Planification de votre déploiement Fortinet Secure SD-WAN
Cette rubrique fournit une vue d’ensemble du processus de provisionnement et décrit les considérations de déploiement pour le Megaport Virtual Edge (MVE).
| Vous fournissez | Megaport fournit |
|---|---|
| Connexion Internet depuis la succursale | Plateforme pour héberger les appliances SD-WAN virtuelles |
| Fournisseur SD-WAN activé au niveau de la succursale | Connexion complète d’une succursale à toute destination sur le réseau Megaport et interopérabilité avec d’autres produits et services Megaport. |
| Équipement d’abonné (CPE) installé dans la succursale | Megaport Internet avec protection contre le DDoS (Déni de service distribué) pour terminer le tunnel entre le MVE et le CPE dans la succursale via Internet. |
| Licence du logiciel SD-WAN à utiliser sur le SDN Megaport | Accès à l’écosystème Megaport |
Considérations relatives au déploiement
Cette section présente une vue d’ensemble des options et des caractéristiques du déploiement MVE.
Le Fortinet Secure SD-WAN utilise des appliances FortiGate virtuelles ou des appliances FortiGate physiques, comme beaucoup d’autres fournisseurs de SD-WAN. Cependant, avec Fortinet, vous pouvez configurer les appliances pour plusieurs utilisations différentes. Par exemple, vous pouvez configurer une appliance Fortinet pour l’utiliser :
-
Strictement comme un pare-feu de nouvelle génération (NGFW) pour les bureaux distants avec une configuration locale et une journalisation locale uniquement.
-
Comme gestion centrale avec journalisation centrale, ou comme gestion centrale sans journalisation centrale.
-
Dans un réseau superposé traditionnel de type SD-WAN.
Pour plus de détails, consultez la Bibliothèque de documentation Fortinet.
Caractéristiques de Fortinet Secure SD-WAN
FortiGate-VM offre à la fois des services NGFW et SD-WAN sur une seule machine virtuelle. L’hébergement de FortiGate-MV sur le MVE permet non seulement d’optimiser la connectivité réseau de la périphérie au cloud, mais également de mettre en œuvre des services et des politiques de sécurité avancés sur les segments de dorsale Megaport.
L’intégration de FortiGate-VM à la plateforme NaaS de Megaport permet d’étendre les éléments centraux suivants du service Secure Access Service Edge (SASE) entre la périphérie et la structure du réseau cloud :
-
Pare-feu de nouvelle génération (NGFW), comprenant des politiques de pare-feu dynamiques, la traduction d’adresses réseau (NAT), des services de protection contre les intrusions, l’inspection SSL (Secure Sockets Layer) et des renseignements sur les menaces.
-
Les services de passerelle Web sécurisée (SWG) protègent les périphériques contre les destinations Internet malveillantes en utilisant le filtrage du contenu Web et la recherche de logiciels malveillants.
-
L’accès réseau à confiance zéro (ZTNA), qui contrôle l’accès aux applications en vérifiant les utilisateurs et les appareils avant chaque session d’application et confirme qu’ils répondent à la politique de l’organisation pour accéder à cette application.
FortiGate-VM prend également en charge l’intégration des utilisateurs à distance avec les solutions SASE Fortinet via leur agent de sécurité des points de point de terminaison FortiClient. FortiClient permet au périphérique de se connecter en toute sécurité à la structure de sécurité via des tunnels VPN (SSL ou IPsec) ou ZTNA.
La solution FortiSASE permet également d’utiliser les services FortiGate et FortiCloud dans une conception mixte. Par exemple, les applications Internet et certaines applications SaaS peuvent être protégées via SWG et d’un courtier CASB (Cloud Access Security Broker) via FortiCloud, tandis que les connexions privées Megaport sont protégées à l’aide des services de sécurité FortiGate.
Remarque
Si vous avez déjà déployé un pare-feu Fortinet, vous pouvez le connecter à un MVE afin que votre siège ou vos succursales puissent accéder aux services cloud via des interconnexions privées.
Pour plus d’informations sur ces fonctionnalités, consultez les ressources suivantes :
Fournisseurs de SD-WAN
MVE est intégré au Fortinet SD-WAN, qui utilise la console FortiManager de Fortinet pour créer le réseau privé superposé.
Parmi les autres fournisseurs de SD-WAN figurent Aruba SD-WAN, Cisco SD-WAN, Versa Secure SD-WAN et VMware SD-WAN.
Emplacements du MVE
Pour obtenir la liste des emplacements mondiaux via lesquels vous pouvez vous connecter à un MVE, consultez la rubrique Emplacements MVE (Megaport Virtual Edge).
Dimensionnement de votre instance MVE
La taille de l’instance détermine les capacités du MVE, par exemple le nombre de connexions simultanées qu’il peut prendre en charge. Les instances MVE sont regroupées dans les tailles suivantes :
| Taille de paquet | vCPU | DRAM | Stockage | Megaport Internet Vitesse * |
|---|---|---|---|---|
| MVE 2/8 | 2 | 8 Go | 8 Go | Réglable de 20 Mbit/s à 10 Gbit/s |
| MVE 4/16 | 4 | 16 Go | 8 Go | Réglable de 20 Mbit/s à 10 Gbit/s |
| MVE 8/32 | 8 | 32 Go | 8 Go | Réglable de 20 Mbit/s à 10 Gbit/s |
| MVE 12/48 | 12 | 48 Go | 8 Go | Réglable de 20 Mbit/s à 10 Gbit/s |
* L’accès à Megaport Internet est symétrique, redondant, diversifié et comprend une protection contre les attaques DDoS. L’accès à Megaport Internet est réglable grâce à la connexion Megaport Internet que vous joignez au MVE.
Ces métriques de performance et de capacité sont des estimations et vos vitesses peuvent varier. Lorsque vous choisissez la taille d’une instance MVE, gardez à l’esprit les éléments suivants :
-
Toute augmentation de la charge du flux de données du réseau peut dégrader les performances. Par exemple, l’établissement de tunnels sécurisés avec IPsec, l’ajout d’une orientation du trafic ou l’utilisation d’une inspection approfondie des paquets (DPI) peuvent avoir un impact sur la vitesse de débit maximale.
-
Plans futurs pour étendre le réseau.
Que se passe-t-il si j’ai besoin de plus de capacité MVE à l’avenir ?
Vous avez plusieurs options :
-
Vous pouvez provisionner une autre instance MVE, l’ajouter à votre réseau superposé SD-WAN et répartir la charge de travail entre les deux MVE.
-
Vous pouvez provisionner une instance MVE plus grande, l’ajouter à votre réseau superposé SD-WAN, faire migrer les connexions de l’ancienne MVE vers la nouvelle MVE plus grande, puis retirer l’ancienne MVE.
Vous pouvez ajuster la bande passante de Megaport Internet à tout moment sans avoir à démonter la machine virtuelle.
Sécurité
Le MVE fournit de la capacité à destination et en provenance de vos succursales connectées à Internet, en toute sécurité, vers n’importe quel point de terminaison ou fournisseur de services sur le SDN Megaport. Les instances hébergées par CSP des produits SD-WAN des partenaires acheminent le trafic critique à travers le SDN Megaport, réduisant ainsi la dépendance à l’égard d’Internet. Le trafic reste crypté et sous le contrôle de votre politique lorsqu’il traverse le SDN deMegaport, vers ou depuis le MVE.
Chaque abonnement MVE comprend une protection contre les attaques par déni de service distribué (DDoS) sans frais supplémentaires.
Fortinet Secure SD-WAN inclut l’accès à une fonction de sécurité complète : Secure Access Service Edge (SASE). Fortinet sur MVE prend en charge de manière native les services SASE et SD-WAN. Pour plus de détails, consultez la rubrique Sécurisation du réseau via SASE.
Licences
Vous apportez votre propre licence Fortinet (FortiGate) SD-WAN à utiliser avec le MVE. Il est de votre responsabilité de disposer des licences appropriées pour les points de terminaison SD-WAN créés sur le réseau Megaport.
Balisage VLAN
Megaport utilise Q-in-Q pour différencier les MVE et les VXC sur un système matériel hôte. Le MVE du locataire reçoit un trafic non balisé pour la liaison Internet et du trafic 802.1Q à balisage unique vers d’autres destinations sur le réseau Megaport (comme les Rampes d’accès CSP ou d’autres MVE).
vNIC
Chaque MVE peut avoir jusqu’à 5 vNIC. Un MVE est créé avec 1 vNIC par défaut. Vous pouvez en ajouter jusqu’à 4 supplémentaires, ce qui fait un total de 5.
Avant de spécifier le nombre de vNIC sur votre MVE :
-
Sachez que le nombre de vNIC ne peut pas être modifié une fois qu’un MVE a été commandé. Décidez à l’avance du nombre de vNIC à spécifier lorsque vous créez le MVE.
-
Consultez votre fournisseur de services pour vous assurer que la fonctionnalité ne sera pas affectée si vous ajoutez une vNIC.
Remarque
Si vous devez modifier le nombre de vNIC après la commande d’un MVE, vous devrez annuler et commander de nouveau le MVE.