Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

Criando um AWS Hosted VIF para um MVE com Palo Alto SD-WAN

Hosted VIFs podem se conectar a serviços de cloud da AWS públicos ou privados: um Hosted VIF não pode se conectar a uma transit virtual interface. Essas conexões compartilham a largura de banda.

Nota

AWS Interfaces virtuais hospedadas (Hosted VIF) não suportam zonas de diversidade. Para garantir a diversidade de conexão dos Hosted VIFs, crie VXCs para duas portas de destino em data centers diferentes, em vez de duas portas em zonas de diversidade separadas.

Para criar um Hosted VIF de um MVE para a AWS

1. No Megaport Portal, acesse a página Services (Serviços) e selecione o MVE para a conexão.

2. Clique em +Connection (+Conexão) e clique no bloco Cloud.

3. Selecione a AWS como provedora de serviço, selecione Hosted VIF como o tipo de conexão da AWS (AWS Connection Type), selecione a porta de destino e clique em Next (Próximo).
   Você pode usar o filtro Country para reduzir a seleção.
   

4. Especifique os detalhes da conexão:

   • Connection Name (Nome da conexão) – O nome do seu VXC a ser exibido no Megaport Portal.

     Dica

     Associe este nome ao AWS Connection Name na próxima tela para facilitar o mapeamento.

   • Service Level Reference (Referência de Nível de Serviço) (opcional) – Especifique um número de identificação exclusivo para o seu serviço da Megaport a ser usado para fins de cobrança, como um número do centro de custo, ID exclusivo do cliente ou número da ordem de compra. O número de referência de nível de serviço aparece para cada serviço na seção Produto da fatura. Você também pode editar este campo para um serviço existente.

   • Rate Limit (Limite de taxa) – A velocidade da sua conexão em Mbps. Os valores aceitos começam em 1 Mbps e aumentam em incrementos de 1 Mbps. A velocidade máxima disponível depende da localização e da disponibilidade do serviço. Observe que a soma de todos os hosted virtual VXCs para um serviço pode exceder a capacidade do MVE, mas o agregado total nunca ultrapassará a capacidade do MVE.

   • VXC State (Estado do VXC) – Selecione Enabled (Habilitado) ou Shut Down (Desligar) para definir o estado inicial da conexão. Para mais informações, consulte Desligando um VXC para testes de failover.

     Nota

     Se você selecionar Shut Down (Desligar), o tráfego não passará por este serviço e ele se comportará como se estivesse inativo na rede da Megaport. A cobrança por este serviço permanecerá ativa e você ainda será cobrado por esta conexão.

   • A-End vNIC (vNIC de A-End) – Selecione um A-End vNIC na lista suspensa. Para mais informações sobre vNICs, consulte Criando um MVE no Megaport Portal.

   • Preferred A-End VLAN (VLAN de A-End preferida) (opcional) – Especifique um VLAN ID não utilizado para esta conexão.
     Este deve ser um VLAN ID exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um VLAN ID que já está em uso, o sistema exibirá o próximo número de VLAN disponível. O VLAN ID deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, Megaport atribuirá um.

   • Minimum Term (Prazo Mínimo) – Selecione Sem Prazo Mínimo, 12 meses, 24 meses, 36 meses, 48 meses ou 60 meses. Prazos mais longos resultam em um valor mensal mais baixo. 12 meses é selecionado por padrão. Observe as informações na tela para evitar taxas de rescisão antecipada (ETF).

     Habilite a opção Renovação do Prazo Mínimo para serviços com prazo de 12, 24, 36, 48 ou 60 meses para renovar automaticamente o contrato ao final do prazo pelo mesmo preço com desconto e com a mesma duração do prazo. Se você não renovar o contrato, ao final do prazo, o contrato passará automaticamente para um contrato mês a mês para o período de faturamento seguinte, pelo mesmo preço, sem descontos por prazo.

     Para mais informações, consulte Preços e termos de contrato do VXC e Faturamento de VXC, Megaport Internet, e IX.

   • Resource Tags (Tags de recurso) – Você pode usar tags de recurso para adicionar seus próprios metadados de referência a um serviço da Megaport.
     Para adicionar uma tag:

     1. Clique em Add Tags (Adicionar tags).
     2. Clique em Add New Tag (Adicionar nova tag).
     3. Insira os detalhes nos campos:
        • Key (Chave) – string com comprimento máximo de 128. Valores válidos são a-z 0-9 _ : . / \ -
        • Value (Valor) – string com comprimento máximo de 256. Valores válidos são a-z A-Z 0-9 _ : . @ / + \ - (espaço)
     4. Clique em Save (Salvar).

     Se você já tiver tags de recurso para esse serviço, poderá gerenciá-las clicando em Manage Tags (Gerenciar tags).

     Aviso

     Nunca inclua informações sensíveis em uma tag de recurso. Informações sensíveis incluem comandos que retornam definições de tags existentes e informações que identifiquem uma pessoa ou empresa.

   

5. Clique em Next (Próximo).

6. Especifique os detalhes para o serviço AWS.
   

   Aqui estão os detalhes de cada campo:

   • Selecione Public (Pública) ou Private (Privada).

     • Private (Privada) – Acesse serviços privados da AWS como uma VPC, instâncias EC2, balanceadores de carga, instâncias de banco de dados RDS, em espaço de endereçamento IP privado.

     • Public (Pública) – Acesse serviços públicos da AWS como Amazon Simple Storage Service (S3), DynamoDB, CloudFront e Glacier. Você também receberá Amazon’s global IP prefixes (aproximadamente 2.000 prefixos).

       Nota

       Public VIFs exigem intervenção manual da Amazon e podem levar até 72 horas. Para mais informações, consulte Configurando conexões AWS públicas com endereços IP fornecidos pela AWS.

   • AWS Connection Name (Nome da conexão da AWS) – Este é um campo de texto e será o nome da sua virtual interface que aparece no console da AWS. O AWS Connection Name é preenchido automaticamente com o nome especificado em uma etapa anterior.

   • AWS Account ID (ID da conta da AWS) – Este é o ID da conta à qual você deseja se conectar. Você pode encontrar este valor na seção de gerenciamento do seu console da AWS.

   • Customer ASN (ASN do cliente) (opcional) – Especifique o ASN usado para sessões de Peering BGP em quaisquer VXCs conectados ao MVE. Este valor é definido quando você configura o MVE e, uma vez definido, não pode ser alterado.

   • BGP Auth Key (Chave de autenticação BGP) (opcional) – Especifique a chave MD5Às vezes conhecido como um hash MD5 ou chave BGP. O algoritmo de resumo de mensagem (MD5) é uma função criptográfica amplamente utilizada que produz uma sequência de 32 dígitos hexadecimais. Isso é usado como uma senha ou chave entre roteadores que trocam informações BGP.
     do BGP. Se você deixar em branco, Megaport negocia automaticamente uma chave com a AWS, que será exibida no Megaport Portal. A chave não é exibida no console da AWS.

     Nota

     A chave de autenticação BGP é gerada durante o processo de pedido quando este campo é deixado em branco. Ela não será exibida na página de Resumo durante o pedido. Para ver a chave, visualize as Configurações da Conexão após o serviço ter sido provisionado e estar ativo.

   • Customer IP Address (Endereço IP do cliente) – O espaço de endereços IP (em formato CIDR) usado na sua rede para peering. Este campo é opcional para conexões privadas e, se deixado em branco, Megaport atribui um endereço.

   • Amazon IP Address (Endereço IP da Amazon) – O espaço de endereços IP no formato CIDR atribuído na rede VPC da AWS para peering. Este campo é opcional para conexões privadas e, se deixado em branco, Megaport atribui automaticamente um endereço.

   • Prefixes (Prefixos) (opcional) – (visível apenas para conexões Públicas) Especifique IP Prefixes para anunciar à AWS. Especifique os prefixos que você anunciará ao implantar um Public Direct Connect (somente endereços IPv4 atribuídos por RIR).

     Depois que você configurar Prefixes para uma conexão Pública, não poderá alterá-los e o campo ficará acinzentado. Para alterar este valor, crie um chamado de suporte com a AWS para que eles possam fazer essa alteração de forma não impactante. Ou você pode cancelar o Hosted VIF e fazer um novo pedido. Em ambos os casos, você precisará aguardar a aprovação manual da AWS.

7. Clique em Next (Próximo) para prosseguir para o resumo dos detalhes da conexão, adicionar o VXC ao carrinho e solicitar a conexão.

O VXC da AWS aparece como uma conexão para o MVE no Megaport Portal.

Em seguida, aceite a conexão na AWS.

Aceitando a Virtual Interface para conexões privadas

Alguns minutos após solicitar um Hosted VIF VXC privado, a solicitação de VIF de entrada correspondente fica visível na página AWS Direct Connect > Virtual Interfaces no console da AWS. (Isso é específico para a região associada à porta AWS de destino.) Se a sua VIF não aparecer após alguns minutos, confirme que você está visualizando a região correta.

Para revisar e aceitar a virtual interface privada

1. Na página AWS Direct Connect > Virtual Interface, clique no ID da interface para exibir os detalhes de configuração e peering.
   

   O nome e o ID da conta da VIF devem corresponder aos valores fornecidos no Portal e o BGP ASN deve corresponder ao Customer ASN configurado com o VXC. O Amazon ASN é o ASN padrão da região da AWS e não o valor especificado durante a configuração - isso é atualizado quando a virtual interface é aceita e atribuída.

2. Clique em Accept (Aceitar).

3. Selecione o tipo de gateway e, em seguida, o gateway específico para esta nova virtual interface.
   

4. Clique em Accept virtual interface.

O estado da conexão muda de confirmando para pendente e, em seguida, muda para disponível quando o BGP é estabelecido. Observe que às vezes há um atraso no status BGP disponível aparecer no lado da AWS, embora você possa confirmar o estado atual do link de Camada 3 pela visualização do Portal.

Aceitando a Virtual Interface para conexões públicas

Vários minutos após solicitar um Hosted VIF VXC público, a solicitação de VIF de entrada correspondente aparece na página AWS Direct Connect > Virtual Interfaces no console da AWS. Isso é específico para a região associada à porta AWS de destino.

Para revisar e aceitar a virtual interface pública

1. Na página AWS Direct Connect > Virtual Interface, clique no ID da interface para exibir os detalhes de configuração e peering.
2. Revise os detalhes da configuração e clique em Accept (Aceitar) e, quando solicitado, clique em Confirm (Confirmar).

O estado da conexão muda de confirmando para verificando. Neste ponto, a conexão precisa ser verificada pela Amazon - um processo que pode levar até 72 horas. Quando verificada, o estado muda para disponível.

Adicionando detalhes da conexão AWS ao Palo Alto VM-Series

Depois de criar a conexão do seu MVE para a AWS e configurar a conexão no console da AWS, você precisa configurá-la no VM-Series. Isso envolve adicionar uma interface de dispositivo e configurar as definições de BGP.

Para configurar uma conexão AWS entre um Palo Alto MVE e a AWS

1. Coleta os detalhes da conexão no Megaport Portal.
   Clique no ícone de engrenagem da conexão AWS do seu MVE e clique na visualização Details. Observe os valores de A-End VLAN (VLAN de A-End), Customer Address (Endereço do cliente) (e CIDR), Amazon Address (Endereço da Amazon) e Customer ASN (ASN do cliente).

2. Faça login no VM-Series.

3. Escolha Network > Interfaces.

4. Selecione o A-End MVE (ethernet1/1).

5. Clique em Add Subinterface (Adicionar subinterface) na parte inferior da tela.
   

6. Forneça estes detalhes:

   • Interface Name (Nome da interface) – Insira um nome para a subinterface. No campo adjacente, insira um número para identificar a subinterface.

   • Comment (Comentário) – Insira um nome alternativo, por exemplo, AWS VIF dxvif-fh9aokej.

   • Tag (Tag) – Especifique o valor de VLAN interna do A-End associado ao VXC da AWS que você criou no Megaport Portal.

   • Virtual Router (Roteador virtual) – Selecione um virtual router para a interface, conforme exigido pela sua rede.

7. Selecione a guia IPv4 (IPv4).

8. Selecione Static (Estático) como o Type.
9. Clique em +Add (+Adicionar) para adicionar um novo endereço IP.
10. Insira o endereço IPv4 e a máscara de rede.
11. Clique em OK (OK).
12. Clique em Commit (Aplicar) no canto superior direito.
    
13. Revise as alterações e clique em Commit (Aplicar).
    

A nova interface VLAN aparece com sua interface física ethernet1/1.

Em seguida, você criará uma zona de segurança para que a interface possa rotear o tráfego.

Para criar uma zona de segurança

1. Selecione a subinterface ethernet1/1.1010.
2. Selecione New Zone na lista suspensa Security Zone.
3. Especifique um nome para a zona de segurança.
   
4. Clique em +Add (+Adicionar) em Interfaces e adicione ethernet1/1.1010 à zona de segurança.
5. Especifique quaisquer detalhes adicionais conforme exigido pela segurança da sua rede.
6. Selecione New Zone Protection Profile na lista suspensa Zone Protection Profile.
7. Especifique quaisquer detalhes conforme exigido pela segurança da sua rede. Este exemplo usa todos os padrões.
   
8. Clique em OK (OK).
9. Clique em OK (OK) na tela Layer3 Subinterface.
10. Clique em Commit (Aplicar) no canto superior direito.
    
11. Revise as alterações e clique em Commit (Aplicar).
    

Neste ponto, você criou a interface. Em seguida, você criará a sessão BGP.

Para criar a sessão BGP

1. Escolha Network > Virtual Routers.
2. Selecione o virtual router.
   
3. No painel esquerdo, selecione BGP.
4. Forneça os seguintes detalhes de BGP:
   • Enable (Habilitar) – Selecione esta caixa de seleção para iniciar a sessão BGP após aplicar estas alterações.
   • Router ID (Router ID) – Especifique um endereço IP neste sistema Palo Alto para usar como Router ID. Este é o valor de Customer Address (Endereço do cliente) dos detalhes da conexão da Megaport.
   • AS Number (Número do AS) – Especifique o ASN que você usou no pedido do AWS VIF. Este é o valor do Customer ASN da conexão AWS no Megaport Portal.
     
5. Clique em +Add (+Adicionar) em Auth Profiles.
6. Especifique um Profile Name.
   
7. Digite e confirme a senha de autenticação.
8. Clique em OK (OK).
9. Selecione a guia Peer Group (Grupo de pares).
   
10. Clique em +Add (+Adicionar) para adicionar um grupo de pares.
11. Especifique um nome para o grupo de pares. Por exemplo, AWS-VIF-xxxx.
12. Especifique eBGP como o tipo da sessão.
13. Especifique quaisquer detalhes adicionais conforme necessário para sua rede.
14. Clique em +Add (+Adicionar) para adicionar um novo peer.
15. Especifique os detalhes do par:
    • Name (Nome) – Especifique um nome para o par.
    • Peer AS (AS do par) – Especifique o Autonomous System Number (ASN) do par.
    • Local Address (Endereço local) – Selecione a subinterface e o endereço IP corretos na lista suspensa.
    • Peer Address (Endereço do par) – Insira o endereço IPv4 do lado da AWS. Este é o Amazon Address (Endereço da Amazon) nos Connection Details (Detalhes da conexão) do Megaport Portal.
16. Selecione a guia Connection Options (Opções de conexão).
    
17. Selecione o Auth Profile criado anteriormente.
18. Clique em OK (OK) na tela Peer Group - Peer.
19. Clique em OK (OK) na tela BGP - Peer Group/Peer.
20. Clique em OK (OK) na tela Virtual Router.
    
21. Clique em Commit (Aplicar) no canto superior direito.
    
22. Revise as alterações e clique em Commit (Aplicar).
    

Validando sua conexão AWS

Para verificar o status do peer BGP

1. Escolha Network > Virtual Routers.
2. Localize seu virtual router (default).
3. Clique em More Runtime Stats (Mais estatísticas de runtime) na coluna Runtime Stats à direita.
   
4. Selecione a guia BGP (BGP) e, em seguida, selecione a guia Peer (Par).

5. Verifique se o status do par está como Estabelecido.
   

   Você também pode verificar o status no seu portal do AWS Direct Connect (isso pode levar alguns minutos para atualizar).