使用 Fortinet SD-WAN 为 MVE 创建 AWS 托管连接

托管连接可支持一个私有、公有或 Transit 虚拟接口。这些是专用连接，建议用于生产环境。

从 MVE 到 AWS 创建托管连接

在 Megaport Portal 中，转到 Services (服务) 页面并选择用于此连接的 MVE。
点击 +Connection (+连接)，然后点击 Cloud (云)。
选择 AWS 作为服务提供商，选择 Hosted Connection 作为 AWS 连接类型，选择目标端口，然后点击 Next (下一步)。
您可以使用 Country 筛选器缩小选择范围。
每个目标端口都有蓝色或红色图标来指示其多样性区域。要实现多样性，您需要创建两个连接，并将它们分别位于不同的区域。
指定连接详细信息：
- Connection Name (连接名称) – 您的 VXC 在 Megaport Portal 中显示的名称。
- Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。
- Rate Limit (速率限制) – 您的连接速率。此值在部署后无法更改。下拉列表显示适用于您的 MVE 的预定义速率限制，具体速率因位置和服务能力而异。
- VXC State (VXC 状态) – 选择 Enabled (已启用) 或 Shut Down (关机) 以定义连接的初始状态。有关详细信息，参见为故障切换测试关闭 VXC。
  
  注意
  
  如果选择 Shut Down (关机)，则流量不会通过此服务传输，并且它在 Megaport 网络上会表现为处于 down 状态。此服务的计费将保持活动状态，您仍将为此连接付费。
- A-End vNIC (A 端 vNIC) – 从下拉列表中选择一个 A 端 vNIC。有关 vNIC 的更多信息，请参见在 Megaport Portal 中创建 MVE。
- Preferred A-End VLAN (首选 A 端 VLAN) (可选) – 为此连接指定一个未使用的 VLAN ID。
  这必须是此 MVE 上唯一的 VLAN ID，范围为 2 到 4093。如果您指定了已在使用的 VLAN ID，系统会显示下一个可用的 VLAN 编号。VLAN ID 必须唯一才能继续下单。如果您未指定值，Megaport 将分配一个。
- Minimum Term (最低合约期) – 选择无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。
  
  对于合约期为 12、24、36、48 或 60 个月的服务，启用最低合约期续订选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时，合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。
  
  有关更多信息，参见 VXC 定价与合同条款和 VXC、Megaport Internet 与 IX 计费。
- Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
  要添加标签：
  1. 单击 Add Tags (添加标签)。
  2. 单击 Add New Tag (添加新标签)。
  3. 在各字段中输入详细信息：
    - Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
    - Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
  4. 单击 Save (保存)。
  如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。
  
  警告
  
  切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。
点击 Next (下一步)。
为 AWS 服务指定连接详细信息。
- AWS Connection Name (AWS 连接名称) – 这是一个文本字段，将作为出现在 AWS 控制台中的虚拟接口名称。AWS Connection Name 会自动填入为前一步中指定的名称。
- AWS Account ID (AWS 账户 ID) – 这是您要连接的账户 ID。您可以在 AWS 控制台的管理部分找到该值。
点击 Next (下一步) 进入连接详细信息摘要，点击 Add VXC (添加 VXC)，并订购该连接。

当 VXC 连接成功部署后，它会显示在 Megaport Portal 的 Services 页面中，并与该 MVE 关联。点击 VXC 标题可显示此连接的详细信息。请注意，服务状态（第 2 层）为 up，但 BGP（第 3 层）为 down，因为尚未进行配置

VXC 详细信息

在 Megaport Portal 中部署后，您需要在 AWS 控制台中接受该连接，并为该连接创建虚拟接口（Virtual Interface）：

接受托管连接

在 AWS 中，转到 Services (服务) > AWS Direct Connect > Connections (连接) 并点击该连接名称。
点击窗口右上角的 Accept (接受)。

在 AWS 部署该连接期间，状态会在几分钟内保持 pending。部署完成后，状态会从 ordering 变为 available.

该连接现已可用，但您还需要创建一个 VIF 来连接到 AWS 服务。

提示

有关接受 AWS 连接的更多信息，请参见 AWS documentation。

创建虚拟接口

创建并接受托管连接后，创建一个 VIF 并将该托管连接附加到网关。

提示

AWS 提供了 AWS documentation，用于创建 Public、Private 和 Transit 接口。

创建并附加 VIF

在 AWS 控制台中，点击 Create Virtual Interface (创建虚拟接口)。
选择接口类型。

类型会根据您需要访问的服务而有所不同。
- Private – 使用资源的私有 IP 地址访问运行在 VPC 中的资源。您可以选择将私有虚拟接口终止在私有虚拟网关（访问单个 VPC），或终止在 Direct Connect 网关（可将最多 10 个 VPC 映射到该 VIF）。
- Public – 访问所有 AWS 公有端点，以及所有可通过公有 IP 地址访问的 AWS 资源。
- Transit – 将流量从 Direct Connect 网关传输到一个或多个 Transit 网关。
指定配置信息：
- Virtual interface name (虚拟接口名称) – 为该虚拟接口输入名称。
- Connection (连接) – 要为其预配该虚拟接口的物理连接。您在 Megaport Portal 中为托管连接提供的名称会显示在此处。
- Virtual interface owner (虚拟接口所有者) – 将拥有该虚拟接口的账户。选择 My AWS account。
- Direct Connect gateway (Direct Connect 网关) – 选择要将此虚拟接口附加到的 Direct Connect 网关。Transit VIF 不是直接附加到 Transit 网关，而是附加到 Direct Connect 网关。
- VLAN – 分配给该虚拟接口的 VLAN。保持该值不变。VLAN 地址已填充且看似可编辑；但是，如果尝试更改它，将会出现错误。
- BGP ASN – 输入 MVE 侧 BGP 会话的自治系统号 (ASN)。
以下 BGP 详细信息可以填写或留空。留空时，AWS 会自动填充。

您还可以选择是否让该虚拟接口支持巨型帧。启用 Jumbo MTU 以支持 8500 字节的以太网报文。
点击 Create virtual interface (创建虚拟接口)。

要查看 VIF 的详细信息和状态，请导航到 Services (服务) > AWS Direct Connect > Connections (连接) > Name of the Megaport-Created-Hosted Connection。

尚未配置 BGP，因此接口状态显示为 down。

在 AWS 中接受该连接并创建 VIF 后，VXC 状态会在 Megaport Portal 中变为 configured。

将 AWS 连接详细信息添加到 FortiManager

在您从 MVE 到 AWS 创建连接并在 AWS 控制台中完成设置后，需要在 FortiManager 中进行配置。这包括创建接口并配置 BGP 设置、ASN、VLAN 和 MD5 值。

在 FortiManager 中添加 AWS 连接

从 AWS 控制台收集连接详细信息。
显示您在 AWS 中为此托管连接创建的虚拟接口的详细信息。记录 BGP ASN、BGP Auth Key (BGP 认证密钥)、Your Peer IP (您的对等体 IP) 和 Amazon Peer IP (Amazon 对等体 IP) 的值。
从 Megaport Portal 收集连接详细信息。
点击来自您 MVE 的 AWS 连接的齿轮图标，然后点击 Details 视图。记录 A-End VLAN (A 端 VLAN) 的值。
登录到 FortiManager。

注意

您也可以登录到您的 MVE 实例：https://<mve-ip-address>
在受管设备上，转到 System (系统) 菜单并选择 Interface (接口)。

该页面将 port1 显示为您的物理接口。
点击 +Create New (+新建) > Interface (接口) 并提供以下信息：
- Interface Name (接口名称) – 为该接口指定一个有意义的名称。
- Alias Name (别名) (可选) – 输入一个备用名称。为便于参考，请使用此连接在 AWS 中的 Virtual Interface ID 作为别名。
- Type (类型) – 选择 VLAN。
- Interface (接口) – 选择父接口：port1。
- VLAN ID – 指定在 Megaport Portal 中为该 AWS 连接列出的 A 端 VLAN。
- Role (角色) – 选择 Undefined。
- Addressing Mode (寻址模式) – 选择 Manual。
- IP/Netmask (IP/掩码) – 这些值可在 AWS 控制台的虚拟接口详细信息中找到。IP 地址和掩码显示在 Your Peer IP (您的对等体 IP) 字段中。
- Administrative Access (管理访问) - 指定您希望如何访问此接口，例如 HTTPS、PING 和 SSH。
- DHCP Server (DHCP 服务器) - 点击 OFF (关闭)。
点击 OK (确定)。
新的 VLAN 接口将与您的 port1 物理接口一起显示。

您可以在 FortiOS 上运行 execute ping 命令来验证连接。

注意

您需要将配置推送到 MVE，这会在您配置了 AutoUpdate 时发生。如果无法成功 ping 通该连接，请在 FortiManager 中转到 Manage Devices，选择该 MVE，然后在 More 菜单中选择 Refresh Device (刷新设备)。如果出现提示，请在 Config Status (配置状态) 中选择 AutoUpdate。

至此，我们已创建接口，接下来需要创建 BGP 会话。

在 FortiManager 中，转到 Router (路由) > BGP。
提供以下信息：
- Local AS (本地 AS) – 提供 MVE 连接的 ASN。使用 AWS 控制台虚拟接口详细信息中的 BGP ASN。
- Router ID (路由器 ID) – 输入 AWS 控制台虚拟接口详细信息中 Your Peer IP (您的对等体 IP) 字段所示的 IP 地址。
在 Neighbors 中，点击 +Create New (+新建)。
对于邻居 IP，添加 AWS 控制台虚拟接口详细信息中的 Amazon Peer IP (Amazon 对等体 IP)。
对于 Remote ASN (远端 ASN)，输入 Amazon 端的 ASN。
默认值为 64512。
点击 OK (确定)。
点击 Apply (应用)。
已配置邻居，但我们还需要添加 BGP Auth 信息。Web 界面不允许您定义此项，您需要使用命令行添加 BGP 详细信息。
使用您的私钥文件通过 SSH 连接到 MVE 实例。
例如
ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX
使用以下命令为 BGP 邻居添加密码。

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

用于 BGP 的 CLI 步骤

验证您的 AWS 连接

您可以在 CLI 中使用以下命令查看连接详细信息（包括连接状态）：

get system interface – 显示设备接口的配置信息和当前状态。
get router info bgp neighbor <ip-address> – 显示 BGP 邻居的配置信息和当前状态。