PDF

Criando um MVE Integrado com Fortinet

Este tópico descreve como criar e configurar um Megaport Virtual Edge (MVE) com o SD-WAN Fortinet Secure. Antes de começar, você precisará de contas de usuário com permissões de pedido que forneçam acesso ao Megaport Portal e ao Fortinet.

Para mais informações sobre como configurar uma conta da Megaport, consulte Criando uma Conta.

Dica

A Fortinet fornece documentação para o seu produto SD-WAN, incluindo FortiManager e conexões de nuvem, em Biblioteca de Documentação Fortinet SD-WAN.

Etapas Básicas

Esta seção fornece uma visão geral das etapas de configuração no FortiManager e no Megaport Portal. Procedimentos detalhados seguem este resumo básico de etapas.

As etapas básicas são:

• Obter uma licença da Fortinet.
• Gerar um par de chaves SSH para autenticação.
• Criar o MVE Fortinet no Megaport Portal.
• Visualizar o endereço IP público do MVE atribuído no Megaport Portal.
• Definir uma senha de administrador para o FortiGate.
• Permitir acesso ao console seguro do FortiGate.
• Adicionar o FortiGate ao FortiManager Cloud (opcional).

Licenciamento

Um arquivo de licença FortiGate VM válido pode ser aplicado durante o processo de implantação do MVE por meio do Megaport Portal, ou ele pode ser aplicado após a implantação por meio das interfaces WebUI ou CLI do FortiGate.
Alternativamente, você pode usar o modelo de licenciamento baseado em pontos do FortiFlex. A licença baseada em tokens do FortiFlex deve ser aplicada por meio do CLI após a implantação.

Se você adquirir uma licença da Fortinet, receberá um código de registro em um PDF. Você usará esse código de registro para gerar um arquivo de licença.
Se usar pontos FortiFlex, você gerará um token de licença por meio do portal FortiFlex associado à sua conta de Suporte Fortinet.

Para obter um arquivo de licença da Fortinet

1. Faça login na sua conta de registro em Suporte Fortinet.

2. Escolha Register Product e insira o código de registro fornecido.

3. Siga o processo de registro.
   A Fortinet gera o número de série e o exibe na página de Conclusão do Registro.

4. Escolha Manage > View Products e clique no número de série.

5. Clique no link de download e salve o arquivo de licença.
   Você fará o upload do arquivo de licença mais tarde no Megaport Portal.

Para usar pontos FortiFlex

1. Implante a VM FortiGate no MVE sem escolher fazer upload de um arquivo de licença.

2. Acesse o CLI da VM FortiGate estabelecendo uma sessão SSH.

3. Copie o token de licença fornecido no seu portal FortiFlex.

4. Insira o token de licença na VM usando o CLI.

5. Reinicie a VM FortiGate quando solicitado.

Uma vez que o produto estiver registrado, ele aparecerá na lista de gerenciamento de ativos do FortiCloud.

A próxima etapa é gerar um par de chaves SSH para autenticação.

Acesso administrativo ao MVE

O MVE e o FortiGate se conectam por meio de um par de chaves SSH pública/privada para estabelecer conexões seguras. A chave pública SSH permite que você faça SSH no FortiGate e defina a senha administrativa, habilite o acesso HTTPS e, opcionalmente, registre o FortiGate no seu FortiManager Cloud.

A Megaport suporta o tipo de chave RSA de 2048 bits.

Para gerar um par de chaves SSH (Linux/Mac OSX)

• Execute o comando SSH keygen:

  ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

O comando do gerador de chaves cria um par de chaves SSH e adiciona dois arquivos ao seu diretório ~/.ssh:

• megaport-mve-instance-1-2048 - contém a chave privada.
• megaport-mve-instance-1-2048.pub - contém a chave pública autorizada para login na conta Fortinet.

Para gerar um par de chaves SSH (Windows, usando PuTTYgen)

1. Abra o PuTTYGen.
2. Na seção Key, escolha RSA 2048 bit e clique em Generate.
3. Mova o mouse aleatoriamente na pequena tela para gerar os pares de chaves.
4. Insira um comentário para a chave, que identificará a chave.
   Isso é útil quando você usa várias chaves SSH.
5. Insira uma senha de chave (Key passphrase) e insira novamente para confirmar.
   A senha protege sua chave. Ela será solicitada quando você se conectar via SSH.
6. Clique em Save private key, escolha um local e clique em Save.
7. Clique em Save public key, escolha um local e clique em Save.

Você copiará e colará o conteúdo do arquivo da chave pública no Megaport Portal posteriormente para distribuir a chave pública ao FortiGate. Sua chave privada corresponderá à chave pública para conceder acesso. Apenas uma chave privada terá acesso ao FortiGate para SSH.

Criando um MVE no Megaport Portal

Antes de criar um MVE, você precisará determinar a melhor localização - uma que suporte o MVE e que esteja na área metropolitana mais compatível. Você pode conectar várias localizações a um único MVE. Para detalhes de localização, consulte Planejando Sua Implantação Fortinet.

Você pode implantar múltiplos MVEs dentro da mesma área metropolitana para redundância ou razões de capacidade.

Para criar um MVE

1. No Megaport Portal, vá para a página Serviços.

2. Clique em Create MVE.
   

3. Selecione a localização do MVE.

   Selecione uma localização geograficamente próxima aos seus locais de filial e/ou locais on-premises.

   O país que você escolher deve ser um mercado em que você já se registrou.

   Se você ainda não registrou um mercado de cobrança na localização onde implantará o MVE, siga o procedimento em Habilitando Mercados de Cobrança.

   Para buscar seu mercado local na lista, insira um país no Filtro de País ou um detalhe de região metropolitana no filtro de Pesquisa.

4. Selecione uma zona de diversidade.
   Você pode selecionar Vermelho ou Azul, ou escolher Auto e deixar que a Megaport selecione a zona para você. A zona de diversidade selecionada ou alocada será exibida nos detalhes de localização durante o restante do provisionamento e na página de resumo no final.
   Para mais informações, consulte Diversidade MCR e MVE.

   

5. Clique em Próximo.

6. Selecione Fortinet e a versão do software.
   O MVE será configurado para ser compatível com esta versão de software da Fortinet.

7. Especifique os detalhes do MVE:

   • Nome do MVE – Insira um nome para o MVE que seja facilmente identificável, especialmente se você planeja provisionar mais de um. Esse nome aparecerá no Megaport Portal.

   • Tamanho – Selecione um tamanho na lista suspensa. A lista exibe todos os tamanhos que correspondem à capacidade de CPU na localização selecionada. Os tamanhos suportam diferentes números de conexões simultâneas, e métricas de produto de parceiros individuais podem variar ligeiramente. Para mais informações, consulte Planejando Sua Implantação Fortinet.

     Aviso

     Contas gerenciadas por parceiros podem associar um Acordo de Parceiro a um serviço com uma assinatura mínima de 12 meses. Para mais informações, consulte Associando um Acordo a um Serviço.

   • Referência de Núvel de Serviço (opcional) – Especifique um número de identificação único para o MVE a ser usado para fins de faturamento, como um número de centro de custo ou um ID de cliente exclusivo. O número de referência do nível de serviço aparece para cada serviço na seção Produto da fatura. Você também pode editar este campo para um serviço existente.

   • Licença do Dispositivo – (opcional) Se você adquiriu uma licença da Fortinet, clique em Escolher Arquivo e selecione a licença do appliance gerada anteriormente pela Fortinet.
     Se você estiver usando FortiFlex, pule esta etapa.

   • Chave SSH – Copie e cole o conteúdo da sua chave pública SSH aqui. Você pode encontrar a chave pública no arquivo megaport-mve-instance-1-2048.pub gerado anteriormente.

   • Interfaces Virtuais (vNICs) – A Fortinet é configurada com uma vNIC chamada Data Plane por padrão. Se necessário, você pode alterar o nome digitando sobre o texto Data Plane.

     Você pode adicionar até cinco vNICs ao MVE, incluindo a adicionada por padrão. Para mais informações, consulte Tipos de Conexões vNIC.

     Para adicionar uma vNIC:

     • Clique em + Adicionar.

       

     • Insira um nome para a vNIC.

       

     Aviso

     Se você quiser aumentar ou diminuir o número de vNICs neste MVE após ele ter sido implantado, terá que excluir todo o MVE e recriá-lo. Não é possível adicionar ou remover vNICs de um MVE implantado.

   • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Prazos mais longos resultam em uma taxa mensal menor. 12 Meses é selecionado por padrão.
     Para mais informações sobre prazos de contrato, consulte Preços e Prazos de Contrato do MVE.

     Aviso

     Contas de parceiros e contas gerenciadas por parceiros selecionam assinaturas de MVE em vez de prazos de contrato de MVE.

   

8. Clique em Próximo para ver a página de Resumo.
   A taxa mensal é baseada na localização e no tamanho.
   

9. Confirme a configuração e o preço, depois clique em Adicionar MVE.
   Você será solicitado a criar uma conexão Megaport Internet. Uma conexão Megaport Internet fornece conectividade e permite que o MVE registre e se comunique com a rede overlay do SD-WAN Fortinet.
   

Para criar a conexão Megaport Internet

1. Clique em Criar Megaport Internet para continuar (recomendado), ou clique em Agora não para provisionar o acesso à internet mais tarde.

   Aviso

   O MVE requer conectividade com a internet. Você pode provisionar uma conexão Megaport Internet ou fornecer seu próprio acesso à internet.

2. Selecione a Porta de destino (o roteador da internet).
   A terminação B de uma conexão Megaport Internet pode estar em qualquer lugar no mesmo país que a terminação A do MVE.
   Você pode filtrar por zona de diversidade, ou selecionar para ver todas.

3. Clique em Próximo.

4. Especifique os detalhes da conexão:

   • Nome da Conexão – O nome da sua conexão Megaport Internet a ser exibido no Megaport Portal.

   • Referência de Nível de Serviço (opcional) – Especifique um número de identificação único para a conexão Megaport Internet a ser usado para fins de faturamento, como um número de centro de custo ou um ID de cliente exclusivo. O número de referência do nível de serviço aparece para cada serviço na seção Produto da fatura.

     Dica

     Use os mesmos números de Referência de Nível de Serviço para a conexão Megaport Internet e o MVE para ajudar a identificar o par correspondente na sua fatura.

   • Limite de Taxa – A velocidade da sua conexão em Mbps. O limite de velocidade é ajustável de 20 Mbps a 10 Gbps em incrementos de 1 Mbps. Você pode alterar a velocidade conforme necessário após criar a conexão Megaport Internet. Os detalhes de faturamento mensal aparecem com base na localização e no limite de velocidade.

   • Estado VXC – Selecione Ativado ou Desativado para definir o estado inicial da conexão. Para mais informações, consulte Desativando um VXC para Testes de Failover.

     Aviso

     Se você selecionar Desativado, o tráfego não fluirá por este serviço e ele se comportará como se estivesse inativo na rede da Megaport. O faturamento por este serviço permanecerá ativo e você ainda será cobrado por esta conexão.

   • vNIC da terminação A – Especifique uma vNIC da lista suspensa. A lista reflete as vNICs que você definiu ao criar o MVE.

   • VLAN Preferida da terminação A (opcional) – Especifique um ID de VLAN não utilizado para esta conexão.
     Deve ser um ID de VLAN exclusivo neste MVE e pode variar de 2 a 4093. Se você especificar um ID de VLAN que já esteja em uso, o sistema exibirá o próximo número de VLAN disponível. O ID de VLAN deve ser exclusivo para prosseguir com o pedido. Se você não especificar um valor, a Megaport irá atribuir um.

     Alternativamente, você pode clicar em Desmarcar. Esta seleção remove o tagueamento de VLAN para esta conexão e ela será configurada sem um ID de VLAN.

   • Prazo Mínimo – Selecione Sem Prazo Mínimo, 12 Meses, 24 Meses ou 36 Meses. Um prazo mais longo resulta em uma taxa mensal menor. 12 Meses é selecionado por padrão.
     Tome nota das informações na tela para evitar taxas de rescisão antecipada (ETF). Consulte Preços e Prazos de Contrato do Megaport Internet e Faturamento de VXC, Megaport Internet e IX para mais informações.

   

5. Clique em Próximo para prosseguir para o resumo de detalhes da conexão.

6. Clique em Adicionar VXC para solicitar a conexão.

7. Clique em Fazer Pedido.
   

8. Se você tiver um código promocional, clique em Adicionar Código Promocional, insira-o e clique em Adicionar Código.

9. Clique em Pedir Agora.
   

Solicitar o MVE provisiona a instância e atribui endereços IP da SDN da Megaport. O provisionamento do MVE leva apenas alguns minutos para ser concluído. O processo de provisionamento inicia um FortiGate.

Visualizando o MVE no Megaport Portal

Após criar o MVE, você pode visualizá-lo no Megaport Portal na página Services. Você também pode visualizar os endereços IP públicos atribuídos.

Para visualizar um MVE no Megaport Portal

• Vá para a página Serviços.

O ícone Megaport Internet difere de um ícone padrão de VXC no Megaport Portal, como mostrado na imagem.

Para mais informações sobre a página Serviços, consulte Entendendo a Página Services.

Para visualizar os endereços IP públicos atribuídos ao MVE

1. Clique no ícone de engrenagem ao lado da conexão Megaport Internet.
   A tela de Configuração da Conexão aparece. A partir daqui, você pode modificar quaisquer detalhes da conexão Megaport Internet.
   
2. Clique na aba Detalhes.
   
3. Localize o endereço IP público (IPv4 ou IPv6).
   Estes são os endereços IP públicos atribuídos ao MVE.

Permitir acesso ao console do FortiGate

O acesso ao console do FortiGate é entregue por meio de uma sessão HTTPS segura. O MVE bloqueia todo o acesso aos endereços IP públicos atribuídos ao dispositivo até que você faça SSH nele e conceda acesso HTTPS.

Para definir uma senha de admin no Web UI e permitir acesso HTTPS

1. Faça SSH para a instância MVE Fortinet usando a chave privada SSH gerada anteriormente. O nome de usuário padrão é admin, seguido pelo endereço IP público atribuído ao dispositivo pela Megaport.

   ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

   Uma vez no CLI do FortiOS, você pode visualizar o status do sistema e permitir o acesso ao dispositivo usando comandos do CLI.

   Aviso

   O CLI do FortiOS difere do CLI padrão do NOS ou do shell Linux.

2. Configure uma senha para a conta de usuário admin.

   FGVM08TM21001375 # config system admin
   FGVM08TM21001375 (admin) # edit admin
   FGVM08TM21001375 (admin) # set password xxxxxxxx
   FGVM08TM21001375 (admin) # next
   FGVM08TM21001375 (admin) # end
   

3. Permita acesso HTTPS à interface pública GUI na porta 1.

   FGVM08TM21001375 # config system interface
   FGVM08TM21001375 (interface) # edit port1
   FGVM08TM21001375 (port1) # append allowaccess https
   FGVM08TM21001375 (port1) # next
   FGVM08TM21001375 (interface) # end
   

4. Verifique se o acesso HTTPS foi permitido.

   FGVM08TM21001375 # show system interface
   

Com o acesso HTTPS permitido, você pode fazer login no FortiGate por meio da interface Web UI usando as credenciais de admin.

Fornecer o token de licença FortiFlex

Se você estiver usando FortiFlex para licenciar seu MVE, deve usar o CLI para inserir o token de licença do FortiFlex na VM. Use o seguinte comando:

exec vm-license <license_token>

Por exemplo,

exec vm-license 58923569A3FFB7F46879

Adicionar o FortiGate ao FortiManager Cloud

A próxima etapa é adicionar o FortiGate ao FortiManager Cloud, a plataforma de gerenciamento centralizado SD-WAN da Fortinet.

Aviso

Esta etapa é opcional. Você pode gerenciar um FortiGate como um dispositivo independente sem usar o FortiManager Cloud como seu gerente central.

Para adicionar o FortiGate ao FortiManager Cloud

1. Faça login na GUI do FortiGate: https://162.43.xx.x

2. Selecione Device Manager.

3. No Painel de Dispositivos, escolha Security Fabric > Fabric Connectors.

4. Selecione FortiManager e clique em Edit.

   

5. Selecione as seguintes configurações:

   • Status - Enabled
   • Type - FortiManager Cloud
   • Mode - Normal

6. Clique em OK.

   O FortiCloud entra em contato com o FortiManager Cloud registrado para aprovação. O processo de registro não requer um endereço IP, mas usa a autenticação de back-end por meio de registro e licenciamento anteriores.

Autorizar o FortiGate no FortiManager

Antes que o FortiManager adicione o FortiGate à sua lista de dispositivos gerenciados, você precisará autorizá-lo manualmente.

Para autorizar o FortiGate

1. Faça login na sua instância do FortiManager Cloud em Suporte Fortinet.

2. Escolha Services > FortiManager.

   

   Você verá um dispositivo não autorizado aguardando aprovação.

   

3. Clique em Unauthorized Devices e, em seguida, selecione o dispositivo para autorizar.

4. Clique em Authorize.

5. Você pode, opcionalmente, alterar o nome do dispositivo, aplicar um pacote de políticas pré-configurado ou aplicar um modelo de provisionamento pré-configurado ao dispositivo.

6. Clique em OK quando estiver satisfeito com a configuração. Uma marca de seleção verde indica que o FortiGate foi autorizado pelo FortiManager.

   

7. Clique em Close.

O dispositivo agora é gerenciado via FortiManager Cloud e você pode visualizá-lo na lista de dispositivos gerenciados.

Note

O endereço IP do FortiGate exibido no painel é um IP privado interno, usado especificamente para o overlay SD-WAN.

Próximas etapas

Agora que você implantou um MVE, a próxima etapa é conectar um VXC a um CSP, uma Porta local ou uma rede de terceiros. Você pode, opcionalmente, conectar uma Porta física ao MVE por meio de um VXC privado ou conectar-se a um provedor de serviços no Megaport Marketplace.