使用 Palo Alto VM-Series 为 MVE 创建 AWS 托管连接

托管连接可支持一个私有、公有或传输虚拟接口。它们是专用连接，建议用于生产环境。

从 MVE 到 AWS 创建托管连接

在 Megaport Portal 中，转到 Services（服务） 页面并选择用于此连接的 MVE。
单击 +Connection（+连接），然后单击 Cloud（云）。
选择 AWS 作为服务提供商，将 AWS 连接类型选择为 Hosted Connection（托管连接），选择目标端口，然后单击 Next（下一步）。
您可以使用国家筛选器来缩小选择范围。
每个目标端口都有蓝色或橙色图标以指示其多样性区域。要实现多样性，您需要创建两个连接，并将它们分别置于不同区域。
指定连接详细信息：
- Connection Name（连接名称） – 您的 VXC 在 Megaport Portal 中显示的名称。
- Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。
- Rate Limit（速率上限） – 您的连接速率。此值在部署后无法更改。下拉列表会显示适用于您 MVE 的预定义速率上限，具体速率取决于位置和服务能力。
- VXC State（VXC 状态） – 选择 Enabled（已启用） 或 Shut Down（关机） 来定义连接的初始状态。有关更多信息，请参见为故障切换测试关闭 VXC。
  
  注意
  
  如果选择 Shut Down（关机），流量将不会通过此服务，并且在 Megaport 网络上会表现为已关闭。此服务的计费仍将处于活动状态，您仍会为该连接付费。
- A-End vNIC（A 端 vNIC） – 从下拉列表中选择一个 A 端 vNIC。有关 vNIC 的更多信息，请参见在 Megaport Portal 中创建 MVE。
- Preferred A-End VLAN（首选 A 端 VLAN） （可选） – 为此连接指定一个未使用的 VLAN ID。
  该 MVE 上的 VLAN ID 必须唯一，取值范围为 2 到 4093。如果您指定了已在使用的 VLAN ID，系统会显示下一个可用的 VLAN 编号。要继续下单，VLAN ID 必须唯一。若不指定值，Megaport 将分配一个。
- Minimum Term (最低合约期) – 选择无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。
  
  对于合约期为 12、24、36、48 或 60 个月的服务，启用最低合约期续订选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时，合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。
  
  有关更多信息，请参见VXC 定价和合同条款以及VXC、Megaport Internet 和 IX 计费。
- Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
  要添加标签：
  1. 单击 Add Tags (添加标签)。
  2. 单击 Add New Tag (添加新标签)。
  3. 在各字段中输入详细信息：
    - Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
    - Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
  4. 单击 Save (保存)。
  如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。
  
  警告
  
  切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。
单击 Next（下一步）。
指定 AWS 服务的连接详细信息。
- AWS Connection Name（AWS 连接名称） – 这是一个文本字段，将作为显示在 AWS 控制台中的虚拟接口名称。AWS Connection Name 会自动填充为前面步骤中指定的名称。
- AWS Account ID（AWS 账户 ID） – 您要连接的账户 ID。您可以在 AWS 控制台的管理部分找到该值。
单击 Next（下一步） 进入连接详细信息摘要，单击 Add VXC（添加 VXC），并订购该连接。

一旦 VXC 连接部署成功，它会显示在 Megaport Portal 的 Services 页面，并与该 MVE 关联。单击 VXC 名称可显示此连接的详细信息。请注意，服务状态（第 2 层）为已启动，但 BGP（第 3 层）为关闭，因为尚未进行配置

VXC 详细信息

在 Megaport Portal 中部署完成后，您需要在 AWS 控制台中接受该连接，并为该连接创建虚拟接口：

接受托管连接

在 AWS 中，转到 Services > AWS Direct Connect > Connections（服务 > AWS Direct Connect > 连接），然后单击连接名称。
单击窗口右上角的 Accept（接受）。

在 AWS 部署此连接期间，状态将保持几分钟的待处理。部署完成后，状态将从 订购中 变为可用。

该连接现已可用，但您还需要创建一个 VIF 以连接到 AWS 服务。

提示

有关接受 AWS 连接的更多信息，请参阅 AWS documentation。

创建虚拟接口

创建并接受托管连接后，创建一个 VIF，并将该托管连接附加到网关。

提示

AWS 提供了用于创建公有、私有和传输接口的 AWS documentation。

创建并附加 VIF

在 AWS 控制台中，单击 Create Virtual Interface（创建虚拟接口）。
选择接口类型。

类型会根据您需要访问的服务类型而有所不同。
- Private（私有） – 通过其私有 IP 地址访问在 VPC 中运行的资源。您可以选择将私有虚拟接口终止在私有虚拟网关（以访问单个 VPC），或者终止在 Direct Connect 网关（并将最多 10 个 VPC 映射到该 VIF）。
- Public（公有） – 访问所有 AWS 公共端点，以及所有可通过公共 IP 地址访问的 AWS 资源。
- Transit（传输） – 将流量从 Direct Connect 网关传输到一个或多个 Transit 网关。
指定配置详细信息：
- Virtual interface name（虚拟接口名称） – 为虚拟接口输入名称。
- Connection（连接） – 要为该虚拟接口进行配置的物理连接。您在 Megaport Portal 中为托管连接提供的名称会出现在此处。
- Virtual interface owner（虚拟接口所有者） – 将拥有该虚拟接口的账户。选择“我的 AWS 账户”。
- Direct Connect gateway（Direct Connect 网关） – 选择要将此虚拟接口附加到的 Direct Connect 网关。Transit VIF 并非直接附加到 Transit 网关，而是附加到 Direct Connect 网关。
- VLAN（VLAN） – 分配给该虚拟接口的 VLAN。保持该值不变。VLAN 地址已填充且看似可编辑；但是，如果尝试更改，将会出现错误。
- BGP ASN（BGP ASN） – 为 BGP 会话中 MVE 端输入边界网关协议（BGP）的自治系统号（ASN）。
以下 BGP 详细信息可以填写或留空。留空时将由 AWS 自动填充。

您还可以选择虚拟接口是否支持巨型帧。启用 Jumbo MTU 可支持 8500 字节的以太网报文。
单击 Create virtual interface（创建虚拟接口）。

要查看 VIF 的详细信息和状态，请导航到 Services > AWS Direct Connect > Connections > Name of the Megaport-Created-Hosted Connection（服务 > AWS Direct Connect > 连接 > Megaport 创建的托管连接的名称）。

尚未配置 BGP，因此接口状态显示为关闭。

在 AWS 中接受该连接并创建 VIF 后，VXC 在 Megaport Portal 中的状态会变为已配置。

将 AWS 连接详细信息添加到 VM-Series

在您从 MVE 到 AWS 创建连接并在 AWS 控制台中完成设置后，还需要在 VM-Series 中进行配置。其中包括创建接口并配置 BGP 设置。

在 VM-Series 中添加 AWS 连接

收集 AWS 控制台中的连接详细信息。
显示您在 AWS 中为此托管连接创建的虚拟接口的详细信息。记下 BGP ASN（BGP ASN）、BGP Auth Key（BGP 认证密钥）、Your Peer IP（您的对等体 IP） 和 Amazon Peer IP（Amazon 对等体 IP） 的值。
从 Megaport Portal 收集连接详细信息。
若要显示详细信息，单击来自您 MVE 的 AWS 连接的齿轮图标，然后单击详细信息视图。记下 A-End VLAN（A 端 VLAN） 的值。
登录 VM-Series。
选择网络 > 接口。
单击 Add Subinterface（添加子接口）。
提供以下详细信息：
- Interface Name（接口名称） – 输入子接口名称。在相邻字段中输入一个数字以标识该子接口。
- Comment（注释） – 输入一个备用名称，例如，AWS VIF dxvif-fh9aokej。
- Tag（标签） – 指定与您在 Megaport Portal 中创建的 AWS VXC 关联的 A 端内层 VLAN 值。
- Virtual Router（虚拟路由器） – 根据您的网络需要，为该接口选择一个虚拟路由器。
选择 IPv4（IPv4） 选项卡。
将类型选择为 Static（静态）。
单击 +Add（+添加） 以添加新的 IP 地址。
输入 IPv4 地址和子网掩码。
这些值可在 AWS 控制台的虚拟接口详细信息中找到。IP 地址和子网掩码显示在 Your Peer IP（您的对等体 IP） 字段中。
单击 OK（确定）。
单击右上角的 Commit（提交）。
审核更改并单击 Commit（提交）

新的 VLAN 接口会与您的 ethernet1/1 物理接口一起显示。

接下来，您将创建一个安全区域，以便该接口可以路由流量。

创建安全区域

选择 ethernet1/1.1010 子接口。
从“安全区域”下拉列表中选择“新建区域”。
为安全区域指定名称。
在 Interfaces 下单击 +Add（+添加），并将 ethernet1/1.1010 添加到该安全区域。
根据您的网络安全需要，指定任何其他详细信息。
从“区域防护配置文件”下拉列表中选择“新建区域防护配置文件”。
根据您的网络安全需要指定相关详细信息。本示例使用所有默认值。
单击 OK（确定）。
在三层子接口界面中单击 OK（确定）。
单击右上角的 Commit（提交）。
审核更改并单击 Commit（提交）

至此，您已创建该接口。接下来将创建 BGP 会话。

创建 BGP 会话

在 VM-Series 中，选择网络 > 虚拟路由器。
选择该虚拟路由器。
在左侧窗格中选择 BGP。
提供以下 BGP 详细信息：
- Enable（启用） – 勾选此复选框以在提交这些更改后启动 BGP 会话。
- Router ID（路由器 ID） – 输入在 AWS 控制台的虚拟接口详细信息中 Your Peer IP（您的对等体 IP） 字段显示的 IP 地址。
- AS Number（AS 编号） – 提供 MVE 连接的 ASN。使用 AWS 控制台虚拟接口详细信息中的 BGP ASN（BGP ASN）
在 Auth Profiles 下单击 +Add（+添加）。
指定配置文件名称。
输入并确认认证密码。
单击 OK（确定）。
选择 Peer Group（对等组） 选项卡。
单击 +Add（+添加） 以添加对等组。
为对等组指定名称。例如，AWS-xxxx。
将会话类型指定为 eBGP。
根据您的网络需要指定任何其他详细信息。
单击 +Add（+添加） 以添加新对等体。
指定该对等体的详细信息：
- Name（名称） – 为该对等体指定名称。
- Peer AS（对端 AS） – 指定 Amazon 端的自治系统号（ASN）。默认值为 64512。
- Local Address（本地地址） – 从下拉列表中选择相应的子接口和 IP 地址。
- Peer Address（对端地址） – 输入 AWS 端 IPv4 地址。该地址为 AWS 控制台虚拟接口详细信息中的 Amazon Peer IP（Amazon 对等体 IP）。
选择 Connection Options（连接选项） 选项卡。
选择先前创建的认证配置文件。
在 Peer Group - Peer 界面中单击 OK（确定）。
在 BGP - Peer Group/Peer 界面中单击 OK（确定）。
在 Virtual Router 界面中单击 OK（确定）。
单击右上角的 Commit（提交）。
审核更改并单击 Commit（提交）