Erstellen einer Google-Cloud-Services-Verbindung für eine MVE mit Fortinet SD-WAN

Sie können über Partner Interconnect eine Netzwerkverbindung von einer MVE (einem FortiGate) zu Google Cloud erstellen.

Bei der Verbindung mit der Google Cloud Platform (GCP) über Partner Interconnect mit Megaport bildet der Virtual Cross Connect (VXC) die Layer-2-Komponente der Verbindung und Layer-3 BGP wird direkt zwischen dem Kunden und GCP aufgebaut.

Wichtig

Erstellen Sie vorab eine MVE (FortiGate) in FortiManager. Weitere Informationen finden Sie unter Erstellen einer MVE. Die MVE muss sich im aktiven Zustand befinden.

Das Hinzufügen einer Google-Cloud-Verbindung zu Ihrer MVE und zu FortiManager umfasst drei Teile.

Erstellen Sie ein Partner Interconnect Attachment in der Google Cloud Console oder mit der gcloud CLI. Kopieren Sie den Pairing Key, der im Rahmen der Attachment-Erstellung bereitgestellt wird. Weitere Details finden Sie in der Google Dokumentation zu Google Partner Interconnects.
Erstellen Sie im Megaport Portal einen VXC von Ihrer MVE zum Verbinden mit Ihrem Google Cloud Attachment.
Erstellen Sie in FortiManager ein neues Interface und fügen Sie die Details der Google-Cloud-Verbindung hinzu.

Diese Anleitung führt durch den zweiten und dritten Teil.

Hinweis

MVE für Fortinet SD-WAN erfordert für alle Cloud-Verbindungen Konfigurationsschritte sowohl in FortiManager als auch im Megaport Portal.

Hinzufügen der Google-Cloud-Verbindung im Megaport Portal

Zum Einrichten der GCP-Verbindung müssen Sie die Verbindung im Megaport Portal erstellen.

So stellen Sie einen VXC zur Google Cloud Platform über das Megaport Portal bereit

Klicken Sie im Megaport Portal bei der MVE auf +Connection (+Verbindung), um Ihren VXC zu erstellen.
Klicken Sie auf die Cloud-Kachel.
Wählen Sie Google als Provider aus.
Kopieren Sie den Pairing Key aus der Google Cloud Console und fügen Sie ihn in das Feld im rechten Bereich ein.
Die relevanten Google Ziele werden basierend auf der Region Ihrer GCI Partnerverbindung angezeigt.
Wählen Sie den Zielstandort für Ihre Verbindung aus und klicken Sie auf Next (Weiter).
Geben Sie die Verbindungsdetails an:
- Connection Name (Verbindungsname) – Der Name Ihres VXC, der im Megaport Portal angezeigt wird.
- Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Kennnummer für Ihren Megaport Service an, die für Abrechnungszwecke verwendet wird, z. B. eine Kostenstellennummer, eine eindeutige Kunden-ID oder eine Bestellnummer. Die Service-Level-Referenznummer erscheint für jeden Service im Abschnitt Produkt der Rechnung. Sie können dieses Feld auch für einen bestehenden Service bearbeiten.
- Rate Limit (Übertragungsratenlimit) – Die Geschwindigkeit Ihrer Verbindung in Mbit/s. Geben Sie denselben Wert ein, den Sie für die Google-Port-Geschwindigkeit ausgewählt haben.
- VXC State (VXC-Status) – Wählen Sie Enabled (Aktiviert) oder Shut Down (Herunterfahren), um den anfänglichen Zustand der Verbindung festzulegen. Weitere Informationen finden Sie unter Ein VXC zum Failover-Testen herunterfahren.
  
  Hinweis
  
  Wenn Sie Shut Down (Herunterfahren) auswählen, fließt kein Traffic über diesen Service und er verhält sich so, als wäre er im Megaport Netzwerk down. Die Abrechnung für diesen Service bleibt aktiv und Ihnen werden weiterhin Kosten für diese Verbindung berechnet.
- A-End vNIC (A-End-vNIC) – Wählen Sie eine A-End vNIC aus der Dropdown-Liste aus. Weitere Informationen zu vNICs finden Sie unter Erstellen einer MVE im Megaport Portal.
- Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Das VLAN für diese Verbindung, das Sie über die MVE erhalten. Dies muss eine eindeutige VLAN-ID auf dieser MVE sein und kann im Bereich von 2 bis 4093 liegen. Wenn Sie eine bereits verwendete VLAN-ID angeben, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortzufahren. Wenn Sie keinen Wert angeben, weist Megaport einen zu.
- Minimum Term (Mindestlaufzeit) – Wählen Sie Keine Mindestlaufzeit, 12 Monate, 24 Monate oder 36 Monate. Längere Laufzeiten führen zu einer geringeren monatlichen Gebühr. 12 Monate ist standardmäßig ausgewählt. Beachten Sie die Informationen auf dem Bildschirm, um vorzeitige Kündigungsgebühren (ETF) zu vermeiden.
  
  Aktivieren Sie die Option Automatische Verlängerung der Mindestlaufzeit für Services mit einer Laufzeit von 12, 24 oder 36 Monaten, um den Vertrag am Ende des Vertrags automatisch zum gleichen rabattierten Preis und mit derselben Laufzeit zu verlängern. Wenn Sie den Vertrag nicht verlängern, am Ende der Laufzeit, geht der Vertrag automatisch für den folgenden Abrechnungszeitraum in einen Monat-zu-Monat-Vertrag zum gleichen Preis, ohne Laufzeitrabatte über.
  
  Weitere Informationen finden Sie unter VXC Preise und Vertragsbedingungen und Abrechnung für VXC, Megaport Internet und IX.
- Resource Tags (Ressourcen-Tags) – Sie können Ressourcen-Tags verwenden, um eigene Referenzmetadaten zu einem Megaport Dienst hinzuzufügen.
  So fügen Sie einen Tag hinzu:
  1. Klicken Sie auf Tags hinzufügen.
  2. Klicken Sie auf Neuen Tag hinzufügen.
  3. Geben Sie Details in die Felder ein:
    - Schlüssel – String, maximale Länge 128. Zulässige Werte sind a-z 0-9 _ : . / \ -
    - Wert – String, maximale Länge 256. Zulässige Werte sind a-z A-Z 0-9 _ : . @ / + \ - (Leerzeichen)
  4. Klicken Sie auf Speichern.
  Wenn für diesen Dienst bereits Ressourcen-Tags vorhanden sind, können Sie sie verwalten, indem Sie auf Tags verwalten klicken.
  
  Warnung
  
  Fügen Sie niemals sensible Informationen in einem Ressourcen-Tag ein. Zu sensiblen Informationen gehören Befehle, die vorhandene Tag-Definitionen zurückgeben, und Informationen, die eine Person oder ein Unternehmen identifizieren.
Fügen Sie den VXC zu Ihrer Bestellung hinzu und schließen Sie den Bestellvorgang ab.
Sobald Sie den VXC bereitgestellt haben, kehren Sie zu Ihrem Attachment in der Google Cloud Console zurück und akzeptieren Sie das Attachment.
Ihnen wird von Google eine private IP-Adresse zur Konfiguration von BGP bereitgestellt.
Stellen Sie sicher, dass Sie das Attachment voraktivieren oder das Attachment nach der Konfiguration des VXC als aktiv markieren. Andernfalls können Sie BGP mit Ihrer SD-WAN-Instanz nicht einrichten.

Hinweis

Die Google-ASN ist immer 16550.

Hinzufügen der Google-Cloud-Verbindung zu FortiManager

Nachdem Sie die Verbindung von Ihrer MVE zu Google Cloud erstellt und die Verbindung in der Google-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies umfasst die Konfiguration von BGP-Einstellungen, ASNs und VLANs.

So fügen Sie die Google-Cloud-Verbindung in FortiManager hinzu

Sammeln Sie die Verbindungsdetails aus der Google-Konsole.
Zeigen Sie die Details der in Google Cloud erstellten Verbindung für diese Verbindung an. Notieren Sie die Werte für Peer ASN (Peer-ASN), Cloud Router BGP IP und BGP Peer ID.
Sammeln Sie die Verbindungsdetails aus dem Megaport Portal.
Klicken Sie bei der Google-Verbindung Ihrer MVE auf das Zahnradsymbol und dann auf die Detailansicht. Notieren Sie den Wert für das A-End VLAN.
Melden Sie sich beim FortiManager an.

Hinweis

Sie können sich auch direkt auf Ihrer MVE-Instanz anmelden: https://<mve-ip-address>
Gehen Sie auf Ihrem Managed Device zum Menü System und wählen Sie Interface.

Die Seite zeigt port1 als Ihre physische Schnittstelle an.
Klicken Sie auf +Create New > Interface und geben Sie Folgendes an:
- Interface Name – Geben Sie einen aussagekräftigen Namen für das Interface an.
- Alias Name (optional) – Geben Sie einen alternativen Namen ein.
- Type – Wählen Sie VLAN.
- Interface – Wählen Sie das übergeordnete Interface: port1.
- VLAN ID – Geben Sie das A-End VLAN ein, das für diese Google-Verbindung im Megaport Portal aufgeführt ist.
- Role – Wählen Sie Undefined.
- Addressing Mode – Wählen Sie Manual.
- IP/Netmask – Diese Werte sind in den Details des VLAN-Attachments in der Google Cloud Console verfügbar. Die IP-Adresse wird im Feld BGP Peer IP angezeigt.
- Administrative Access - Legen Sie fest, wie Sie auf dieses Interface zugreifen möchten, z. B. über HTTPS, PING und SSH.
- DHCP Server - Klicken Sie auf OFF.
Klicken Sie auf OK.
Das neue VLAN-Interface wird zusammen mit Ihrem physischen Interface port1 angezeigt.

Sie können von FortiOS aus mit dem Befehl execute ping die Verbindung überprüfen.

Hinweis

Sie müssen die Konfiguration auf die MVE pushen; dies geschieht, wenn AutoUpdate konfiguriert ist. Wenn Sie die Verbindung nicht erfolgreich anpingen können, gehen Sie in FortiManager zu Manage Devices, wählen Sie die MVE aus und wählen Sie im Menü More Refresh Device. Wenn Sie dazu aufgefordert werden, wählen Sie AutoUpdate für den Config Status.

An diesem Punkt haben wir das Interface erstellt; als Nächstes müssen wir die BGP-Session erstellen.

Gehen Sie in FortiManager zu Router > BGP.
Geben Sie Folgendes an:
- Local AS – Geben Sie die ASN für die MVE-Verbindung an. Geben Sie die Peer ASN (Peer-ASN) an, die Sie in der BGP-Konfiguration für das VLAN-Attachment in der Google Cloud Console definiert haben.
- Router ID – Geben Sie die Cloud Router BGP IP aus den VLAN-Attachment-Details in der Google Cloud Console an.
Klicken Sie in Neighbors auf +Create New.
Fügen Sie für die Neighbor-IP die Cloud Router BGP IP aus den VLAN-Attachment-Details in der Google Cloud Console hinzu.
Geben Sie für Remote ASN die Google Cloud ASN von 16550 ein.
Dies ist ein fester Wert und wird in den Verbindungsdetails in der Google-Konsole angezeigt.
Klicken Sie auf OK.
Klicken Sie auf Anwenden.

Hinweis

Google Cloud erfordert BGP Multihop Support. Sie können Multihop-Support über die Fortinet CLI mit diesen Befehlen konfigurieren:

config router bgp
config neighbor
edit "<neighbor ip>"
set ebgp-enforce-multihop enable
next
end

Validieren Ihrer Google-Cloud-Verbindung

Sie können Verbindungsdetails, einschließlich des Verbindungsstatus, über die Fortinet CLI mit diesen Befehlen anzeigen:

get system interface – Zeigt Konfigurationsdetails und den aktuellen Status für die Geräteschnittstellen an.
get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status für die BGP Neighbors an.