Erstellen einer Google Cloud Services-Verbindung für eine MVE mit Fortinet-SD-WAN

Sie können eine Netzwerkverbindung von einer MVE (einem FortiGate) zu Google Cloud über Partner Interconnect herstellen.

Bei der Verbindung zu Google Cloud Platform (GCP) über Partner Interconnect mit Megaport bildet der Virtual Cross Connect (VXC) die Layer 2-Komponente der Verbindung, und Layer 3-BGP wird direkt zwischen dem Kunden und GCP eingerichtet.

Wichtig

Bevor Sie beginnen, müssen Sie erst eine MVE (FortiGate) in FortiManager erstellen. Weitere Informationen dazu finden Sie unter Erstellen einer MVE. Die MVE muss sich im aktiven Zustand befinden.

Das Hinzufügen einer Google Cloud-Verbindung zu Ihrer MVE und FortiManager besteht aus drei Schritten.

1. Erstellen Sie eine Partner Interconnect-Anbindung in der Google Cloud Console oder über die CLI gcloud. Kopieren Sie den Kopplungsschlüssel, der als Teil der Anbindung bereitgestellt wird. Weitere Informationen dazu finden Sie in der Google-Dokumentation zu Google Partner Interconnects.

2. Erstellen Sie im Megaport Portal eine VXC-Verbindung von Ihrer MVE, um eine Verbindung zu Ihrer Google Cloud-Anbindung herzustellen.

3. Erstellen Sie in FortiManager eine neue Schnittstelle, und fügen Sie die Details der Google Cloud-Verbindung hinzu.

Diese Anleitung führt Sie schrittweise durch den zweiten und dritten Teil.

Hinweis

MVE für Fortinet SD-WAN erfordert bei allen Cloudverbindungen Konfigurationsschritte sowohl in FortiManager als auch im Megaport Portal.

Hinzufügen der Google Cloud-Verbindung im Megaport Portal

Zum Einrichten der GPC-Verbindung müssen Sie die Verbindung im Megaport Portal erstellen.

So stellen Sie einen VXC zur Google Cloud Platform über das Megaport Portal bereit

1. Klicken Sie im Megaport Portal für die MVE auf +Connection (Neue Verbindung), um die VXC-Verbindung zu erstellen.
   

2. Klicken Sie auf die Cloud-Kachel.

3. Wählen Sie Google als Anbieter aus.
   

4. Kopieren Sie den Kopplungsschlüssel aus der Google Cloud-Konsole und fügen Sie ihn in das Feld im rechten Bereich ein.
   Die relevanten Google-Ziele werden basierend auf der Region Ihrer GCI-Partnerverbindung angezeigt.

5. Wählen Sie den Zielort für Ihre Verbindung und klicken Sie auf Next (Weiter).

6. Geben Sie die folgenden Verbindungsdetails an:

   • Connection Name (Name der Verbindung) – Dies ist ein Freitextfeld, in dem Sie einen leicht identifizierbaren Namen für diese Verbindung vergeben können.

   Hinweis

   Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

   • Rate Limit (Übertragungsratenlimit) – Geben Sie den gleichen Wert ein, den Sie als Google-Portgeschwindigkeit ausgewählt haben.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) – Dies ist das VLAN dieser Verbindung, das Sie über die MVE erreichen. Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu.

7. Fügen Sie den VXC zu Ihrer Bestellung hinzu, und schließen Sie den Bestellvorgang ab.

8. Wenn Sie den VXC bereitgestellt haben, gehen Sie zurück zu Ihrer Anbindung in der Google Cloud Console, und akzeptieren Sie die Anbindung.
   Daraufhin erhalten Sie Ihre private IP-Adresse von Google, um BGP zu konfigurieren.
   Stellen Sie sicher, dass Sie die Anbindung vorab aktivieren bzw. die Anbindung als aktiv markieren, nachdem Sie den VXC konfiguriert haben. Andernfalls können Sie BGP nicht mit Ihrer SD-WAN-Instanz einrichten.

Hinweis

Die Google ASN wird immer 16550 sein.

Hinzufügen der Google Cloud-Verbindung zu FortiManager

Nachdem Sie die Verbindung von Ihrer MVE zu Google Cloud erstellt und die Verbindung in der Google-Konsole eingerichtet haben, müssen Sie sie in FortiManager konfigurieren. Dies beinhaltet die Konfiguration von BGP-Einstellungen, ASNs und VLANs.

So fügen Sie die Google Cloud-Verbindung in FortiManager hinzu

1. Notieren Sie sich die in der Google-Konsole angezeigten Verbindungsdetails.
   Zeigen Sie die Details der Verbindung an, die Sie in Google Cloud für diese Verbindung erstellt haben. Notieren Sie sich die Werte für Peer ASN, Cloud Router BGP IP und BGP Peer ID.
   

2. Notieren Sie sich die im Megaport Portal angegebenen Verbindungsdetails.
   Klicken Sie auf das Zahnradsymbol für die Google-Verbindung von Ihrer MVE aus, und klicken Sie dann auf die Ansicht „Details“. Beachten Sie den Wert für das A-Ende-VLAN.

3. Melden Sie sich beim FortiManager an.

   Hinweis

   Sie können sich auch bei Ihrer MVE-Instanz anmelden: https://<mve-ip-address>

4. Wählen Sie in Ihrem verwalteten Gerät im Menü System die Option Interface (Schnittstelle) aus.
   
   Die Seite zeigt Port1 als Ihre physische Schnittstelle an.

5. Klicken Sie auf +Create New > Interface (Erstellen > Schnittstelle), und geben Sie folgende Informationen ein:

   • Interface Name (Schnittstellenname) – Geben Sie einen aussagekräftigen Namen für die Schnittstelle an.
   • Alias Name (Aliasname) – Geben Sie optional einen alternativen Namen an.
   • Type (Typ) – Wählen Sie „VLAN“ aus.
   • Interface (Schnittstelle) – Wählen Sie die übergeordnete Schnittstelle: port1.
   • VLAN ID (VLAN-ID) – Geben Sie das A-Ende-VLAN an, das für diese Google-Verbindung im Megaport Portal aufgeführt ist.
   • Role (Rolle) – Wählen Sie „Undefined“ (Nicht definiert) aus.
   • Addressing Mode (Adressierungsmodus) – Wählen Sie „Manual“ (Manuell) aus.
   • IP/Netmask – Diese Werte sind in den Details der VLAN-Anbindung in der Google Cloud-Konsole verfügbar. Die IP-Adresse wird im Feld BGP Peer IP angezeigt.
   • Administrative Access (Administrativer Zugriff) - Legen Sie fest, wie Sie auf diese Schnittstelle zugreifen möchten, z. B. über HTTPS, PING oder SSH.
   • DHCP Server - Klicken Sie auf OFF (Aus).
     

6. Klicken Sie auf OK.
   Die neue VLAN-Schnittstelle wird mit Ihrer physischen Schnittstelle Port1 angezeigt.

Sie können einen execute ping-Befehl von FortiOS aus ausführen, um die Verbindung zu überprüfen.

Hinweis

Sie müssen die Konfiguration an die MVE übertragen, was geschieht, wenn Sie AutoUpdate konfiguriert haben. Wenn Sie die Verbindung nicht erfolgreich anpingen können, gehen Sie in FortiManager zu „Manage Devices“ (Geräte verwalten), wählen Sie die MVE aus, und wählen Sie im Menü „More“ (Mehr) die Option Refresh Device (Gerät aktualisieren) aus. Wenn Sie dazu aufgefordert werden, wählen Sie für den Config Status (Konfigurationsstatus) die Option „AutoUpdate“ aus.

An diesem Punkt haben wir die Schnittstelle erstellt. Als Nächstes müssen wir die BGP-Sitzung erstellen.

1. Wählen Sie in FortiManager Router > BGP aus.
   

2. Geben Sie die folgenden Informationen an:

   • Locale AS (Lokales AS) – Geben Sie die ASN (Autonomous System Number) für die MVE-Verbindung an. Geben Sie die Peer ASN an, die Sie in der BGP-Konfiguration für die VLAN-Anbindung in der Google Cloud-Konsole definiert haben.
   • Router ID (Router-ID) – Geben Sie die Cloud Router BGP IP (Cloudrouter-BGP-IP) aus den Details zur VLAN-Anbindung in der Google Cloud-Konsole an.
     

3. Klicken Sie unter „Neighbors“ (Nachbarn) auf +Create New (Neu erstellen).

4. Fügen Sie unter Neighbor IP (Nachbar-IP) die Cloud Router BGP IP aus den Details zur VLAN-Anbindung in der Google Cloud-Konsole hinzu.

5. Geben Sie für Remote ASN die Google Cloud-ASN von 16550 ein.
   Dies ist ein fester Wert, der in den Verbindungsdetails der Google-Konsole angezeigt wird.

6. Klicken Sie auf OK.

7. Klicken Sie auf Apply (Anwenden).

Hinweis

Google Cloud erfordert Unterstützung für BGP Multihop. Sie können die Multihop-Unterstützung über die Fortinet-CLI mit den folgenden Befehlen konfigurieren:

config router bgp
config neighbor
edit "<neighbor ip>"
set ebgp-enforce-multihop enable
next
end

Validieren der Google Cloud-Verbindung

Mit den folgenden Befehlen können Sie Verbindungsdetails, einschließlich des Verbindungsstatus, über die Fortinet CLI überprüfen:

• get system interface – Zeigt Konfigurationsdetails und den aktuellen Status der Geräteschnittstellen an.
• get router info bgp neighbor <ip-address> – Zeigt Konfigurationsdetails und den aktuellen Status der BGP-Nachbarn an.

---

Letztes Update: 2024-02-12