Creación de un MVE integrado con Fortinet

Este tema describe cómo crear y configurar un Megaport Virtual Edge (MVE) con Fortinet Secure SD-WAN. Antes de empezar, necesita cuentas de usuario con permisos de pedido que proporcionen acceso al Portal de Megaport y a Fortinet.

Para obtener más detalles sobre como configurar una cuenta de Megaport, consulte Creación de una cuenta.

Consejo

Fortinet proporciona documentación sobre su producto SD-WAN, incluidos FortiManager y las conexiones en la nube, en Fortinet SD-WAN Documentation Library.

Pasos básicos

Esta sección proporciona una descripción general de los pasos de configuración en FortiManager y el Portal de Megaport. Los procedimientos detallados siguen este resumen de pasos básicos.

Los pasos básicos son:

• Obtenga una licencia de Fortinet.
• Genere un par de claves SSH para la autenticación.
• Cree el MVE de Fortinet en el Portal de Megaport.
• Vea la asignación de la dirección IP pública del MVE en el Portal de Megaport.
• Establezca una contraseña de administrador para el FortiGate.
• Permita el acceso seguro de la consola al FortiGate.
• Añada el FortiGate a FortiManager Cloud (opcional).

Licencias

Antes de crear un MVE en el Portal de Megaport, necesita una licencia válida de Fortinet. Tras adquirir una licencia de Fortinet, recibirá un código de registro en un PDF. Utilizará este código de registro para generar un archivo de licencia.

Para obtener un archivo de licencia de Fortinet

1. Inicie sesión con su cuenta de registro en Fortinet Support.

2. Seleccione Register Product (Registrar producto) e introduzca el código de registro proporcionado.

3. Siga el proceso de registro.
   Fortinet generará el número de serie y lo mostrará en la página de finalización del registro.

4. Seleccione Manage (Gestión) > View Products (Ver productos) y haga clic en el número de serie.

5. Haga clic en el enlace de descarga y guarde el archivo de licencia. Más adelante, cargará el archivo de licencia en el Portal de Megaport.

Una vez registrado el producto, aparecerá en la lista de productos de FortiCloud Asset Management.

El siguiente paso es generar un par de claves SSH para la autenticación.

Acceso administrativo a MVE

MVE y FortiGate se conectan a través de un par de claves públicas/privadas SSH para establecer conexiones seguras. La clave SSH pública le permite acceder a FortiGate mediante SSH y establecer la contraseña administrativa, habilitar el acceso HTTPS y, opcionalmente, registrar el FortiGate en FortiManager Cloud.

Megaport es compatible con el tipo de clave RSA de 2048 bits.

Para generar un par de claves SSH (Linux/Mac OSX)

• Ejecute el comando SSH keygen:

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

El comando generador de claves creará un par de claves SSH y añadirá dos archivos a su directorio ~/.ssh:

• megaport-mve-instance-1-2048 - contiene la clave privada.
• megaport-mve-instance-1-2048.pub - contiene la clave pública autorizada para acceder a la cuenta de Fortinet.

Para generar un par de claves SSH (Windows, con PuTTYgen)

1. Abra PuTTYGen.
2. En la sección Key (Clave), seleccione RSA 2048 bit (RSA de 2048 bits) y haga clic en Generate (Generar).
3. Mueva el ratón al azar en la pequeña pantalla para generar los pares de claves.
4. Introduzca un comentario de clave, que identificará la clave.
   Esto es práctico cuando se utilizan varias claves SSH.
5. Introduzca una frase de contraseña para la clave y vuelva a introducirla para confirmarla.
   La frase de contraseña sirve para proteger su clave. Se le pedirá cuando se conecte vía SSH.
6. Haga clic en Save private key (Guardar clave privada), elija una ubicación y haga clic en Save (Guardar).
7. Haga clic en Save public key (Guardar clave pública), elija una ubicación y haga clic en Save (Guardar).

Copiará y pegará el contenido del archivo de la clave pública en el Portal de Megaport para distribuir la clave pública al FortiGate. Su clave privada coincidirá con la clave pública para conceder el acceso. Solo una clave privada tiene acceso al FortiGate para el acceso SSH.

Creación de un MVE en el Portal de Megaport

Antes de crear un MVE, hay que determinar la mejor ubicación - una que admita el MVE y esté en el área metropolitana más compatible. Puede conectar varias ubicaciones a un MVE individual. Para obtener más detalles sobre la ubicación, consulte Planificación de la implementación de Fortinet.

Puede implementar varios MVE en la misma área metropolitana por motivos de redundancia o capacidad.

Para crear un MVE

1. Desde el Megaport Portal, vaya a la página Services (Servicios).

2. Haga clic en Create MVE (Crear MVE).
   

3. Seleccione la ubicación del MVE.

   Seleccione una ubicación geográficamente cercana a su sucursal objetivo o a sus instalaciones.

   El país que elija debe ser un mercado en el que ya se haya registrado.

   Si no ha registrado un mercado de facturación en la ubicación en la que implementará el MVE, siga el procedimiento de Habilitación de mercados de facturación.

   Para buscar un mercado local en la lista, introduzca un país en el filtro de países o información de la región metropolitana en el filtro de búsqueda.

   

4. Haga clic en Next (Siguiente).

5. Seleccione Fortinet y la versión de software.
   El MVE estará configurado para que sea compatible con esta versión de software de Fortinet.

6. Especifique los detalles del MVE:

   • MVE Name (Nombre del MVE) – Especifique un nombre para el MVE que sea fácilmente identificable, sobre todo si quiere aprovisionar más de uno. Este nombre aparecerá en el Portal de Megaport.

     Nota

     Las cuentas gestionadas por los socios pueden asociar una oferta de socio a un servicio con una suscripción mínima de 12 meses. Para conocer más detalles, consulte Asociar un acuerdo con un servicio.

   • Size (Tamaño) – Seleccione un tamaño en la lista desplegable. La lista muestra todos los tamaños que coinciden con la capacidad de la CPU en la ubicación seleccionada. Los tamaños admiten un número variable de conexiones simultáneas, y las métricas de los productos individuales de los socios varían ligeramente. Para obtener más detalles, consulte Planificación de la implementación de Fortinet.

   • Período de vigencia mínimo – Seleccione No Minimum Term (Sin período de vigencia mínimo) para pagar por uso, o un período de vigencia de 12, 24 o 36 meses. Los períodos de vigencia más largos generan una tarifa mensual más baja. De forma predeterminada, se seleccionará un período de vigencia de 12 meses.

     Nota

     Los socios y las cuentas gestionadas por socios seleccionan suscripciones de MCR en lugar de condiciones del contrato de MCR.

     Para conocer los detalles de los períodos de vigencia del contrato, consulte Precios y períodos de vigencia del contrato de MVE.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para el MVE que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura. También puede editar este campo para un servicio existente.

   • Appliance License (Licencia de Dispositivo) – (Opcional) Haga clic en Choose File (Seleccionar archivo) y seleccione la licencia de dispositivo generada anteriormente por Fortinet.

   • SSH Key (Clave SSH) – Copie y pegue aquí el contenido de su clave SSH pública. Puede encontrar la clave pública en el archivo megaport-mve-instance-1-2048.pub generado anteriormente.

   • Virtual Interfaces (vNICs) (Interfaces virtuales [vNIC]) – Fortinet está configurado con una vNIC denominada Data Plane (Plano de datos) de forma predeterminada. Si es necesario, puede cambiar el nombre escribiendo sobre el texto Data Plane (Plano de datos).

     Puede añadir un total de cinco vNIC al MVE, incluida la añadida de forma predeterminada.

     Para añadir una vNIC:

     • Haga clic en +Add (+Añadir).

       

     • Introduzca un nombre para la vNIC.

       

     Nota

     Si desea aumentar o disminuir la cantidad de vNIC de este MVE después de haberlo implementado, deberá eliminar todo el MVE y volver a crearlo. No puede añadir ni eliminar vNIC de un MVE implementado.

   

7. Haga clic en Next (Siguiente) para ver la pantalla Summary (Resumen).
   La tarifa mensual se basa en la ubicación y el tamaño.
   

8. Confirme la configuración y el precio y, a continuación, haga clic en Add MVE (Añadir MVE).
   Se le solicitará que cree una conexión de Megaport Internet. Una conexión de Megaport Internet proporciona conectividad y permite que el MVE se registre y se comunique con la red superpuesta Fortinet SD-WAN.
   

Para crear la conexión de Megaport Internet

1. Haga clic en Create Megaport Internet (Crear Megaport Internet) para continuar (recomendado) o en Not now (Ahora no) para proporcionar acceso a Internet más adelante.
   Se asignará automáticamente un puerto de destino en la misma zona de diversidad que el MVE.

   Nota

   El MVE requiere conectividad a Internet. Puede aprovisionar una conexión de Megaport Internet o proporcionar su propio acceso a Internet.

2. Especifique los detalles de la conexión:

   • Connection Name (Nombre de la conexión) – Especifique un nombre único para la conexión de Megaport Internet.

   • Service Level Reference (Referencia de Nivel de Servicio) (opcional) – Especifique un número de identificación único para la conexión de Megaport Internet que se utilizará con fines de facturación, como un número de centro de costes o un ID de cliente único. El número de referencia del nivel de servicio aparece para cada servicio en la sección Producto de la factura.

     Consejo

     Utilice los mismos números de referencia de nivel de servicio para la conexión de Megaport Internet y MVE para facilitar la identificación del par correspondiente en la factura.

   • Rate Limit (Límite de velocidad) – El límite de velocidad especifica la velocidad de la conexión de Megaport Internet y se puede ajustar de 20 Mbps a 10 Gbps en incrementos de 1 Mbps. Puede cambiar la velocidad según sea necesario después de crear la conexión de Megaport Internet. Los detalles de facturación mensual aparecen en función de la ubicación y el límite de velocidad.

   • A-End vNIC (vNIC de extremo A) – Especifique una vNIC de la lista desplegable. La lista refleja las vNIC que definió cuando creó el MVE.

   • Preferred A-End VLAN (VLAN Preferida en el Extremo A) (opcional) – Especifique un ID de VLAN que no se haya utilizado para esta conexión.
     Debe ser un ID de VLAN único en este MVE, que puede ir de 2 a 4093. Si se especifica un ID de VLAN que ya se haya utilizado, el sistema mostrará el siguiente número de VLAN disponible. El ID de VLAN debe ser único para poder continuar con el pedido. Si no especifica un valor, Megaport le asignará uno. Como alternativa, puede hacer clic en Untag (Quitar etiqueta). Esta selección elimina el etiquetado VLAN para esta conexión y se configurará sin un ID de VLAN.
     

3. Haga clic en Next (Siguiente) para pasar al resumen de detalles de la conexión, haga clic en Add VXC (Añadir VXC) y pida la conexión.

4. Revise el Acuerdo de solicitud de servicios.
5. Haga clic en Save (Guardar) para guardar el MVE configurado antes de realizar el pedido.
   
6. Haga clic en Order (Realizar pedido).
7. Si tiene un código promocional, haga clic en Add Promo Code (Añadir código promocional), introdúzcalo y luego haga clic en Add Code (Añadir código).
8. Haga clic en Order Now (Realizar pedido ahora).
   

Al pedir el MVE se aprovisiona la instancia y se asignan direcciones IP desde el SDN de Megaport. El aprovisionamiento de MVE solo tarda unos minutos en completarse. El proceso de aprovisionamiento pone en marcha un FortiGate.

Visualización de MVE en el Portal de Megaport

Tras crear un MVE, podrá verlo en el Portal de Megaport en la página Services (Servicios). También puede ver las direcciones IP públicas asignadas.

Para ver un MVE en el Portal de Megaport

• Vaya a la página Services (Servicios).

El icono de Megaport Internet es distinto del icono de la VXC estándar en el Portal de Megaport, tal y como se muestra en la imagen.

Para obtener más información sobre la página Services (Servicios), consulte Explicación de la página Services (Servicios).

Para ver las direcciones IP públicas asignadas al MVE

1. Haga clic en el icono de engranaje junto a la conexión de Megaport Internet.
   Aparecerá la pantalla Connection Configuration (Configuración de conexión). Desde aquí, puede modificar cualquiera de los detalles de la conexión de Megaport Internet.
   
2. Haga clic en la pestaña Detalles.
   
3. Localice la dirección IP pública (IPv4 o IPv6).
   Estas son las direcciones IP públicas asignadas al MVE.

Permitir el acceso de la consola al FortiGate

El acceso a la consola de FortiGate se realiza a través de una sesión segura HTTPS. El MVE bloquea todos los accesos a las direcciones IP públicas asignadas al dispositivo hasta que el usuario se conecta a él mediante SSH y le concede acceso HTTPS.

Para establecer una contraseña de interfaz web de administrador y permitir el acceso HTTPS

1. Establezca SSH con la instancia MVE de Fortinet con la clave privada SSH generada anteriormente. El nombre de usuario por defecto es admin, seguido de la dirección IP pública asignada al dispositivo por Megaport.

   ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

   Una vez en la CLI de FortiOS, puede ver el estado del sistema y permitir el acceso al dispositivo mediante comandos de la CLI.

   Nota

   La CLI de FortiOS difiere de la CLI estándar de NOS o del shell de Linux.

2. Configure una contraseña para la cuenta de administración del usuario.

     FGVM08TM21001375 # config system admin
     FGVM08TM21001375 (admin) # edit admin
     FGVM08TM21001375 (admin) # set password xxxxxxxx
     FGVM08TM21001375 (admin) # next
     FGVM08TM21001375 (admin) # end
   

3. Permitir el acceso HTTPS a la interfaz gráfica de usuario pública en el puerto 1.

     FGVM08TM21001375 # config system interface
     FGVM08TM21001375 (interface) # edit port1
     FGVM08TM21001375 (port1) # append allowaccess https
     FGVM08TM21001375 (port1) # next
     FGVM08TM21001375 (interface) # end
   
     FGVM08TM21001375 #
   

4. Compruebe que el acceso HTTPS está permitido.

     FGVM08TM21001375 # show system interface
   

Con el acceso HTTPS permitido, puede iniciar sesión en el FortiGate a través de su interfaz web utilizando las credenciales de administrador del usuario.

Añadir el FortiGate a FortiManager Cloud

El siguiente paso es añadir el FortiGate a FortiManager Cloud, la plataforma de gestión centralizada SD-WAN de Fortinet.

Nota

Este paso es opcional. Puede gestionar un FortiGate como un dispositivo independiente sin utilizar FortiManager Cloud como su gestor central.

Para añadir el FortiGate a FortiManager Cloud

1. Entre en la interfaz gráfica de usuario de FortiGate: https://162.43.xx.x

2. Seleccione Device Manager (Administrador de dispositivos).

3. En el panel de control del dispositivo, seleccione Security Fabric (Estructura de seguridad) > Fabric Connectors (Conectores de estructura).

4. Seleccione FortiManager y haga clic en Edit (Editar).

   

5. Seleccione los siguientes ajustes:

   • Status (Estado) - Enabled (Habilitado)
   • Type (Tipo) - FortiManager Cloud
   • Mode (Modo) - Normal

6. Haga clic en OK (Aceptar).

   FortiCloud se pondrá en contacto con el FortiManager Cloud registrado para su aprobación. El proceso de registro no requiere una dirección IP, sino que utiliza la autenticación back-end a través de un registro y una licencia previos.

Autorizar FortiGate en FortiManager

Antes de que FortiManager añada el FortiGate a su lista de dispositivos gestionados, es necesario autorizarlo manualmente.

Para autorizar el FortiGate

1. Inicie sesión en su instancia de FortiManager Cloud en Fortinet Support.

2. Seleccione Services (Servicios) > FortiManager.

   

   Verá un dispositivo no autorizado en espera de aprobación.

   

3. Haga clic en Unauthorized Devices (Dispositivos no autorizados) y, a continuación, seleccione el dispositivo que desea autorizar.

4. Haga clic en Authorize (Autorizar).

5. Opcionalmente, puede cambiar el nombre del dispositivo, aplicar un paquete de políticas preconfigurado o aplicar una plantilla de aprovisionamiento preconfigurada al dispositivo.

6. Haga clic en OK (Aceptar) cuando esté satisfecho con la configuración.
   Una marca de verificación verde indicará que FortiManager ha autorizado el FortiGate.

   

7. Haga clic en Close (Cerrar).

El dispositivo se gestionará ahora a través de FortiManager Cloud y podrá verlo en la lista de dispositivos gestionados.

Nota

La dirección IP del FortiGate que se muestra en el panel es una IP interna y privada que se utiliza específicamente para la superposición de SD-WAN.

Siguientes pasos

Dado que ya ha implementado un MVE, el siguiente paso será conectar una VXC a un CSP, un puerto local o una red de terceros. De manera opcional, conecte un Puerto físico al MVE a través de una VXC privada o conéctese a un proveedor de servicios en el Marketplace de Megaport.

---

Última actualización: 2024-02-11