続は Megaport Portalの「Services(サービス)」ページに表示され、MVEに関連付けられています。VXC タイトルをクリックして、 この接続の詳細を表示します。サービス ステータス (レイヤー 2) は開始されますが、BGP (レイヤー 3) は開始されません。これは、構成が まだないからです。

VXCの詳細

Megaport Portalで展開したら、AWS コンソールで接続を受け入れ、 接続用の仮想インターフェイスを作成する必要があります。

ホスト型接続を承認するには

  1. AWSで、「Services(サービス)」>「AWS Direct Connect」>「Connections(接続)」と進み、 接続名をクリックします。
    AWS接続

  2. ウィンドウの右上にある「Accept(承認)」をクリックします。
    AWS接続を承認する

    AWSが接続を構築している間、状態は数分間保留に 指定します。構築後、ステータスは「ordering(注文中)」から 「available(利用可能)」に変わります。

これで接続は可能になりましたが、AWSサービスに接続するにはVIFを作成する必要があります。

ヒント

AWS接続の承認の詳細については、 AWSドキュメントをご覧ください。

仮想インターフェイスの作成

ホスト型接続を作成および承認したら、VIFを作成し、ホスト型接続をゲートウェイに接続します。

ヒント

AWSから、 パブリック、プライベート、トランジットのインターフェイスを作成するための詳細な手順が提供されています。

VIFを作成および接続するには

  1. AWSコンソールで、「Create Virtual Interface(仮想インターフェイスを作成)」をクリックします。
    AWS仮想インターフェイス

  2. インターフェイスタイプを選択します。

    タイプは、アクセスが必要なサービスの種類によって異なります。

    • Private(プライベート) –プライベートIPアドレスを使用してVPCで実行されているリソースにアクセスします。プライベート仮想ゲートウェイ上のプライベート仮想インターフェイスを終了させる(1つのVPCにアクセスするため)か、Direct Connectゲートウェイ(最大10個のVPCをVIFにマッピングする)を選択できます。
    • Public(パブリック) –すべてのAWSパブリックエンドポイント、およびパブリックIPアドレスで到達可能なすべてのAWSリソースにアクセスできます。
    • Transit(トランジット) –Direct Connectゲートウェイから1つ以上のトランジットゲートウェイにトラフィックを転送します。トランジット仮想インターフェイスは、少なくとも1 Gbpsの容量を持つホスト型接続でのみ使用できます。VIF にトランジットを選択すると、速度の遅い接続がフィルターされ、インターフェイスに表示されなくなります。
      AWSインターフェイスタイプ
  3. 設定の詳細を指定します。

    • Virtual interface name(仮想インターフェイス名) –仮想インターフェイスの名前を入力します。
    • Connection(接続) –この仮想インターフェイスをプロビジョニングする物理接続です。ここには、Megaport Portalでホスト型接続に指定した名前が表示されます。
    • Virtual interface owner(仮想インターフェイスの所有者) –仮想インターフェイスを所有するアカウントです。「My AWS account(My AWSアカウント)」を選択します。
    • Direct Connect gateway(Direct Connectゲートウェイ) –この仮想インターフェイスを接続するDirect Connectゲートウェイを選択します。トランジットVIFは、トランジットゲートウェイに直接接続されているのではなく、Direct Connectゲートウェイに接続されています。
    • VLAN –仮想インターフェイスに割り当てられたVLANです。この値はそのままにしておきます。VLANアドレスが表示され、編集可能であるように見えますが、変更しようとするとエラーが発生します。
    • BGP ASN – BGPセッションのMVE側のボーダーゲートウェイプロトコル(BGP)自律システム番号(ASN)を入力します。

    次のBGPの詳細は、入力するか、空白のままにできます。空白のままにすると、AWSによって自動入力されます。
    AWS BGPの詳細

    仮想インターフェイスでジャンボフレームをサポートするかどうかを選択することもできます。ジャンボMTUを有効にすると、8500バイトのイーサネットパケットをサポートします。

  4. Create virtual interface(仮想インターフェイスを作成)」をクリックします。

    VIFの詳細とステータスを表示するには、「Services(サービス)」>「AWS Direct Connect」>「Connections(接続)」>「Megaport-Created-Hosted Connection(Megaportが作成したホスト型接続)」の名前に移動します。
    VIFの詳細

    BGPが設定されていないので、インターフェイスの状態はdown(停止)と表示されます。

接続を承認してAWSでVIFを作成すると、Megaport PortalでVXCの状態が「configured(設定済み)」に変わります。

FortiManagerへのAWS接続詳細の追加

MVEからAWSへの接続を作成し、AWSコンソールで接続を設定した後、FortiManagerで設定を行う必要があります。これには、インターフェイスの作成、BGPの設定、AS番号、VLAN、MD5値の設定が含まれます。

FortiManagerでAWS接続を追加するには

  1. AWSコンソールから接続の詳細を収集します。
    このホスト型接続用にAWSで作成した仮想インターフェイスの詳細を表示します。BGP ASNBGP Auth Key(BGP認証キー)Your Peer IP(ピアIP)Amazon Peer IP(AmazonピアIP)の値に注意してください。
    接続の詳細

  2. Megaport Portalから接続情報を収集します。
    MVEからのAWS接続の歯車アイコンをクリックし、「Details(詳細)」ビューをクリックします。 AエンドVLANの値に注意してください。

  3. FortiManagerにログインします。

    注意

    MVEインスタンスにログインすることもできます: https://<mve-ip-address>

  4. 管理対象デバイスから、「System(システム)」メニューを開き、「Interface(インターフェイス)」を選択します。
    システムインターフェイス
    ページには、物理インターフェイスとしてport1が表示されます。

  5. 「+Create New(新規作成)」 > 「Interface(インターフェイス)」をクリックし、次の情報を入力します。

    • Interface Name(インターフェイス名) – インターフェイスのわかりやすい名前を指定します。
    • Alias Name(エイリアス名) – オプションで、別の名前を指定します。参照しやすいように、この接続のAWS仮想インターフェイスIDをエイリアスとして使用します。
    • Type(タイプ) – VLANを選択します。
    • Interface(インターフェイス) – 親インターフェイス: port1を選択します。
    • VLAN ID – Megaport PortalでこのAWS接続にリストアップされているAエンドVLANを指定します。
    • Role(ロール) – Undefined(未定義)を選択します。
    • Addressing Mode(アドレッシングモード) – Manual(手動)を選択します。
    • IP/Netmask(IP/ネットマスク) – これらの値は、AWSコンソールの仮想インターフェイスの詳細で確認できます。「Your Peer IP(ピアIP)」フィールドにIPアドレスとネットマスクが表示されます。
    • Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を指定します。
    • DHCP Server(DHCPサーバー) - 「OFF」をクリックします。
      インターフェイスの設定
  6. OK」をクリックします。
    新しいVLANインターフェイスは、物理的なインターフェイスであるport1に表示されます。

FortiOSからexecute pingコマンドを実行して接続を確認することができます。

注意

MVEに設定をプッシュする必要がありますが、これはAutoUpdate(自動更新)を設定している場合に起こります。ping が成功しない場合は、FortiManager の「Manage Devices(デバイスの管理)」で MVE を選択し、「More(詳細)」メニューから「Refresh Device(デバイスの再表示)」を選択します。プロンプトが表示されたら、「Config Status(コンフィグのステータス)」でAutoUpdate(自動更新)を選択します。

この時点で、インターフェイスの作成が完了し、次にBGPセッションを作成する必要があります。

  1. FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
    BGP 設定

  2. 次の情報を入力します。

    • Local AS(ローカルAS) – MVE接続用のASNを入力します。AWSコンソールの仮想インターフェイスの詳細からBGP ASNを使用します。
    • Router ID(ルーターID) – AWSコンソールの仮想インターフェイスの詳細から「Your Peer IP(ご使用のピアIP)」フィールドに表示されているIPアドレスを入力します。
      インターフェイスの設定
  3. 「Neighbors(ネイバー)」で、「+Create New(新規作成)」をクリックします。

  4. ネイバーIPに、AWSコンソールの仮想インターフェイスの詳細からAmazon Peer IP(AmazonピアIP)を追加します。
  5. Remote ASN(リモートAS番号)には、Amazon側のASNを入力します。
    デフォルトでは65412に設定されています。

  6. OK」をクリックします。

  7. Apply(適用)」をクリックします。
    ネイバーは設定されていますが、BGP認証情報を追加する必要があります。Webインターフェイスではこの定義ができないため、コマンドラインを使用してBGPの詳細を追加する必要があります。

  8. 秘密鍵ファイルを使ってMVEインスタンスにSSH接続します。
    例:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. これらのコマンドを使用して、BGPネイバーのパスワードを追加します。

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

BGPのCLI手順

AWSの接続の検証

次のコマンドを使って、CLIから接続状態を含む接続の詳細を確認することができます。

  • get system interface – 機器のインターフェイスの設定の詳細と現在のステータスを表示します。
  • get router info bgp neighbor <ip-address> – BGPネイバーの設定の詳細と現在のステータスを表示します。

最後の更新: