action.skip
Megaport Documentation
Azure-MVE-Verbindungen
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

Erstellen einer Azure-Verbindung für ein MVE mit Fortinet SD-WAN

Sie können eine Netzwerkverbindung von einem MVE (einem FortiGate) zu Azure ExpressRoute mit Virtual Cross Connects (VXCs) erstellen. Sie können entweder eine private Verbindung oder eine öffentliche (Microsoft) Verbindung erstellen.

Wichtig

Bevor Sie beginnen, erstellen Sie ein MVE (FortiGate) in FortiManager. Weitere Informationen finden Sie unter Erstellen eines mit Fortinet integrierten MVE.

Das Hinzufügen einer ExpressRoute-Verbindung zu Ihrem MVE und FortiManager umfasst drei Teile.

  1. Richten Sie Ihren ExpressRoute-Plan ein und stellen Sie das ExpressRoute-Circuit in der Azure-Konsole bereit. Nach der Bereitstellung erhalten Sie einen Service Key. Weitere Details finden Sie in der Microsoft ExpressRoute documentation.

  2. Erstellen Sie im Megaport Portal eine Verbindung (VXC) von Ihrem MVE zu Ihrem ExpressRoute-Standort.

  3. Erstellen Sie in FortiManager eine neue Schnittstelle und fügen Sie die Details der ExpressRoute-Verbindung hinzu.

Die Anweisungen in diesem Thema beschreiben den zweiten und dritten Teil.

Hinweis

MVE für Fortinet SD-WAN erfordert Konfigurationsschritte sowohl in FortiManager als auch im Megaport Portal für alle Cloud-Verbindungen.

Hinzufügen der ExpressRoute-Verbindung im Megaport Portal

Um die ExpressRoute-Verbindung einzurichten, müssen Sie die Verbindung im Megaport Portal erstellen.

So erstellen Sie im Megaport Portal eine Verbindung zu ExpressRoute

  1. Gehen Sie im Megaport Portal zur Seite Services und wählen Sie das gewünschte MVE aus.

  2. Klicken Sie auf dem MVE auf +Connection (+Verbindung).
    Verbindung hinzufügen

  3. Klicken Sie auf die Cloud-Kachel.

  4. Wählen Sie Microsoft Azure als Provider.
    Verbindung hinzufügen

  5. Fügen Sie den ExpressRoute Service Key in das Feld Microsoft Azure Service Key auf der rechten Seite ein.
    Das Portal verifiziert den Schlüssel und zeigt dann die verfügbaren Port-Standorte basierend auf der ExpressRoute-Region an. Wenn Ihr ExpressRoute-Dienst beispielsweise in der Region Australia East in Sydney bereitgestellt wird, können Sie die Standorte in Sydney auswählen.

  6. Wählen Sie den Verbindungspunkt für Ihre erste Verbindung aus.
    Um eine zweite Verbindung bereitzustellen (dies wird empfohlen), können Sie eine zweite VXC erstellen - geben Sie denselben Service Key ein und wählen Sie den anderen Verbindungsstandort aus.

    Auf dem Konfigurationsbildschirm erscheinen hilfreiche Links zu Ressourcen, darunter die Azure Resource Manager-Konsole und einige Tutorial-Videos.

  7. Klicken Sie auf Next (Weiter).

  8. Geben Sie die Verbindungsdetails an:

    • Connection Name (Verbindungsname) – Der Name Ihrer VXC, der im Megaport Portal angezeigt wird.

    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.

    • Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbit/s. Das Rate Limit (Übertragungsratenlimit) für die VXC wird basierend auf dem ExpressRoute Service Key auf das maximal zulässige Limit begrenzt.

    • VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den Anfangsstatus der Verbindung festzulegen. Weitere Informationen finden Sie unter Eine VXC zur Failover-Tests Herunterfahren.

      Hinweis

      Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Traffic über diesen Service und er verhält sich im Megaport-Netzwerk so, als wäre er ausgefallen. Die Abrechnung für diesen Service bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.

    • A-End vNIC (A-End-vNIC) – Wählen Sie eine A-End-vNIC aus der Dropdown-Liste. Weitere Informationen zu vNICs finden Sie unter Erstellen eines MVE im Megaport Portal.

    • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) (optional) – Geben Sie eine ungenutzte VLAN-ID für diese Verbindung an (für ExpressRoute ist dies der S-Tag). Diese muss auf diesem MVE eindeutig sein und kann zwischen 2 und 4093 liegen. Wenn Sie eine bereits verwendete VLAN-ID angeben, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport eine zu.

    • Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.

      Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.

      Weitere Informationen finden Sie unter VXC Preise und Vertragsbedingungen und Abrechnung von VXC, Megaport Internet und IX.

    • Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
      So fügen Sie einen Tag hinzu:

      1. Klicken Sie auf Tags hinzufügen.
      2. Klicken Sie auf Neuen Tag hinzufügen.
      3. Geben Sie Details in die Felder ein:
        • Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
        • Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
      4. Klicken Sie auf Speichern.

      Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.

      Warnung

      Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.

    • Einzelnes Azure-Peering-VLAN konfigurieren – Standardmäßig ist diese Option für MVE aktiviert, und wir empfehlen dringend, sie mit Fortinet SD-WAN aktiviert zu lassen.
      Diese Option bietet eine Single-Tag-VLAN-Lösung. Sie konfigurieren Peering in Azure mit dem MVE-VLAN (A-Ende) und dem in Azure festgelegten Peer-VLAN (B-Ende). Beachten Sie, dass Sie mit dieser Option nur einen Peering-Typ (Private oder Microsoft) pro VXC haben können.

      Wichtig

      Wenn Sie diese Option nicht aktivieren, erscheint die VXC als aktiv, erkennt jedoch keinen Traffic.

    • Azure-Peering-VLAN – Dieser Wert muss für Single-Tag-VLAN-Peering mit dem A-End-VLAN übereinstimmen. Bei Bedarf kann auch ein anderes Azure-Peering-VLAN festgelegt werden.
      Azure-Verbindungsdetails

  9. Klicken Sie auf Next (Weiter) und durchlaufen Sie den Bestellprozess.

Wenn die Konfiguration der VXC abgeschlossen ist, ist das VXC-Symbol grün.

Neue VXC

In der Azure Resource Management-Konsole ist der Provider-Status Provisioned.

Azure-Provider-Status

Nach der Bereitstellung müssen Sie Peerings konfigurieren. Sie können Private- und Microsoft-Peering konfigurieren. Klicken Sie zum Konfigurieren auf den Peer und geben Sie diese Details an:

  • Peer-ASN – Geben Sie die ASN für das MVE ein.
  • IPv4-Subnetze – Aus jedem dieser Subnetze verwendet MVE die erste nutzbare IP-Adresse und Microsoft verwendet die zweite nutzbare IP für seinen Router.
  • VLAN-ID – Geben Sie das A-End-VLAN vom MVE ein. (Beachten Sie, dass die VLAN-ID in der Azure-Konsole vom A-End-VLAN abweichen kann.)
  • Gemeinsamer Schlüssel – (Optional) Geben Sie ein MD5-Passwort für BGP ein.

Azure-Peering-Konfiguration

Hinzufügen der ExpressRoute-Verbindung zu FortiManager

Nachdem Sie die Verbindung von Ihrem MVE zu Azure erstellt und die Verbindung in der Azure-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies beinhaltet das Erstellen einer Schnittstelle und das Konfigurieren von BGP-Einstellungen, ASNs, VLANs und MD5-Werten.

So fügen Sie die Azure-Cloud-Verbindung in FortiManager hinzu

  1. Sammeln Sie die Verbindungsdetails aus der Azure-Konsole.
    Blenden Sie die Details der Verbindung ein, die Sie in Azure für diese Verbindung erstellt haben. Notieren Sie die Werte für Peer ASN (Peer-ASN), Shared Key, VLAN ID und IPv4 Primary Subnet.

  2. Sammeln Sie die Verbindungsdetails aus dem Megaport Portal.
    Klicken Sie auf das Zahnradsymbol für die Azure-Verbindung Ihres MVE und klicken Sie auf die Details-Ansicht. Notieren Sie den Wert für das A-End-VLAN.

  3. Melden Sie sich beim FortiManager an.

    Hinweis

    Sie können sich auch auf Ihrer MVE-Instanz anmelden: https://<mve-ip-address>

  4. Gehen Sie auf Ihrem verwalteten Gerät zum Menü System und wählen Sie Interface.
    System-Interface
    Die Seite zeigt port1 als Ihre physische Schnittstelle an.

  5. Klicken Sie auf +Create New > Interface und geben Sie folgende Informationen an:

    • Schnittstellenname – Geben Sie einen aussagekräftigen Namen für die Schnittstelle an.
    • Alias-Name (optional) – Geben Sie einen alternativen Namen ein.
    • Typ – Wählen Sie VLAN.
    • Schnittstelle – Wählen Sie die übergeordnete Schnittstelle: port1.
    • VLAN-ID – Geben Sie das im Megaport Portal für diese Azure-Verbindung aufgeführte A-End-VLAN an.
    • Rolle – Wählen Sie Undefined.
    • Adressierungsmodus – Wählen Sie Manual.
    • IP/Netzmaske – Diese Werte sind in der Azure-Konsole verfügbar. Die IP-Adressen und die CIDR erscheinen im Feld IPv4 Primary Subnet; MVE verwendet die erste nutzbare IP-Adresse und Azure verwendet die zweite nutzbare IP für seinen Router. Geben Sie für dieses Feld die MVE-IP-Adresse (erste nutzbare) ein.
    • Administrativer Zugriff - Geben Sie an, wie Sie auf diese Schnittstelle zugreifen möchten, z. B. HTTPS, PING und SSH.
    • DHCP Server - Klicken Sie auf OFF.
      Schnittstelleneinstellungen

  6. Klicken Sie auf OK.
    Die neue VLAN-Schnittstelle erscheint zusammen mit Ihrer physischen Schnittstelle port1.

Sie können einen execute ping-Befehl aus FortiOS ausführen, um die Verbindung zu verifizieren.

Hinweis

Sie müssen die Konfiguration auf das MVE pushen; dies erfolgt, wenn Sie AutoUpdate konfiguriert haben. Wenn Sie die Verbindung nicht erfolgreich anpingen können, gehen Sie in FortiManager zu Manage Devices, wählen Sie das MVE aus und wählen Sie im Menü More Refresh Device. Wenn Sie dazu aufgefordert werden, wählen Sie AutoUpdate für den Config Status.

An diesem Punkt haben wir die Schnittstelle erstellt, und als Nächstes müssen wir die BGP-Session erstellen.

  1. Gehen Sie in FortiManager zu Router > BGP.
    BGP-Einstellungen

  2. Geben Sie folgende Informationen an:

    • Lokales AS – Geben Sie die ASN für die MVE-Verbindung an. Verwenden Sie die Peer ASN (Peer-ASN) aus der Azure-Konsole.
    • Router-ID – Geben Sie die erste nutzbare IP-Adresse aus dem IPv4 Primary Subnet der Azure-Konsole ein.
      Schnittstelleneinstellungen

  3. Klicken Sie in Neighbors auf +Create New.

  4. Für die Nachbar-IP fügen Sie die zweite nutzbare IP-Adresse aus dem IPv4 Primary Subnet der Azure-Konsole hinzu.

  5. Für Remote ASN geben Sie die Azure-seitige ASN 12076 ein.
    Dies ist ein fester Wert und erscheint in den Verbindungsdetails in der Azure-Konsole.

  6. Klicken Sie auf OK.

  7. Klicken Sie auf Anwenden.
    Der Nachbar ist konfiguriert, aber wir müssen die BGP-Authentifizierungsinformationen hinzufügen, wenn Sie diese in der Azure-Konsole definiert haben (dies war optional). Über die Weboberfläche lässt sich dies nicht festlegen; Sie müssen die Befehlszeile verwenden, um die BGP-Details hinzuzufügen.

  8. Stellen Sie per SSH eine Verbindung zur MVE-Instanz her und verwenden Sie dabei Ihre Private-Key-Datei.
    Zum Beispiel
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. Verwenden Sie diese Befehle, um ein Passwort für den BGP-Nachbarn hinzuzufügen.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

CLI-Schritte für BGP

Validieren Ihrer Azure-Verbindung

Sie können Verbindungsdetails, einschließlich des Verbindungsstatus, über die CLI mit diesen Befehlen anzeigen:

  • get system interface – Zeigt Konfigurationsdetails und den aktuellen Status für die Geräteschnittstellen an.
  • get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status für die BGP-Nachbarn an.