Creazione di un MVE integrato con Fortinet

Questo argomento descrive come creare e configurare un Megaport Virtual Edge (MVE) con Fortinet Secure SD-WAN. Prima di iniziare, hai bisogno di account utente con permessi di ordinazione che forniscono accesso al Megaport Portal e a Fortinet.

Per ulteriori informazioni sulla creazione di un account Megaport, vedi Creazione di un account.

Passaggi di base

Questa sezione fornisce una panoramica dei passaggi di configurazione in FortiManager e nel Megaport Portal. Procedure dettagliate seguono questo sommario dei passaggi di base.

I passaggi di base sono:

• Ottenere una licenza da Fortinet.
• Generare una coppia di chiavi SSH per l’autenticazione.
• Creare il Fortinet MVE nel Megaport Portal.
• Visualizzare l’assegnazione dell’indirizzo IP pubblico di MVE nel Megaport Portal.
• Impostare una password di amministratore per il FortiGate.
• Consentire l’accesso alla console sicuro al FortiGate.
• Aggiungere il FortiGate al FortiManager Cloud (opzionale).

Licenze

Un file di licenza FortiGate VM valido può essere applicato durante il processo di distribuzione del MVE attraverso il Megaport Portal, oppure può essere applicato post-distribuzione attraverso le interfacce WebUI o CLI di FortiGate.
In alternativa, è possibile utilizzare il modello di licenza basato su punti FortiFlex. La licenza basata su token FortiFlex deve essere applicata post-distribuzione attraverso la CLI.

Se acquisti una licenza da Fortinet, riceverai un codice di registrazione in un PDF. Userai questo codice di registrazione per generare un file di licenza.
Se utilizzi punti FortiFlex, genererai un token di licenza attraverso il portale FortiFlex associato al tuo account di assistenza Fortinet.

Per ottenere un file di licenza da Fortinet

1. Accedi al tuo account di registrazione su Supporto Fortinet.

2. Scegli Registra prodotto e inserisci il codice di registrazione fornito.

3. Segui il processo di registrazione.
   Fortinet genera il numero di serie e lo visualizza nella pagina di completamento della registrazione.

4. Scegli Gestisci > Visualizza prodotti e clicca sul numero di serie.

5. Clicca sul link di download e salva il file di licenza.
   Caricherai il file di licenza successivamente nel Megaport Portal.

Per utilizzare punti FortiFlex

1. Distribuisci il FortiGate VM su MVE senza scegliere di caricare un file di licenza.

2. Accedi alla CLI del FortiGate VM stabilendo una sessione SSH.

3. Copia il token di licenza fornito dal tuo portale FortiFlex.

4. Inietta il token di licenza nel VM utilizzando la CLI.

5. Riavvia il FortiGate VM quando richiesto.

Una volta registrato il prodotto, appare nell’elenco dei prodotti di Gestione delle risorse FortiCloud.

Il passo successivo è generare una coppia di chiavi SSH per l’autenticazione.

Accesso amministrativo a MVE

MVE e il FortiGate si connettono attraverso una coppia di chiavi SSH pubbliche/private per stabilire connessioni sicure. La chiave SSH pubblica ti consente di effettuare l’SSH nel FortiGate e impostare la password di amministratore, abilitare l’accesso HTTPS e opzionalmente registrare il FortiGate al tuo FortiManager Cloud.

Megaport supporta il tipo di chiave RSA a 2048 bit.

Per generare una coppia di chiavi SSH (Linux/Mac OSX)

• Esegui il comando di generazione della chiave SSH:

   ssh-keygen -f ~/.ssh/megaport-mve-instance-1-2048 -t rsa -b 2048
  

Il comando generatore di chiave crea una coppia di chiavi SSH e aggiunge due file alla tua directory ~/.ssh:

• megaport-mve-instance-1-2048 - contiene la chiave privata.
• megaport-mve-instance-1-2048.pub - contiene la chiave pubblica che è autorizzata per accedere all’account Fortinet.

Per generare una coppia di chiavi SSH (Windows, utilizzando PuTTYgen)

1. Apri PuTTYGen.
2. Nella sezione Chiave, scegli RSA 2048 bit e clicca Genera.
3. Muovi il mouse in modo casuale nel piccolo schermo per generare le coppie di chiavi.
4. Inserisci un commento alla chiave, che identificherà la chiave.
   Questo è conveniente quando si utilizzano diverse chiavi SSH.
5. Inserisci una passphrase di chiave, e reinserisci per confermare.
   La passphrase è utilizzata per proteggere la tua chiave. Ti verrà chiesto quando ti connetti tramite SSH.
6. Clicca Salva chiave privata, scegli una posizione e clicca Salva.
7. Clicca Salva chiave pubblica, scegli una posizione e clicca Salva.

Dovrai copiare e incollare il contenuto del file della chiave pubblica nel Megaport Portal successivamente per distribuire la chiave pubblica al FortiGate. La tua chiave privata corrisponderà alla chiave pubblica per concedere l’accesso. Solo una singola chiave privata ha accesso al FortiGate per l’accesso SSH.

Creazione di un MVE nel Megaport Portal

Quando si crea un MVE, selezionare una località che supporta il MVE e si trova in una area metropolitana compatibile con il design della tua rete. Puoi collegare più località a un singolo MVE. Per ulteriori informazioni sui dettagli della sede, consulta Pianificazione del tuo deployment.

Puoi distribuire più MVE all’interno della stessa area metropolitana per ragioni di ridondanza o capacità. Come parte del processo di creazione del MVE, verrà creata anche una connessione Megaport Internet.

Per creare un MVE

1. Nel Megaport Portal, vai alla pagina Servizi.

2. Clicca su Crea MVE.
   

3. Seleziona Fortinet FortiGate-VM.

4. Seleziona la versione del software.

   Il MVE sarà configurato per essere compatibile con quella versione di Fortinet.

5. Clicca su Avanti.

6. Specifica i dettagli del MVE:

   • Posizione – Seleziona la posizione del MVE.

     Seleziona una posizione geograficamente vicina alla tua filiale di destinazione e/o alle località locali.

     Il paese che scegli deve essere un mercato in cui ti sei già registrato.

     Se non hai registrato un mercato di fatturazione nella località in cui distribuirai il MVE, segui la procedura in Abilitazione dei mercati di fatturazione.

     Puoi utilizzare il campo Cerca per trovare il nome del porto, Paese, Città Metropolitana, o l’indirizzo del tuo porto di destinazione. Puoi anche filtrare per zona di diversità.

   • Zona di Diversità – Seleziona una zona di diversità.

     Puoi selezionare Rosso o Blu, o selezionare Auto e avere Megaport selezionare la zona per te. La zona di diversità selezionata o assegnata sarà visualizzata nei dettagli della località per il resto della provisioning, e nella pagina di Riepilogo alla fine. Per maggiori informazioni, vedi Diversità MVE.

   • Dimensione – Seleziona una dimensione tra quelle disponibili. Le dimensioni disponibili sono evidenziate in verde e etichettate come Disponibile. Le dimensioni supportano un numero variabile di connessioni contemporanee, e le metriche individuali dei prodotti partner variano leggermente.

     Nota

     Se la dimensione del MVE che desideri non è nella lista, allora non c’è abbastanza capacità nella località selezionata. Puoi selezionare un’altra località con sufficiente capacità o contattare il tuo Account Manager per discutere i requisiti.

   • Durata Minima – Seleziona Nessuna durata minima, 12 Mesi, 24 Mesi, o 36 Mesi. Durate più lunghe comportano una tariffa mensile più bassa. 12 Mesi è selezionato di default. Prendi nota delle informazioni visualizzate sullo schermo per evitare penali per recesso anticipato (ETF).

     Abilita l’opzione Rinnovo Durata Minima per i servizi con una durata di 12, 24 o 36 mesi per rinnovare automaticamente il contratto allo stesso prezzo scontato e durata alla fine del contratto. Se non rinnovi il contratto, alla fine del termine, il contratto si convertirá automaticamente in un contratto a tempo indeterminato per il periodo di fatturazione successivo, allo stesso prezzo, senza sconti di durata.

     Per maggiori informazioni, vedi Prezzi di MVE e Termini del Contratto.

7. Clicca su Avanti.

8. Specifica le impostazioni specifiche per Fortinet:

   • Licenza Appliance (opzionale) – Se hai acquistato una licenza da Fortinet, clicca Scegli file e seleziona la licenza appliance generata in precedenza da Fortinet.
     Se usi FortiFlex, salta questo passaggio.

   • Chiave SSH – Copia e incolla qui il contenuto della tua chiave SSH pubblica. Puoi trovare la chiave pubblica nel file megaport-mve-instance-1-2048.pub generato in precedenza.

   • Interfacce Virtuali (vNIC) – Fortinet è configurato con un vNIC chiamato Data Plane di default. Se necessario, puoi cambiare il nome digitando sopra il testo Data Plane.

     Puoi aggiungere fino a un totale di cinque vNIC al MVE, incluso quello aggiunto di default. Per maggiori informazioni, consulta Tipi di Connessioni vNIC.

     Per aggiungere un vNIC:

     • Clicca + Aggiungi.

       

     • Inserisci un nome per il vNIC.

       

     Nota

     Se vuoi aumentare o diminuire il numero di vNIC su questo MVE dopo il suo deployment, dovrai eliminare l’intero MVE e ricrearlo. Non è possibile aggiungere o eliminare vNIC da un MVE già distribuito.

   • Megaport Marketplace – Per impostazione predefinita, ogni servizio è privato per la tua impresa e consuma servizi dalla rete Megaport per la tua azienda interna, team e risorse. Quando è impostato su privato, il servizio non è ricercabile nel Megaport Marketplace, tuttavia, gli altri possono comunque connettersi a te usando una chiave di servizio. La visibilità Megaport Marketplace è controllata nel tuo profilo Megaport Marketplace. Per maggiori informazioni su come rendere visibile il tuo servizio al Megaport Marketplace, vedi Creazione di un profilo Megaport Marketplace.

9. Clicca su Avanti.

10. Specifica le impostazioni opzionali:

    • Nome MVE – Inserisci un nome per il MVE che sia facilmente identificabile, in particolare se prevedi di provvedere a più di uno. Questo nome appare nel Megaport Portal.

      Il nome del MVE è generato automaticamente in base al nome della località e mostrato nella pagina di Riepilogo. Puoi sovrascriverlo inserendo il tuo.

    • Riferimento del Livello di Servizio (opzionale) – Specificare un numero identificativo univoco per il tuo servizio Megaport da utilizzare per scopi di fatturazione, come un numero di centro di costo, un ID cliente unico, o un numero di ordine di acquisto. Il numero di riferimento del livello di servizio appare per ogni servizio nella sezione Prodotto della fattura. Puoi anche modificare questo campo per un servizio esistente.

    • Etichette Risorsa – Puoi utilizzare le etichette delle risorse per aggiungere i tuoi metadati di riferimento a un servizio Megaport. Per aggiungere un’etichetta:

      1. Clicca su Aggiungi Etichette.
      2. Clicca su Aggiungi Nuova Etichetta.
      3. Inserisci i dettagli nei campi:
         • Chiave – stringa con lunghezza massima 128. I valori validi sono a-z 0-9 _ : . / \ -
         • Valore – stringa con lunghezza massima 256. I valori validi sono a-z A-Z 0-9 _ : . @ / + \ - (spazio)
      4. Clicca su Salva.

      Se hai già etichette di risorse per quel servizio, puoi gestirle cliccando su Gestisci Etichette.

      Avviso

      Non includere mai informazioni sensibili in un’etichetta di risorsa. Le informazioni sensibili includono comandi che restituiscono definizioni di tag esistenti e informazioni che identificheranno una persona o un’azienda.

11. Conferma la configurazione e il prezzo sulla pagina Riepilogo.

    Il tasso mensile è basato sulla località e sulla dimensione.

12. Clicca su Aggiungi MVE.

    Ti verrà chiesto di creare una connessione Megaport Internet. Una connessione Megaport Internet fornisce connettività e permette al MVE di registrarsi e comunicare con Fortinet SD-WAN.
    

Per creare la connessione Megaport Internet

1. Clicca su Crea Internet Megaport per procedere (consigliato), o clicca su Non ora per provisionare l’accesso a internet in un secondo momento.

   Nota

   MVE richiede connettività a internet sulla interfaccia virtuale del piano di gestione. Puoi provvedere a una connessione Megaport Internet o configurare una connessione internet di terze parti utilizzando un VXC privato. Raccomandiamo vivamente di creare una connessione Megaport Internet per l’avvio e il dispiegamento iniziale di MVE per garantire che MVE sia provisionato e funzioni correttamente.

2. Seleziona il porto di destinazione (il router internet). Il B-End di una connessione Megaport Internet può essere ovunque sia disponibile Megaport Internet. Puoi utilizzare il campo Cerca per trovare il nome del porto, Paese, Città Metropolitana, o l’indirizzo del tuo porto di destinazione. Puoi anche filtrare per zona di diversità.

3. Clicca su Avanti.

4. Specifica i dettagli della connessione:

   • Nome Connessione – Il nome della tua connessione Megaport Internet da mostrare nel Megaport Portal.

   • Riferimento del Livello di Servizio (opzionale) – Specificare un numero identificativo univoco per il tuo servizio Megaport da utilizzare per scopi di fatturazione, come un numero di centro di costo, un ID cliente unico, o un numero di ordine di acquisto. Il numero di riferimento del livello di servizio appare per ogni servizio nella sezione Prodotto della fattura. Puoi anche modificare questo campo per un servizio esistente.

     Suggerimento

     Usa gli stessi numeri di Riferimento del Livello di Servizio per la connessione Megaport Internet e il MVE per aiutarti a identificare la coppia corrispondente nella tua fattura.

   • Limite di Velocità – La velocità della tua connessione in Mbps. Il limite di velocità è configurabile a partire da 20 Mbps e può scalare a diversi Gbps o più, in incrementi di 1 Mbps. I livelli di velocità disponibili possono variare in base alla località e al tipo di servizio. Puoi modificare la velocità come necessario dopo aver creato la connessione Megaport Internet. I dettagli di fatturazione mensile appaiono in base alla località e al limite di velocità.

   • Stato VXC – Seleziona Abilitato o Arresta per definire lo stato iniziale della connessione. Per maggiori informazioni, vedi Arresto di un VXC per test di failover.

     Nota

     Se selezioni Arresta, il traffico non passerà attraverso questo servizio e si comporterà come se fosse inattivo sulla rete Megaport. La fatturazione per questo servizio rimarrà attiva e ti sarà ancora addebitata questa connessione.

   • A-End vNIC - Specifica un vNIC dall’elenco a discesa. L’elenco mostra i vNIC che sono stati creati con il MVE.

   • VLAN A-End Preferita (opzionale) – Specifica un ID VLAN inutilizzato per questa connessione. Questo deve essere un ID VLAN unico su questo MVE e può variare da 2 a 4093. Se specifichi un ID VLAN già in uso, il sistema mostra il prossimo numero VLAN disponibile. L’ID VLAN deve essere unico per procedere con l’ordine. Se non specifichi un valore, Megaport lo assegnerà.
     In alternativa, puoi cliccare su Untag. Questa selezione rimuove il tagging VLAN per questa connessione e sarà configurata senza un ID VLAN.

   • Durata Minima – Seleziona Nessuna durata minima, 12 Mesi, 24 Mesi, o 36 Mesi. Durate più lunghe comportano una tariffa mensile più bassa. 12 Mesi è selezionato di default. Prendi nota delle informazioni visualizzate sullo schermo per evitare penali per recesso anticipato (ETF).

     Abilita l’opzione Rinnovo Durata Minima per i servizi con una durata di 12, 24 o 36 mesi per rinnovare automaticamente il contratto allo stesso prezzo scontato e durata alla fine del contratto. Se non rinnovi il contratto, alla fine del termine, il contratto si convertirá automaticamente in un contratto a tempo indeterminato per il periodo di fatturazione successivo, allo stesso prezzo, senza sconti di durata.

     Per maggiori informazioni, vedi Megaport Internet Prezzi e Termini del Contratto e VXC, Megaport Internet, e Fatturazione IX.

   • Etichette Risorsa – Puoi utilizzare le etichette delle risorse per aggiungere i tuoi metadati di riferimento a un servizio Megaport. Per aggiungere un’etichetta:

     1. Clicca su Aggiungi Etichette.
     2. Clicca su Aggiungi Nuova Etichetta.
     3. Inserisci i dettagli nei campi:
        • Chiave – stringa con lunghezza massima 128. I valori validi sono a-z 0-9 _ : . / \ -
        • Valore – stringa con lunghezza massima 256. I valori validi sono a-z A-Z 0-9 _ : . @ / + \ - (spazio)
     4. Clicca su Salva.

     Se hai già etichette di risorse per quel servizio, puoi gestirle cliccando su Gestisci Etichette.

     Avviso

     Non includere mai informazioni sensibili in un’etichetta di risorsa. Le informazioni sensibili includono comandi che restituiscono definizioni di tag esistenti e informazioni che identificheranno una persona o un’azienda.

   

5. Clicca su Avanti per procedere al riepilogo dei dettagli della connessione.

6. Clicca su Aggiungi VXC per ordinare la connessione.
7. Clicca su Rivedi Ordine nell’area dei Servizi Configurati.
8. Se hai un codice promozionale, clicca su Aggiungi Codice Promo, inseriscilo, quindi clicca su Aggiungi Codice.

9. Clicca su Ordina Ora.

   

Ordinare MVE configura l’appliance e assegna indirizzi IP dalla SDN di Megaport. Il provisioning del MVE richiede solo pochi minuti. Il processo di provisioning avvia un Fortinet FortiGate.

Visualizzare il MVE nel Megaport Portal

Dopo aver creato l’MVE, è possibile visualizzarlo nel Megaport Portal sulla pagina dei Servizi. Puoi anche visualizzare gli indirizzi IP pubblici assegnati.

Per visualizzare un MVE nel Megaport Portal

• Vai alla pagina Servizi.

L’icona Megaport Internet si differenzia da un’icona standard VXC nel Megaport Portal, come mostrato nell’immagine.

Per ulteriori informazioni sulla pagina dei Servizi, vedi Capire la Pagina dei Servizi.

Per visualizzare gli indirizzi IP pubblici assegnati al MVE

1. Clicca sull’icona ingranaggio accanto alla connessione Megaport Internet.
   Appare la schermata di configurazione della connessione. Da qui, è possibile modificare qualsiasi dettaglio della connessione Megaport Internet.
   
2. Seleziona la scheda Dettagli.
   
3. Individua l’indirizzo IP pubblico (IPv4 o IPv6).
   Questi sono gli indirizzi IP pubblici assegnati al MVE.

Consenti l’accesso alla console al FortiGate

L’accesso alla console del FortiGate viene fornito tramite una sessione HTTPS sicura. L’MVE blocca tutto l’accesso agli indirizzi IP pubblici assegnati al dispositivo finché non effettui l’SSH e concedi l’accesso HTTPS.

Per impostare una password di amministratore UI Web e consentire l’accesso HTTPS

1. Effettua l’SSH all’istanza Fortinet MVE utilizzando la chiave privata SSH generata in precedenza. Il nome utente predefinito è admin, seguito dall’indirizzo IP pubblico assegnato al dispositivo da Megaport.

   ssh -i ~/.ssh/megaport-mve-instance-1-2048 admin@162.43.xx.x

   Una volta entrato nella CLI di FortiOS, è possibile visualizzare lo stato del sistema e consentire l’accesso al dispositivo utilizzando i comandi CLI.

   Nota

   La CLI di FortiOS differisce dalla CLI standard di NOS o dalla shell Linux.

2. Configura una password per l’account utente admin.

     FGVM08TM21001375 # config system admin
     FGVM08TM21001375 (admin) # edit admin
     FGVM08TM21001375 (admin) # set password xxxxxxxx
     FGVM08TM21001375 (admin) # next
     FGVM08TM21001375 (admin) # end
   

3. Consenti l’accesso HTTPS all’interfaccia pubblica GUI sulla porta 1.

     FGVM08TM21001375 # config system interface
     FGVM08TM21001375 (interface) # edit port1
     FGVM08TM21001375 (port1) # append allowaccess https
     FGVM08TM21001375 (port1) # next
     FGVM08TM21001375 (interface) # end
   
     FGVM08TM21001375 #
   

4. Verifica che l’accesso HTTPS sia consentito.

     FGVM08TM21001375 # show system interface
   

Con l’accesso HTTPS consentito, puoi accedere al FortiGate tramite la sua interfaccia utente Web utilizzando le credenziali dell’utente admin.

Fornire il token di licenza FortiFlex

Se stai utilizzando FortiFlex per licenziare il tuo MVE, devi utilizzare la CLI per iniettare il token di licenza di FortiFlex nel VM. Usa il seguente comando:

exec vm-license <license_token>

Ad esempio,

exec vm-license 58923569A3FFB7F46879

Aggiungere il FortiGate a FortiManager Cloud

Il passo successivo è aggiungere il FortiGate a FortiManager Cloud, la piattaforma di gestione centralizzata SD-WAN di Fortinet.

Per aggiungere il FortiGate a FortiManager Cloud

1. Accedi alla GUI del FortiGate: https://162.43.xx.x

2. Seleziona Gestore dispositivi.

3. Dalla Dashboard del dispositivo, scegli Security Fabric > Connettori Fabric.

4. Seleziona FortiManager e clicca Modifica.

   

5. Seleziona le seguenti impostazioni:

   • Stato - Abilitato
   • Tipo - FortiManager Cloud
   • Modalità - Normale

6. Clicca OK.

   FortiCloud contatta il tuo FortiManager Cloud registrato per l’approvazione. Il processo di registrazione non richiede un indirizzo IP ma utilizza l’autenticazione backend attraverso la registrazione e la licenza precedenti.

Autorizza il FortiGate in FortiManager

Prima che FortiManager aggiunga il FortiGate alla sua lista di dispositivi gestiti, è necessario autorizzarlo manualmente.

Per autorizzare il FortiGate

1. Accedi al tuo istanza FortiManager Cloud a Supporto Fortinet.

2. Scegli Servizi > FortiManager.

   

   Vedrai un dispositivo non autorizzato in attesa di approvazione.

   

3. Clicca Dispositivi non autorizzati, e poi seleziona il dispositivo da autorizzare.

4. Clicca Autorizza.

5. Puoi opzionalmente cambiare il nome del dispositivo, applicare un pacchetto di policy preconfigurato o applicare un template preconfigurato al dispositivo.

6. Clicca OK quando sei soddisfatto della configurazione.
   Una spunta verde indica che il FortiGate è stato autorizzato da FortiManager.

   

7. Clicca Chiudi.

Il dispositivo è ora gestito tramite FortiManager Cloud e lo puoi visualizzare nell’elenco dei dispositivi gestiti.

Passaggi successivi

Una volta che il MVE è provisionato con uno stato Attivo, il passo successivo è collegare un VXC a un CSP, una porta locale, o una rete di terze parti. Puoi opzionalmente collegare una Porta fisica al MVE attraverso un VXC privato o connetterti a un fornitore di servizi nel Megaport Marketplace.

Per maggiori informazioni, consulta Creazione di un VXC.