Saltar a contenido

Creación de un MVE integrado con Fortinet

Este tema describe cómo crear y configurar un Megaport Virtual Edge (MVE) con Fortinet Secure SD-WAN. Antes de empezar, necesita cuentas de usuario con permisos de pedido que proporcionen acceso al Portal de Megaport y a Fortinet.

Para obtener más detalles sobre como configurar una cuenta de Megaport, consulte Registro de una cuenta.

Consejo

Fortinet proporciona documentación sobre su producto SD-WAN, incluidos FortiManager y las conexiones en la nube, en Fortinet SD-WAN Documentation Library.

Pasos básicos

Esta sección proporciona una descripción general de los pasos de configuración en FortiManager y el Portal de Megaport. A continuación, los detalles.

Los pasos básicos son:

  • Obtenga una licencia de Fortinet.
  • Genere un par de claves SSH para la autenticación.
  • Cree el MVE de Fortinet en el Portal de Megaport.
  • Vea la asignación de la dirección IP pública del MVE en el Portal de Megaport.
  • Establezca una contraseña de administrador para el FortiGate.
  • Permita el acceso seguro de la consola al FortiGate.
  • Añada el FortiGate a FortiManager Cloud (opcional).

Licencias

Antes de crear un MVE en el Portal de Megaport, necesita una licencia válida de Fortinet. Tras adquirir una licencia de Fortinet, recibirá un código de registro en un PDF. Utilizará este código de registro para generar un archivo de licencia.

Para obtener un archivo de licencia de Fortinet

  1. Inicie sesión con su cuenta de registro en Fortinet Support.

  2. Seleccione Register Product (Registrar producto) e introduzca el código de registro proporcionado.

  3. Siga el proceso de registro.

    Fortinet generará el número de serie y lo mostrará en la página de finalización del registro.

  4. Seleccione Manage (Gestión) > View Products (Ver productos) y haga clic en el número de serie.

  5. Haga clic en el enlace de descarga y guarde el archivo de licencia. Más adelante, cargará el archivo de licencia en el Portal de Megaport.

Una vez registrado el producto, aparecerá en la lista de productos de FortiCloud Asset Management.

El siguiente paso es generar un par de claves SSH para la autenticación.

Acceso administrativo a MVE

MVE y FortiGate se conectan a través de un par de claves públicas/privadas SSH para establecer conexiones seguras. La clave SSH pública le permite acceder a FortiGate mediante SSH y establecer la contraseña administrativa, habilitar el acceso HTTPS y, opcionalmente, registrar el FortiGate en FortiManager Cloud.

Megaport es compatible con el tipo de clave RSA de 2048 bits.

Para generar un par de claves SSH (Linux/Mac OSX)

  • Ejecute el comando SSH keygen:
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

El comando generador de claves creará un par de claves SSH y añadirá dos archivos a su directorio ~/.ssh:

  • megaport-mve-instance-1-2048 - contiene la clave privada.
  • megaport-mve-instance-1-2048.pub - contiene la clave pública autorizada para acceder a la cuenta de Fortinet.

Para generar un par de claves SSH (Windows, con PuTTYgen)

  1. Abra PuTTYGen.
  2. En la sección Key (Clave), seleccione RSA 2048 bit (RSA de 2048 bits) y haga clic en Generate (Generar).
  3. Mueva el ratón al azar en la pequeña pantalla para generar los pares de claves.
  4. Introduzca un comentario de clave, que identificará la clave.
    Esto es práctico cuando se utilizan varias claves SSH.
  5. Introduzca una frase de contraseña para la clave y vuelva a introducirla para confirmarla.
    La frase de contraseña sirve para proteger su clave. Se le pedirá cuando se conecte vía SSH.
  6. Haga clic en Save private key (Guardar clave privada), elija una ubicación y haga clic en Save (Guardar).
  7. Haga clic en Save public key (Guardar clave pública), elija una ubicación y haga clic en Save (Guardar).

Copiará y pegará el contenido del archivo de la clave pública en el Portal de Megaport para distribuir la clave pública al FortiGate. Su clave privada coincidirá con la clave pública para conceder el acceso. Solo una clave privada tiene acceso al FortiGate para el acceso SSH.

Creación de un MVE en el Portal de Megaport

Antes de crear un MVE, hay que determinar la mejor ubicación - una que admita el MVE y esté en el área metropolitana más compatible. Puede conectar varias ubicaciones a un MVE individual. Para obtener más detalles sobre la ubicación, consulte Planificación de la implementación.

Puede implementar varios MVE en la misma área metropolitana por motivos de redundancia o capacidad.

Para crear un MVE

  1. Desde el Megaport Portal, vaya a la página Services (Servicios).
  2. Haga clic en Create MVE (Crear MVE).
    Botón Create MVE (Crear MVE)

  3. Seleccione la ubicación del MVE.

    Seleccione una ubicación geográficamente cercana a su sucursal objetivo o a sus instalaciones.

    El país que elija debe ser un mercado en el que ya se haya registrado.

    Si no ha registrado un mercado de facturación en la ubicación en la que implementará el MVE, siga el procedimiento de Habilitación de un mercado de facturación.

    Para buscar un mercado local en la lista, introduzca un país en el filtro de países o información de la región metropolitana en el filtro de búsqueda.

    Seleccionar la ubicación del MVE

  4. Haga clic en Next (Siguiente).

  5. Seleccione Fortinet y la versión de software.
    El MVE estará configurado para que sea compatible con esta versión de software de Fortinet.

  6. Especifique los detalles del MVE.
    Detalles de MVE

    • MVE Name (Nombre del MVE) – Especifique un nombre para el MVE que sea fácilmente identificable, sobre todo si quiere aprovisionar más de uno. Este nombre aparecerá en el Portal de Megaport.

      Nota

      Las cuentas gestionadas por los socios pueden aplicar una oferta de socio a un servicio. Para conocer más detalles, consulte Aplicar un acuerdo a un servicio.

    • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para el MVE que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

      Nota

      La VXC de tránsito asociada con el MVE se actualiza automáticamente con el número de referencia del nivel de servicio del MVE.

    • Size (Tamaño) – Seleccione un tamaño en la lista desplegable: Small (Pequeño), Medium (Mediano) o Large (Grande). Hay tres tamaños disponibles para admitir un número variable de conexiones simultáneas. Las métricas individuales de los productos de los socios varían ligeramente, pero, en general, el tamaño pequeño puede manejar más de 40 conexiones de sucursales simultáneas y hasta 500 Mbps de tráfico; un tamaño medio, hasta 100 conexiones y 1 Gbps; y un tamaño grande, aproximadamente 500 conexiones y unos 5 Gbps de tráfico. Para obtener más detalles, consulte Planificación de la implementación.

    • Appliance License (Licencia de Dispositivo) – (Opcional) Haga clic en Choose File (Seleccionar archivo) y seleccione la licencia de dispositivo generada anteriormente por Fortinet.

    • SSH Key (Clave SSH) – Copie y pegue aquí el contenido de su clave SSH pública. Puede encontrar la clave pública en el archivo megaport-mve-instance-1-2048.pub generado anteriormente.

  7. Haga clic en Next (Siguiente) para ver la pantalla Summary (Resumen).

    La tarifa mensual se basa en la ubicación y el tamaño.
    Resumen de MVE

  8. Confirme la configuración y el precio y haga clic en Add MVE (Añadir MVE).
    Haga clic en Create MVE (Crear MVE) para añadir más MVE en otras ubicaciones.

  9. Haga clic en Order (Realizar Pedido).

  10. Revise el acuerdo de solicitud de servicios y haga clic en Order Now (Realizar pedido ahora).

    • Haga clic en Save (Guardar) para guardar el MVE configurado antes de realizar el pedido.
    • Haga clic en Add Promo Code (Añadir Código Promocional) para introducir un código promocional y seleccione en Add Code (Añadir Código).

Al pedir el MVE se aprovisiona la instancia y se asignan direcciones IP desde el SDN de Megaport. El aprovisionamiento de MVE solo tarda unos minutos en completarse. El proceso de aprovisionamiento pone en marcha un FortiGate.

Visualización de la asignación de la dirección IP pública del MVE en el Portal de Megaport

Tras crear un MVE, podrá verlo en el Portal de Megaport.

Para ver un MVE en el Portal de Megaport

  • Vaya a la página Services (Servicios).

MVE y tránsito de VXC en el Portal de Megaport

Como parte del aprovisionamiento de MVE, Megaport crea una conexión cruzada virtual (VXC) de tránsito para proporcionar conectividad a internet y permitir que el MVE se registre y se comunique con la red superpuesta Fortinet SD-WAN. Fortinet crea y mantiene la red superpuesta para proporcionar túneles seguros desde las ubicaciones de ramas. La VXC de tránsito tiene un tamaño fijo, que se basa en el tamaño del MVE. No se puede modificar ni eliminar la VXC de tránsito. El icono de la VXC de tránsito es distinto del icono de la VXC estándar en el Portal de Megaport, tal y como se muestra en la imagen.

Para ver las direcciones IP públicas asignadas al MVE

  1. Haga clic en el icono de engranaje junto a la VXC de tránsito al Internet de Megaport.

  2. Localice la dirección IP pública (IPv4 o IPv6). Estas son las direcciones IP públicas asignadas al MVE. Anote estas direcciones para utilizarlas más adelante.

Permitir el acceso de la consola al FortiGate

El acceso a la consola de FortiGate se realiza a través de una sesión segura HTTPS. El MVE bloquea todos los accesos a las direcciones IP públicas asignadas al dispositivo hasta que el usuario se conecta a él mediante SSH y le concede acceso HTTPS.

Para establecer una contraseña de interfaz web de administrador y permitir el acceso HTTPS

  1. Establezca SSH con la instancia MVE de Fortinet con la clave privada SSH generada anteriormente. El nombre de usuario por defecto es admin, seguido de la dirección IP pública asignada al dispositivo por Megaport.

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    Una vez en la CLI de FortiOS, puede ver el estado del sistema y permitir el acceso al dispositivo mediante comandos de la CLI.

    Nota

    La CLI de FortiOS difiere de la CLI estándar de NOS o del shell de Linux.

  2. Configure una contraseña para la cuenta de administración del usuario.

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375 (admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # end
    
  3. Permitir el acceso HTTPS a la interfaz gráfica de usuario pública en el puerto 1.

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  4. Compruebe que el acceso HTTPS está permitido.

      FGVM08TM21001375 # show system interface
    

Con el acceso HTTPS permitido, puede iniciar sesión en el FortiGate a través de su interfaz web utilizando las credenciales de administrador del usuario.

Añadir el FortiGate a FortiManager Cloud

El siguiente paso es añadir el FortiGate a FortiManager Cloud, la plataforma de gestión centralizada SD-WAN de Fortinet.

Nota

Este paso es opcional. Puede gestionar un FortiGate como un dispositivo independiente sin utilizar FortiManager Cloud como su gestor central.

Para añadir el FortiGate a FortiManager Cloud

  1. Entre en la interfaz gráfica de usuario de FortiGate: https://162.43.xx.x

  2. Seleccione Device Manager (Administrador de dispositivos).

  3. En el panel de control del dispositivo, seleccione Security Fabric (Estructura de seguridad) > Fabric Connectors (Conectores de estructura).

  4. Seleccione FortiManager y haga clic en Edit (Editar).

    Añadir FortiGate a FortiManager

  5. Seleccione los siguientes ajustes:

    • Status (Estado) - Enabled (Habilitado)
    • Type (Tipo) - FortiManager Cloud
    • Mode (Modo) - Normal
  6. Haga clic en OK (Aceptar).

    FortiCloud se pondrá en contacto con el FortiManager Cloud registrado para su aprobación. El proceso de registro no requiere una dirección IP, sino que utiliza la autenticación back-end a través de un registro y una licencia previos.

Autorizar FortiGate en FortiManager

Antes de que FortiManager añada el FortiGate a su lista de dispositivos gestionados, es necesario autorizarlo manualmente.

Para autorizar el FortiGate

  1. Inicie sesión en su instancia de FortiManager Cloud en Fortinet Support.

  2. Seleccione Services (Servicios) > FortiManager.

    Autorizar dispositivo

    Verá un dispositivo no autorizado en espera de aprobación.

    FortiGate en espera de autorización

  3. Haga clic en Unauthorized Devices (Dispositivos no autorizados) y, a continuación, seleccione el dispositivo que desea autorizar.

  4. Haga clic en Authorize (Autorizar).

  5. Opcionalmente, puede cambiar el nombre del dispositivo, aplicar un paquete de políticas preconfigurado o aplicar una plantilla de aprovisionamiento preconfigurada al dispositivo.

  6. Haga clic en OK (Aceptar) cuando esté satisfecho con la configuración.
    Una marca de verificación verde indicará que FortiManager ha autorizado el FortiGate.

    Autorización correcta de FortiGate

  7. Haga clic en Close (Cerrar).

El dispositivo se gestionará ahora a través de FortiManager Cloud y podrá verlo en la lista de dispositivos gestionados.

FortiCloud gestionado a través de FortiManager

Nota

La dirección IP del FortiGate que se muestra en el panel es una IP interna y privada que se utiliza específicamente para la superposición de SD-WAN.

Eliminación de un MVE

Puede terminar un MVE directamente desde el Portal de Megaport.

Para eliminar un MVE

  1. En el Portal de Megaport, vaya a la página Services (Servicios).

  2. Haga clic en el icono de la basura situado junto al MVE que quiera eliminar.

    Aparecerá una lista de todos los servicios conectados al MVE.

    Terminar un MVE

  3. Haga clic en Yes - Terminate Services (Sí - Terminar los Servicios) para confirmar la terminación del MVE. También puede hacer clic en No, Keep Services (No, mantener los servicios) para cancelar el proceso.

    El MVE y sus VXC asociadas se eliminarán de la red de Megaport. Utilice el administrador de dispositivos de FortiManager para eliminar el FortiGate.

Siguientes pasos

Dado que ya ha implementado un MVE, el siguiente paso será conectar una VXC a un CSP, un puerto local o una red de terceros. De manera opcional, conecte un Puerto físico al MVE a través de una VXC privada o conéctese a un proveedor de servicios en el Marketplace de Megaport.


Última actualización: 2022-02-08