Erstellen einer MVE, die in Fortinet integriert ist

Unter diesem Thema wird beschrieben, wie Sie eine Megaport Virtual Edge (MVE) in Fortinet Secure-SD-WAN erstellen und konfigurieren. Bevor Sie beginnen, benötigen Sie Benutzerkonten mit Bestellberechtigungen, die den Zugriff auf das Megaport Portal und auf Fortinet ermöglichen.

Weitere Informationen zum Einrichten eines Megaport-Kontos finden Sie unter Erstellen eines Kontos.

Tipp

Fortinet stellt Dokumentationen für sein SD-WAN-Produkt, einschließlich FortiManager und Cloudverbindungen, unter Fortinet SD-WAN Documentation Library zur Verfügung.

Grundlegende Schritte

Dieser Abschnitt gibt eine Übersicht über die Konfigurationsschritte in FortiManager und im Megaport Portal. Nach dieser Zusammenfassung der grundlegenden Schritte folgen detaillierte Beschreibungen der Verfahren.

Die grundlegenden Schritte sind:

• Erwerben Sie eine Lizenz von Fortinet.
• Generieren Sie ein SSH-Schlüsselpaar für die Authentifizierung.
• Erstellen Sie eine Fortinet-MVE im Megaport Portal.
• Zeigen Sie die Zuweisung der öffentlichen IP-Adresse der MVE im Megaport Portal an.
• Legen Sie ein Admin-Passwort für das FortiGate fest.
• Erlauben Sie den sicheren Konsolenzugriff auf das FortiGate.
• Fügen Sie das FortiGate zu FortiManager Cloud hinzu (optional).

Lizenzierung

Bevor Sie eine MVE im Megaport Portal erstellen, benötigen Sie eine gültige Lizenz von Fortinet. Nach dem Kauf einer Lizenz von Fortinet erhalten Sie einen Registrierungscode in einer PDF-Datei. Mit diesem Registrierungscode können Sie eine Lizenzdatei generieren.

So erwerben Sie eine Lizenzdatei von Fortinet

1. Melden Sie sich bei Ihrem Registrierungskonto bei Fortinet Support an.

2. Wählen Sie „Register Product“ (Produkt registrieren), und geben Sie den bereitgestellten Registrierungscode ein.

3. Folgen Sie dem Registrierungsprozess.
   Fortinet generiert die Seriennummer und zeigt sie auf der Seite „Registration Completion“ (Registrierungsabschluss) an.

4. Wählen Sie Manage > View Products (Verwalten > Produkte anzeigen), und klicken Sie auf die Seriennummer.

5. Klicken Sie auf den Download-Link, und speichern Sie die Lizenzdatei. Sie laden die Lizenzdatei später in das Megaport Portal hoch.

Sobald das Produkt registriert ist, wird es in der Produktliste von FortiCloud Asset Management angezeigt.

Der nächste Schritt besteht darin, ein SSH-Schlüsselpaar für die Authentifizierung zu generieren.

Administrativer Zugriff auf die MVE

MVE und FortiGate verbinden sich über ein öffentliches/privates SSH-Schlüsselpaar, um sichere Verbindungen herzustellen. Mit dem öffentlichen SSH-Schlüssel können Sie sich per SSH bei FortiGate anmelden und dann das administrative Kennwort festlegen, den HTTPS-Zugang aktivieren und optional das FortiGate bei Ihrer FortiManager Cloud registrieren.

Megaport unterstützt den 2048-Bit-RSA-Schlüsseltyp.

So generieren Sie ein SSH-Schlüsselpaar (Linux/Mac OSX)

• Führen Sie den SSH-Befehl „ssh-keygen“ aus:

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

Mit dem Schlüsselgeneratorbefehl wird ein SSH-Schlüsselpaar erstellt, und es werden zwei Dateien zu Ihrem ~/.ssh-Verzeichnis hinzugefügt:

• megaport-mve-instance-1-2048 - Enthält den privaten Schlüssel.
• megaport-mve-instance-1-2048.pub - Enthält den öffentlichen Schlüssel, der zur Anmeldung beim Fortinet-Konto berechtigt.

So generieren Sie ein SSH-Schlüsselpaar (Windows, mit PuTTYgen)

1. Öffnen Sie PuTTYGen.
2. Wählen Sie im Abschnitt „Key“ (Schlüssel) die Option „RSA 2048 bit“ aus, und klicken Sie auf Generate (Generieren).
3. Bewegen Sie die Maus zufällig im kleinen Bildschirm, um die Schlüsselpaare zu generieren.
4. Geben Sie einen Schlüsselkommentar ein, der den Schlüssel identifiziert.
   Dies ist praktisch, wenn Sie mehrere SSH-Schlüssel verwenden.
5. Geben Sie eine Schlüssel-Passphrase ein, und bestätigen Sie erneut.
   Die Passphrase wird zum Schutz Ihres Schlüssels verwendet. Sie werden danach gefragt, wenn Sie eine Verbindung über SSH herstellen.
6. Klicken Sie auf Save private key (Privaten Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).
7. Klicken Sie auf Save public key (Öffentlichen Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).

Sie werden den Inhalt der Datei mit dem öffentlichen Schlüssel später kopieren und in das Megaport Portal einfügen, um den öffentlichen Schlüssel an das FortiGate zu verteilen. Ihr privater Schlüssel muss mit dem öffentlichen Schlüssel übereinstimmen, um den Zugriff zu ermöglichen. Nur ein einziger privater Schlüssel hat für den SSH-Zugang Zugriff auf das FortiGate.

Erstellen einer MVE im Megaport Portal

Bevor Sie eine MVE erstellen, müssen Sie den besten Standort bestimmen - einen, der MVE unterstützt und im kompatibelsten Metrobereich liegt. Sie können mehrere Standorte mit einer einzelnen MVE verbinden. Weitere Informationen zum Standort finden Sie unter Planung der Fortinet-Bereitstellung.

Sie können aus Redundanz- oder Kapazitätsgründen mehrere MVEs innerhalb desselben Metrobereichs einsetzen.

So erstellen Sie eine MVE

1. Wechseln Sie im Megaport Portal auf die Seite Services (Dienste).

2. Klicken Sie auf Create MVE (MVE erstellen).
   

3. Wählen Sie den MVE-Standort aus.

   Wählen Sie einen Standort, der sich geografisch in der Nähe Ihrer Zielzweigstelle und/oder Ihrer lokalen Standorte befindet.

   Das von Ihnen gewählte Land muss ein Markt sein, in dem Sie bereits registriert sind.

   Wenn Sie an dem Standort, an dem Sie die MVE bereitstellen werden, noch keinen Abrechnungsmarkt registriert haben, gehen Sie wie in Aktivieren eines Abrechnungsmarktes beschrieben vor.

   Um in der Liste nach Ihrem lokalen Markt zu suchen, geben Sie unter „Country Filter“ (Landesfilter) ein Land ein oder ein Detail der Metroregion im Suchfilter ein.

   

4. Klicken Sie auf Next (Weiter).

5. Wählen Sie „Fortinet“ und die Softwareversion aus.
   Die MVE wird so konfiguriert, dass sie mit dieser Softwareversion von Fortinet kompatibel ist.

6. Geben Sie die MVE-Details an:

   • MVE Name (MVE-Name) – Geben Sie einen Namen für die MVE an, der leicht zu identifizieren ist, insbesondere wenn Sie mehrere MVEs bereitstellen möchten. Dieser Name erscheint im Megaport Portal.

     Hinweis

     Von Partnern verwaltete Konten können ein Partner-Angebot mit einem Dienst mit einem Mindestabonnement von 12 Monaten verknüpfen. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

   • Size (Größe) – Wählen Sie in der Dropdown-Liste eine Größe aus. In der Liste werden alle Größen angezeigt, die der CPU-Kapazität am ausgewählten Standort entsprechen. Die Größen unterstützen eine unterschiedliche Anzahl von gleichzeitigen Verbindungen, und die Kennzahlen der einzelnen Partnerprodukte variieren leicht. Weitere Informationen finden Sie unter Planung der Fortinet-Bereitstellung.

   • Minimum Term (Mindestlaufzeit) – Wählen Sie „No Minimum Term“ (Keine Mindestlaufzeit), um nutzungsbasiert zu zahlen, oder wählen Sie eine Laufzeit von 12, 24 oder 36 Monaten. Längere Laufzeiten führen zu einer niedrigeren monatlichen Rate. Standardmäßig wird eine Laufzeit von 12 Monaten gewählt.

     Hinweis

     Partner und von Partnern verwaltete Konten wählen MCR-Abonnements anstelle von MCR-Vertragsbedingungen.

     Einzelheiten zu den Vertragsbedingungen finden Sie unter Preise und Vertragsbedingungen für MVEs.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Identifikationsnummer für die MVE an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

   • Appliance-Lizenz – (Optional) Klicken Sie auf Datei wählen, und wählen Sie die zuvor von Fortinet generierte Appliance-Lizenz aus.

   • SSH Key (SSH-Schlüssel) – Kopieren Sie den Inhalt Ihres öffentlichen SSH-Schlüssels, und fügen Sie ihn hier ein. Sie finden den öffentlichen Schlüssel in der zuvor generierten Datei megaport-mve-instance-1-2048.pub.

   • Virtuelle Schnittstellen (vNICs) – Fortinet ist standardmäßig mit einem vNIC namens Data Plane konfiguriert. Falls erforderlich, können Sie den Namen ändern, indem Sie den Text Data Plane überschreiben.

     Sie können der MVE insgesamt fünf vNICs hinzufügen, einschließlich der standardmäßig hinzugefügten.

     So fügen Sie einen vNIC hinzu:

     • Klicken Sie auf +Add (Hinzufügen).

       

     • Geben Sie einen Namen für den vNIC ein.

       

     Hinweis

     Wenn Sie die Anzahl der vNICs dieser MVE erhöhen oder verringern möchten, nachdem sie bereitgestellt wurde, müssen Sie die gesamte MVE löschen und neu erstellen. Sie können einer bereitgestellten MVE keine vNICs hinzufügen oder aus dieser löschen.

   

7. Klicken Sie auf Next (Weiter), um den Bildschirm „Summary“ (Zusammenfassung) anzuzeigen.
   Die monatliche Rate hängt vom Standort und der Größe ab.
   

8. Bestätigen Sie die Konfiguration und den Preis, und klicken Sie dann auf Add MVE (MVE hinzufügen).
   Sie werden aufgefordert, eine Megaport Internet-Verbindung zu erstellen. Eine Megaport Internet-Verbindung bietet Internetkonnektivität und ermöglicht der MVE die Registrierung und Kommunikation mit dem Fortinet-SD-WAN-Overlay-Netzwerk.
   

So erstellen Sie die Megaport Internet-Verbindung

1. Klicken Sie zum Fortfahren auf Create Megaport Internet (Megaport Internet erstellen) (empfohlen), oder klicken Sie auf Not now (Nicht jetzt), um den Internetzugang zu einem späteren Zeitpunkt bereitzustellen.
   Es wird automatisch ein Zielport in der gleichen Diversitätszone wie der MVE zugewiesen.

   Hinweis

   MVE erfordert eine Verbindung zum Internet. Sie können entweder eine Megaport Internet-Verbindung bereitstellen oder Ihren eigenen Internetzugang einrichten.

2. Geben Sie die Verbindungsdetails an:

   • Connection Name (Verbindungsname) – Geben Sie einen eindeutigen Namen für die Megaport Internet-Verbindung an.

   • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Identifikationsnummer für die Megaport Internet-Verbindung an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung.

     Tipp

     Verwenden Sie für die Megaport Internet-Verbindung und die MVE dieselbe Service-Level-Referenznummer, um das entsprechende Paar in Ihrer Rechnung besser zu identifizieren.

   • Rate Limit (Übertragungsratenlimit) – Das Übertragungsratenlimit gibt die Geschwindigkeit der Megaport Internet-Verbindung an. Es kann zwischen 20 Mbit/s und 10 Gbit/s liegen und in Schritten von 1 Mbit/s angepasst werden. Sie können die Geschwindigkeit nach dem Erstellen der Megaport Internet-Verbindung nach Bedarf ändern. Details zur monatlichen Abrechnung werden auf Basis von Standort und Übertragungsratenlimit angezeigt.

   • A-End vNIC – Geben Sie einen vNIC aus der Dropdown-Liste an. Die Liste enthält die vNICs, die Sie beim Erstellen der MVE definiert haben.

   • Preferred A-End VLAN (Bevorzugtes A-Ende-VLAN) (optional) – Geben Sie eine nicht verwendete VLAN-ID für diese Verbindung an.
     Dies muss eine eindeutige VLAN-ID auf dieser MVE im Bereich von 2 bis 4093 sein. Wenn Sie eine VLAN-ID angeben, die bereits verwendet wird, zeigt das System die nächste verfügbare VLAN-Nummer an. Die VLAN-ID muss eindeutig sein, um mit der Bestellung fortfahren zu können. Wenn Sie keinen Wert angeben, weist Megaport einen zu. Alternativ können Sie auf Untag (Tags entfernen) klicken. Mit dieser Auswahl wird das VLAN-Tagging für diese Verbindung entfernt und sie wird ohne VLAN-ID konfiguriert.
     

3. Klicken Sie auf Next (Weiter), um zur Verbindungsdetailübersicht zu gelangen. Klicken Sie auf Add VXC (VXC hinzufügen) und bestellen Sie die Verbindung.

4. Prüfen Sie die Vereinbarung zur Bestellung von Diensten.
5. Klicken Sie auf Save (Speichern), um die konfigurierte MVE zu speichern, bevor Sie die Bestellung aufgeben.
   
6. Klicken Sie auf Order (Bestellen).
7. Wenn Sie einen Aktionscode haben, klicken Sie auf Add Promo Code (Aktionscode hinzufügen), geben Sie den Aktionscode ein, und klicken Sie dann auf Add Code (Code hinzufügen).
8. Klicken Sie auf Order Now (Jetzt bestellen).
   

Die bestellende MVE stellt die Instanz bereit und weist IP-Adressen aus dem Megaport SDN zu. Die MVE-Bereitstellung nimmt nur wenige Minuten in Anspruch. Im Bereitstellungsprozess wird ein FortiGate hochgefahren.

Anzeigen der MVE im Megaport Portal

Nachdem Sie die MVE erstellt haben, können Sie diese im Megaport Portal auf der Seiten „Services“ (Dienste) anzeigen. Sie können auch die zugewiesenen öffentlichen IP-Adressen einsehen.

So zeigen Sie eine MVE im Megaport Portal an

• Wechseln Sie auf die Seite Services (Dienste).

Das Megaport Internet-Symbol unterscheidet sich im Megaport Portal vom Standard-VXC-Symbol, wie in der Abbildung gezeigt.

Weitere Informationen zur Seite „Services“ (Dienste) finden Sie unter Erläuterungen zur Seite „Services“ (Dienste).

So zeigen Sie die öffentlichen IP-Adressen an, die der MVE zugewiesen sind

1. Klicken Sie auf das Zahnradsymbol neben der Megaport Internet-Verbindung.
   Der Bildschirm „Connection Configuration“ (Verbindungskonfiguration) wird angezeigt. Von hier aus können Sie alle Details zur Megaport Internet-Verbindung ändern.
   
2. Klicken Sie auf die Registerkarte „Details“.
   
3. Suchen Sie die öffentliche IP-Adresse (IPv4 oder IPv6).
   Dies sind die öffentlichen IP-Adressen, die der MVE zugewiesen sind.

Konsolenzugriff auf FortiGate zulassen

Der Konsolenzugriff auf das FortiGate erfolgt über eine sichere HTTPS-Sitzung. Die MVE blockiert alle Zugriffe auf die dem Gerät zugewiesenen öffentlichen IP-Adressen, bis Sie sich per SSH am Gerät anmelden und HTTPS-Zugriff gewähren.

So legen Sie ein Admin-Web-UI-Passwort fest und erlauben den HTTPS-Zugriff

1. Melden Sie sich per SSH bei der Fortinet-MVE-Instanz mit dem zuvor generierten privaten SSH-Schlüssel an. Der Standardbenutzername ist „admin“, gefolgt von der öffentlichen IP-Adresse, die dem Gerät von Megaport zugewiesen wurde.

   ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

   Sobald Sie sich in der FortiOS-CLI befinden, können Sie den Systemstatus anzeigen und den Zugriff auf das Gerät mithilfe von CLI-Befehlen gewähren.

   Hinweis

   Die FortiOS-CLI unterscheidet sich von der Standard-NOS-CLI oder der Linux-Shell.

2. Konfigurieren Sie ein Kennwort für das Benutzerkonto „admin“.

     FGVM08TM21001375 # config system admin
     FGVM08TM21001375 (admin) # edit admin
     FGVM08TM21001375 (admin) # set password xxxxxxxx
     FGVM08TM21001375 (admin) # next
     FGVM08TM21001375 (admin) # end
   

3. Erlauben Sie den HTTPS-Zugriff auf die GUI der öffentlichen Schnittstelle auf Port 1.

     FGVM08TM21001375 # config system interface
     FGVM08TM21001375 (interface) # edit port1
     FGVM08TM21001375 (port1) # append allowaccess https
     FGVM08TM21001375 (port1) # next
     FGVM08TM21001375 (interface) # end
   
     FGVM08TM21001375 #
   

4. Prüfen Sie, ob ein HTTPS-Zugriff zugelassen ist.

     FGVM08TM21001375 # show system interface
   

Wenn der HTTPS-Zugriff zugelassen ist, können Sie sich über die Weboberfläche des FortiGate mit den Anmeldedaten des Benutzers „admin“ anmelden.

FortiGate zu FortiManager Cloud hinzufügen

Im nächsten Schritt erfolgt das Hinzufügen des FortiGate zu FortiManager Cloud, der zentralen SD-WAN-Verwaltungsplattform von Fortinet.

Hinweis

Dieser Schritt ist optional. Sie können ein FortiGate als eigenständiges Gerät verwalten, ohne FortiManager Cloud als zentralen Manager zu verwenden.

So fügen Sie FortiGate zu FortiManager Cloud hinzu

1. Melden Sie sich bei der FortiGate-GUI an: https://162.43.xx.x

2. Wählen Sie „Device Manager“ (Geräte-Manager) aus.

3. Wählen Sie im Geräte-Dashboard die Option „Security Fabric“ (Sicherheitsstruktur) > „Fabric Connectors“ (Strukturkonnektoren).

4. Wählen Sie „FortiManager“ aus, und klicken Sie auf Edit (Bearbeiten).

   

5. Wählen Sie die folgenden Einstellungen aus:

   • Status - „Enabled“ (Aktiviert)
   • Type - FortiManager Cloud
   • Modus - Normal

6. Klicken Sie auf OK.

   Die FortiCloud kontaktiert zur Genehmigung Ihre registrierte FortiManager Cloud. Der Registrierungsprozess erfordert keine IP-Adresse, sondern verwendet stattdessen eine Backend-Authentifizierung durch vorherige Registrierung und Lizenzierung.

FortiGate in FortiManager autorisieren

Bevor FortiManager das FortiGate zu seiner Liste der verwalteten Geräte hinzufügt, müssen Sie es manuell autorisieren.

So autorisieren Sie das FortiGate

1. Melden Sie sich bei Ihrer FortiManager Cloud-Instanz unter Fortinet Support an.

2. Wählen Sie „Services“ (Dienste) > FortiManager aus.

   

   Sie sehen, dass ein nicht autorisiertes Gerät auf die Genehmigung wartet.

   

3. Klicken Sie auf „Unauthorized Devices“ (Nicht autorisierte Geräte), und wählen Sie dann das zu autorisierende Gerät aus.

4. Klicken Sie auf Authorize (Autorisieren).

5. Sie können optional den Gerätenamen ändern, ein vorkonfiguriertes Richtlinienpaket anwenden oder eine vorkonfigurierte Bereitstellungsvorlage auf das Gerät anwenden.

6. Klicken Sie auf OK, wenn Sie mit der Konfiguration zufrieden sind.
   Ein grünes Häkchen zeigt an, dass das FortiGate von FortiManager autorisiert wurde.

   

7. Klicken Sie auf Close (Schließen).

Das Gerät wird nun über FortiManager Cloud verwaltet, und Sie können es in der Liste der verwalteten Geräte anzeigen.

Hinweis

Die auf dem Dashboard angezeigte IP-Adresse für das FortiGate ist eine interne, private IP, die speziell für das SD-WAN-Overlay verwendet wird.

Nächste Schritte

Nachdem Sie nun eine MVE bereitgestellt haben, besteht der nächste Schritt darin, einen VXC (Virtual Cross Connect) mit einem CSP, einem lokalen Port oder mit dem Netzwerk eines Drittanbieters zu verbinden. Sie können optional einen physischen Port über einen privaten VXC mit der MVE verbinden oder eine Verbindung zu einem Dienstanbieter auf dem Megaport Marketplace herstellen.

---

Letztes Update: 2024-02-20