Creación de una conexión de Azure para un MVE con Fortinet SD-WAN

Puede crear una conexión de red desde un MVE (FortiGate) a Azure ExpressRoute con conexiones cruzadas virtuales (VXC). Puede crear una conexión privada o pública (Microsoft).

Importante

Antes de empezar, cree un MVE (FortiGate) en FortiManager. Para obtener más detalles, consulte Creación de un MVE.

Hay tres partes para añadir una conexión ExpressRoute a su MVE y FortiManager.

  1. Configure su plan de ExpressRoute e implemente el circuito ExpressRoute en la consola de Azure. Una vez implementado, obtendrá una clave de servicio. Para obtener más detalles, consulte la documentación de Microsoft ExpressRoute.

  2. En el portal de Megaport, cree una conexión (VXC) de su MVE a su ubicación de ExpressRoute.

  3. En FortiManager, cree una nueva interfaz y añada los detalles de la conexión de ExpressRoute.

Las instrucciones de este tema se refieren a la segunda y tercera parte.

Nota

MVE para Fortinet SD-WAN requiere algunos pasos de configuración tanto en FortiManager como en el portal de Megaport para todas las conexiones en la nube.

Adición de la conexión ExpressRoute en el portal de Megaport

Para configurar la conexión ExpressRoute, es necesario crear la conexión en el portal de Megaport.

Para crear una conexión a ExpressRoute desde el portal de Megaport

  1. En el Megaport Portal, vaya a la página Services (Servicios) y seleccione el MVE que quiere utilizar.

  2. Haga clic en +Connection (+Conexión) en el MVE.
    Añadir conexión

  3. Haga clic en la ficha Cloud (Nube).

  4. Seleccione Azure ExpressRoute como proveedor. Añadir una conexión

  5. Añada la clave del servicio ExpressRoute en el campo del panel de la derecha.
    El portal verificará la clave y mostrará las ubicaciones de puerto disponibles en función de la región de ExpressRoute. Por ejemplo, si su servicio ExpressRoute se implementa en la región de Australia Oriental en Sídney, puede seleccionar los destinos de Sídney.

  6. Seleccione el punto de conexión para su primera conexión.
    Para implementar una segunda conexión (y esto es recomendable), puede crear una segundo VXC - introduzca la misma clave de servicio y seleccione el otro destino de la conexión.

    En la pantalla de configuración aparecen algunos enlaces de útiles a recursos, como la consola de Azure Resource Manager y tutoriales en vídeo.

  7. Especifique estos detalles de conexión:

    • Connection Name (Nombre de conexión) – El nombre de su VXC que se mostrará en el Portal de Megaport.

    • Service Level Reference (Referencia de nivel de servicio) (opcional) – Especifique un número de identificación único para la VXC que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

    • Rate Limit (Límite de velocidad) – La velocidad de su conexión en Mbps. El límite de velocidad para la VXC será el máximo permitido sobre la base de la clave de servicio de ExpressRoute.

    • Preferred A-End VLAN (VLAN Preferida en el Extremo A) – De manera opcional, especifique un ID de VLAN que no se haya utilizado para esta conexión (en el caso de ExpressRoute, es la etiqueta S). Debe ser un ID de VLAN único en este MVE, que puede ir de 2 a 4093. Si se especifica un ID de VLAN que ya se haya utilizado, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport le asignará uno.

    • Configure Single Azure Peering VLAN (Configurar una única VLAN de emparejamiento de Azure) – Por defecto, esta opción está activada para MVE y recomendamos encarecidamente mantenerla activada con Fortinet SD-WAN.
      Esta opción proporciona una solución de VLAN de etiqueta única. Se configura el emparejamiento en Azure con la VLAN de MVE (extremo A) y la VLAN de emparejamiento establecida en Azure (extremo B). Tenga en cuenta que solo puede tener un tipo de emparejamiento (privado o Microsoft) por VXC con esta opción.

      Importante

      Si no se activa esta opción, la VXC aparecerá activa, pero no reconocerá el tráfico.

    • Azure Peering VLAN (VLAN de emparejamiento de Azure) – Este valor debe coincidir con la VLAN del Extremo A.
      Detalles de la conexión de Azure

  8. Haga clic en Next (Siguiente) para continuar con el proceso de pedido.

Cuando la configuración de VXC se complete, el icono de VXC será verde.

Nueva VXC

En la consola Azure Resource Management, el estado del proveedor será Provisioned (Aprovisionado).

Estado del proveedor de Azure

Cuando se aprovisiona, hay que configurar los emparejamientos. Puede configurar el emparejamiento privado y el de Microsoft. Haga clic en el par para configurar y proporcionar estos detalles:

  • Peer ASN (ASN del par) –Introduzca el ASN para el MVE.
  • IPv4 Subnets (Subredes IPv4) – De cada una de estas subredes, MVE utiliza la primera dirección IP utilizable, y Microsoft utiliza la segunda IP utilizable para su enrutador.
  • VLAN ID (ID de VLAN) – Introduzca la VLAN del extremo A a partir del MVE. (Tenga en cuenta que el ID de la VLAN en la consola de Azure puede ser diferente a la VLAN del extremo A).
  • Shared Key (Clave compartida) – Opcionalmente, introduzca una contraseña MD5 para el BGP.

Configuración de emparejamiento de Azure

Adición de la conexión ExpressRoute a FortiManager

Después de crear la conexión de su MVE a Azure y de configurar la conexión en la consola de Azure, debe configurarla en FortiManager. Esto implica la creación de una interfaz y configurar los ajustes del BGP, ASN, VLAN y los valores de MD5.

Para añadir la conexión de Azure Cloud en FortiManager

  1. Recopile los detalles de la conexión desde la consola de Azure.
    Muestre los detalles de la conexión creada en Azure para esta conexión. Apunte los valores de Peer ASN (ASN del par), Shared Key (Clave compartida), VLAN ID (ID de la VLAN) y IPv4 Primary Subnet (Subred principal Ipv4).

  2. Recopile los detalles de la conexión desde el Portal de Megaport.
    Haga clic en el icono del engranaje de la conexión de Azure desde su MVE y haga clic en la vista Details (Detalles). Anote el valor de A-End VLAN (VLAN del Extremo A).

  3. Entre en FortiManager.

    Nota

    También puede iniciar sesión en su instancia de MVE: https://<mve-ip-address>

  4. Desde el dispositivo gestionado, vaya al menú System (Sistema) y seleccione Interface (Interfaz).
    Interfaz del Sistema
    La página mostrará port1 (puerto1) como su interfaz física.

  5. Haga clic en +Create New (+Crear nueva) > Interface (Interfaz) y facilite esta información:

    • Interface Name (Nombre de la Interfaz) – Especifique un nombre descriptivo para la interfaz.
    • Alias Name (Nombre del alias) – Puede proporcionar un nombre alternativo.
    • Type (Tipo) – Seleccione VLAN.
    • Interface (Interfaz) – Seleccione la interfaz principal: port1.
    • VLAN ID (ID de VLAN) – Especifique la VLAN de extremo A indicada para esta conexión de Azure en el portal de Megaport.
    • Role (Rol) –Seleccione Undefined (Indefinido).
    • Addressing Mode (Modo de direccionamiento) –Seleccione Manual.
    • IP/Netmask (IP/Máscara de red) – Estos valores están disponibles en la consola de Azure. Las direcciones IP y CIDR aparecen en el campo IPv4 Primary Subnet (Subred principal Ipv4); MVE utiliza la primera dirección IP utilizable y Azure utiliza la segunda IP utilizable para su enrutador. En este campo, introduzca la dirección IP de MVE (primera utilizable).
    • Administrative Access (Acceso administrativo) - Especifique cómo desea acceder a esta interfaz, como HTTPS, PING y SSH.
    • DHCP Server (Servidor DHCP) - Haga clic en OFF.
      Configuración de la Interfaz
  6. Haga clic en OK (Aceptar).
    La nueva interfaz VLAN aparecerá con su interfaz física port1.

Puede ejecutar un comando execute ping desde FortiOS para verificar la conexión.

Nota

Tiene que enviar la configuración al MVE, algo que sucede cuando se configura AutoUpdate (Actualización automática). Si no consigue hacer ping a la conexión, vaya a Manage Devices (Gestionar Dispositivos) en FortiManager, seleccione el MVE y elija Refresh Device (Actualizar Dispositivo) en el menú More (Más). Si se le pide, seleccione AutoUpdate (Actualización automática) para Config Status (Estado de la configuración).

En este punto, hemos creado la interfaz y tendremos que crear la sesión del BGP.

  1. En FortiManager, vaya a Router (Enrutador) > BGP.
    Configuración del BGP

  2. Proporcione esta información:

    • Local AS (AS local) –Introduzca el ASN para la conexión de MVE. Utilice el ASN del par de la consola de Azure.
    • Router IP (IP de enrutador)– Introduzca la primera dirección IP utilizable de IPv4 Primary Subnet (Subred principal Ipv4), de la consola de Azure.
      Configuración de la interfaz
  3. En Neighbors (Vecinos), haga clic en +Create New (+Crear nuevo).

  4. En Neighbor IP (IP vecina), añada la segunda dirección IP utilizable de IPv4 Primary Subnet (Subred principal Ipv4), de la consola de Azure.
  5. Para Remote ASN (ASN remoto), introduzca el ASN de Azure de 12076.
    Este es un valor fijo, y aparece en los detalles de la conexión en la consola de Azure.

  6. Haga clic en OK (Aceptar).

  7. Haga clic en Apply (Aplicar).
    El vecino se habrá configurado pero habrá que añadir la información de autenticación del BGP si lo ha definido en la consola de Azure. (Esto era opcional). La interfaz web no permite definir esto y es necesario utilizar la línea de comandos para añadir los detalles del BGP.

  8. Establezca SSH con la instancia MVE con su archivo de clave privada.
    Por ejemplo:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. Utilice estos comandos para añadir una contraseña para el vecino del BGP.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

Pasos de la CLI para el BGP

Validación de su conexión a Azure

Puede revisar los detalles de la conexión, incluido el estado de la misma, desde la CLI con estos comandos:

  • get system interface – Muestra los detalles de configuración y el estado actual de las interfaces del dispositivo.
  • get router info bgp neighbor <ip-address> – Muestra los detalles de configuración y el estado actual de los vecinos del BGP.

Última actualización: