Zum Inhalt

Erstellen einer MVE, die in Fortinet integriert ist

Unter diesem Thema wird beschrieben, wie Sie eine Megaport Virtual Edge (MVE) in Fortinet Secure-SD-WAN erstellen und konfigurieren. Bevor Sie beginnen, benötigen Sie Benutzerkonten mit Bestellberechtigungen, die den Zugriff auf das Megaport Portal und auf Fortinet ermöglichen.

Weitere Informationen zum Einrichten eines Megaport-Kontos finden Sie unter Registrieren eines Kontos.

Tipp

Fortinet stellt Dokumentationen für sein SD-WAN-Produkt, einschließlich FortiManager und Cloudverbindungen, unter Fortinet SD-WAN Documentation Library zur Verfügung.

Grundlegende Schritte

Dieser Abschnitt gibt eine Übersicht über die Konfigurationsschritte in FortiManager und im Megaport Portal. Details folgen.

Die grundlegenden Schritte sind:

  • Erwerben Sie eine Lizenz von Fortinet.
  • Generieren Sie ein SSH-Schlüsselpaar für die Authentifizierung.
  • Erstellen Sie eine Fortinet-MVE im Megaport Portal.
  • Zeigen Sie die Zuweisung der öffentlichen IP-Adresse der MVE im Megaport Portal an.
  • Legen Sie ein Admin-Passwort für das FortiGate fest.
  • Erlauben Sie den sicheren Konsolenzugriff auf das FortiGate.
  • Fügen Sie das FortiGate zu FortiManager Cloud hinzu (optional).

Lizenzierung

Bevor Sie eine MVE im Megaport Portal erstellen, benötigen Sie eine gültige Lizenz von Fortinet. Nach dem Kauf einer Lizenz von Fortinet erhalten Sie einen Registrierungscode in einer PDF-Datei. Mit diesem Registrierungscode können Sie eine Lizenzdatei generieren.

So erwerben Sie eine Lizenzdatei von Fortinet

  1. Melden Sie sich bei Ihrem Registrierungskonto bei Fortinet Support an.

  2. Wählen Sie „Register Product“ (Produkt registrieren), und geben Sie den bereitgestellten Registrierungscode ein.

  3. Folgen Sie dem Registrierungsprozess.

    Fortinet generiert die Seriennummer und zeigt sie auf der Seite „Registration Completion“ (Registrierungsabschluss) an.

  4. Wählen Sie Manage > View Products (Verwalten > Produkte anzeigen), und klicken Sie auf die Seriennummer.

  5. Klicken Sie auf den Download-Link, und speichern Sie die Lizenzdatei. Sie laden die Lizenzdatei später in das Megaport Portal hoch.

Sobald das Produkt registriert ist, wird es in der Produktliste von FortiCloud Asset Management angezeigt.

Der nächste Schritt besteht darin, ein SSH-Schlüsselpaar für die Authentifizierung zu generieren.

Administrativer Zugriff auf die MVE

MVE und FortiGate verbinden sich über ein öffentliches/privates SSH-Schlüsselpaar, um sichere Verbindungen herzustellen. Mit dem öffentlichen SSH-Schlüssel können Sie sich per SSH bei FortiGate anmelden und dann das administrative Kennwort festlegen, den HTTPS-Zugang aktivieren und optional das FortiGate bei Ihrer FortiManager Cloud registrieren.

Megaport unterstützt den 2048-Bit-RSA-Schlüsseltyp.

So generieren Sie ein SSH-Schlüsselpaar (Linux/Mac OSX)

  • Führen Sie den SSH-Befehl „ssh-keygen“ aus:
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

Mit dem Schlüsselgeneratorbefehl wird ein SSH-Schlüsselpaar erstellt, und es werden zwei Dateien zu Ihrem ~/.ssh-Verzeichnis hinzugefügt:

  • megaport-mve-instance-1-2048 - Enthält den privaten Schlüssel.
  • megaport-mve-instance-1-2048.pub - Enthält den öffentlichen Schlüssel, der zur Anmeldung beim Fortinet-Konto berechtigt.

So generieren Sie ein SSH-Schlüsselpaar (Windows, mit PuTTYgen)

  1. Öffnen Sie PuTTYGen.
  2. Wählen Sie im Abschnitt „Key“ (Schlüssel) die Option „RSA 2048 bit“ aus, und klicken Sie auf Generate (Generieren).
  3. Bewegen Sie die Maus zufällig im kleinen Bildschirm, um die Schlüsselpaare zu generieren.
  4. Geben Sie einen Schlüsselkommentar ein, der den Schlüssel identifiziert.
    Dies ist praktisch, wenn Sie mehrere SSH-Schlüssel verwenden.
  5. Geben Sie eine Schlüssel-Passphrase ein, und bestätigen Sie erneut.
    Die Passphrase wird zum Schutz Ihres Schlüssels verwendet. Sie werden danach gefragt, wenn Sie eine Verbindung über SSH herstellen.
  6. Klicken Sie auf Save private key (Privaten Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).
  7. Klicken Sie auf Save public key (Öffentlichen Schlüssel speichern), wählen Sie einen Speicherort aus, und klicken Sie auf Save (Speichern).

Sie werden den Inhalt der Datei mit dem öffentlichen Schlüssel später kopieren und in das Megaport Portal einfügen, um den öffentlichen Schlüssel an das FortiGate zu verteilen. Ihr privater Schlüssel muss mit dem öffentlichen Schlüssel übereinstimmen, um den Zugriff zu ermöglichen. Nur ein einziger privater Schlüssel hat für den SSH-Zugang Zugriff auf das FortiGate.

Erstellen einer MVE im Megaport Portal

Bevor Sie eine MVE erstellen, müssen Sie den besten Standort bestimmen - einen, der MVE unterstützt und im kompatibelsten Metrobereich liegt. Sie können mehrere Standorte mit einer einzelnen MVE verbinden. Weitere Informationen zum Standort finden Sie unter Planung der Fortinet-Bereitstellung.

Sie können aus Redundanz- oder Kapazitätsgründen mehrere MVEs innerhalb desselben Metrobereichs einsetzen.

So erstellen Sie eine MVE

  1. Wechseln Sie im Megaport Portal auf die Seite „Services“ (Dienste).
  2. Klicken Sie auf Create MVE (MVE erstellen).
    Schaltfläche „Create MVE“ (MVE erstellen)

  3. Wählen Sie den MVE-Standort aus.

    Wählen Sie einen Standort, der sich geografisch in der Nähe Ihrer Zielzweigstelle und/oder Ihrer lokalen Standorte befindet.

    Das von Ihnen gewählte Land muss ein Markt sein, in dem Sie bereits registriert sind.

    Wenn Sie an dem Standort, an dem Sie die MVE bereitstellen werden, noch keinen Abrechnungsmarkt registriert haben, gehen Sie wie in Aktivieren eines Abrechnungsmarktes beschrieben vor.

    Um in der Liste nach Ihrem lokalen Markt zu suchen, geben Sie unter „Country Filter“ (Landesfilter) ein Land ein oder ein Detail der Metroregion im Suchfilter ein.

    MVE-Standort auswählen

  4. Klicken Sie auf Next (Weiter).

  5. Wählen Sie „Fortinet“ und die Softwareversion aus.
    Die MVE wird so konfiguriert, dass sie mit dieser Softwareversion von Fortinet kompatibel ist.

  6. Geben Sie die MVE-Details an:
    MVE-Details

    • MVE Name (MVE-Name) – Geben Sie einen Namen für die MVE an, der leicht zu identifizieren ist, insbesondere wenn Sie mehrere MVEs bereitstellen möchten. Dieser Name erscheint im Megaport Portal.

      Hinweis

      Von Partnern verwaltete Konten können ein Partnerangebot auf einen Dienst anwenden. Einzelheiten finden Sie unter Verknüpfen eines Angebots mit einem Dienst.

    • Size (Größe) – Wählen Sie in der Dropdown-Liste eine Größe aus. In der Liste werden alle Größen angezeigt, die der CPU-Kapazität am ausgewählten Standort entsprechen. Die Größen unterstützen eine unterschiedliche Anzahl von gleichzeitigen Verbindungen, und die Kennzahlen der einzelnen Partnerprodukte variieren leicht. Weitere Informationen finden Sie unter Planung der Fortinet-Bereitstellung.

    • Minimum Term (Mindestlaufzeit) – Wählen Sie „No Minimum Term“ (Keine Mindestlaufzeit), um nutzungsbasiert zu zahlen, oder wählen Sie eine Laufzeit von 12, 24 oder 36 Monaten. Längere Laufzeiten führen zu einer niedrigeren monatlichen Rate. Standardmäßig wird eine Laufzeit von 12 Monaten gewählt.

      Hinweis

      Partner und von Partnern verwaltete Konten können die MVE-Vertragsbedingungen weder anzeigen noch ändern.

      Einzelheiten zu den Vertragsbedingungen finden Sie unter Preise und Vertragsbedingungen für MVEs.

    • Service Level Reference (Service-Level-Referenz) (optional) – Geben Sie eine eindeutige Identifikationsnummer für die MVE an, die für Abrechnungszwecke verwendet werden soll, z. B. eine Kostenstellennummer oder eine eindeutige Kunden-ID. Die Nummer der Service-Level-Referenz erscheint für jeden Dienst im Abschnitt „Product“ (Produkt) der Rechnung. Sie können dieses Feld auch für einen bestehenden Dienst bearbeiten.

      Hinweis

      Der mit der MVE verbundene Transit-VXC wird automatisch mit der MVE-Service-Level-Referenz-Nummer aktualisiert.

    • Appliance-Lizenz – (Optional) Klicken Sie auf Datei wählen, und wählen Sie die zuvor von Fortinet generierte Appliance-Lizenz aus.

    • SSH Key (SSH-Schlüssel) – Kopieren Sie den Inhalt Ihres öffentlichen SSH-Schlüssels, und fügen Sie ihn hier ein. Sie finden den öffentlichen Schlüssel in der zuvor generierten Datei megaport-mve-instance-1-2048.pub.

  7. Klicken Sie auf Next (Weiter), um den Bildschirm „Summary“ (Zusammenfassung) anzuzeigen.

    Die monatliche Rate hängt vom Standort und der Größe ab.
    MVE-Zusammenfassung

  8. Bestätigen Sie Konfiguration und Preis, und klicken Sie auf Add MVE (MVE hinzufügen).
    Klicken Sie auf MVE erstellen, um weitere MVEs an anderen Standorten hinzuzufügen.

  9. Klicken Sie auf Order (Bestellen).

  10. Prüfen Sie die Vereinbarung zur Bestellung von Diensten, und klicken Sie auf Order Now (Jetzt bestellen).

    • Klicken Sie auf Save (Speichern), um die konfigurierte MVE zu speichern, bevor Sie die Bestellung aufgeben.
    • Klicken Sie auf Add Promo Code (Promo-Code hinzufügen), um einen Aktionscode einzugeben, und klicken Sie auf Add Code (Code hinzufügen).

Die bestellende MVE stellt die Instanz bereit und weist IP-Adressen aus dem Megaport SDN zu. Die MVE-Bereitstellung nimmt nur wenige Minuten in Anspruch. Im Bereitstellungsprozess wird ein FortiGate hochgefahren.

Anzeigen der Zuordnung der öffentlichen IP-Adresse der MVE im Megaport Portal

Nachdem Sie die MVE erstellt haben, können Sie diese im Megaport Portal anzeigen.

So zeigen Sie eine MVE im Megaport Portal an

  • Wechseln Sie auf die Seite „Services“ (Dienste).

MVE und Transit-VXC im Megaport Portal

Als Teil der MVE-Bereitstellung erstellt Megaport einen Transit-VXC (Virtual Cross Connect), um Internetkonnektivität bereitzustellen und der MVE die Registrierung und Kommunikation mit dem Fortinet-SD-WAN-Overlay-Netzwerk zu ermöglichen. Das Overlay-Netzwerk wird von Fortinet erstellt und verwaltet, um sichere Tunnel von den Zweigstellenstandorten bereitzustellen. Der Transit-VXC hat eine feste Größe, basierend auf der Größe der MVE. Sie können den Transit-VXC nicht ändern oder löschen. Das Transit-VXC-Symbol unterscheidet sich im Megaport Portal vom Standard-VXC-Symbol, wie in der Abbildung gezeigt.

So zeigen Sie die öffentlichen IP-Adressen an, die der MVE zugewiesen sind

  1. Klicken Sie auf das Zahnradsymbol neben dem Transit-VXC zu Megaport Internet.

  2. Suchen Sie die öffentliche IP-Adresse (IPv4 oder IPv6). Dies sind die öffentlichen IP-Adressen, die der MVE zugewiesen sind. Notieren Sie sich diese Adressen zur späteren Verwendung.

Konsolenzugriff auf FortiGate zulassen

Der Konsolenzugriff auf das FortiGate erfolgt über eine sichere HTTPS-Sitzung. Die MVE blockiert alle Zugriffe auf die dem Gerät zugewiesenen öffentlichen IP-Adressen, bis Sie sich per SSH am Gerät anmelden und HTTPS-Zugriff gewähren.

So legen Sie ein Admin-Web-UI-Passwort fest und erlauben den HTTPS-Zugriff

  1. Melden Sie sich per SSH bei der Fortinet-MVE-Instanz mit dem zuvor generierten privaten SSH-Schlüssel an. Der Standardbenutzername ist „admin“, gefolgt von der öffentlichen IP-Adresse, die dem Gerät von Megaport zugewiesen wurde.

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    Sobald Sie sich in der FortiOS-CLI befinden, können Sie den Systemstatus anzeigen und den Zugriff auf das Gerät mithilfe von CLI-Befehlen gewähren.

    Hinweis

    Die FortiOS-CLI unterscheidet sich von der Standard-NOS-CLI oder der Linux-Shell.

  2. Konfigurieren Sie ein Kennwort für das Benutzerkonto „admin“.

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375 (admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # end
    
  3. Erlauben Sie den HTTPS-Zugriff auf die GUI der öffentlichen Schnittstelle auf Port 1.

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  4. Prüfen Sie, ob ein HTTPS-Zugriff zugelassen ist.

      FGVM08TM21001375 # show system interface
    

Wenn der HTTPS-Zugriff zugelassen ist, können Sie sich über die Weboberfläche des FortiGate mit den Anmeldedaten des Benutzers „admin“ anmelden.

FortiGate zu FortiManager Cloud hinzufügen

Im nächsten Schritt erfolgt das Hinzufügen des FortiGate zu FortiManager Cloud, der zentralen SD-WAN-Verwaltungsplattform von Fortinet.

Hinweis

Dieser Schritt ist optional. Sie können ein FortiGate als eigenständiges Gerät verwalten, ohne FortiManager Cloud als zentralen Manager zu verwenden.

So fügen Sie FortiGate zu FortiManager Cloud hinzu

  1. Melden Sie sich bei der FortiGate-GUI an: https://162.43.xx.x

  2. Wählen Sie „Device Manager“ (Geräte-Manager) aus.

  3. Wählen Sie im Geräte-Dashboard die Option „Security Fabric“ (Sicherheitsstruktur) > „Fabric Connectors“ (Strukturkonnektoren).

  4. Wählen Sie „FortiManager“ aus, und klicken Sie auf Edit (Bearbeiten).

    FortiGate zu FortiManager hinzufügen

  5. Wählen Sie die folgenden Einstellungen aus:

    • Status - „Enabled“ (Aktiviert)
    • Type - FortiManager Cloud
    • Modus - Normal
  6. Klicken Sie auf OK.

    Die FortiCloud kontaktiert zur Genehmigung Ihre registrierte FortiManager Cloud. Der Registrierungsprozess erfordert keine IP-Adresse, sondern verwendet stattdessen eine Backend-Authentifizierung durch vorherige Registrierung und Lizenzierung.

FortiGate in FortiManager autorisieren

Bevor FortiManager das FortiGate zu seiner Liste der verwalteten Geräte hinzufügt, müssen Sie es manuell autorisieren.

So autorisieren Sie das FortiGate

  1. Melden Sie sich bei Ihrer FortiManager Cloud-Instanz unter Fortinet Support an.

  2. Wählen Sie „Services“ (Dienste) > FortiManager aus.

    Gerät autorisieren

    Sie sehen, dass ein nicht autorisiertes Gerät auf die Genehmigung wartet.

    FortiGate wartet auf Autorisierung

  3. Klicken Sie auf „Unauthorized Devices“ (Nicht autorisierte Geräte), und wählen Sie dann das zu autorisierende Gerät aus.

  4. Klicken Sie auf Authorize (Autorisieren).

  5. Sie können optional den Gerätenamen ändern, ein vorkonfiguriertes Richtlinienpaket anwenden oder eine vorkonfigurierte Bereitstellungsvorlage auf das Gerät anwenden.

  6. Klicken Sie auf OK, wenn Sie mit der Konfiguration zufrieden sind.
    Ein grünes Häkchen zeigt an, dass das FortiGate von FortiManager autorisiert wurde.

    Erfolgreiche Autorisierung des FortiGate

  7. Klicken Sie auf Close (Schließen).

Das Gerät wird nun über FortiManager Cloud verwaltet, und Sie können es in der Liste der verwalteten Geräte anzeigen.

Verwaltung der FortiCloud über FortiManager

Hinweis

Die auf dem Dashboard angezeigte IP-Adresse für das FortiGate ist eine interne, private IP, die speziell für das SD-WAN-Overlay verwendet wird.

Nächste Schritte

Nachdem Sie nun eine MVE bereitgestellt haben, besteht der nächste Schritt darin, einen VXC (Virtual Cross Connect) mit einem CSP, einem lokalen Port oder mit dem Netzwerk eines Drittanbieters zu verbinden. Sie können optional einen physischen Port über einen privaten VXC mit der MVE verbinden oder eine Verbindung zu einem Dienstanbieter auf dem Megaport Marketplace herstellen.


Letztes Update: 2022-10-18