Fortinet:Virtualisierung

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen

Fortinet:Fortinet:Virtualisierung

Vorwort

Dieser Artikel enthält Informationen über Virtualisierung im Zusammenhang mit Fortinet Produkten!


Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

Virtualisierung

Gibt es für Fortinet VMware eine Uebersicht betreffend Compatibility Matrix?

Ja, diese gibt es! Siehe nachfolgend eine Uebersicht:

       NOTE Ab Version 3.2 des FortiAuthenticator kann dieser ebenfalls unter Microsoft Hyper-V installiert
            werden!
       Datei:Fortinet Virtual Appliance Solutions-datasheet.pdf
       Fortinet-1088.jpg
       FortiGate VM Plattform
       Fortinet-1889.jpg

NOTE Betreffend Evaluation, NFR etc. siehe nachfolgenden Artikel:

       Fortinet:EvaluationNFR

Wieviele Interfaces, Storage, CPU usw. werden durch eine virtuelle FortiGate unterstützt?

Wenn eine FortiGate virtualisiert eingesetzt wird werden durch die Instanz durch die vers. Versionen/Lizenzen folgende Hardware Komponenten unterstzützt:

       Fortinet-1379.jpg
Achtung.png

Die Beschränkung bezüglich RAM/Arbeitsspeicher wurde seit FortiOS 6.2.2 aufgehoben. Die Versionen vor 6.2.2 sind mit Beschränkung.

Wie installiere ich VMware basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?

Nachfolgend Dokumente zeigen auf wie VMWare Produkte von Fortinet installiert werden:

FortiGate

       Datei:FortiGate-VM-VMware-Install-Guide.pdf          (FortiGate 5.2 VMware Install Guide)
       Datei:FortiGate-VM-VMware-Install-Guide-54.pdf       (FortiGate 5.4 VMware Install Guide)
       Datei:FortiGate-VM-VMware-Install-Guide-56.pdf       (FortiGate 5.6 VMware Install Guide)
       Datei:FortiGate-VMX Admin-Guide-56.pdf               (FortiGate 5.6 VMX Administration Guide)


Alle Dokumente: https://docs.fortinet.com/cloud-solutions/vmware-esxi

FortiAnalyzer

       Datei:FortiAnalyzer-VM-VMware-Install-Guide.pdf      (FortiAnalyzer 5.4 VMware Install Guide)
       Datei:FortiAnalyzer-VM-VMware-Install-Guide-56.pdf   (FortiAnalyzer 5.6.0 VMware Install Guide)
       Datei:FortiAnalyzer-VMwareESXi-AdminGuide-7.2.0-.pdf (FortiAnalyzer 7.2.0 VMware Install Guide)

FortiManager

       Datei:FortiManager-VM-VMware-Install-Guide.pdf       (FortiManager 5.4 VMware Install Guide)
       Datei:FortiManager-VM-VMware-Install-Guide-56.pdf    (FortiManager 5.6.0 VMware Install Guide)

FortiMail

       Datei:FortiMail-VM-VMware-Install-Guide.pdf          (FortiMail 5 VMware Install Guide)

FortiWeb

       Datei:FortiWeb-VM-VMware-Install-Guide.pdf           (FortiWeb 5 VMware Install Guide)
       Datei:FortiWeb-VM-VMware-Install-Guide-5.8.pdf       (FortiWeb 5.8 VMware Install Guide)

FortiAuthenticator

       Datei:Fortiauthenticator-vm-install.pdf              (FortiAuthenticator 1.0 MR3 VM (VMware)Install Guide)
       Datei:FortiAuthenticator-VM-VMware-Install-Guide.pdf (FortiAuthenticator VMware Install Guide)

FortiSandbox

       Datei:FortiSandbox-VM-Install-Guide.pdf              (FortiSandbox 2.5.1 Vmware Install Guide)
       Datei:FortiSandbox-AWS-Install-Guide.pdf             (FortiSandbox 2.5.0 AWS Install Guide)

FortiADC

       Datei:FortiADC-VM-Install-Guide.pdf                  (FortiADC 4.5 Vmware Install Guide)
       Datei:FortiADC-VM-Install-Guide-4.6 4.7.pdf          (FortiADC 4.6 und 4.7 Vmware Install Guide)
       Datei:FortiADC-VM-Install-Guide.4.8.pdf              (FortiADC 4.8 Vmware Install Guide)

Fortinet VM On-Demand Programm

       Datei:Fortinet-VM-On-demand-Admin-Guide.pdf          (Fortinet VM On-Demand Program - Administration Guide)

Was sind die Limitierungen bei einer VM00 Demo Installation?

Wenn man vom Partnerportal die zweiwöchige Demoversion herunterlädt muss man folgendes beachten:

      • Bei den VPN ist es nur möglich DES und MD5 als Algorithmen auszuwählen.
      • Die VM00 Demo kann über den Fortimanager eingebunden werden, es ist aber nicht möglich Konfigurationen auf die VM00 FortiGate zu pushen.
      • Obwohl die VM00 1,5 GB Speicher unterstützt kann in der Demo Version nur 1GB benutzt werden, ansonsten läuft die Umgebung nicht.

Ansonsten sind keine Einschränkungen bekannt und die VM00 FortiGate kann für Demozwecke getestet werden.

      Die Demo Version kann im Partnerportal über folgenden Link beantragt werden:
      https://www.fortinet.com/demo-center/fortigate-vm-demo.html

Wie installiere ich Hyper-V basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?

Nachfolgend Dokumente zeigen auf wie Hyper-V Produkte von Fortinet installiert werden:

       Datei:FortiGate-VM-Hyper-V-Install-Guide.pdf          (FortiGate 5 VM Microsoft Hyper-V)
       Datei:FortiAnalyzer-VM-Hyper-V-Install-Guide.pdf      (FortiAnalyzer 5 VM Microsoft Hyper-V)
       Datei:FortiManager-VM-Hyper-V-Install-Guide.pdf       (FortiManager 5 VM Microsoft Hyper-V)
       Datei:FortiAuthenticator-VM-Hyper-V-Install-Guide.pdf (FortiAuthenticator 3.2 VM Microsoft Hyper-V)

Wie installiere ich Microsoft Azure basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?

Nachfolgende Dokumente zeigen auf wie Microsoft Azure Produkte von Fortinet installiert werden:

       Datei:FortiWeb-VM-Azure-Install-Guide.pdf                                        (Fortinet FortiWeb 5.6 VM Microsoft Azure Install Guide)
       Datei:FortiWeb-VM-Azure-Install-Guide-5.8.pdf                                    (Fortinet FortiWeb 5.8 VM Microsoft Azure Install Guide)
       Datei:FortiWeb-for-Microsoft-Azure-Quick-Start-Guide.pdf                         (Fortinet FortiWeb for Microsoft Azure Quick Start Guide)
       Datei:FortiGate-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf      (Fortinet FortiGate Virtual Appliance for Microsoft Azure Quick Start Guide)
       Datei:FortiGate-Azure-DeploymentScenarios.pdf                                    (FortiGate Deployment Scenarios on Microsoft Azure Dezember 2017)
       Datei:FortiManager-for-Microsoft-Azure-Quick-Start-Guide.pdf                     (Fortinet FortiManager for Microsoft Azure Quick Start Guide)
       Datei:FortiAnalyzer-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf  (Fortinet FortiAnalyzer Virtual Appliance for Microsoft Azure Quick Start Guide)
       Datei:FortiMail-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf      (FortiMail Virtual Appliance for Microsoft Azure Quick Start Guide)

Wie installiere ich VM Openstack basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?

Nachfolgende Dokumente zeigen auf wie VM-Openstack Produkte von Fortinet installiert werden:

       Datei:FortiOS-VM-Openstack-Cookbook-54.pdf                                       (FortiOS VM OpenStack Cookbook FortiOS 5.4)

In der Console der VMware Instance eines FortiAnalyzers, FortiManagers oder FortiGate ist das Tastatur Layout US gesetzt?

Wenn man eines der genannten Produkte auf einer VMware installiert und die Console in der VMware benutzt, fällt einem auf das die Tastatur für US in der Console benutzt werden muss (zB Shift + "-" = ?). Dies kann man nicht ändern dh. wenn man jedoch über SSH, Telnet oder die Console im Web Gui benutzt reagiert das Ganze wie üblich dh. mit einer Swiss-German Tastatur. Dieser Umstand ist zurückzuführen wie das Ganze als virtuelle Instance in VMware implementiert wurde und kann so nicht geändert werden.

Offizielle Lizenz auf einer FortiGate-VM kann nicht eingelesen werden?

Nun eine VM FortiGate Lizenz basiert auf der IP auf die diese Initial über Device Registration innerhalb eines Support Accounts registriert wurde. Dies bedeutet die FortiGate VM Installation erhält Ihre Serien Nummer erst dann wenn die Lizenz eingespielt wird. Bevor dies nicht geschieht zeigt ein FortiGate VM Installation "FGT0000000000" als Serien Nummer an. Dies bedeutet wiederum will man die Lizenz später bei einer Neuinstallation etc. wiederum einspielen muss die IP übereinstimmen sein. Wenn in so einem Fall die Lizenz dennoch nicht eingespielt werden kann so sollten sätmliche Grundvoraussetzungen kontrolliert werden wie zB RAM! Dies bedeutet die unterschiedlichen VM Lizenzen dh. VM-00, VM-002 usw. unterstützen unterschiedliche RAM Grössen. Wenn die RAM Grösse die auf der FortiGate VM Installation nicht übereinstimmt mit der Lizenz kann diese entweder nicht mehr eingespielt werden oder es kann nicht mehr auf das Mgmt. WebInterface zugegriffen werden und es erscheint eine Lizenz Meldung.

       NOTE Die "ovf" Files die über Support FortiGate für die Installation runtergeladen werden können sind 
            vorkonfigurierte Images. Diese Images haben eine RAM Konfiguration von 1 GB (Stand März 2013)
            sprich versucht man eine "VM-00" Lizenz in eine solche Grundinstallation einzuspielen wird dies
            verweigert. Der Grund ist das eine "VM-00" Lizenz "nur" 512 MB RAM unterstützt und somit 1 GB
            über dessen maximum geht und somit die Lizenz nicht "valid" ist und die Installation verweigert
            wird.

Kann ich eine offizielle Lizenz für VMware (ESXi) auch benützen für Xen, Hyper-V oder KVM?

Zusätzlich für die ESXi platform lanciert im September 2013 Fortinet für FortiGate die nachfolgenden Platformen:

       SKU: FortiGate-VM01          Description: FortiGate-VM "virtual appliance" designed for VMware ESX and ESXi platforms.  1 x vCPU core and (up to) 2 GB RAM
       SKU: FortiGate-VM01-Xen      Description: FortiGate-VM "virtual appliance" designed for Citrix XenServer & Open Source Xen platforms.  1 x vCPU core and (up to) 2 GB RAM
       SKU: FortiGate-VM01-HV       Description: FortiGate-VM "virtual appliance" designed for Microsoft Hyper-V platform.  1 x vCPU core and (up to) 2 GB RAM
       SKU: FortiGate-VM01-KVM      Description: FortiGate-VM "virtual appliance" designed for KVM platform.  1 x vCPU core and (up to) 2 GB RAM 

Dabei stellt sich die Frage ob zB bestehende Kunden einer ESXi Lizenz wechseln können auf zB Microsoft Hyper-V? Die Frage kann mit "Ja" beantwortet werden dh. folgendes ist zu berücksichtigen:

       - Bevor die neue Instanz installiert resp. die Lizenz eingelesen wird "MUSS" die alte Instanz runtergefahren werden!
       - "Eine" bestehende Lizenz mit zwei aktiven Instanzen ist "NICHT" möglich dh. eine Instanz wird deaktiviert!

Dadurch ist es einem Kunden möglich ohne Lizenzänderung ein Platform Wechsel durchzuführen. Er muss "nur" darauf achten das die alte Instanz vor der neuen Instanz komplett runtergefahren wird. Die neue Instanz wird sich durch das einlesen der Lizenz bei Fortinet in der Cloud automatisch registrieren.

Kann ich einen 2.0 MR2 (2.2.2) VMware basierenden FortiAuthenticator auf Version 3.0 Upgraden?

Für weitere Informationen siehe Artikel:

       FortiAuthenticator:FAQ#Kann_ich_einen_2.0_MR2_.282.2.2.29_VMware_basierenden_FortiAuthenticator_auf_Version_3.0_Upgraden.3F

FortiHypervisor

Wo finde ich die Dokumente FortiHypervisor?

In den nachfolgenden Dokumenten können die Release Notes entnommen werden:

       Datei:FortiHypervisor-ReleaseNotes-1.0.0.pdf
       Datei:FortiHypervisor-ReleaseNotes-1.0.1.pdf
       Datei:FortiHypervisor-ReleaseNotes-1.0.2.pdf
       Datei:FortiHypervisor-ReleaseNotes-1.1.0.pdf

Nachfolgende Dokumente erklären wie ein FortiHypervisor installiert und konfiguriert wird:

       Datei:FortiHypervisor-AdminGuide-1.0.pdf
       Datei:FortiHypervisor-AdminGuide-1.1.pdf

FortiGate VM

Lizenzierung von FortiGate VM unterscheidet primär zwischen der Normal Series (darunter auch V-Series) und der S-Series.

Wie registriere ich eine FortiGate VM?

Config webgui.png Supportportal:

Wenn ich eine neue VM erworben habe, bekomme ich ein Dokument mit dem Registrations-Schlüssel. Diesen muss ich auf dem Fortinet Support-Portal noch registrieren, damit ich einen Lizenzschlüssel bekomme.

So sieht das Dokument mit dem Registrations-Schlüssel aus:

Fortinet-2778.jpg

in diesem Fall ist es eine Testlizenz.

  1. Als erstes über die Seite https://support.fortinet.com in das Supportportal einloggen
  2. Über das Menü Asset --> Register/Activate kann eine neue VM registriert werden (als würde man eine Hardware FortiGate registrieren)
Fortinet-2779.jpg
  1. Den Mandant auswählen (in unserem Fall wäre dies die ALSO Schweiz AG)
  2. Nun kann der Register Code aus dem Dokument in das entsprechende Feld hinein kopiert werden.
  3. Den End user Type noch anwählen (handelt es sich um eine Behörde oder nicht?)
  4. Mit Next geht es weiter in der Registrierung.
Fortinet-2780.jpg

Wenn man viele Asset registriert hat, macht es Sinn eine sinnvolle Beschreibung vorzunehmen um den Überblick zu behalten.

Fortinet-2781.jpg
  1. Lizenz Agreement durchlesen :-) und bestätigen, dass man alles gelesen und verstanden hat.
  2. weiter mit Next
Fortinet-2782.jpg
Fortinet-2783.jpg
  1. In diesem Punkt überprüfen ob die entsprechenden Zusatzdienste und Verträge vorhanden sind und ob diese auch korrekt sind.
  2. Es wird explizit darauf hingewiesen, dass nach dem bestätigen die Verträge mit dieser Lizenz verknüpft werden.
  3. Mit Confirm die Richtigkeit bestätigen

Die VM ist registriert und es kann das Lizenzfile heruntergeladen werden. Dieses File wird dann zum aktivieren der VM benötigt.

Fortinet-2784.jpg

Nun sehen wir die neu erfasste VM in unserer Produkte-Übersicht.

Fortinet-2785.jpg

Um das VM Image herunterzuladen geht man in den Download Bereich des Support-Portals.

  1. Menu Download --> VM Images
Fortinet-2787.jpg

Nun kann das Initial- oder Upgrade-File herunterladen werden.

  1. Unter Select Product muss in unserem Fall FortiGate ausgewählt werden.
  2. Unter Select Platform die entsprechende virtuelle Plattform auswählen (wir wollen die FortiGate auf einem VM-ESXi Server installieren)
  3. Die entsprechende FortiOS Version auswählen
  4. Nun kann das Deployment ZIP File heruntergeladen werden. (New deployment of FortiGate for VMware)
Fortinet-2788.jpg

Wie erstelle ich eine virtuelle FortiGate auf einem ESX Server?

Config webgui.png Konfiguration auf dem ESX Server:

Plattform: VMware ESXi - Version 6.5.0

  1. Menu Virtual Maschines auswählen
  2. Create / Register VM anwählen
Fortinet-2789.jpg
  1. Im Wizzard kann Deploy a virtual maschine from an OVF or OVA file ausgewählt werden.
  2. Mit Next geht es einen Schritt weiter im Wizzard
Fortinet-2790.jpg
  1. Name der virtuellen Maschine definieren.
  2. Das gewünschte ovf und vmdk File kann in das hellblaue Feld hineingezogen werden
  3. Mit Next geht es weiter zur Zuweisung der Festplatten.
Fortinet-2796.jpg

FortiOS.vmdk

Fortinet-2791.jpg

FortiGate-VM64.ovf

Fortinet-2795.jpg

Nun kann die Disk ausgewählt werden, auf welcher die FortiGate VM betrieben werden soll. Es braucht 32GB Speicherplatz:

  • 2 GB für das FortiOS
  • 30 GB für das loggen auf die FortiGate
Fortinet-2792.jpg

Im vierten Schritt muss die Lizenz durchgelesen werden und wenn man einverstanden ist, kann diese zuerst mit I agree bestätigt werden und dann mit Next zum nächsten Schritt weiter gehen.

Fortinet-2793.jpg

In den Deplyment Optionen werden die Netze zugwiesen. (Dies kann auch noch im Nachgang umkonfiguriert werden.)

Fortinet-2794.jpg

Es gibt eine Zusammenfassung der Optionen, welche man nochmals überprüfen kann, bevor die VM deployet wird.

Mit Finish schliesst man ab und die VM wird gebildet. In dieser Zeit sollte man auf keinen Fall weiter klicken oder refreshen (Status unten beachten - wenn der Balken bei 100% ist, ist die VM komplett erstellt.

Fortinet-2797.jpg

Wenn die VM hochgefahren ist, kann man sich über die Konsole einloggen und die FortiGate noch mit der Lizenz aktivieren.

Fortinet-2798.jpg

Lizenz auf der neuen VM aktivieren:

Config webgui.png Konfiguration auf der FortiGate VM:

Wenn man sich das erste Mal auf die neue FortiGate VM einloggt wird darauf hingewiesen, dass noch die Lizenz eingespielt werden muss. Zuerst muss das Lizenzfile auf der Support Seite von Fortinet heruntergeladen werden. Dafür muss man das entsprechende VM Asset anwählen. Dies kann in den Eigenschaften -> License File Download gefunden und das entsprechende File lokal heruntergeladen werden.

Fortinet-2800.jpg
  1. Auf der FortiGate auf den orangen Warnhinweis klicken (fehlende VM Lizenz)
  2. Menu FortiGate VM License anwählen
  3. Das entsprechende File anwählen damit dieses hochgeladen wird
  4. Mit OK bestätigen
Fortinet-2799.jpg
Fortinet-2801.jpg
Fortinet-2802.jpg

Wenn das Lizenzfile gültig ist, wird die FortiGate neu gestartet.

Fortinet-2803.jpg

Nach dem Neustart wird folgende Meldung auf der CLI angezeigt:

Fortinet-2804.jpg

Im Menu wird die FortiGate VM als valid angezeigt:

Fortinet-2805.jpg

ESXi Know How

Wie kann ich den SSH Zugriff auf den ESXi Server aktivieren?

Tipp.svg Standartmässig ist der SSH Administrations Zugriff auf einen ESXi Server deaktiviert. Will man per Remote über SSH auf den Server zugreiffen, muss dieser Zugriff zuerst aktiviert werden. Es ist darauf zu achten, dass man den Zugriff auf vertrauenswürdige Hosts beschränkt.

Folgendermassen kann der Zugriff aktiviert werden:

Esxi-0001.jpg
  1. Auf den ESXi Host navigieren.
  2. Das Menu Aktionen |Actions auswählen.
  3. Den Menupunkt Dienste |Services selektieren.
  4. Secure Shell (SSH) aktivieren |Enable Secure Shell (SSH) auswählen

Nun ist der Zugriff über SSH auf den ESXi Server möglich.

Wie kann ich sehen welche Durschsätze mein Interface auf dem ESXi Server zu verfügung stellen?

Tipp.svg

Um diese Informationen zu erhalten, muss mit SSH oder der Konsole auf den ESXi Server verbunden werden. Damit man per SSH auf den ESXi Server zugreifen kann, muss SSH zuerst in der Host Konfiguration aktiviert werden:

Eine Übersicht über die verfügbaren Netzwerkkarten auf dem ESXi Server kann mit dem folgenden Kommando abgerufen werden:

esxcli network nic list

Beispieloutput:

[root@esx01:~] esxcli network nic list
Name    PCI Device    Driver  Admin Status  Link Status  Speed  Duplex  MAC Address         MTU  Description
------  ------------  ------  ------------  -----------  -----  ------  -----------------  ----  -----------
vmnic0  0000:02:00.0  ntg3    Up            Up            1000  Full    f4:03:43:5a:3a:80  1500  Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet
vmnic1  0000:02:00.1  ntg3    Up            Up            1000  Full    f4:03:43:5a:3a:81  1500  Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet
vmnic2  0000:02:00.2  ntg3    Up            Up            1000  Full    f4:03:43:5a:3a:82  1500  Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet
vmnic3  0000:02:00.3  ntg3    Up            Up            1000  Full    f4:03:43:5a:3a:83  1500  Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet

Um genauere Informationen über ein spezifisches Interface zu erhalten, kann dieser Befehl benutzt werden:

esxcli network nic get -n [vmnic Interface]
esxcli network nic get -n vmnic0 

Wir sehen im Abschnitt Advertised Link Modes die verfügbaren Durchsätze und Duplex Methoden welche das Interface unterstützt.

Beispieloutput für das Interface vmnic0:

[root@esx01:~] esxcli network nic get -n vmnic0
   Advertised Auto Negotiation: true
   Advertised Link Modes: Auto, 1000BaseT/Full, 100BaseT/Half, 100BaseT/Full, 10BaseT/Half, 10BaseT/Full
   Auto Negotiation: true
   Cable Type: Twisted Pair
   Current Message Level: 7
   Driver Info:
         Bus Info: 0000:02:00:0
         Driver: ntg3
         Firmware Version: bc 1.46 ncsi 1.4.16.0
         Version: 4.1.5.0
   Link Detected: true
   Link Status: Up
   Name: vmnic0
   PHYAddress: 0
   Pause Autonegotiate: true
   Pause RX: true
   Pause TX: true
   Supported Ports: TP
   Supports Auto Negotiation: true
   Supports Pause: true
   Supports Wakeon: true
   Transceiver: internal
   Virtual Address: 00:50:56:5b:bd:01
   Wakeon: MagicPacket(tm)