Créer une connexion Azure pour un MVE avec Fortinet SD-WAN

Vous pouvez créer une connexion réseau entre un MVE (un FortiGate) et Azure ExpressRoute à l’aide de connexions transversales virtuelles (VXC). Vous pouvez créer soit une connexion privée, soit une connexion publique (Microsoft).

Important

Avant de commencer, créez un MVE (FortiGate) dans FortiManager. Pour plus de détails, voir Création d’un MVE.

L’ajout d’une connexion ExpressRoute à votre MVE et à votre FortiManager se fait en trois parties.

  1. Configurez votre plan ExpressRoute et déployez le circuit ExpressRoute dans la console Azure. Lors du déploiement, vous obtenez une clé de service. Pour plus de détails, voir la documentation Microsoft ExpressRoute.

  2. Dans le portail Megaport, créez une connexion (VXC) entre votre MVE et votre emplacement ExpressRoute.

  3. Dans FortiManager, créez une nouvelle interface et ajoutez les détails de la connexion ExpressRoute.

Les instructions de cette rubrique passent en revue les deuxième et troisième parties.

Remarque

MVE pour Fortinet SD-WAN nécessite des étapes de configuration à la fois dans FortiManager et dans le portail Megaport pour toutes les connexions au cloud.

Ajout de la connexion ExpressRoute dans le portail Megaport

Pour mettre en place la connexion ExpressRoute, vous devez créer la connexion dans le portail Megaport.

Pour créer une connexion vers ExpressRoute à partir du portail Megaport

  1. Dans le Megaport Portal, allez à la page Page Services et sélectionnez le MVE que vous souhaitez utiliser.

  2. Cliquez sur +Connection (+Connexion) sur le MVE.
    Ajouter une connexion

  3. Cliquez sur la vignette Cloud.

  4. Sélectionnez Azure ExpressRoute comme fournisseur. Ajouter une connexion

  5. Ajoutez la clé de service ExpressRoute dans le champ du volet droit.
    Le portail vérifie la clé et affiche ensuite les emplacements de port disponibles en fonction de la région ExpressRoute. Par exemple, si votre service ExpressRoute est déployé dans la région Est de l’Australie à Sydney, vous pouvez sélectionner les cibles de Sydney.

  6. Sélectionnez le point de connexion pour votre première connexion.
    Pour déployer une deuxième connexion (et c’est recommandé), vous pouvez créer une seconde VXC - entrer la même clé de service et sélectionner l’autre cible de connexion.

    Certains liens utiles apparaissent sur l’écran de configuration vers des ressources notamment la console Azure Resource Manager et quelques tutoriels vidéos.

  7. Précisez ces détails de connexion :

    • Name your connection (Nommez votre connexion) – Le nom de votre VXC qui doit apparaître sur le portail Megaport.

    • Service Level Reference (optional) (Référence de niveau de service (optionnelle))– Spécifiez un numéro d’identification unique pour la VXC à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

    • Rate Limit (Débit maximal) – Il s’agit de la vitesse de votre connexion en Mbits/s. Le débit maximal pour la VXC est plafonné au maximum autorisé en fonction de la clé de service ExpressRoute.

    • Preferred A-End VLAN (VLAN A-End préféré) – En option, indiquez un ID VLAN inutilisé pour cette connexion (pour ExpressRoute, il s’agit du S-Tag). Il doit s’agir d’un ID VLAN unique sur ce port, qui peut être compris entre 2 et 4093. Si vous indiquez un ID VLAN déjà utilisé, le système affiche le prochain numéro VLAN disponible. L’ID VLAN doit être unique pour pouvoir procéder à la commande. Si vous ne spécifiez pas de valeur, Megaport vous en attribuera une.

    • Configure Single Azure Peering VLAN (Configurer un seul VLAN de peering Azure) – Par défaut, cette option est activée pour MVE et nous recommandons fortement de la conserver activée avec Fortinet SD-WAN.
      Cette option fournit une solution VLAN à balise unique. Vous configurez le peering dans Azure avec le VLAN MVE (A-End) et le VLAN du pair défini dans Azure (B-End). Notez que vous ne pouvez avoir qu’un seul type de peering (privé ou Microsoft) par VXC avec cette option.

      Important

      Si vous n’activez pas cette option, la VXC semble active mais elle ne reconnaît pas le trafic.

    • Azure Peering VLAN (VLAN de peering Azure) – Cette valeur doit correspondre au VLAN de l’A-End.
      Détails de la connexion Azure

  8. Cliquez sur Next (Suivant) et procédez à la commande.

Lorsque la configuration du VXC est terminée, l’icône VXC est verte.

Nouvelle VXC

Dans la console Azure Resource Management, le statut du fournisseur sera « Provisionné ».

Statut du fournisseur Azure

Une fois le provisionnement effectué, vous devez configurer les peerings. Vous pouvez configurer le peering privé et Microsoft. Cliquez sur le pair à configurer et fournissez ces détails :

  • Peer ASN (ASN pair) – Entrez l’ASN du MVE.
  • IPv4 Subnets (Sous-réseaux IPv4) – À partir de chacun de ces sous-réseaux, MVE utilise la première adresse IP utilisable et Microsoft utilise la deuxième adresse IP utilisable pour son routeur.
  • VLAN ID (ID du VLAN) – Entrez le VLAN de l’A-End du MVE. (Remarque : l’ID du VLAN dans la console Azure peut être différent du VLAN de l’A-End).
  • Shared Key (Clé partagée) – En option, entrez un mot de passe MD5 pour BGP.

Configuration du peering Azure

Ajout de la connexion ExpressRoute à FortiManager

Après avoir créé la connexion de votre MVE à Azure et configuré la connexion dans la console Azure, vous devez la configurer dans FortiManager. Cela implique de créer une interface et de configurer les paramètres BGP, les ASN, les VLAN et les valeurs MD5.

Pour ajouter la connexion Azure Cloud dans FortiManager

  1. Récupérez les détails de la connexion depuis la console Azure.
    Affichez les détails de la connexion que vous avez créée dans Azure pour cette connexion. Notez les valeurs des champs Peer ASN (ASN de pair), Shared Key (Clé partagée), VLAN ID (ID du VLAN) et IPv4 Primary Subnet (Sous-réseau principal IPv4).

  2. Récupérez les détails de la connexion depuis le portail Megaport.
    Cliquez sur l’icône d’engrenage de la connexion Azure de votre MVE et cliquez sur la vue Details (Détails). Notez la valeur pour le VLAN A-End.

  3. Connectez-vous à FortiManager.

    Remarque

    Vous pouvez également vous connecter sur votre instance MVE : https://<mve-ip-address>

  4. A partir du périphérique géré, accédez au menu System (Système) et choisissez Interface.
    Interface du système
    La page affiche port1 comme votre interface physique.

  5. Cliquez sur +Create New > Interface (Créer nouvelle > Interface) et fournissez ces informations :

    • Interface Name (Nom de l’interface) – Spécifiez un nom significatif pour l’interface.
    • Alias Name (Nom d’alias) – En option, fournissez un nom alternatif.
    • Type – Choisissez VLAN.
    • Interface – Choisissez l’interface parent : port1.
    • VLAN ID (ID du VLAN) – Spécifiez le VLAN de l’A-End listé pour cette connexion Azure dans le portail Megaport.
    • Role (Rôle) – Sélectionnez Undefined (Non défini).
    • Addressing Mode (Mode d’adressage) –Sélectionnez Manual (Manuel).
    • IP/Netmask (IP/Masque réseau) – Ces valeurs sont disponibles dans la console Azure. Les adresses IP et CIDR apparaissent dans le champ IPv4 Primary Subnet (Sous-réseau principal IPv4) ; MVE utilise la première adresse IP utilisable et Azure utilise la deuxième IP utilisable pour son routeur. Dans ce champ, entrez l’adresse IP du MVE (première adresse utilisable).
    • Administrative Access (Accès administratif) - Sélectionnez la manière dont vous souhaitez accéder à cette interface, par exemple HTTPS, PING et SSH.
    • DHCP Server (Serveur DHCP) - Cliquez sur OFF.
      Paramètres de l’interface
  6. Cliquez sur OK.
    La nouvelle interface VLAN apparaît avec votre interface physique port1.

Vous pouvez exécuter une commande execute ping depuis FortiOS pour vérifier la connexion.

Remarque

Vous devez pousser la configuration vers le MVE, ce qui se produit lorsque vous avez configuré AutoUpdate. Si vous ne parvenez pas à établir un ping vers la connexion, accédez à Manage Devices (Gérer les périphériques) dans FortiManager, sélectionnez le MVE et choisissez Refresh Device (Actualiser le périphérique) dans le menu More (Plus). Si vous y êtes invité, sélectionnez AutoUpdate (Mise à jour automatique) pour le statut de configuration.

À ce stade, nous avons créé l’interface et nous devons maintenant créer la session BGP.

  1. Dans FortiManager, allez dans Router > BGP (Routeur > BGP).
    Paramètres BGP

  2. Fournissez les informations suivantes :

    • Local AS (AS local) – Fournissez l’ASN pour la connexion MVE. Utilisez le Peer ASN (ASN pair) à partir de la console Azure.
    • Router ID (ID du routeur) – Entrez la première adresse IP utilisable dans IPv4 Primary Subnet (Sous-réseau principal IPv4) de la console Azure.
      Paramètres de l’interface
  3. Dans Neighbors (Voisins), cliquez sur +Create New (Créer un nouveau).

  4. Pour le Neighbor IP (IP voisin), ajoutez la deuxième adresse IP utilisable du sous-réseau principal IPv4 de la console Azure.
  5. Pour Remote ASN (ASN distant), entrez l’ASN côté Azure de 12076.
    Il s’agit d’une valeur fixe, qui apparaît dans les détails de la connexion sur la console Azure.

  6. Cliquez sur OK.

  7. Cliquez sur Apply (Appliquer).
    Le voisin est configuré mais nous devons ajouter les informations d’authentification BGP si vous les avez définies dans la console Azure. (C’était facultatif.) L’interface Web ne vous permet pas de définir cela et vous devez utiliser la ligne de commande pour ajouter les détails du BGP.

  8. SSH vers l’instance MVE en utilisant votre fichier de clé privée.
    Par exemple :
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. Utilisez ces commandes pour ajouter un mot de passe pour le voisin BGP.

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

Étapes de l’interface CLI pour BGP

Validation de votre connexion Azure

Vous pouvez consulter les détails de la connexion, y compris l’état de la connexion, à partir de l’interface CLI avec ces commandes :

  • get system interface – Affiche les détails de configuration et l’état actuel des interfaces du périphérique.
  • get router info bgp neighbor <ip-address> – Affiche les détails de configuration et l’état actuel des voisins BGP.

Dernière mise à jour: