Copy for LLM ▼

Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown

PDF

为 MVE 使用 Palo Alto SD-WAN 创建 AWS Hosted VIF

Hosted VIF 可连接到公有或私有 AWS 云服务：Hosted VIF 不能连接到传输虚拟接口。这些连接共享带宽。

注意

AWS 托管虚拟接口（Hosted VIF）不支持多样性区域。 为确保 Hosted VIF 的链路多样性， 创建 VXCs 到位于不同数据中心的两个目标端口， 而不是位于不同多样性区域的两个端口。

从 MVE 到 AWS 创建 Hosted VIF 的方法

1. 在 Megaport Portal 中，转到 Services (服务) 页面并选择用于该连接的 MVE。

2. 单击 +Connection (添加连接)，然后单击 Cloud (云)。

3. 选择 AWS 作为服务提供商，选择 Hosted VIF 作为 AWS Connection Type，选择目标端口，然后单击 Next (下一步)。
   您可以使用 Country 筛选器来缩小选择范围。
   

4. 指定连接详细信息：

   • Connection Name (连接名称) – 您的 VXC 在 Megaport Portal 中显示的名称。

     提示

     为便于映射，请将其与下一屏上的 AWS Connection Name 保持一致。

   • Service Level Reference (服务级别参考) （可选） – 为您的 Megaport 服务指定一个用于计费用途的唯一标识编号，例如成本中心编号、客户唯一 ID 或采购订单编号。该服务级别参考编号会显示在发票的产品部分的每个服务下。您也可以为现有服务编辑此字段。

   • Rate Limit (速率限制) – 连接的速率，以 Mbps 为单位。可接受的值从 1 Mbps 起，并以 1 Mbps 递增。可用的最大速率取决于位置和服务可用性。请注意，指向某个服务的所有托管虚拟 VXC 的总和可以超过 MVE 的容量，但总聚合吞吐永远不会超过 MVE 的容量。

   • VXC State (VXC 状态) – 选择 Enabled (已启用) 或 Shut Down (关机) 来定义连接的初始状态。有关更多信息，请参阅将 VXC 关机以进行故障转移测试。

     注意

     如果选择 Shut Down (关机)，流量将不会通过此服务，并且在 Megaport 网络上会表现为中断。此服务的计费将保持活动状态，您仍将为此连接支付费用。

   • A-End vNIC (A 端 vNIC) – 从下拉列表中选择一个 A 端 vNIC。有关 vNIC 的更多信息，请参阅在 Megaport Portal 中创建 MVE。

   • Preferred A-End VLAN (首选 A 端 VLAN) (可选) – 为此连接指定一个未使用的 VLAN ID。
     该 VLAN ID 必须在此 MVE 上唯一，取值范围为 2 到 4093。如果您指定的 VLAN ID 已在使用中，系统会显示下一个可用的 VLAN 号。VLAN ID 必须唯一才能继续下单。如果未指定值，Megaport 将分配一个。

   • Minimum Term (最低合约期) – 选择 无最低合约期、12 个月、24 个月、36 个月、48 个月或 60 个月。期限越长，每月费率越低。12 个月 为默认选择。请注意屏幕上的信息，以避免提前终止费用（ETF）。

     对于合约期为 12、24、36、48 或 60 个月的服务，启用 最低合约期续订 选项，可在合约到期时以相同的折扣价格和合约期限自动续订。如果您不续签合约，在合约期结束时， 合约将在下一个计费周期自动转为按月合约，价格相同，但不含合约期折扣。

     有关更多信息，请参阅VXC 定价与合同条款和VXC、Megaport Internet 和 IX 计费。

   • Resource Tags (资源标签) – 您可以使用资源标签为 Megaport 服务添加您自己的参考元数据。
     要添加标签：

     1. 单击 Add Tags (添加标签)。
     2. 单击 Add New Tag (添加新标签)。
     3. 在各字段中输入详细信息：
        • Key (键) – 字符串最大长度 128。有效值为 a-z 0-9 _ : . / \ -
        • Value (值) – 字符串最大长度 256。有效值为 a-z A-Z 0-9 _ : . @ / + \ - (space)
     4. 单击 Save (保存)。

     如果该服务已存在资源标签，您可以单击 Manage Tags (管理标签) 进行管理。

     警告

     切勿在资源标签中包含敏感信息。敏感信息包括会返回现有标签定义的命令，以及可识别个人或公司的信息。

   

5. 单击 Next (下一步)。

6. 指定 AWS 服务的详细信息
   

   以下是每个字段的详细说明：

   • 选择 Public (公有) 或 Private (私有)。

     • Private (私有) – 访问私有 AWS 服务，例如 VPC、EC2 实例、负载均衡器、RDS DB 实例，位于私有 IP 地址空间中。

     • Public (公有) – 访问公有 AWS 服务，例如 Amazon Simple Storage Service (S3)、DynamoDB、CloudFront 和 Glacier。您还将收到Amazon’s global IP prefixes（大约 2,000 个前缀）。

       注意

       公共 VIF 需要 Amazon 的人工干预，可能需要长达 72 小时。有关更多信息，请参阅使用 AWS 提供的 IP 地址配置公有 AWS 连接。

   • AWS Connection Name (AWS 连接名称) – 文本字段，将作为出现在 AWS 控制台中的虚拟接口名称。该字段会自动填充为您在前一步指定的名称。

   • AWS Account ID (AWS 账户 ID) – 要连接的账户 ID。您可以在 AWS 控制台的管理部分找到该值。

   • Customer ASN (客户 ASN) (可选) – 指定用于 MVE 上任意 VXC 的 BGP Peering 会话的 ASN。此值在配置 MVE 时定义，一旦定义便无法更改。

   • BGP Auth Key (BGP 认证密钥) (可选) – 指定 BGP MD5有时称为 MD5 哈希或 BGP 密钥。 消息摘要（MD5）算法是一种广泛使用的密码学哈希函数，生成由 32 个十六进制数字组成的字符串。 它用于在交换 BGP 信息的路由器之间作为密码或密钥。
     密钥。如果将此项留空，Megaport 会与 AWS 自动协商一个密钥，并在 Megaport Portal 中显示。该密钥不会显示在 AWS 控制台中。

     注意

     当此字段留空时，会在下单流程中生成 BGP Auth Key（BGP 认证密钥）。下单时不会在 Summary（摘要）页面显示。要查看该密钥，请在服务部署完成并上线后查看 Connection Settings（连接设置）。

   • Customer IP Address (客户 IP 地址) – 您网络上用于 Peering 的 IP 地址空间（CIDR 格式）。对于私有连接，此字段为可选；如果留空，Megaport 将分配一个地址。

   • Amazon IP Address (Amazon IP 地址) – 分配在 AWS VPC 网络中用于 Peering 的 IP 地址空间（CIDR 格式）。对于私有连接，此字段为可选；如果留空，Megaport 将自动分配一个地址。

   • Prefixes (前缀) (可选) –（仅对公有连接可见）指定要向 AWS 宣告的 IP 前缀。在部署 Public Direct Connect 时指定您将通告的前缀（仅限 RIR 分配的 IPv4 地址）。

     为公有连接配置前缀后，将无法更改，此字段会变为灰色。若需更改该值，请向 AWS 提交支持工单，以便他们以无影响的方式进行更改。或者，您也可以取消该 Hosted VIF 并重新下单。在这两种情况下，您都需要等待 AWS 人工批准请求。

7. 单击 Next (下一步) 以进入连接详细信息摘要，将 VXC 添加到购物车并下单该连接。

AWS VXC 会作为 MVE 的一个连接显示在 Megaport Portal 中。

接下来，在 AWS 中接受该连接。

接受私有连接的虚拟接口

在订购私有 Hosted VIF VXC 后的几分钟内，AWS 控制台的 AWS Direct Connect > Virtual Interfaces 页面会显示相应的入站 VIF 请求。（该页面与目标 AWS 端口所在的区域相关。）如果几分钟后仍未看到您的 VIF，请确认您查看的是正确的区域。

审核并接受私有虚拟接口

1. 在 AWS Direct Connect > Virtual Interface (虚拟接口) 页面上，单击该接口的 ID 以显示配置和 Peering 详细信息。
   

   VIF 的名称和账户 ID 应与 Portal 中提供的值匹配，且 BGP ASN 应与为 VXC 配置的 Customer ASN 匹配。Amazon ASN 为该区域的默认 AWS ASN，而非配置过程中指定的值——当虚拟接口被接受并分配后会更新。

2. 单击 Accept (接受)。

3. 选择网关类型，然后为此新虚拟接口选择具体的网关。
   

4. 单击 Accept virtual interface (接受虚拟接口)。

连接状态会从 confirming 变为 pending，在建立 BGP 后变为 available。请注意，AWS 端显示 available BGP 状态有时会有延迟；不过，您可以通过 Portal 视图确认三层链路的当前状态。

接受公有连接的虚拟接口

在订购公有 Hosted VIF VXC 后的几分钟内，相应的入站 VIF 请求会显示在 AWS 控制台的 AWS Direct Connect > Virtual Interfaces (虚拟接口) 页面上。这与目标 AWS 端口所在区域相关。

审核并接受公有虚拟接口

1. 在 AWS Direct Connect > Virtual Interface 页面，单击该接口的 ID 以显示配置和 Peering 详细信息。
2. 查看配置详细信息并单击 Accept (接受)，出现提示时单击 Confirm (确认)。

连接状态会从 confirming 变为 verifying。此时需要由 Amazon 验证该连接——这一过程可能需要长达 72 小时。验证完成后，状态变为 available。

将 AWS 连接详细信息添加到 Palo Alto VM-Series

在您从 MVE 到 AWS 创建连接并在 AWS 控制台中完成设置后，还需要在 VM-Series 中进行配置。这包括添加设备接口并配置 BGP 设置。

在 Palo Alto MVE 与 AWS 之间配置 AWS 连接的步骤

1. 在 Megaport Portal 中收集连接详细信息。
   单击来自 MVE 的 AWS 连接的齿轮图标并查看 Details 视图。记录 A-End VLAN (A 端 VLAN)、Customer Address (客户地址)（及 CIDR）、Amazon Address (Amazon 地址) 和 Customer ASN (客户 ASN) 的值。

2. 登录到 VM-Series。

3. 选择 Network > Interfaces。

4. 选择 A 端 MVE（ethernet1/1）。

5. 单击屏幕底部的 Add Subinterface (添加子接口)。
   

6. 提供以下详细信息：

   • Interface Name (接口名称) – 输入子接口的名称。在相邻字段中输入一个数字以标识该子接口。

   • Comment (注释) – 输入备用名称，例如 AWS VIF dxvif-fh9aokej。

   • Tag (标签) – 指定您在 Megaport Portal 中为 AWS VXC 创建的 A 端内层 VLAN 值。

   • Virtual Router (虚拟路由器) – 根据您的网络需要，将虚拟路由器分配给该接口。

7. 选择 IPv4 选项卡。

8. 将类型选择为 Static (静态)。
9. 单击 +Add (添加) 以添加一个新的 IP 地址。
10. 输入 IPv4 地址和子网掩码。
11. 单击 OK (确定)。
12. 单击右上角的 Commit (提交)。
    
13. 检查更改并单击 Commit (提交)
    

新的 VLAN 接口将与您的 ethernet1/1 物理接口一起显示。

接下来，您将创建一个安全区域，使该接口能够路由流量。

创建安全区域的步骤

1. 选择 ethernet1/1.1010 子接口。
2. 在 Security Zone 下拉列表中选择 New Zone。
3. 为安全区域指定一个名称。
   
4. 在 Interfaces 下单击 +Add (添加)，将 ethernet1/1.1010 添加到该安全区域。
5. 根据您的网络安全需要，指定任何其他详细信息。
6. 在 Zone Protection Profile 下拉列表中选择 New Zone Protection Profile。
7. 按需填写详细信息。本示例使用所有默认值。
   
8. 单击 OK (确定)。
9. 在 Layer3 Subinterface 界面中单击 OK (确定)。
10. 单击右上角的 Commit (提交)。
    
11. 检查更改并单击 Commit (提交)
    

此时，您已创建接口。接下来，您将创建 BGP 会话。

创建 BGP 会话的步骤

1. 选择 Network > Virtual Routers。
2. 选择虚拟路由器。
   
3. 在左侧窗格中选择 BGP。
4. 提供以下 BGP 详细信息：
   • Enable (启用) – 选中此复选框以在提交这些更改后启动 BGP 会话。
   • Router ID (路由器 ID) – 指定此 Palo Alto 系统上的一个 IP 地址作为 Router ID。该值来自 Megaport 连接详细信息中的 Customer Address (客户地址)。
   • AS Number (AS 号) – 指定您在 AWS VIF 订单中使用的 ASN。该值对应 Megaport Portal 中 AWS 连接的 Customer ASN
     
5. 在 Auth Profiles 下单击 +Add (添加)。
6. 指定配置文件名称。
   
7. 输入并确认认证密码。
8. 单击 OK (确定)。
9. 选择 Peer Group (对等组) 选项卡。
   
10. 单击 +Add (添加) 以添加对等组。
11. 为对等组指定一个名称。例如，AWS-VIF-xxxx。
12. 将会话类型指定为 eBGP。
13. 根据您的网络需要，指定任何其他详细信息。
14. 单击 +Add (添加) 以添加新的对等体。
15. 指定对等体的详细信息：
    • Name (名称) – 为该对等体指定名称。
    • Peer AS (对等体 AS) – 指定该对等体的自治系统号 (ASN)。
    • Local Address (本地地址) – 从下拉列表中选择正确的子接口和 IP 地址。
    • Peer Address (对等体地址) – 输入 AWS 一侧的 IPv4 地址。该值来自 Megaport Portal Connection Details 中的 Amazon Address (Amazon 地址)。
16. 选择 Connection Options (连接选项) 选项卡。
    
17. 选择先前创建的 Auth Profile。
18. 在 Peer Group - Peer 界面中单击 OK (确定)。
19. 在 BGP - Peer Group/Peer 界面中单击 OK (确定)。
20. 在 Virtual Router 界面中单击 OK (确定)。
    
21. 单击右上角的 Commit (提交)。
    
22. 检查更改并单击 Commit (提交)
    

验证您的 AWS 连接

检查 BGP 对等体状态的步骤

1. 选择 Network > Virtual Routers。
2. 找到您的虚拟路由器（默认）。
3. 在右侧的 Runtime Stats 列中单击 More Runtime Stats (更多运行时统计信息)。
   
4. 选择 BGP 选项卡，然后选择 Peer (对等体) 选项卡。

5. 确认对等体状态为 Established。
   

   您也可以在 AWS Direct Connect 门户中检查状态（可能需要几分钟才能刷新）。