Erstellen eines MVE, das in Fortinet integriert ist

Unter diesem Thema wird beschrieben, wie Sie ein Megaport Virtual Edge (MVE) in Fortinet Secure SD-WAN erstellen und konfigurieren. Bevor Sie beginnen, benötigen Sie Benutzerkonten mit Bestellberechtigungen, die den Zugriff auf das Megaport Portal und auf Fortinet ermöglichen.

Weitere Informationen zum Einrichten eines Megaport-Kontos finden Sie unter Registrieren eines Kontos.

Tipp

Fortinet stellt Dokumentationen für sein SD-WAN-Produkt, einschließlich FortiManager und Cloudverbindungen, unter Fortinet SD-WAN Documentation Library zur Verfügung.

Grundlegende Schritte

Dieser Abschnitt gibt einen Überblick über die Konfigurationsschritte in FortiManager und im Megaport Portal. Details folgen.

Die grundlegenden Schritte sind:

  • Erwerben Sie eine Lizenz von Fortinet.
  • Generieren Sie ein SSH-Schlüsselpaar für die Authentifizierung.
  • Erstellen Sie ein Fortinet MVE im Megaport Portal.
  • Zeigen Sie die Zuweisung der öffentlichen IP-Adresse des MVE im Megaport Portal an.
  • Legen Sie ein Admin-Passwort für das FortiGate fest.
  • Erlauben Sie den sicheren Konsolenzugriff auf das FortiGate.
  • Fügen Sie das FortiGate zu FortiManager Cloud hinzu (optional).

Lizenzierung

Bevor Sie ein MVE im Megaport Portal erstellen, benötigen Sie eine gültige Lizenz von Fortinet. Nach dem Kauf einer Lizenz von Fortinet erhalten Sie einen Registrierungscode in einer PDF-Datei. Mit diesem Registrierungscode können Sie eine Lizenzdatei generieren.

So erhalten Sie eine Lizenzdatei von Fortinet

  1. Melden Sie sich bei Ihrem Registrierungskonto bei Fortinet Support an.

  2. Wählen Sie „Register Product“ (Produkt registrieren), und geben Sie den bereitgestellten Registrierungscode ein.

  3. Folgen Sie dem Registrierungsprozess.

    Fortinet generiert die Seriennummer und zeigt sie auf der Seite „Registration Completion“ (Registrierungsabschluss) an.

  4. Wählen Sie Manage > View Products (Verwalten > Produkte anzeigen), und klicken Sie auf die Seriennummer.

  5. Klicken Sie auf den Download-Link, und speichern Sie die Lizenzdatei. Sie laden die Lizenzdatei später in das Megaport Portal hoch.

Sobald das Produkt registriert ist, wird es in der Produktliste von FortiCloud Asset Management angezeigt.

Der nächste Schritt besteht darin, ein SSH-Schlüsselpaar für die Authentifizierung zu generieren.

Administrativer Zugriff auf die MVE

MVE und FortiGate verbinden sich über ein öffentliches/privates SSH-Schlüsselpaar, um sichere Verbindungen herzustellen. Mit dem öffentlichen SSH-Schlüssel können Sie sich per SSH bei FortiGate anmelden und dann das administrative Kennwort festlegen, den HTTPS-Zugang aktivieren und optional das FortiGate bei Ihrer FortiManager Cloud registrieren.

Megaport unterstützt den 2048-Bit-RSA-Schlüsseltyp.

So generieren Sie ein SSH-Schlüsselpaar (Linux/Mac OSX)

  • Führen Sie den SSH-Befehl „ssh-keygen“ aus:
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

Mit dem Schlüsselgeneratorbefehl wird ein SSH-Schlüsselpaar erstellt, und es werden zwei Dateien zu Ihrem ~/.ssh-Verzeichnis hinzugefügt:

  • megaport-mve-instance-1-2048 - enthält den privaten Schlüssel.
  • megaport-mve-instance-1-2048.pub - enthält den öffentlichen Schlüssel, der zur Anmeldung am Fortinet-Konto berechtigt ist.

So generieren Sie ein SSH-Schlüsselpaar (Windows, mit PuTTYgen)

  1. Öffnen Sie PuTTYGen.
  2. Wählen Sie im Abschnitt „Key“ (Schlüssel) die Option „RSA 2048 bit“ aus, und klicken Sie auf Generate (Generieren).
  3. Bewegen Sie die Maus zufällig im kleinen Bildschirm, um die Schlüsselpaare zu generieren.
  4. Geben Sie einen Schlüsselkommentar ein, der den Schlüssel identifiziert.
    Dies ist praktisch, wenn Sie mehrere SSH-Schlüssel verwenden.
  5. Geben Sie eine Schlüssel-Passphrase ein, und bestätigen Sie erneut.
    Die Passphrase wird zum Schutz Ihres Schlüssels verwendet. Sie werden danach gefragt, wenn Sie eine Verbindung über SSH herstellen.
  6. Klicken Sie auf Save private key (Privaten Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).
  7. Klicken Sie auf Save public key (Öffentlichen Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).

Sie werden den Inhalt der Datei mit dem öffentlichen Schlüssel später kopieren und in das Megaport Portal einfügen, um den öffentlichen Schlüssel an das FortiGate zu verteilen. Ihr privater Schlüssel muss mit dem öffentlichen Schlüssel übereinstimmen, um den Zugriff zu ermöglichen. Nur ein einziger privater Schlüssel hat für den SSH-Zugang Zugriff auf das FortiGate.

Erstellen eines MVE im Megaport Portal

Bevor Sie ein MVE erstellen, müssen Sie den besten Standort bestimmen - einen, der MVE unterstützt, und einen, der im kompatibelsten Metrobereich liegt. Sie können mehrere Standorte mit einem einzelnen MVE verbinden. Weitere Informationen zum Standort finden Sie unter Planung der Bereitstellung.

Sie können aus Redundanz- oder Kapazitätsgründen mehrere MVEs innerhalb desselben Metrobereichs einsetzen.

So erstellen Sie ein MVE

  1. Wechseln Sie im Megaport Portal auf die Seite Services (Dienste).
  2. Klicken Sie auf Create MVE (MVE erstellen).
    Schaltfläche „Create MVE“ (MVE erstellen)

  3. Wählen Sie den MVE-Standort aus.

    Wählen Sie einen Standort, der sich geografisch in der Nähe Ihrer Zielzweigstelle und/oder Ihrer lokalen Standorte befindet.

    Das von Ihnen gewählte Land muss ein Markt sein, in dem Sie bereits registriert sind.

    Wenn Sie an dem Standort, an dem Sie die MVE bereitstellen werden, noch keinen Abrechnungsmarkt registriert haben, gehen Sie wie in Aktivieren eines Abrechnungsmarktes beschrieben vor.

    Um in der Liste nach Ihrem lokalen Markt zu suchen, geben Sie unter „Country Filter“ (Landesfilter) ein Land ein oder ein Detail der Metroregion im Suchfilter ein.

    MVE-Standort auswählen

  4. Klicken Sie auf Next (Weiter).

  5. Wählen Sie „Fortinet“ und die Softwareversion aus.
    Die MVE wird so konfiguriert, dass sie mit dieser Softwareversion von Fortinet kompatibel ist.

  6. Geben Sie die MVE-Details an:
    MVE-Details

    • MVE Name (MVE-Name)– Geben Sie einen Namen für die MVE an, der leicht identifizierbar ist, insbesondere wenn Sie mehr als einen planen. Dieser Name erscheint im Megaport Portal.

    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Identifikationsnummer für die MVE an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

      Hinweis

      Der mit der MVE verbundene Transit-VXC wird automatisch mit der MVE-Service-Level-Referenz-Nummer aktualisiert.

    • Size (Größe) – Wählen Sie in der Dropdown-Liste eine Größe aus: Small, Medium oder Large. Es sind drei Größen verfügbar, um eine unterschiedliche Anzahl gleichzeitiger Verbindungen zu unterstützen. Die Metriken der einzelnen Partnerprodukte variieren leicht, aber im Allgemeinen kann die kleine Größe (Small) mehr als 30 gleichzeitige Zweigstellenverbindungen und bis zu 500 Mbit/s Datenverkehr verarbeiten, die mittlere Größe (Medium) bis zu 300 Verbindungen und 1 Gbit/s Datenverkehr und die große Größe (Large) etwa 600 Verbindungen und etwa 5 Gbit/s Datenverkehr.

    • Appliance Licence (Appliance-Lizenz) – Klicken Sie auf Choose File (Datei wählen), und wählen Sie dann die zuvor von Fortinet generierte Appliance-Lizenz aus.

    • SSH Key (SSH-Schlüssel) – Kopieren Sie den Inhalt Ihres öffentlichen SSH-Schlüssels, und fügen Sie ihn hier ein. Sie finden den öffentlichen Schlüssel in der zuvor generierten Datei megaport-mve-instance-1-2048.pub.

  7. Klicken Sie auf Next (Weiter), um den Bildschirm „Summary“ (Zusammenfassung) anzuzeigen.

    Die monatliche Rate hängt vom Standort und der Größe ab.
    MVE-Zusammenfassung

  8. Bestätigen Sie Konfiguration und Preis, und klicken Sie auf Add MVE (MVE hinzufügen).
    Klicken Sie auf MVE erstellen, um weitere MVEs an anderen Standorten hinzuzufügen.

  9. Klicken Sie auf Order (Bestellen).

  10. Prüfen Sie die Vereinbarung zur Bestellung von Diensten, und klicken Sie auf Order Now (Jetzt bestellen).

    • Klicken Sie auf Save (Speichern), um die konfigurierte MVE zu speichern, bevor Sie die Bestellung aufgeben.
    • Klicken Sie auf Add Promo Code (Promo-Code hinzufügen), um einen Aktionscode einzugeben, und klicken Sie auf Add Code (Code hinzufügen).

Das bestellende MVE stellt die Instanz bereit und weist IP-Adressen aus dem Megaport SDN zu. Die MVE-Bereitstellung nimmt nur wenige Minuten in Anspruch. Im Bereitstellungsprozess wird ein FortiGate hochgefahren.

Anzeigen der Zuordnung der öffentlichen IP-Adresse der MVE im Megaport Portal

Nachdem Sie die MVE erstellt haben, können Sie sie im Megaport Portal anzeigen.

So zeigen Sie ein MVE im Megaport Portal an

  • Wechseln Sie auf die Seite „Services“ (Dienste).

MVE und Transit-VXC im Megaport Portal

Als Teil der MVE-Bereitstellung erstellt Megaport einen Transit-VXC (Virtual Cross Connect), um Internetkonnektivität bereitzustellen und um der MVE die Registrierung und Kommunikation mit dem Fortinet SD-WAN-Overlay-Netzwerk zu ermöglichen. Das Overlay-Netzwerk wird von Fortinet erstellt und verwaltet, um sichere Tunnel von den Zweigstellenstandorten bereitzustellen. Die Transit-VXC ist eine feste Größe, basierend auf der Größe der MVE. Sie können den Transit-VXC nicht ändern oder löschen. Das Transit-VXC-Symbol unterscheidet sich im Megaport Portal vom Standard-VXC-Symbol, wie in der Abbildung gezeigt.

So zeigen Sie die öffentlichen IP-Adressen an, die der MVE zugewiesen sind

  1. Klicken Sie auf das Zahnradsymbol neben dem Transit-VXC zu Megaport Internet.

  2. Suchen Sie die öffentliche IP-Adresse (IPv4 oder IPv6). Dies sind die öffentlichen IP-Adressen, die der MVE zugewiesen sind. Notieren Sie sich diese Adressen zur späteren Verwendung.

Konsolenzugriff auf das FortiGate zulassen

Der Konsolenzugriff auf das FortiGate erfolgt über eine sichere HTTPS-Sitzung. Die MVE blockiert alle Zugriffe auf die dem Gerät zugewiesenen öffentlichen IP-Adressen, bis Sie sich per SSH am Gerät anmelden und HTTPS-Zugriff gewähren.

So legen Sie ein Admin-Web-UI-Kennwort fest und erlauben den HTTPS-Zugriff

  1. Melden Sie sich per SSH bei der Fortinet-MVE-Instanz mit dem zuvor generierten privaten SSH-Schlüssel an. Der Standardbenutzername ist „admin“, gefolgt von der öffentlichen IP-Adresse, die dem Gerät von Megaport zugewiesen wurde.

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    Sobald Sie sich in der FortiOS-CLI befinden, können Sie den Systemstatus anzeigen und den Zugriff auf das Gerät mithilfe von CLI-Befehlen gewähren.

    Hinweis

    Die FortiOS-CLI unterscheidet sich von der Standard-NOS-CLI oder der Linux-Shell.

  2. Konfigurieren Sie ein Kennwort für das Benutzerkonto „admin“.

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375 (admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # end
    
  3. Erlauben Sie den HTTPS-Zugriff zu der öffentlichen Schnittstellen GUI auf Port 1.

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  4. Prüfen Sie, ob ein HTTPS-Zugriff zugelassen ist.

      FGVM08TM21001375 # show system interface
    

Wenn der HTTPS-Zugriff zugelassen ist, können Sie sich über die Weboberfläche des FortiGate mit den Anmeldedaten des Benutzers „admin“ anmelden.

Hinzufügen des FortiGate zur FortiManager Cloud

Im nächsten Schritt erfolgt das Hinzufügen des FortiGate zu FortiManager Cloud, der zentralen SD-WAN-Verwaltungsplattform von Fortinet.

Hinweis

Dieser Schritt ist optional. Sie können ein FortiGate als eigenständiges Gerät verwalten, ohne FortiManager Cloud als zentralen Manager zu verwenden.

So fügen Sie das FortiGate zu FortiManager Cloud hinzu

  1. Melden Sie sich bei der FortiGate-GUI an: https://162.43.xx.x

  2. Wählen Sie „Device Manager“ (Geräte-Manager) aus.

  3. Wählen Sie im Geräte-Dashboard die Option „Security Fabric“ (Sicherheitsstruktur) > „Fabric Connectors“ (Strukturkonnektoren).

  4. Wählen Sie „FortiManager“ aus, und klicken Sie auf Edit (Bearbeiten).

    FortiGate zu FortiManager hinzufügen

  5. Wählen Sie die folgenden Einstellungen aus:

    • Status - „Enabled“ (Aktiviert)
    • Type - FortiManager Cloud
    • Modus - Normal
  6. Klicken Sie auf OK.

    Die FortiCloud kontaktiert zur Genehmigung Ihre registrierte FortiManager Cloud. Der Registrierungsprozess erfordert keine IP-Adresse, sondern verwendet stattdessen eine Backend-Authentifizierung durch vorherige Registrierung und Lizenzierung.

Autorisieren des FortiGate in FortiManager

Bevor FortiManager das FortiGate zu seiner Liste der verwalteten Geräte hinzufügt, müssen Sie es manuell autorisieren.

So autorisieren Sie das FortiGate

  1. Melden Sie sich bei Ihrer FortiManager Cloud-Instanz unter Fortinet Support an.

  2. Wählen Sie „Services“ (Dienste) > FortiManager aus.

    Gerät autorisieren

    Sie sehen, dass ein nicht autorisiertes Gerät auf die Genehmigung wartet.

    FortiGate wartet auf Autorisierung

  3. Klicken Sie auf „Unauthorized Devices“ (Nicht autorisierte Geräte), und wählen Sie dann das zu autorisierende Gerät aus.

  4. Klicken Sie auf Authorize (Autorisieren).

  5. Sie können optional den Gerätenamen ändern, ein vorkonfiguriertes Richtlinienpaket anwenden oder eine vorkonfigurierte Bereitstellungsvorlage auf das Gerät anwenden.

  6. Klicken Sie auf OK, wenn Sie mit der Konfiguration zufrieden sind.
    Ein grünes Häkchen zeigt an, dass das FortiGate von FortiManager autorisiert wurde.

    Erfolgreiche Autorisierung des FortiGate

  7. Klicken Sie auf Close (Schließen).

Das Gerät wird nun über FortiManager Cloud verwaltet, und Sie können es in der Liste der verwalteten Geräte anzeigen.

Verwaltung der FortiCloud über FortiManager

Hinweis

Die auf dem Dashboard angezeigte IP-Adresse für das FortiGate ist eine interne, private IP, die speziell für das SD-WAN-Overlay verwendet wird.

Löschen eines MVE

Sie können ein MVE direkt vom Megaport Portal aus beenden.

So löschen Sie ein MVE

  1. Gehen Sie im Megaport Portal auf die Seite „Services“ (Dienste).

  2. Klicken Sie auf das Mülleimer-Symbol neben der MVE, die Sie löschen möchten.

    Es wird eine Liste aller mit der MVE verbundenen Dienste angezeigt.

    Beenden einer MVE

  3. Klicken Sie auf Yes, Terminate Services (Ja, Dienste beenden), um die Beendigung der MVE zu bestätigen, oder klicken Sie auf No, Keep Services (Nein, Dienste beibehalten), um den Vorgang abzubrechen.

    Die MVE und seine zugehörigen VXCs werden aus dem Megaport-Netzwerk gelöscht. Verwenden Sie den Geräte-Manager im FortiManager, um das FortiGate zu löschen.

Nächste Schritte

Nachdem Sie nun ein MVE bereitgestellt haben, besteht der nächste Schritt darin, einen VXC (Virtual Cross Connect) mit einem CSP, einem lokalen Port oder mit dem Netzwerk eines Drittanbieters zu verbinden. Sie können optional einen physischen Port über einen privaten VXC mit der MVE verbinden oder eine Verbindung zu einem Dienstanbieter auf dem Megaport Marketplace herstellen.


Letztes Update: