Création d’un MVE intégré à Fortinet

Cette rubrique décrit comment créer et configurer un Megaport Virtual Edge (MVE) avec un Fortinet Secure SD-WAN. Avant de commencer, vous avez besoin de comptes d’utilisateur avec des autorisations de commande qui donnent accès au portail Megaport et à Fortinet.

Pour plus de détails sur la configuration d’un compte Megaport, voir Enregistrement d’un compte.

Conseil

Fortinet fournit une documentation sur son produit SD-WAN, y compris FortiManager et les connexions au Cloud, dans la Bibliothèque de documents Fortinet SD-WAN.

Les étapes de base

Cette section fournit un aperçu des étapes de configuration dans FortiManager et le portail Megaport. Les détails suivent.

Les étapes de base sont les suivantes :

  • Obtenez une licence auprès de Fortinet.
  • Générez une paire de clés SSH pour l’authentification.
  • Créez le MVE Fortinet dans le portail Megaport.
  • Visualisez l’attribution de l’adresse IP publique du MVE dans le portail Megaport.
  • Définissez un mot de passe administrateur pour le FortiGate.
  • Autorisez l’accès sécurisé à la console du FortiGate.
  • Ajoutez le FortiGate à FortiManager Cloud (facultatif).

Licences

Avant de créer un MVE dans le portail Megaport, vous devez avoir une licence valide de Fortinet. Après avoir acheté une licence auprès de Fortinet, vous recevrez un code d’enregistrement dans un PDF. Vous utiliserez ce code d’enregistrement pour générer un fichier de licence.

Pour obtenir un fichier de licence auprès de Fortinet

  1. Connectez-vous à votre compte d’enregistrement sur Assistance Fortinet.

  2. Choisissez Enregistrer le produit et saisissez le code d’enregistrement fourni.

  3. Suivez la procédure d’enregistrement.

    Fortinet génère le numéro de série et l’affiche sur la page de fin d’enregistrement.

  4. Choisissez Manage (Gestion) > View Products (Voir les produits) et cliquez sur le numéro de série.

  5. Cliquez sur le lien de téléchargement et enregistrez le fichier de licence. Vous téléchargerez le fichier de licence plus tard dans le portail Megaport.

Une fois le produit enregistré, il apparaît dans la liste des produits de FortiCloud Asset Management.

L’étape suivante consiste à générer une paire de clés SSH pour l’authentification.

Accès administratif au MVE

Le MVE et le FortiGate se connectent par le biais d’une paire de clés SSH publiques/privées pour établir des connexions sécurisées. La clé SSH publique vous permet de vous connecter en SSH à la FortiGate et de définir le mot de passe administratif, d’activer l’accès HTTPS et, en option, d’enregistrer le FortiGate dans votre FortiManager Cloud.

Megaport prend en charge le type de clé RSA 2048 bits.

Pour générer une paire de clés SSH (Linux/Mac OSX)

  • Exécutez la commande SSH keygen :
     ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
    

La commande key generator crée une paire de clés SSH et ajoute deux fichiers à votre répertoire ~/.ssh :

  • megaport-mve-instance-1-2048 - contient la clé privée.
  • megaport-mve-instance-1-2048.pub - contient la clé publique qui est autorisée à se connecter au compte Fortinet.

Pour générer une paire de clés SSH (Windows, avec PuTTYgen)

  1. Ouvrez PuTTYGen.
  2. Dans la section Clé, choisissez RSA 2048 bits et cliquez sur Générer.
  3. Déplacez votre souris au hasard dans le petit écran pour générer les paires de clés.
  4. Entrez un commentaire sur la clé, qui permettra d’identifier la clé.
    Ceci est pratique lorsque vous utilisez plusieurs clés SSH.
  5. Saisissez un code secret pour la clé, puis entrez de nouveau la saisie pour la confirmer.
    Le code secret sert à protéger votre clé. Il vous sera demandé lorsque vous vous connecterez via SSH.
  6. Cliquez sur Save private key (Enregistrer la clé privée), choisissez un emplacement et cliquez sur Save (Enregistrer).
  7. Cliquez sur Save public key (Enregistrer la clé publique), choisissez un emplacement et cliquez sur Save (Enregistrer).

Vous copierez et collerez le contenu du fichier de clé publique dans le portail Megaport plus tard pour distribuer la clé publique dans le FortiGate. Votre clé privée correspondra à la clé publique pour permettre l’accès. Seule une clé privée a accès au FortiGate pour l’accès SSH.

Création d’un MVE dans le portail Megaport

Avant de créer un MVE, vous devez déterminer le meilleur emplacement - un emplacement qui prend en charge le MVE et qui se trouve dans la zone métropolitaine la plus compatible. Vous pouvez connecter plusieurs sites à un MVE individuel. Pour plus de détails sur l’emplacement, voir Planification de votre déploiement.

Vous pouvez déployer plusieurs MVE dans la même zone métropolitaine pour des raisons de redondance ou de capacité.

Pour créer un MVE

  1. Dans le Megaport Portal, allez à la page Services.
  2. Cliquez sur Create MVE (Créer un MVE).
    Bouton Create MVE (Créer un MVE)

  3. Sélectionnez l’emplacement du MVE.

    Sélectionnez un emplacement géographiquement proche de votre succursale cible et/ou de vos sites sur site.

    Le pays que vous choisissez doit être un marché dans lequel vous vous êtes déjà enregistré.

    Si vous n’avez pas enregistré de marché de facturation à l’endroit où vous allez déployer le MVE, suivez la procédure décrite dans Activer un marché de facturation.

    Pour rechercher votre marché local dans la liste, entrez un pays dans le Country Filter (filtre Pays) ou un détail de région Métro dans le filtre Search (Recherche).

    Sélectionner l’emplacement du MVE

  4. Cliquez sur Next (Suivant).

  5. Sélectionnez Fortinet et la version du logiciel.
    Le MVE sera configuré pour être compatible avec cette version du logiciel de Fortinet.

  6. Précisez les détails du MVE.
    MVE details (Détails du MVE)

    • MVE Name (Nom du MVE) – Précisez un nom pour le MVE qui soit facilement identifiable comme étant le vôtre, en particulier si vous prévoyez de provisionner plus d’un MVE. Ce nom apparaît dans le portail Megaport.

    • Service Level Reference (optional) (Référence de niveau de service (optionnelle))– Spécifiez un numéro d’identification unique pour le MVE à utiliser à des fins de facturation, tel qu’un numéro de centre de coûts ou un ID client unique. Le numéro de référence de niveau de service apparaît pour chaque service dans la section Produit de la facture. Vous pouvez également modifier ce champ pour un service existant.

      Remarque

      La VXC de transit associée au MVE est automatiquement mise à jour avec le numéro de référence du niveau de service du MVE.

    • Size (Taille) – Sélectionnez une taille dans la liste déroulante : Petit, Moyen, ou Grand. Trois tailles sont disponibles pour prendre en charge un nombre variable de connexions simultanées. Les métriques des produits des partenaires individuels varient légèrement, mais en général, la petite taille peut gérer plus de 30 connexions simultanées aux succursales et jusqu’à 500 Mbits/s de trafic, une taille moyenne jusqu’à 300 connexions et 1 Gbit/s, et une grande taille environ 600 connexions et environ 5 Gbits/s de trafic.

    • Appliance Licence (Licence d’appliance) – Cliquez sur Choose File (Choisir un fichier), puis sélectionnez la licence de l’appliance générée précédemment par Fortinet.

    • SSH Key (Clé SSH) – Copiez et collez le contenu de votre clé SSH publique ici. Vous pouvez trouver la clé publique dans le fichier megaport-mve-instance-1-2048.pub généré précédemment.

  7. Cliquez sur Next (Suivant) pour afficher l’écran Summary (Résumé).

    Le tarif mensuel est basé sur l’emplacement et la taille.
    Résumé du MVE

  8. Confirmez la configuration et le prix et cliquez sur Add MVE (Ajouter MVE).
    Cliquez sur Create MVE (Créer un MVE) pour ajouter d’autres MVE dans d’autres emplacements.

  9. Cliquez sur Order (Commander).

  10. Passez en revue l’accord de services des commandes et cliquez sur Order Now (Commander maintenant).

    • Cliquez sur Save (Enregistrer) pour enregistrer le MVE configuré avant de passer la commande.
    • Cliquez sur Add Promo Code (Ajouter code promotionnel) pour entrer un code promotionnel, et cliquez sur Add Code (Ajouter le code).

La commande d’un MVE provisionne l’instance et attribue des adresses IP à partir du SDN Megaport. Le provisionnement du MVE ne prend que quelques minutes. Le processus de provisionnement fait tourner un FortiGate.

Visualisation de l’attribution de l’adresse IP publique du MVE dans le portail Megaport

Après avoir créé le MVE, vous pouvez le visualiser dans le portail Megaport.

Pour visualiser un MVE dans le portail Megaport

  • Allez à la page Services.

MVE et VXC de transit dans le portail MP

Dans le cadre du provisionnement du MVE, Megaport crée une connexion transversale virtuelle (VXC) de transit pour fournir une connectivité Internet et permettre à un MVE de s’enregistrer et de communiquer avec le réseau superposé du Fortinet SD-WAN. Le réseau superposé est créé et géré par Fortinet pour fournir des tunnels sécurisés à partir des succursales. Le VXC de transit a une taille fixe, basée sur la taille du MVE. Vous ne pouvez pas modifier ni supprimer le VXC de transit. L’icône VXC de transit diffère d’une icône VXC standard dans le portail Megaport, comme le montre l’image.

Pour afficher les adresses IP publiques attribuées au MVE

  1. Cliquez sur l’icône représentant un engrenage à côté de la VCX de transit vers l’Internet de Megaport.

  2. Localisez l’adresse IP publique (IPv4 ou IPv6). Ce sont les adresses IP publiques attribuées au MVE. Notez ces adresses pour les utiliser plus tard.

Autoriser l’accès à la console du FortiGate

L’accès à la console du FortiGate se fait par une session HTTPS sécurisée. Le MVE bloque tout accès aux adresses IP publiques attribuées au périphérique jusqu’à ce que vous vous connectiez en SSH et accordiez un accès HTTPS.

Pour définir un mot de passe pour l’interface Web de l’administrateur et autoriser l’accès HTTPS

  1. SSH vers l’instance Fortinet MVE en utilisant la clé privée SSH générée précédemment. Le nom d’utilisateur par défaut est admin, suivi de l’adresse IP publique attribuée à l’appareil par Megaport.

    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

    Une fois dans la CLI de FortiOS, vous pouvez afficher l’état du système et autoriser l’accès au périphérique à l’aide de commandes CLI.

    Remarque

    La CLI de FortiOS diffère de la CLI standard NOS ou du shell Linux.

  2. Configurez un mot de passe pour le compte de l’utilisateur admin.

      FGVM08TM21001375 # config system admin
      FGVM08TM21001375 (admin) # edit admin
      FGVM08TM21001375 (admin) # set password xxxxxxxx
      FGVM08TM21001375 (admin) # next
      FGVM08TM21001375 (admin) # end
    
  3. Autoriser l’accès HTTPS au GUI de l’interface publique sur le port 1.

      FGVM08TM21001375 # config system interface
      FGVM08TM21001375 (interface) # edit port1
      FGVM08TM21001375 (port1) # append allowaccess https
      FGVM08TM21001375 (port1) # next
      FGVM08TM21001375 (interface) # end
    
      FGVM08TM21001375 #
    
  4. Vérifiez que l’accès HTTPS est autorisé.

      FGVM08TM21001375 # show system interface
    

Si l’accès HTTPS est autorisé, vous pouvez vous connecter à la FortiGate via son interface utilisateur Web en utilisant les informations d’identification de l’administrateur.

Ajoutez le FortiGate à FortiManager Cloud

L’étape suivante consiste à ajouter la FortiGate à FortiManager Cloud, la plateforme de gestion centralisée SD-WAN de Fortinet.

Remarque

Cette étape est facultative. Vous pouvez gérer un FortiGate comme un périphérique autonome sans utiliser FortiManager Cloud comme gestionnaire central.

Pour ajouter la FortiGate à FortiManager Cloud

  1. Connectez-vous à l’interface utilisateur graphique de FortiGate : https://162.43.xx.x

  2. Sélectionnez Device Manager (Gestionnaire de périphériques).

  3. À partir du tableau de bord des périphériques, choisissez Security Fabric (Structure de sécurité) > Fabric Connectors (Connecteurs de structure).

  4. Sélectionnez FortiManager et cliquez sur Edit (Modifier).

    Ajoutez FortiGate à FortiManager

  5. Sélectionnez les paramètres suivants :

    • Status (Statut) - Enabled (Activé)
    • Type - FortiManager Cloud
    • Mode - Normal
  6. Cliquez sur OK.

    Le FortiCloud contacte votre FortiManager Cloud enregistré en vue d’une approbation. Le processus d’enregistrement ne nécessite pas d’adresse IP, mais utilise une authentification dorsale par le biais d’un enregistrement préalable et d’une licence.

Autoriser la FortiGate dans FortiManager

Avant que FortiManager ajoute la FortiGate à sa liste de périphériques gérés, vous devez l’autoriser manuellement.

Pour autoriser la FortiGate

  1. Connectez-vous à votre instance FortiManager Cloud sur Assistance Fortinet.

  2. Choisissez Services > FortiManager.

    Autoriser le périphérique

    Vous verrez un périphérique non autorisé en attente d’approbation.

    FortiGate en attente d’autorisation

  3. Cliquez sur Unauthorized Devices (Périphériques non autorisés), puis sélectionnez le périphérique à autoriser.

  4. Cliquez sur Authorize (Autoriser).

  5. Vous pouvez éventuellement modifier le nom du périphérique, appliquer un ensemble de stratégies préconfiguré ou appliquer un modèle de provisionnement préconfiguré au périphérique.

  6. Cliquez sur OK lorsque vous êtes satisfait de la configuration.
    Une coche verte indique que la FortiGate a été autorisée par FortiManager.

    Autorisation réussie de FortiGate

  7. Cliquez sur Close (Fermer).

Le périphérique est maintenant géré via FortiManager Cloud et vous pouvez le voir dans la liste des périphériques gérés.

FortiCloud géré par FortiManager

Remarque

L’adresse IP de la FortiGate affichée sur le tableau de bord est une IP interne et privée qui est spécifiquement utilisée pour la superposition SD-WAN.

Suppression d’un MVE

Vous pouvez terminer un MVE directement depuis le portail Megaport.

Pour supprimer un MVE

  1. Dans le portail Megaport, allez à la page Services.

  2. Cliquez sur l’icône de la corbeille à côté du MVE que vous voulez supprimer.

    Une liste de tous les services connectés au MVE apparaît.

    Terminer un MVE

  3. Cliquez sur Yes - Terminate Services (Oui, mettre fin aux services) pour confirmer la désactivation du MVE, ou cliquez sur No, Keep Services (Non, garder les services) pour annuler.

    Le MVE et ses VXC associées sont supprimés du réseau Megaport. Utilisez le gestionnaire de périphériques dans FortiManager pour supprimer la FortiGate.

Prochaines étapes

Maintenant que vous avez déployé un MVE, l’étape suivante consiste à connecter une connexion transversale virtuelle (VXC) à un CSP, un port local ou un réseau tiers. Vous pouvez éventuellement connecter un port physique au MVE via une VXC privée ou vous connecter à un fournisseur de services dans la Megaport Marketplace.


Dernière mise à jour: