Fortinet SD-WANによるMVEのAzure接続の作成

MVE(FortiGate)からAzure ExpressRouteへのネットワーク接続は、Virtual Cross Connections(VXC)で作成できます。プライベート接続、またはパブリック(Microsoft)接続のいずれかを作成することができます。

重要

始める前に、FortiManagerでMVE(FortiGate)を作成します。詳細については、MVEの作成を参照してください。

MVE および FortiManager への ExpressRoute 接続の追加には、3 つの部分があります。

  1. ExpressRouteプランをセットアップし、AzureコンソールでExpressRoute回線を展開します。構築すると、サービスキーを取得します。詳細については、Microsoft ExpressRouteのドキュメントを参照してください。

  2. Megaport Portalで、MVEからExpressRouteのロケーションへの接続(VXC)を作成します。

  3. FortiManagerで新しいインターフェイスを作成し、ExpressRoute接続の詳細を追加します。

このトピックでは、2番目と3番目の部分を順に説明します。

注意

Fortinet SD-WANのMVEでは、すべてのクラウド接続に対してFortiManagerとMegaport Portalの両方で設定の手順が必要です。

Megaport PortalでのExpressRoute接続の追加

ExpressRouteの接続を設定するには、Megaport Portalで接続を作成する必要があります。

Megaport PortalからExpressRouteへの接続を作成するには

  1. Megaport Portal で、 「 「Services(サービス)」ページに移動し、使用するMVEを選択します。

  2. MVEの「+Connection(+接続)」をクリックします。
    Add connection

  3. 「Cloud(クラウド)」タイルをクリックします。

  4. プロバイダーとして「Azure ExpressRoute」を選択します。 接続を追加する

  5. 右側のパネルのフィールドに、ExpressRouteサービスキーを 追加します。
    ポータルはキーを確認してから、ExpressRouteリージョンに基づいて 使用可能なポートのロケーションを表示します。例えば、 ExpressRouteサービスが、シドニーのオーストラリア東部地域に構築されている場合、 シドニーのターゲットを選択できます。

  6. 最初の接続の接続ポイントを選択します。
    2番目の接続を構築するには(これが推奨されます)、 2番目のVXCを作成します - 同じサービスキーを入力し、 別の接続ターゲットを選択します。

    設定画面には、Azure Resource Managerコンソールやチュートリアルビデオなどの リソースへの便利なリンクが 表示されます。

  7. 次の接続の詳細を指定します。

    • Connection Name(接続名) – Megaport Portalに表示される VXC の名前です。 VXCの名前です。

    • Invoice Reference(請求書参照) –オプションのフィールドです。PO番号や請求参照番号など、 任意のテキストで構いません。

    • Rate Limit(レート制限) –これは、接続の速度をMbpsで表したものです。Azure コンソールの設定から自動生成されます。

    • Preferred A-End VLAN(優先AエンドVLAN) –オプションで、この接続に未使用のVLAN IDを指定します (ExpressRouteの場合はS-Tagです)。これは、 このMVEの一意のVLAN IDである必要があり、2~4093の範囲で指定できます。すでに使用されている VLAN ID を指定すると、次に使用可能な VLAN 番号が表示されます。注文を続行するには、VLAN ID が一意である必要があります。値を指定しない場合は、Megaport が値を割り当てます。

    • Configure Single Azure Peering VLAN(単一のAzureピアリングVLANの構成) – デフォルトではMVEでこのオプションが有効になっていますので、このまま有効にしておくことを強くお勧めします。
      このオプションは、シングルタグVLANのソリューションを提供します。MVEのVLAN(Aエンド)とAzureに設定されたピアVLAN(Bエンド)でAzureにピアリングを設定します。なお、このオプションでは、VXCごとに1つのピアリングタイプ(プライベートまたはMicrosoft)しか設定できません。

      重要

      このオプションを有効にしないと、VXCはアクティブに見えますが、トラフィックを認識しません。

    • Azure Peering VLAN(AzureピアリングVLAN) – この値は、AエンドのVLANと一致する必要があります。
      Azure接続の詳細

  8. Next(次へ)」をクリックして注文プロセスを続行します。

VXCの設定が完了すると、VXCのアイコンが緑色になります。

新規VXC

Azure Resource Managementコンソールでは、プロバイダーのステータスが「Provisioned(プロビジョニング済み)」になります。

Azureプロバイダーのステータス

プロビジョニングされたら、ピアリングを設定する必要があります。プライベートピアリングとMicrosoftピアリングを設定することができます。設定する相手をクリックして、次の詳細を入力します。

  • Peer ASN(ピアAS番号) – MVEAS番号を入力します。
  • IPv4 Subnets(IPv4サブネット) –これらの各サブネットから、MVEは最初の使用可能なIPアドレスを使用し、Microsoftは2番目に使用可能なIPをルーターに使用します。
  • VLAN ID – MVEからAエンドのVLANを入力します。(注:AzureコンソールのVLAN IDは、AエンドVLANとは異なる可能性があります。)
  • Shared Key(共有キー) – オプションで、BGPのMD5パスワードを入力します。

Azure ピアリング設定

FortiManagerへのExpressRoute接続の追加

MVEからAzureへの接続を作成し、Azureコンソールで接続を設定した後、FortiManagerで設定を行う必要があります。これには、インターフェイスの作成、BGPの設定、AS番号、VLAN、MD5値の設定が含まれます。

FortiManagerでAzure Cloud接続を追加するには

  1. Azureコンソールから接続の詳細を収集します。
    この接続用にAzureで作成した接続の詳細を表示します。Peer ASN(ピアAS番号)Shared Key(共有キー)VLAN IDIPv4 Primary Subnet(IPv4プライマリサブネット)の値に注意してください。

  2. Megaport Portalから接続情報を収集します。
    MVEからのAzure接続の歯車アイコンをクリックし、「Details(詳細)」ビューをクリックします。 AエンドVLANの値に注意してください。

  3. FortiManagerにログインします。

    注意

    MVEインスタンスにログインすることもできます: https://<mve-ip-address>

  4. 管理対象デバイスから、「System(システム)」メニューを開き、「Interface(インターフェイス)」を選択します。
    システムインターフェイス
    ページには、物理インターフェイスとしてport1が表示されます。

  5. 「+Create New(新規作成)」 > 「Interface(インターフェイス)」をクリックし、次の情報を入力します。

    • Interface Name(インターフェイス名) – インターフェイスのわかりやすい名前を指定します。
    • Alias Name(エイリアス名) – オプションで、別の名前を指定します。
    • Type(タイプ) – VLANを選択します。
    • Interface(インターフェイス) – 親インターフェイス: port1を選択します。
    • VLAN ID – Megaport PortalでこのAzure接続にリストアップされているAエンドVLANを指定します。
    • Role(ロール) – Undefined(未定義)を選択します。
    • Addressing Mode(アドレッシングモード) – Manual(手動)を選択します。
    • IP/Netmask(IP/ネットマスク) – これらの値は、Azureコンソールで利用できます。IPアドレスとCIDRが「IPv4 Primary Subnet(IPv4プライマリサブネット)」フィールドに表示されます。MVEは最初の使用可能なIPアドレスを使用し、Azureは2番目の使用可能なIPをルーターに使用します。このフィールドには、MVEの(最初に使用可能な)IPアドレスを入力します。
    • Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を指定します。
    • DHCP Server(DHCPサーバー) - 「OFF」をクリックします。
      インターフェイスの設定
  6. OK」をクリックします。
    新しいVLANインターフェイスは、物理的なインターフェイスであるport1に表示されます。

FortiOSからexecute pingコマンドを実行して接続を確認することができます。

注意

MVEに設定をプッシュする必要がありますが、これはAutoUpdate(自動更新)を設定している場合に起こります。ping が成功しない場合は、FortiManager の「Manage Devices(デバイスの管理)」で MVE を選択し、「More(詳細)」メニューから「Refresh Device(デバイスの再表示)」を選択します。プロンプトが表示されたら、「Config Status(コンフィグのステータス)」でAutoUpdate(自動更新)を選択します。

この時点で、インターフェイスの作成が完了し、次にBGPセッションを作成する必要があります。

  1. FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
    BGP 設定

  2. 次の情報を入力します。

    • Local AS(ローカルAS) – MVE接続用のASNを入力します。AzureコンソールのPeer ASN(ピアAS番号)を使用します。
    • Router ID(ルーターID) – AzureコンソールからIPv4プライマリサブネットの最初に使用可能なIPアドレスを入力します。
      インターフェイスの設定
  3. 「Neighbors(ネイバー)」で、「+Create New(新規作成)」をクリックします。

  4. ネイバーIPに、AzureコンソールのIPv4 Primary Subnet(プライマリサブネット)の2つ目の使用可能なIPアドレスを追加します。
  5. Remote ASN(リモートAS番号)には、Azure側のASNの12076を入力します。
    これは固定値で、Azureコンソールの接続詳細に表示されます。

  6. OK」をクリックします。

  7. Apply(適用)」をクリックします。
    ネイバーは設定されていますが、AzureコンソールでBGP認証情報を定義した場合は、これを追加する必要があります。(これはオプションでした。)Webインターフェイスではこの定義ができないため、コマンドラインを使用してBGPの詳細を追加する必要があります。

  8. 秘密鍵ファイルを使ってMVEインスタンスにSSH接続します。
    例:
    ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.143.XX

  9. これらのコマンドを使用して、BGPネイバーのパスワードを追加します。

config router bgp
    config neighbor
        edit "<neighbor ip>"
            set password <auth password>
        next
    end

BGPのCLI手順

Azureの接続の検証

次のコマンドを使って、CLIから接続状態を含む接続の詳細を確認することができます。

  • get system interface – 機器のインターフェイスの設定の詳細と現在のステータスを表示します。
  • get router info bgp neighbor <ip-address> – BGPネイバーの設定の詳細と現在のステータスを表示します。

最後の更新: