Pular para conteúdo
Documentação da Megaport
Planejando sua Implantação
PDF

Planejando Sua Implantação SD-WAN Fortinet Secure

Este tópico fornece uma visão geral do processo de provisionamento e descreve considerações de implantação para o Megaport Virtual Edge (MVE).

Você Fornece A éMegaport Fornece
Conexão de internet da filial Plataforma para hospedar dispositivos SD-WAN virtuais
Fornecedor de SD-WAN habilitado na filial Conexão completa da filial para qualquer destino na rede Megaport e interoperação com outros produtos e serviços da Megaport
Equipamento no local do cliente (CPE) instalado na filial Conexão Megaport Internet com proteção contra DDoS para terminar o túnel entre o MVE e o CPE na filial via internet
Licença de software SD-WAN para uso na rede Megaport Acesso ao ecossistema Megaport

Considerações de Implantação

Esta seção fornece uma visão geral das opções e recursos de implantação do MVE.

O SD-WAN Fortinet Secure usa dispositivos virtuais FortiGate ou dispositivos físicos FortiGate, assim como muitos outros fornecedores de SD-WAN. No entanto, com o Fortinet, você pode configurar os dispositivos para diversos usos. Por exemplo, você pode configurar um dispositivo Fortinet para uso:

  • Estritamente como um firewall de próxima geração (NGFW) para escritórios remotos com configuração local e apenas registros locais.

  • Como gerenciamento central com registros centralizados, ou como gerenciamento central sem registros centralizados.

  • Em uma rede tradicional de sobreposição (overlay) SD-WAN.

Para mais informações, consulte a Biblioteca de Documentação da Fortinet.

Recursos do Fortinet Secure SD-WAN

O FortiGate-VM oferece serviços tanto de NGFW quanto de SD-WAN em uma única máquina virtual. Hospedar o FortiGate-VM no MVE não apenas otimiza a conectividade de rede de ponta a nuvem, como também reforça os serviços de segurança avançada e políticas ao longo dos segmentos backbone da Megaport.

Incorporar o FortiGate-VM na plataforma NaaS da Megaport estende os seguintes elementos principais do Secure Access Service Edge (SASE) entre a borda e a malha da rede em nuvem:

  • Firewall de próxima geração (NGFW), incluindo políticas de firewall com estado, tradução de endereços de rede (NAT), serviços de proteção contra intrusões, inspeção SSL (Secure Sockets Layer) e inteligência contra ameaças.

  • Serviços de gateway web seguro (SWG), que protegem dispositivos de destinos maliciosos na internet, usando filtragem de conteúdo da web e verificação de malware.

  • Acesso à rede de confiança zero (ZTNA), que controla o acesso a aplicativos verificando usuários e dispositivos antes de cada sessão de aplicativo e confirmando que atendem à política da organização para acessar esse aplicativo.

O FortiGate-VM também suporta a integração de usuários remotos com as soluções SASE da Fortinet usando seu agente de segurança de endpoint FortiClient. O FortiClient permite que o dispositivo se conecte de forma segura à malha de segurança por meio de VPN (SSL ou IPsec) ou túneis ZTNA.

A solução FortiSASE permite que o FortiGate e os serviços FortiCloud sejam usados em um design combinado. Por exemplo, internet e aplicativos SaaS selecionados podem ser protegidos usando tanto SWG quanto um corretor de segurança de acesso à nuvem (CASB) via FortiCloud, enquanto as conexões privadas da Megaport são protegidas usando os serviços de segurança FortiGate.

Fortinet SASE

Aviso

Se você já implantou um firewall Fortinet, pode conectá-lo a um MVE para que sua sede ou filiais possam acessar serviços em nuvem por meio de interconexões privadas.

Para mais informações sobre esses recursos, veja:

Fornecedores de SD-WAN

O MVE é integrado ao Fortinet SD-WAN, que usa o console FortiManager para criar a rede de sobreposição privada.

Outros fornecedores de SD-WAN incluem Aruba SD-WAN, Cisco SD-WAN, Versa Secure SD-WAN e VMware SD-WAN.

Locais do MVE

Para uma lista de locais globais onde você pode conectar um MVE, consulte Locais do Megaport Virtual Edge.

Dimensionando sua instância MVE

O tamanho da instância determina as capacidades do MVE, como o número de conexões simultâneas que ele pode suportar. As instâncias do MVE são consolidadas nos seguintes tamanhos:

Tamanho do Pacote vCPUs DRAM Armazenamento Velocidade Megaport Internet *
MVE 2/8 2 8 GB 8 GB Ajustável de 20 Mbps a 10 Gbps
MVE 4/16 4 16 GB 8 GB Ajustável de 20 Mbps a 10 Gbps
MVE 8/32 8 32 GB 8 GB Ajustável de 20 Mbps a 10 Gbps
MVE 12/48 12 48 GB 8 GB Ajustável de 20 Mbps a 10 Gbps

* O acesso Megaport Internet é simétrico, redundante, diverso e inclui proteção contra ataques DDoS. O acesso Megaport Internet é ajustável por meio da conexão Megaport Internet que você conecta ao MVE.

Essas métricas de desempenho e capacidade são estimativas e suas velocidades podem variar. Ao escolher o tamanho da instância do MVE, considere os seguintes itens:

  • Qualquer aumento na carga de fluxo de dados da rede pode degradar o desempenho. Por exemplo, estabelecer túneis seguros com IPsec, adicionar roteamento de caminhos de tráfego ou usar inspeção profunda de pacotes (DPI) pode impactar a velocidade máxima de throughput.

  • Planos futuros para escalar a rede.

E se eu precisar de mais capacidade de MVE no futuro?

Você tem algumas opções:

  • Você pode provisionar outra instância do MVE, adicioná-la à sua rede de sobreposição SD-WAN e dividir a carga de trabalho entre os dois MVEs.

  • Você pode provisionar uma instância maior do MVE, adicioná-la à sua rede de sobreposição SD-WAN, migrar conexões do antigo MVE para o novo MVE maior e, em seguida, aposentar o antigo MVE.

Você pode ajustar a largura de banda do Megaport Internet a qualquer momento sem precisar desativar a máquina virtual.

Segurança

O MVE oferece capacidade para suas filiais habilitadas para internet, com segurança, para qualquer endpoint ou provedor de serviços na rede Megaport. Instâncias hospedadas de produtos SD-WAN de parceiros roteiam tráfego crítico pela rede Megaport, reduzindo a dependência da internet. O tráfego permanece criptografado e sob seu controle de políticas enquanto percorre a rede Megaport, indo ou vindo do MVE.

Cada assinatura do MVE inclui proteção contra ataques de negação de serviço distribuída (DDoS) sem custo adicional.

O SD-WAN Fortinet Secure inclui acesso a um recurso abrangente de segurança: Secure Access Service Edge (SASE). O Fortinet no MVE suporta nativamente os serviços SASE e SD-WAN. Para mais informações, consulte Protegendo a Rede com SASE.

Licenciamento

Você deve trazer sua própria licença Fortinet (FortiGate) SD-WAN para usar com o MVE. É sua responsabilidade ter as licenças adequadas para os endpoints SD-WAN criados na rede Megaport.

Marcação VLAN

A Megaport usa Q-in-Q para diferenciar VXCs e MVEs em um sistema de hardware host. O MVE do locatário recebe tráfego não marcado para o link voltado para a internet e tráfego de 802.1Q com uma única marca para os VXCs em direção a outros destinos na rede Megaport (como pontos de entrada de CSP ou outros MVEs).

vNICs

Cada MVE pode ter até 5 vNICs. Um MVE é criado com 1 vNIC por padrão. Você pode adicionar até 4 mais, totalizando 5.

Antes de especificar o número de vNICs no seu MVE:

  • Esteja ciente de que o número de vNICs não pode ser alterado após o MVE ter sido encomendado. Decida com antecedência quantos vNICs especificar ao criar o MVE.

  • Consulte seu provedor de serviços para garantir que a funcionalidade não será afetada se você adicionar um vNIC.

Aviso

Se você precisar alterar o número de vNICs após o MVE ter sido encomendado, será necessário cancelar e reordenar o MVE.