Planen Ihrer Fortinet Secure SD-WAN-Bereitstellung
Unter diesem Thema finden Sie einen Überblick zum Bereitstellungsprozess und Überlegungen zur Bereitstellung der Megaport Virtual Edge (MVE).
| Bereitstellung durch Kunde | Bereitstellung durch Megaport |
|---|---|
| Internetverbindung von der Zweigstelle | Plattform zum Host virtueller SD-WAN-Appliances |
| An Zweigstelle aktivierter SD-WAN-Anbieter | Vollständige Verbindung von der Zweigstelle zu jedem Ziel im Megaport-Netzwerk und Verwendung mit anderen Megaport-Produkten und -Diensten |
| In der Zweigstelle installierte Kundenendgeräte (CPEs) | Megaport Internet-Verbindung mit Distributed Denial of Service (DDoS), um den Tunnel zwischen MVE und CPE in der Zweigstelle über das Internet abzuschließen |
| SD-WAN-Softwarelizenz zur Verwendung auf Megaport SDN | Zugang zum Megaport-Partnernetzwerk |
Hinweise zur Bereitstellung
Dieser Abschnitt bietet einen Überblick über die MVE-Bereitstellungsoptionen und -funktionen.
Fortinet Secure SD-WAN verwendet virtuelle FortiGate-Appliances oder physische FortiGate-Appliances, ähnlich wie viele andere SD-WAN-Anbieter. Bei Fortinet können Sie die Appliances jedoch für mehrere verschiedene Zwecke konfigurieren. Sie können zum Beispiel eine Fortinet-Appliance für die Verwendung konfigurieren:
-
Streng als Next-Generation-Firewall (NGFW) für Außenstellen mit lokaler Konfiguration und nur lokaler Protokollierung.
-
Als zentrale Verwaltung mit zentraler Protokollierung oder als zentrale Verwaltung ohne zentrale Protokollierung.
-
In einem herkömmlichen Overlay-Netzwerk im SD-WAN-Stil.
Weitere Informationen dazu finden Sie in der Fortinet-Dokumentationsbibliothek.
Funktionen von Fortinet Secure SD-WAN
Die FortiGate-VM bietet sowohl NGFW- als auch SD-WAN-Dienste auf einer einzigen virtuellen Maschine. Das Hosting der FortiGate-VM auf MVE optimiert nicht nur die Edge-to-Cloud-Netzwerkkonnektivität, sondern setzt auch fortschrittliche Sicherheitsdienste und -richtlinien in den Segmenten des Megaport-Backbone durch.
Das Embedding der FortiGate-VM in die NaaS-Plattform von Megaport erweitert die folgenden Secure Access Service Edge (SASE)-Kernelemente zwischen der Edge- und der Cloud-Netzwerkstruktur:
-
Next-Generation-Firewall (NGFW), einschließlich Stateful-Firewall-Richtlinien, Network Address Translation (NAT), Intrusion Protection Services, Secure Sockets Layer (SSL)-Inspektion und Threat Intelligence.
-
Secure Web Gateway (SWG)-Dienste schützen Geräte mithilfe von Webinhaltsfilterung und Malware-Scanning vor schädlichen Internetzielen.
-
Zero Trust Network Access (ZTNA) steuert den Zugriff auf Anwendungen, indem Benutzer und Geräte vor jeder Anwendungssitzung verifiziert werden, und stellt sicher, dass diese die Richtlinien der Organisation für den Zugriff auf diese Anwendung erfüllen.
Die FortiGate-VM unterstützt zudem die Integration von Remote-Benutzern in Fortinet SASE-Lösungen unter Verwendung des FortiClient-Agenten für Endpunkt-Sicherheit. Der FortiClient ermöglicht es dem Gerät, sich über VPN- (SSL oder IPsec) oder ZTNA-Tunnel auf sichere Weise mit der Sicherheitsstruktur zu verbinden.
Mit der FortiSASE-Lösung können sowohl die FortiGate- als auch die FortiCloud-Dienste in einem gemischten Design verwendet werden. So können beispielsweise Internet- und ausgewählte SaaS-Anwendungen sowohl mittels SWG als auch mittels eines Cloud Access Security Broker (CASB) über FortiCloud geschützt werden, während private Megaport-Verbindungen durch FortiGate-Sicherheitsdienste geschützt werden.
Hinweis
Wenn Sie bereits eine Fortinet-Firewall implementiert haben, können Sie diese mit einer MVE verbinden, sodass Ihr Hauptsitz oder Ihre Zweigstellen über private Verbindungen auf Clouddienste zugreifen können.
Weitere Informationen zu diesen Funktionen finden Sie unter
SD-WAN-Anbieter
MVE ist in das Fortinet-SD-WAN integriert, das die FortiManager-Konsole von Fortinet verwendet, um das private Overlay-Netzwerk zu erstellen.
Weitere SD-WAN-Anbieter sind Aruba SD-WAN, Cisco SD-WAN, Versa Secure SD-WAN und VMware SD-WAN.
MVE-Standorte
Eine Liste der Standorte, an denen Sie eine Verbindung zu einer MVE herstellen können, finden Sie unter Megaport Virtual Edge-Standorte.
Dimensionierung der MVE-Instanz
Die Instanzengröße bestimmt die Leistungsfähigkeit der MVE, z. B. wie viele gleichzeitige Verbindungen sie unterstützen kann. Die MVE-Instanzen werden in den folgenden Größen zusammengefasst:
| Paketgröße | vCPUs | DRAM | Speicher | Megaport Internet-Geschwindigkeit * |
|---|---|---|---|---|
| MVE 2/8 | 2 | 8 GB | 8 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 4/16 | 4 | 16 GB | 8 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 8/32 | 8 | 32 GB | 8 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
| MVE 12/48 | 12 | 48 GB | 8 GB | Einstellbar von 20 Mbit/s bis 10 Gbit/s |
* Der Megaport Internet-Zugang ist symmetrisch, redundant, diversifiziert und umfasst DDoS-Scrubbing-Schutz. Der Megaport Internet-Zugang ist über die Megaport Internet-Verbindung, zum MVE anpassbar.
Bei diesen Leistungs- und Kapazitätsangaben handelt es sich um Schätzungen, sodass Ihre Geschwindigkeiten variieren können. Beachten Sie bei der Auswahl einer MVE-Instanzengröße die folgenden Punkte:
-
Jeder Anstieg der Datenlast im Netzwerk kann die Leistung beeinträchtigen. Beispielsweise kann das Einrichten von sicheren Tunneln mit IPsec, das Hinzufügen von Traffic Path Steering (Lenken des Datenverkehrs) oder die Verwendung von Deep Packet Inspection (DPI) die maximale Durchsatzgeschwindigkeit beeinflussen.
-
Zukünftige Pläne zur Skalierung des Netzwerks.
Was ist, wenn ich in Zukunft mehr MVE-Kapazität benötige?
Sie haben mehrere Möglichkeiten:
-
Sie können eine weitere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen und die Arbeitslast auf die beiden MVEs aufteilen.
-
Sie können eine größere MVE-Instanz bereitstellen, sie zu Ihrem SD-WAN-Overlay-Netzwerk hinzufügen, Verbindungen von der alten MVE zur neuen größeren MVE migrieren und dann die alte MVE abschalten.
Sie können die Megaport Internet-Bandbreite jederzeit anpassen, ohne die virtuelle Maschine herunterfahren zu müssen.
Sicherheit
MVE bietet sichere Kapazitäten zu und von Ihren internetfähigen Zweigstellenstandorten, zu jedem Endpunkt oder Dienstanbieter im SDN von Megaport. CSP-gehostete Instanzen von Partner-SD-WAN-Produkten leiten kritischen Datenverkehr über das Megaport-SDN und reduzieren so die Abhängigkeit vom Internet. Der Datenverkehr bleibt verschlüsselt und unter Ihrer Richtlinienkontrolle, während er über das Megaport SDN zur oder von der MVE geleitet wird.
Jedes MVE-Abonnement beinhaltet ohne zusätzliche Kosten den Schutz vor Distributed Denial of Service-Angriffen (DDoS).
Fortinet Secure SD-WAN bietet Zugang zu einer umfassenden Sicherheitsfunktion: Secure Access Service Edge (SASE). Fortinet auf MVE unterstützt nativ SASE- und SD-WAN-Dienste. Einzelheiten finden Sie unter Sicherung des Netzwerks mit SASE.
Lizenzierung
Sie bringen Ihre eigene Fortinet (FortiGate) SD-WAN-Lizenz zur Verwendung mit MVE mit. Es liegt in Ihrer Verantwortung, die erforderlichen Lizenzen für die im Megaport-Netzwerk erstellten SD-WAN-Endpunkte zur Verfügung zu haben.
VLAN-Tagging
Megaport verwendet Q-in-Q zur Unterscheidung von VXCs und MVEs auf einem Host-Hardware-System. Die Mandanten-MVE empfängt nicht getaggten Datenverkehr auf dem Internet-seitigen Link sowie einfach getaggten 802.1Q-Datenverkehr für VXCs zu anderen Zielen im Megaport-Netzwerk (z. B. CSP-Anbindungsstellen (Onramps) oder andere MVEs).
vNICs
Jede MVE kann bis zu fünf vNICs haben. Eine MVE wird standardmäßig mit einem vNIC erstellt. Sie können also bis zu vier weitere vNICs hinzufügen.
Bevor Sie die Anzahl der vNICs auf Ihrer MVE angeben, beachten Sie Folgendes:
-
Beachten Sie, dass die Anzahl der vNICs nicht mehr geändert werden kann, nachdem eine MVE bestellt wurde. Entscheiden Sie im Voraus, wie viele vNICs Sie bei der Erstellung der MVE angeben möchten.
-
Wenden Sie sich an Ihren Dienstanbieter, um sicherzustellen, dass die Funktionalität nicht beeinträchtigt wird, wenn Sie einen vNIC hinzufügen.
Hinweis
Wenn Sie die Anzahl der vNICs ändern müssen, nachdem eine MVE bestellt wurde, müssen Sie die MVE stornieren und neu bestellen.