為 MVE 建立 Azure 連線並搭配 Fortinet SD-WAN

您可以透過 Virtual Cross Connect（VXC）從 MVE（FortiGate）建立到 Azure ExpressRoute 的網路連線。您可以建立私有連線或公用（Microsoft）連線。

重要

在開始之前，請先在 FortiManager 中建立一個 MVE（FortiGate）。如需更多資訊，請參閱建立與 Fortinet 整合的 MVE。

將 ExpressRoute 連線新增到您的 MVE 與 FortiManager 共有三個部分。

設定您的 ExpressRoute 方案，並在 Azure 控制台部署 ExpressRoute 電路。部署後，您會取得一組服務金鑰。更多詳細資訊請參閱 Microsoft 的 ExpressRoute documentation。

若要檢查連線到特定 Azure Partner 位置的延遲與價格，請開始新增連線到 Microsoft Azure的程序，但不要提供 Microsoft Azure Service Key (Microsoft Azure 服務金鑰)，改為按一下 View all Azure Partner locations (檢視所有 Azure Partner 位置)。您可以在沒有服務金鑰的情況下進入 Connection Details 頁面，並檢視所選連接埠的定價。若要下單建立 Microsoft Azure 連線，您需要提供服務金鑰
在 Megaport Portal 中，建立一條從您的 MVE 到您 ExpressRoute 位置的連線（VXC）。
在 FortiManager 中，建立新的介面，並加入 ExpressRoute 連線的詳細資料。

本主題的指示將說明第二與第三部分。

備註

適用於 Fortinet SD-WAN 的 MVE 在所有雲端連線上，都需要同時在 FortiManager 與 Megaport Portal 進行設定步驟。

在 Megaport Portal 中新增 ExpressRoute 連線

若要設定 ExpressRoute 連線，您需要先在 Megaport Portal 中建立此連線。

從 Megaport Portal 建立到 ExpressRoute 的連線

於 Megaport Portal 中，前往 Services（服務） 頁面，並選取您要使用的 MVE。
在 MVE 上按一下 +Connection（新增連線）。
按一下 Cloud（雲端） 方塊。
選取 Microsoft Azure 作為提供者
將 ExpressRoute 服務金鑰填入 Microsoft Azure Service Key（Microsoft Azure 服務金鑰） 欄位。
Portal 會驗證該金鑰，然後根據 ExpressRoute 區域顯示可用的連接埠位置。例如，如果您的 ExpressRoute 服務部署在雪梨的 Australia East 區域，您可以選取雪梨的可用位置。
選取第一條連線的連線點。
若要部署第二條連線（建議這樣做），您可以建立第二條 VXC - 輸入相同的服務金鑰並選取另一個連線位置。

設定畫面會顯示一些有用的連結，包含 Azure Resource Manager 控制台與一些教學影片。
按一下 Next（下一步）。
指定連線詳細資料：
- Connection Name（連線名稱） – 在 Megaport Portal 中顯示的 VXC 名稱。
- Service Level Reference (服務層級參考) （選用） – 指定一組用於計費用途的 Megaport 服務唯一識別編號，例如成本中心編號、唯一的客戶 ID，或採購單號。此服務層級參考編號會在發票的 Product 區段中為每個服務顯示。您也可以為現有服務編輯此欄位。
- Rate Limit（速率上限） – 您的連線速率，以 Mbps 計。VXC 的速率上限將會依據 ExpressRoute 服務金鑰所允許的最大值進行限制。
- VXC State（VXC 狀態） – 選擇 Enabled（已啟用） 或 Shut Down（關機） 以定義連線的初始狀態。如需詳細資訊，請參閱為容錯移轉測試關閉 VXC。
  
  備註
  
  如果您選取 Shut Down（關機），流量將不會經由此服務傳送，且在 Megaport 網路上會視同中斷。此服務的計費仍會持續，您仍需為此連線付費。
- A-End vNIC（A 端 vNIC） – 從下拉式清單中選取一個 A 端 vNIC。關於 vNIC 的更多資訊，請參閱在 Megaport Portal 中建立 MVE。
- Preferred A-End VLAN（偏好 A 端 VLAN）（選用）– 為此連線指定一個未使用的 VLAN ID（對於 ExpressRoute，此為 S-Tag）。此 VLAN ID 必須在此 MVE 上唯一，且範圍為 2 到 4093。若您指定的 VLAN ID 已被使用，系統會顯示下一個可用的 VLAN 編號。VLAN ID 必須唯一才能繼續訂單流程。若您未指定數值，Megaport 會自動指派。
- Minimum Term (最短合約期限) – 選擇無最短合約期限、12 個月、24 個月、36 個月、48 個月，或 60 個月。較長的合約期限可享有較低的月費。12 個月 為預設選項。請留意畫面上的資訊，以避免產生提前終止費用（ETF）。
  
  針對 12、24、36、48 或 60 個月期的服務，啟用最短合約期限續約選項，可在合約期滿時以相同的折扣價格與合約期間自動續約。若您未續約，於合約期滿時，合約將在下一個計費期間自動轉為按月合約，價格相同，但不再享有期限折扣。
  
  如需更多資訊，請參閱 VXC 價格與合約條款與 VXC、Megaport Internet 與 IX 計費。
- Resource Tags (資源標籤) – 您可以使用資源標籤為 Megaport 服務新增您自訂的參考中繼資料。
  若要新增標籤：
  1. 按一下 Add Tags（新增標籤）。
  2. 按一下 Add New Tag（新增標籤）。
  3. 在欄位中輸入詳細資料：
    - Key（鍵） – 字串最大長度為 128。有效值為 a-z 0-9 _ : . / \ -
    - Value（值） – 字串最大長度為 256。有效值為 a-z A-Z 0-9 _ : . @ / + \ -（空格）
  4. 按一下 Save（儲存）。
  如果您已經為該服務建立資源標籤，您可以按一下 Manage Tags（管理標籤） 來進行管理。
  
  警告
  
  請勿在資源標籤中包含敏感資訊。敏感資訊包括會傳回現有標籤定義的指令，以及可識別個人或公司的資訊。
- Configure Single Azure Peering VLAN（設定單一 Azure Peering VLAN） – 依預設，MVE 已啟用此選項，且我們強烈建議在 Fortinet SD-WAN 中保持啟用。
  此選項提供單一標記 VLAN 的解決方案。您會在 Azure 中使用 MVE VLAN（A 端）與在 Azure 設定的對等 VLAN（B 端）來進行 Peering 設定。請注意，啟用此選項時，每個 VXC 僅能有一種 Peering 類型（Private 或 Microsoft）。
  
  重要
  
  如果您未啟用此選項，VXC 會顯示為啟用中，但不會辨識任何流量。
- Azure Peering VLAN（Azure 對等 VLAN） – 對於單一標記 VLAN Peering，此值需要與 A 端 VLAN 相符。如有需要，也可以設定不同的 Azure Peering VLAN。
按一下 Next（下一步），並依序完成訂購流程。

當 VXC 設定完成後，VXC 圖示會變成綠色。

新的 VXC

在 Azure Resource Management 控制台中，提供者狀態會是 Provisioned

Azure 提供者狀態

佈建完成後，您需要設定 Peering。您可以設定 Private 與 Microsoft Peering。按一下要設定的 Peering，並提供以下詳細資料：

Peer ASN（對等 ASN） – 輸入 MVE 的 ASN。
IPv4 Subnets（IPv4 子網路） – 這些子網路中的每一個，MVE 使用第一個可用 IP 位址，而 Microsoft 使用第二個可用 IP 作為其路由器。
VLAN ID（VLAN 識別碼） – 輸入 MVE 的 A 端 VLAN。（注意：Azure 控制台中的 VLAN ID 可以與 A 端 VLAN 不同。）
Shared Key（共用金鑰） –（選用）輸入 BGP 的 MD5 密碼。

Azure Peering 設定

將 ExpressRoute 連線加入 FortiManager

在您從 MVE 建立到 Azure 的連線並於 Azure 控制台完成設定之後，還需要在 FortiManager 中進行設定。這包括建立介面並設定 BGP 參數、ASN、VLAN 與 MD5 值。

在 FortiManager 中加入 Azure 雲端連線

從 Azure 控制台收集連線詳細資料。
顯示您在 Azure 中為此連線所建立的連線詳細資料。請記下 Peer ASN（對等 ASN）、Shared Key（共用金鑰）、VLAN ID（VLAN 識別碼） 與 IPv4 Primary Subnet（IPv4 主子網） 的值。
從 Megaport Portal 收集連線詳細資料。
在您的 MVE 的 Azure 連線上按一下齒輪圖示，然後按一下詳細資料檢視。請記下 A-End VLAN（A 端 VLAN） 的值。
登入 FortiManager。

備註

您也可以登入您的 MVE 執行個體：https://<mve-ip-address>
從受管裝置前往 System（系統） 功能表，並選擇 Interface（介面）。

此頁面會顯示 port1 為您的實體介面。
按一下 +Create New > Interface（+ 建立新項目 > 介面），並提供以下資訊：
- Interface Name（介面名稱） – 為此介面指定意義明確的名稱。
- Alias Name（別名）（選用）– 輸入替代名稱。
- Type（類型） – 選擇 VLAN。
- Interface（介面） – 選取父介面：port1。
- VLAN ID（VLAN 識別碼） – 指定 Megaport Portal 內此 Azure 連線所列的 A 端 VLAN。
- Role（角色） – 選擇 Undefined。
- Addressing Mode（位址模式） – 選取 Manual。
- IP/Netmask（IP/子網路遮罩） – 這些數值可於 Azure 控制台取得。 IP 位址與 CIDR 會顯示在 IPv4 Primary Subnet（IPv4 主子網） 欄位；MVE 使用第一個可用 IP 位址，而 Azure 使用第二個可用 IP 作為其路由器。此欄位請輸入 MVE（第一個可用）IP 位址。
- Administrative Access（管理存取） - 指定您要如何存取此介面，例如 HTTPS、PING 與 SSH。
- DHCP Server（DHCP 伺服器） - 按一下 OFF（關閉）。
按一下 OK（確定）。
新的 VLAN 介面會與您的 port1 實體介面一同顯示。

您可以在 FortiOS 上執行 execute ping 指令以驗證連線。

備註

您需要將此設定推送到 MVE，若已設定 AutoUpdate，會自動完成。若無法成功 ping 此連線，請至 FortiManager 的 Manage Devices，選取 MVE，並在 More 功能表中選擇 Refresh Device（重新整理裝置）。若出現提示，請在 Config Status（設定狀態） 中選取 AutoUpdate。

此時我們已建立介面，接下來需要建立 BGP 工作階段。

在 FortiManager 中前往 Router > BGP（路由器 > BGP）。
提供以下資訊：
- Local AS（本端 AS） – 輸入 MVE 連線的 ASN。使用 Azure 控制台中的 Peer ASN（對等 ASN）。
- Router ID（路由器 ID） – 從 Azure 控制台的 IPv4 Primary Subnet（IPv4 主子網） 中，輸入第一個可用的 IP 位址。
在 Neighbors 中，按一下 +Create New（+ 建立新項目）。
在鄰居的 IP（IP） 欄位中，填入 Azure 控制台 IPv4 Primary Subnet（IPv4 主子網） 的第二個可用 IP 位址。
在 Remote ASN（遠端 ASN） 中，輸入 Azure 端 ASN 12076。
這是固定值，並會出現在 Azure 控制台的連線詳細資料中。
按一下 OK（確定）。
按一下 Apply（套用）。
鄰居已設定完成，但如果您在 Azure 控制台中定義了 BGP 驗證資訊，還需要加入該資訊。（此為選用項目。）Web 介面無法設定此項，因此需要使用命令列加入 BGP 詳細資料。
使用您的私密金鑰檔案以 SSH 連線至 MVE 執行個體。
例如
ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX
使用以下指令為 BGP 鄰居加入密碼。

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

用於 BGP 的 CLI 步驟

驗證您的 Azure 連線

您可以在 CLI 上使用下列指令檢視連線詳細資料（包含連線狀態）：

get system interface – 顯示裝置介面的設定詳細資料與目前狀態。
get router info bgp neighbor <ip-address> – 顯示 BGP 邊界器的設定詳細資料與目前狀態。