Fortinet セキュア SD-WAN と統合された MVE の接続
このトピックでは、FortinetセキュアSD-WANと統合されたMegaport Virtual Edge(MVE)を別のMVEに接続する方法について説明します。
この展開では、MegaportのプライベートSDN(Software Defined Network)を利用して、インターネットへの依存度を下げ、企業のブランチを接続しています。
2台のMVEが設定されていれば、物理的なインフラストラクチャを必要とせず、プライベートVXCを作成してMegaportネットワーク上で接続することができます。VXCは基本的に、AエンドのMVEとBエンドのMVEの間のプライベートポイントツーポイントイーサネット接続です。
注意
MVE のインターネット向けインターフェイスは、公衆インターネットを介して別の MVE のインターネット向けインターフェイスに到達することができます。つまり、インターネット上で異なるメトロの MVE から MVE へトラフィックを交換することができます。基本的な接続モデルは、1 つのメトロの MVE が Megaport Internet を介して別のメトロの MVE に接続するものです。接続は、顧客/SD-WAN パートナーが管理する接続で構成され、Megaport は管理しません。
開始する前に
- 別々のロケーションに 2 つの MVE をプロビジョニングします。まだ MVE を作成していない場合は、「FortiManager でのMVE の作成」を参照してください。
2 つの MVE 間での VXC の作成
Fortinetと統合された2つのMVE間のプライベートVXC展開は、Megaport Portalで始まります。設定を完了するには、Fortinet FortiManagerコンソールを使用します。
VXCを作成するには
-
Megaport Portal で、 「Services(サービス)」ページに移動し、送信元AエンドMVEの横の「+Connection(+接続)」をクリックします。
-
プライベート VXC を選択します。
-
宛先のBエンドMVEとロケーションを選択します。
国フィルターを使用して、選択を絞り込みます。 -
「Next (次へ)」をクリックします。
-
VXC の詳細を指定します。
-
Connection Name (接続名) – 簡単に識別できる VXC の名前を指定します。例えば、LA MVE 2からDallas MVE 4へなどです。必要に応じて、後で名前を変更できます。
-
Service Level Reference (サービス レベル参照) (オプション) – コスト センター番号や一意の顧客 ID など、請求目的で使用する VXC の識別番号を指定します。サービス レベル参照番号は、請求書の「Product (プロダクト)」セクションの各サービスに表示されます。また、既存のサービスのこのフィールドを編集することもできます。
-
Rate Limit (帯域制限) – 帯域制限を Mbps で指定します。最高速度が表示されます。VXC の帯域制限は最大10 Gbps ですが、A エンドまたは B エンドの MVE の演算能力が回線のスループットに影響する可能性があります。詳細については、Fortinet のドキュメンテーションを参照してください。
-
vNIC selection (vNIC 選択) – 使用する MVE の定義によっては、A エンドと B エンドの vNIC を指定する必要があります。
-
A-End vNIC (A エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。
-
B-End vNIC (B エンド vNIC) – 事前に入力されたデフォルトを使用するか、ドロップダウン リストから選択して vNIC を指定します。
異なるサービスを持つ MVE を接続する場合の vNIC の選択については、「vNIC 接続の種類」を参照してください。
-
-
Preferred VLAN (優先 VLAN) – この接続の 802.1q VLAN タグを指定します。各 VXC は、MVE 上で個別の VLAN として配信されます。VLAN ID は、この MVE で一意である必要があり、2 から 4093 の範囲で指定できます。Megaport は、両方の MVE インスタンスで同じ VLAN ID を使おうとします。既に使用されている VLAN ID を指定した場合は、MVE 発注時に通知されます。
-
-
「Next (次へ)」をクリックして、「Summary (概要)」画面を表示します。
-
設定を確認し、「Add VXC(VXCの追加)」をクリックします。
-
[Order(注文)] をクリックして、チェックアウト プロセスを続行します。
VXC が構築されると、「Portal Services(ポータルサービス)」ページで表示できます。「Services(サービス」ページでは、AエンドMVEとBエンドMVEの下にあるVXCが表示されます。サービス ID 番号は、接続の両端の VXC で同じであることに注意してください。
次に、FortiManagerでAエンドとBエンドのMVEを設定します。
注意
次の手順では、BGPによるIP接続を設定しますが、これは数あるソリューションのうちの1つに過ぎません。MVEのインターフェイスを設定する前に、SD-WANベンダーの資料を参照して、特定のネットワーク設計および設定のオプションを確認してください。
FortiManager での A エンド MVE の構成
-
FortinetサポートでFortiManager Cloudインスタンスにログインします。
-
「Services(サービス)」 > 「FortiManager」を選択します。
-
Aエンド MVEを選択します。
-
「System(システム)」メニューから「Interface(インターフェイス)」を選択します。
-
「+Create New(+新規作成)」 > 「Interface(インターフェイス)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – VLAN2500 などのインターフェイスの名前を入力します。
-
Alias Name (エイリアス名) (オプション) – MVE-2 から MVE-4 へなどのエイリアス名を入力します。
-
Type (タイプ) – VLAN を選択します。
-
Interface (インターフェイス) – 親インターフェイス: port1 を選択します。
-
VLAN ID – Local VLAN を入力します。
-
ロール - 「Undefined(未定義)」を選択します。
-
アドレッシングモード - 「Manual(手動)」を選択します。
-
IP/ネットマスク - ローカル IP アドレスとサブジェクト マスクを入力します。
-
Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を選択します。
-
DHCP サーバー - 「OFF」を選択します。
-
-
「OK」をクリックします。
新しいVLANインターフェイスは、ポート1の物理インターフェイスに表示されます。
FortiOSからexecute ping
コマンドを実行して接続を確認することができます。
この時点でインターフェイスが作成されます。次のステップでは、オプションでBorder Gateway Protocol(BGP)セッションを作成します。
BGPネイバーを設定するには
-
FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
-
次の情報を入力します。
-
Local AS (ローカル AS) – 一意のプライベートな自律システム番号 (AS 番号) を入力します。
-
Router ID (ルーター ID) – システムで使用している IP アドレスを入力します。
-
-
「Neighbors(ネイバー)」で「+Create New(+新規作成)」をクリックします。
-
ネイバーIPアドレスを入力します。
-
リモートAS番号を入力します。
-
「OK」をクリックします。
-
「Apply(適用)」をクリックします。
設定をデバイスにプッシュするには
-
「Managed Devices(管理対象デバイス)」を選択します。
デバイスのConfig Status(設定ステータス)がModified(修正済み)になっています。
-
デバイスを選択します。
-
「Install(インストール)」 > 「Quick Install (Device DB)(クイックインストール - デバイスDB)」を選択します。
-
「OK」をクリックします。
-
インストールが正常に行われたことを確認し、「Finish(終了)」をクリックします。
FortiManager での B エンド MVE の構成
-
FortinetサポートでFortiManager Cloudインスタンスにログインします。
-
「Services(サービス)」 > 「FortiManager」を選択します。
-
Bエンド MVEを選択します。
-
「System(システム)」メニューから「Interface(インターフェイス)」を選択します。
-
「+Create New(+新規作成)」 > 「Interface(インターフェイス)」をクリックします。
-
次の詳細を入力します。
-
Interface Name (インターフェイス名) – VLAN2500 などのインターフェイスの名前を入力します。
-
Alias Name (エイリアス名)(オプション) – MVE-4 から MVE-2 へなどのエイリアス名を入力します。
-
Type (タイプ) – VLAN を選択します。
-
Interface (インターフェイス) – 親インターフェイス: port1 を選択します。
-
VLAN ID – Local VLAN を入力します。
-
ロール - 「Undefined(未定義)」を選択します。
-
アドレッシングモード - 「Manual(手動)」を選択します。
-
IP/ネットマスク - ローカル IP アドレスとサブジェクト マスクを入力します。
-
Administrative Access(管理者アクセス) - HTTPS、PING、SSHなど、このインターフェイスにアクセスする方法を選択します。
-
DHCP サーバー - 「OFF」を選択します。
-
-
「OK」をクリックします。
新しいVLANインターフェイスは、ポート1の物理インターフェイスに表示されます。
FortiOSからexecute ping
コマンドを実行して接続を確認することができます。
この時点でインターフェイスが作成されます。次のステップでは、オプションでBGPセッションを作成します。
BGPネイバーを設定するには
-
FortiManagerで「Router(ルーター)」 > 「BGP」に移動します。
-
次の情報を入力します。
-
Local AS (ローカル AS) – 一意のプライベートな自律システム番号 (AS 番号) を入力します。
-
Router ID (ルーター ID) – システムで使用している IP アドレスを入力します。
-
-
「Neighbors(ネイバー)」で「+Create New(+新規作成)」をクリックします。
-
ネイバーIPアドレスを入力します。
-
リモートASを入力します。
-
「OK」をクリックします。
-
「Apply(適用)」をクリックします。
設定をデバイスにプッシュするには
-
「Managed Devices(管理対象デバイス)」を選択します。
デバイスのConfig Status(設定ステータス)がModified(修正済み)になっています。
-
デバイスを選択します。
-
「Install(インストール)」 > 「Quick Install (Device DB)(クイックインストール - デバイスDB)」を選択します。
-
「OK」をクリックします。
-
インストールが正常に行われたことを確認し、「Finish(終了)」をクリックします。
接続の検証
次のコマンドを使って、CLIから接続状態を含む接続の詳細を確認することができます。
get system interface
– デバイスのインターフェイスの構成の詳細と現在のステータスを表示します。get router info bgp neighbor <ip-address>
– BGP ネイバーの構成の詳細と現在のステータスを表示します。