Fortinet SD-WANによるMVEのAWSホスト型VIFの作成

ホスト型 VIF は、パブリックまたはプライベートの AWS クラウド サービスに接続できます。ホスト型 VIF は、トランジット仮想インターフェイスには接続できません。これらの接続は、帯域を共有しています。

MVEからAWSへのホスト型VIFを作成するには

  1. Megaport Portal で、 「Services(サービス)」ページに移動し、接続するMVEを選択します。

  2. +Connection (+接続)」、「Cloud (クラウド)」 の順にクリックします。

  3. サービス プロバイダーとして AWS、「AWS Connection Type (AWS 接続方式)」 として 「Hosted VIF (ホスト型 VIF)」 を それぞれ選択して、宛先ポートを選択し、 「Next (次へ)」 をクリックします。
    国フィルターを使用して、選択を絞り込むことができます。
    ホスト型VIF接続の追加

  4. 次の接続の詳細を指定します。

    • Connection Name(接続名) – Megaport Portalに表示される VXC の名前です。(ヒント – マッピングを容易にするために、これを次の画面のAWS接続名と一致させてください)
    • Invoice Reference (請求書参照)」 – オプションのフィールド。PO 番号や請求書番号などの任意のテキストにできます。
    • Rate Limit(レート制限) –これは Mbps 単位の接続速度です。許容値は、1 Mbps 刻みで、1 Mbps から 5 Gbps の範囲になります。サービスに対するすべてのホスト型仮想 VXC の合計がMVE容量を超える可能性がありますが、合計がMVE容量を超えてバーストすることはありません。
    • Preferred A-End VLAN(優先AエンドVLAN) –オプションで、この接続に未使用のVLAN IDを指定します。これは、この MVE の一意の VLAN ID である必要があり、2 から 4093 の範囲で指定できます。すでに使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。
      接続の詳細
  5. Next(次へ)」をクリックします。

  6. AWS サービスの詳細を指定します。 AWS接続の詳細

    各フィールドの詳細は次のとおりです。

    • Public (パブリック)」 または 「Private (プライベート)」 の選択。
      Private(プライベート) – プライベートIPアドレス空間において、VPC、EC2 インスタンス、ロード バランサー、RDS DBインスタンスなどの プライベートAWSサービスにアクセスします。
      Public(パブリック) – Amazon Simple Storage Service(S3)、DynamoDB、CloudFront、Glacierなどの パブリックAWSサービスにアクセスします。また、 Amazon のグローバル IP プレフィックス (約2,000プレフィックス)も受け取ります。
      注意: パブリック VIF には、Amazon からの手動による介入が必要であり、最大 48 時間かかる場合があります。

    • AWS Connection Name(AWS接続名) –これはテキストフィールドであり、 AWSコンソールに表示される仮想インターフェイスの名前になります。「AWS Connection Name (AWS 接続名)」 には、1 つ前のステップで指定された名前が自動的に 入力されます。

    • AWS Account ID(AWSアカウントID) –これは、接続するアカウントの IDです。この値は、AWSコンソールの管理セクションに あります。

    • Customer ASN (顧客 AS 番号)」 – オプションのフィールドで、MCR に接続されている VXC の BGP ピアリング セッションに対する AS 番号を指定します。この値は MVE を構成するときに定義しますが、一度定義すると 変更できません。

    • BGP Auth Key (BGP 認証キー)」 – BGP MD5 キーを指定するためのオプションのフィールドです。空白 のままにすると、Megaport は、AWS を使用して自動的にキーをネゴシエートし、 「Megaport Portal (Megaport ポータル)」 にキーを表示します。(キーは AWS コンソールに表示されません。)

    • Customer IP Address (顧客 IP アドレス)」 – ピアリングのためにネットワークで使用される IP アドレス空間 (CIDR 形式) です。このフィールドはプライベート接続の場合はオプションであり、空白のままにすると、Megaport によりアドレスが割り当てられます。

    • Amazon IP Address(Amazon IPアドレス) – ネットワーク上でピアリングに使用する ピアリングのためにAWS VPCネットワークで割り当てられるCIDR形式のIPアドレス空間です。このフィールドは プライベート接続の場合はオプションであり、空白のままにすると、Megaport によりアドレスが 割り当てられます。

    • Prefixes (プレフィックス)」 – (パブリック接続のみに表示) AWS にアナウンスするための IP プレフィックスに対するオプションのフィールドです。パブリック Direct Connect を 展開するときに広告するプレフィックスを指定します (RIR によって割り当てられた IPv4 アドレスのみ)。

      パブリック接続のプレフィックスを構成すると、プレフィックスを変更できなくなり、フィールドは淡色表示になります。この値を変更するには、AWS でサポート チケットを作成して、影響を与えない方法で変更できるようにします。または、ホスト型 VIF をキャンセルして再注文することもできます。どちらの場合も、リクエストが AWS により手動で承認されるのを待つ必要があります。

  7. Next (次へ)」 をクリックして接続の詳細の概要に進み、 VXC をカートに入れて接続を注文します。

AWS VXCが、Megaport PortalでMVEの接続先として表示されます。

VXCの詳細

次に、AWSでの接続を受け入れます。

プライベート接続用の仮想インターフェイスの受け入れ

プライベート ホスト型 VIF VXC を注文して 2 分から 3 分後、 対応するインバウンド VIF リクエストは、AWS コンソールの「AWS Direct Connect」 > 「Virtual Interfaces(仮想インターフェイス)」ページに表示されます。(これは、ターゲット AWS ポートに関連付けられている リージョンに固有です。)数分経っても VIF が表示されない場合は、正しい リージョンを表示していることを確認してください。

プライベート仮想インターフェイスを確認して受け入れるには

  1. AWS Direct Connect」 > 「Virtual Interface(仮想インターフェイス)」のページで、IDインターフェイスの ID をクリックし、構成とピアリングの詳細を表示します。 IDインターフェイスの ID をクリックし、構成とピアリングの詳細を表示します。
    AWS仮想インターフェイスの受け入れ

    VIF の名前とアカウント ID は、ポータルで提供される値と一致する必要があります。 そして、BGP AS 番号は、VXC で構成された顧客 AS 番号と一致する必要が あります。Amazon ASNは、デフォルトのリージョンのAWS ASNであり、 構成中に指定された値ではありません - これは 仮想インターフェイスが受け入れられ、割り当てられたときに 更新されます。

  2. Accept (受け入れ)」 をクリックします。

  3. ゲートウェイ方式を選択してから、この新規仮想インターフェイス用に固有の ゲートウェイを選択します。
    ゲートウェイの指定

  4. Accept virtual interface (仮想インターフェイスの受け入れ)」 をクリックします。

接続のステータスは、 接続のステータスは、「confirming (確認中)」 から 「pending (保留中)」 に変わり、BGP を確立すると、さらに 「available (利用可能)」 に変わります。 変わります。AWS 側で 「available (利用可能)」 BGP ステータスの表示が 遅れる場合があることに注意してください。ただし、レイヤー 3 リンクの現在の状態は、 ポータル ビューを介して確認できます。

パブリック接続用の仮想インターフェイスの受け入れ

パブリック ホスト型 VIF VXC を注文してから数分後、 対応するインバウンドVIFリクエストが、AWSコンソールの「AWS Direct Connect」 >「Virtual Interface(仮想インターフェイス)」ページに表示されます。(これは、ターゲット AWS ポートに関連付けられているリージョンに固有です。)

パブリック仮想インターフェイスを確認して受け入れるには

  1. 「AWS Direct Connect」 > 「Virtual Interface(仮想インターフェイス)」のページで、 IDインターフェイスの ID をクリックし、構成とピアリングの詳細を表示します。
  2. 構成の詳細を確認して、「Accept (受け入れ)」 をクリックし、プロンプトが 表示されたら、「Confirm (確認)」 をクリックします。

接続の状態が 「confirming (確認中)」 から 「verifying (検証中)」 に変わります。この 時点で、接続は Amazon により検証されますが、- このプロセスには最大 48 時間 かかる場合があります。検証されると、状態は 「available(利用可能)」に変わります。

FortiManagerへのAWS接続詳細の追加

MVEからAWSへの接続を作成し、AWSコンソールで接続を設定した後、FortiManagerで設定を行う必要があります。これは、機器のインターフェイスを追加し、BGPの設定、ASN、VLAN、MD5の値を設定するものです。

Fortinet MVE と AWS 間の AWS 接続を設定するには

  1. Megaport Portalから接続情報を収集します。
    詳細を表示するには、MVEからのAWS接続の歯車アイコンをクリックし、「Details(詳細)」ビューをクリックします。A-End VLAN(AエンドVLAN)、Customer Address(顧客アドレス)(およびCIDR)、Amazon Address(Amazonアドレス)、Customer ASN(顧客AS番号)の値に注意してください。

  2. FortiManagerにログインします。

    注意

    MVEインスタンスにログインすることもできます: https://<mve-ip-address>

  3. 管理対象デバイスから、「System(システム)」メニューを開き、「Interface(インターフェイス)」を選択します。
    システムインターフェイス
    ページには、物理インターフェイスとしてport1が表示されます。

  4. 「+Create New(新規作成)」 > 「Interface(インターフェイス)」をクリックし、次の情報を入力します。

    • Interface Name(インターフェイス名) – インターフェイスのわかりやすい名前を指定します。
    • Alias Name(エイリアス名) – オプションで、別の名前を指定します。参照しやすいように、この接続のAWS仮想インターフェイスIDをエイリアスとして使用します。
    • Type(タイプ) – VLANを選択します。
    • Interface(インターフェイス) – 親インターフェイス: port1を選択します。
    • VLAN ID – Megaport PortalでこのAWS接続にリストアップされているAエンドVLANを指定します。
    • Role(ロール) – Undefined(未定義)を選択します。
    • Addressing Mode(アドレッシングモード) – Manual(手動)を選択します。
    • IP/Netmask(IP/ネットマスク) –Megaport PortalのVXC詳細情報からCustomer Address(顧客アドレス)を指定します。
    • Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を選択します。
    • DHCP Server(DHCPサーバー) - 「OFF」をクリックします。
      インターフェイスの設定
  5. OK」をクリックします。
    新しいVLANインターフェイスは、物理的なインターフェイスであるport1に表示されます。

FortiOSからexecute pingコマンドを実行して接続を確認することができます。

注意

MVEに設定をプッシュする必要がありますが、これはAutoUpdate(自動更新)を設定している場合に起こります。ping が成功しない場合は、FortiManager の「Manage Devices(デバイスの管理)」で MVE を選択し、「More(詳細)」メニューから「Refresh Device(デバイスの再表示)」を選択します。プロンプトが表示されたら、「Config Status(コンフィグのステータス)」でAutoUpdate(自動更新)を選択します。

この時点で、インターフェイスの作成が完了し、次にBGPセッションを作成する必要があります。

  1. FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
    BGP 設定

  2. 次の情報を入力します。

    • Local AS(ローカルAS) – Megaport接続の詳細からCustomer ASN(顧客AS番号)の値を追加します。
    • Router ID(ルーターID) – Megaport接続の詳細からCustomer Address(顧客アドレス)の値を追加します。
      インターフェイスの設定
  3. 「Neighbors(ネイバー)」で、「+Create New(新規作成)」をクリックします。

  4. ネイバーIPに、Megaportの接続の詳細からAmazon Address(Amazonアドレス)を追加します。
  5. Remote ASN(リモートAS番号)には、Amazon側のASNを入力します。
    デフォルトでは65412に設定されています。

  6. OK」をクリックします。

  7. Apply(適用)」をクリックします。
    ネイバーは設定されていますが、BGP認証情報を追加する必要があります。Webインターフェイスではこの定義ができないため、コマンドラインを使用してBGPの詳細を追加する必要があります。

  8. 秘密鍵ファイルを使ってMVEインスタンスにSSH接続します。
    例:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. これらのコマンドを使用して、BGPネイバーのパスワードを追加します。

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

BGPのCLI手順

AWSの接続の検証

次のコマンドを使って、CLIから接続状態を含む接続の詳細を確認することができます。

  • get system interface – 機器のインターフェイスの設定の詳細と現在のステータスを表示します。
  • get router info bgp neighbor <ip-address> – BGPネイバーの設定の詳細と現在のステータスを表示します。

最後の更新: