Fortinet:Virtualisierung
Fortinet:Fortinet:Virtualisierung
Vorwort
Dieser Artikel enthält Informationen über Virtualisierung im Zusammenhang mit Fortinet Produkten!
Datenschutz
********************************************************************* * * * THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY * * PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, * * DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM * * ALSO SCHWEIZ AG SWITZERLAND. * * * ********************************************************************* "Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht bekannt gemacht werden"
Virtualisierung
Gibt es für Fortinet VMware eine Uebersicht betreffend Compatibility Matrix?
Ja, diese gibt es! Siehe nachfolgend eine Uebersicht:
NOTE Ab Version 3.2 des FortiAuthenticator kann dieser ebenfalls unter Microsoft Hyper-V installiert werden!
Datei:Fortinet Virtual Appliance Solutions-datasheet.pdf
FortiGate VM Plattform
NOTE Betreffend Evaluation, NFR etc. siehe nachfolgenden Artikel:
Fortinet:EvaluationNFR
Wieviele Interfaces, Storage, CPU usw. werden durch eine virtuelle FortiGate unterstützt?
Wenn eine FortiGate virtualisiert eingesetzt wird werden durch die Instanz durch die vers. Versionen/Lizenzen folgende Hardware Komponenten unterstzützt:
Die Beschränkung bezüglich RAM/Arbeitsspeicher wurde seit FortiOS 6.2.2 aufgehoben. Die Versionen vor 6.2.2 sind mit Beschränkung. |
Wie installiere ich VMware basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?
Nachfolgend Dokumente zeigen auf wie VMWare Produkte von Fortinet installiert werden:
FortiGate
Datei:FortiGate-VM-VMware-Install-Guide.pdf (FortiGate 5.2 VMware Install Guide) Datei:FortiGate-VM-VMware-Install-Guide-54.pdf (FortiGate 5.4 VMware Install Guide) Datei:FortiGate-VM-VMware-Install-Guide-56.pdf (FortiGate 5.6 VMware Install Guide) Datei:FortiGate-VMX Admin-Guide-56.pdf (FortiGate 5.6 VMX Administration Guide)
Alle Dokumente: https://docs.fortinet.com/cloud-solutions/vmware-esxi
FortiAnalyzer
Datei:FortiAnalyzer-VM-VMware-Install-Guide.pdf (FortiAnalyzer 5.4 VMware Install Guide) Datei:FortiAnalyzer-VM-VMware-Install-Guide-56.pdf (FortiAnalyzer 5.6.0 VMware Install Guide) Datei:FortiAnalyzer-VMwareESXi-AdminGuide-7.2.0-.pdf (FortiAnalyzer 7.2.0 VMware Install Guide)
FortiManager
Datei:FortiManager-VM-VMware-Install-Guide.pdf (FortiManager 5.4 VMware Install Guide) Datei:FortiManager-VM-VMware-Install-Guide-56.pdf (FortiManager 5.6.0 VMware Install Guide)
FortiMail
Datei:FortiMail-VM-VMware-Install-Guide.pdf (FortiMail 5 VMware Install Guide)
FortiWeb
Datei:FortiWeb-VM-VMware-Install-Guide.pdf (FortiWeb 5 VMware Install Guide) Datei:FortiWeb-VM-VMware-Install-Guide-5.8.pdf (FortiWeb 5.8 VMware Install Guide)
FortiAuthenticator
Datei:Fortiauthenticator-vm-install.pdf (FortiAuthenticator 1.0 MR3 VM (VMware)Install Guide) Datei:FortiAuthenticator-VM-VMware-Install-Guide.pdf (FortiAuthenticator VMware Install Guide)
FortiSandbox
Datei:FortiSandbox-VM-Install-Guide.pdf (FortiSandbox 2.5.1 Vmware Install Guide) Datei:FortiSandbox-AWS-Install-Guide.pdf (FortiSandbox 2.5.0 AWS Install Guide)
FortiADC
Datei:FortiADC-VM-Install-Guide.pdf (FortiADC 4.5 Vmware Install Guide) Datei:FortiADC-VM-Install-Guide-4.6 4.7.pdf (FortiADC 4.6 und 4.7 Vmware Install Guide) Datei:FortiADC-VM-Install-Guide.4.8.pdf (FortiADC 4.8 Vmware Install Guide)
Fortinet VM On-Demand Programm
Datei:Fortinet-VM-On-demand-Admin-Guide.pdf (Fortinet VM On-Demand Program - Administration Guide)
Was sind die Limitierungen bei einer VM00 Demo Installation?
Wenn man vom Partnerportal die zweiwöchige Demoversion herunterlädt muss man folgendes beachten:
• Bei den VPN ist es nur möglich DES und MD5 als Algorithmen auszuwählen. • Die VM00 Demo kann über den Fortimanager eingebunden werden, es ist aber nicht möglich Konfigurationen auf die VM00 FortiGate zu pushen. • Obwohl die VM00 1,5 GB Speicher unterstützt kann in der Demo Version nur 1GB benutzt werden, ansonsten läuft die Umgebung nicht.
Ansonsten sind keine Einschränkungen bekannt und die VM00 FortiGate kann für Demozwecke getestet werden.
Die Demo Version kann im Partnerportal über folgenden Link beantragt werden: https://www.fortinet.com/demo-center/fortigate-vm-demo.html
Wie installiere ich Hyper-V basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?
Nachfolgend Dokumente zeigen auf wie Hyper-V Produkte von Fortinet installiert werden:
Datei:FortiGate-VM-Hyper-V-Install-Guide.pdf (FortiGate 5 VM Microsoft Hyper-V) Datei:FortiAnalyzer-VM-Hyper-V-Install-Guide.pdf (FortiAnalyzer 5 VM Microsoft Hyper-V) Datei:FortiManager-VM-Hyper-V-Install-Guide.pdf (FortiManager 5 VM Microsoft Hyper-V) Datei:FortiAuthenticator-VM-Hyper-V-Install-Guide.pdf (FortiAuthenticator 3.2 VM Microsoft Hyper-V)
Wie installiere ich Microsoft Azure basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?
Nachfolgende Dokumente zeigen auf wie Microsoft Azure Produkte von Fortinet installiert werden:
Datei:FortiWeb-VM-Azure-Install-Guide.pdf (Fortinet FortiWeb 5.6 VM Microsoft Azure Install Guide) Datei:FortiWeb-VM-Azure-Install-Guide-5.8.pdf (Fortinet FortiWeb 5.8 VM Microsoft Azure Install Guide)
Datei:FortiWeb-for-Microsoft-Azure-Quick-Start-Guide.pdf (Fortinet FortiWeb for Microsoft Azure Quick Start Guide) Datei:FortiGate-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf (Fortinet FortiGate Virtual Appliance for Microsoft Azure Quick Start Guide) Datei:FortiGate-Azure-DeploymentScenarios.pdf (FortiGate Deployment Scenarios on Microsoft Azure Dezember 2017) Datei:FortiManager-for-Microsoft-Azure-Quick-Start-Guide.pdf (Fortinet FortiManager for Microsoft Azure Quick Start Guide) Datei:FortiAnalyzer-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf (Fortinet FortiAnalyzer Virtual Appliance for Microsoft Azure Quick Start Guide) Datei:FortiMail-Virtual-Appliance-for-Microsoft-Azure-Quick-Start-Guide.pdf (FortiMail Virtual Appliance for Microsoft Azure Quick Start Guide)
Wie installiere ich VM Openstack basierende Fortinet Produkte wie Fortigate, FortiManager und FortiAnalyzer?
Nachfolgende Dokumente zeigen auf wie VM-Openstack Produkte von Fortinet installiert werden:
Datei:FortiOS-VM-Openstack-Cookbook-54.pdf (FortiOS VM OpenStack Cookbook FortiOS 5.4)
In der Console der VMware Instance eines FortiAnalyzers, FortiManagers oder FortiGate ist das Tastatur Layout US gesetzt?
Wenn man eines der genannten Produkte auf einer VMware installiert und die Console in der VMware benutzt, fällt einem auf das die Tastatur für US in der Console benutzt werden muss (zB Shift + "-" = ?). Dies kann man nicht ändern dh. wenn man jedoch über SSH, Telnet oder die Console im Web Gui benutzt reagiert das Ganze wie üblich dh. mit einer Swiss-German Tastatur. Dieser Umstand ist zurückzuführen wie das Ganze als virtuelle Instance in VMware implementiert wurde und kann so nicht geändert werden.
Offizielle Lizenz auf einer FortiGate-VM kann nicht eingelesen werden?
Nun eine VM FortiGate Lizenz basiert auf der IP auf die diese Initial über Device Registration innerhalb eines Support Accounts registriert wurde. Dies bedeutet die FortiGate VM Installation erhält Ihre Serien Nummer erst dann wenn die Lizenz eingespielt wird. Bevor dies nicht geschieht zeigt ein FortiGate VM Installation "FGT0000000000" als Serien Nummer an. Dies bedeutet wiederum will man die Lizenz später bei einer Neuinstallation etc. wiederum einspielen muss die IP übereinstimmen sein. Wenn in so einem Fall die Lizenz dennoch nicht eingespielt werden kann so sollten sätmliche Grundvoraussetzungen kontrolliert werden wie zB RAM! Dies bedeutet die unterschiedlichen VM Lizenzen dh. VM-00, VM-002 usw. unterstützen unterschiedliche RAM Grössen. Wenn die RAM Grösse die auf der FortiGate VM Installation nicht übereinstimmt mit der Lizenz kann diese entweder nicht mehr eingespielt werden oder es kann nicht mehr auf das Mgmt. WebInterface zugegriffen werden und es erscheint eine Lizenz Meldung.
NOTE Die "ovf" Files die über Support FortiGate für die Installation runtergeladen werden können sind vorkonfigurierte Images. Diese Images haben eine RAM Konfiguration von 1 GB (Stand März 2013) sprich versucht man eine "VM-00" Lizenz in eine solche Grundinstallation einzuspielen wird dies verweigert. Der Grund ist das eine "VM-00" Lizenz "nur" 512 MB RAM unterstützt und somit 1 GB über dessen maximum geht und somit die Lizenz nicht "valid" ist und die Installation verweigert wird.
Kann ich eine offizielle Lizenz für VMware (ESXi) auch benützen für Xen, Hyper-V oder KVM?
Zusätzlich für die ESXi platform lanciert im September 2013 Fortinet für FortiGate die nachfolgenden Platformen:
SKU: FortiGate-VM01 Description: FortiGate-VM "virtual appliance" designed for VMware ESX and ESXi platforms. 1 x vCPU core and (up to) 2 GB RAM SKU: FortiGate-VM01-Xen Description: FortiGate-VM "virtual appliance" designed for Citrix XenServer & Open Source Xen platforms. 1 x vCPU core and (up to) 2 GB RAM SKU: FortiGate-VM01-HV Description: FortiGate-VM "virtual appliance" designed for Microsoft Hyper-V platform. 1 x vCPU core and (up to) 2 GB RAM SKU: FortiGate-VM01-KVM Description: FortiGate-VM "virtual appliance" designed for KVM platform. 1 x vCPU core and (up to) 2 GB RAM
Dabei stellt sich die Frage ob zB bestehende Kunden einer ESXi Lizenz wechseln können auf zB Microsoft Hyper-V? Die Frage kann mit "Ja" beantwortet werden dh. folgendes ist zu berücksichtigen:
- Bevor die neue Instanz installiert resp. die Lizenz eingelesen wird "MUSS" die alte Instanz runtergefahren werden! - "Eine" bestehende Lizenz mit zwei aktiven Instanzen ist "NICHT" möglich dh. eine Instanz wird deaktiviert!
Dadurch ist es einem Kunden möglich ohne Lizenzänderung ein Platform Wechsel durchzuführen. Er muss "nur" darauf achten das die alte Instanz vor der neuen Instanz komplett runtergefahren wird. Die neue Instanz wird sich durch das einlesen der Lizenz bei Fortinet in der Cloud automatisch registrieren.
Kann ich einen 2.0 MR2 (2.2.2) VMware basierenden FortiAuthenticator auf Version 3.0 Upgraden?
Für weitere Informationen siehe Artikel:
FortiAuthenticator:FAQ#Kann_ich_einen_2.0_MR2_.282.2.2.29_VMware_basierenden_FortiAuthenticator_auf_Version_3.0_Upgraden.3F
FortiHypervisor
Wo finde ich die Dokumente FortiHypervisor?
In den nachfolgenden Dokumenten können die Release Notes entnommen werden:
Datei:FortiHypervisor-ReleaseNotes-1.0.0.pdf Datei:FortiHypervisor-ReleaseNotes-1.0.1.pdf Datei:FortiHypervisor-ReleaseNotes-1.0.2.pdf Datei:FortiHypervisor-ReleaseNotes-1.1.0.pdf
Nachfolgende Dokumente erklären wie ein FortiHypervisor installiert und konfiguriert wird:
Datei:FortiHypervisor-AdminGuide-1.0.pdf Datei:FortiHypervisor-AdminGuide-1.1.pdf
FortiGate VM
Lizenzierung von FortiGate VM unterscheidet primär zwischen der Normal Series (darunter auch V-Series) und der S-Series.
Wie registriere ich eine FortiGate VM?
Supportportal: |
Wenn ich eine neue VM erworben habe, bekomme ich ein Dokument mit dem Registrations-Schlüssel. Diesen muss ich auf dem Fortinet Support-Portal noch registrieren, damit ich einen Lizenzschlüssel bekomme. So sieht das Dokument mit dem Registrations-Schlüssel aus: in diesem Fall ist es eine Testlizenz. |
|
|
Wenn man viele Asset registriert hat, macht es Sinn eine sinnvolle Beschreibung vorzunehmen um den Überblick zu behalten. |
|
|
Die VM ist registriert und es kann das Lizenzfile heruntergeladen werden. Dieses File wird dann zum aktivieren der VM benötigt. |
Nun sehen wir die neu erfasste VM in unserer Produkte-Übersicht. |
Um das VM Image herunterzuladen geht man in den Download Bereich des Support-Portals.
|
Nun kann das Initial- oder Upgrade-File herunterladen werden.
|
Wie erstelle ich eine virtuelle FortiGate auf einem ESX Server?
Konfiguration auf dem ESX Server: |
Plattform: VMware ESXi - Version 6.5.0
|
|
FortiOS.vmdk FortiGate-VM64.ovf |
Nun kann die Disk ausgewählt werden, auf welcher die FortiGate VM betrieben werden soll. Es braucht 32GB Speicherplatz:
|
Im vierten Schritt muss die Lizenz durchgelesen werden und wenn man einverstanden ist, kann diese zuerst mit I agree bestätigt werden und dann mit Next zum nächsten Schritt weiter gehen. |
In den Deplyment Optionen werden die Netze zugwiesen. (Dies kann auch noch im Nachgang umkonfiguriert werden.) |
Es gibt eine Zusammenfassung der Optionen, welche man nochmals überprüfen kann, bevor die VM deployet wird. Mit Finish schliesst man ab und die VM wird gebildet. In dieser Zeit sollte man auf keinen Fall weiter klicken oder refreshen (Status unten beachten - wenn der Balken bei 100% ist, ist die VM komplett erstellt. |
Wenn die VM hochgefahren ist, kann man sich über die Konsole einloggen und die FortiGate noch mit der Lizenz aktivieren. |
Lizenz auf der neuen VM aktivieren:
Konfiguration auf der FortiGate VM: |
Wenn man sich das erste Mal auf die neue FortiGate VM einloggt wird darauf hingewiesen, dass noch die Lizenz eingespielt werden muss. Zuerst muss das Lizenzfile auf der Support Seite von Fortinet heruntergeladen werden. Dafür muss man das entsprechende VM Asset anwählen. Dies kann in den Eigenschaften -> License File Download gefunden und das entsprechende File lokal heruntergeladen werden. |
|
Wenn das Lizenzfile gültig ist, wird die FortiGate neu gestartet. |
Nach dem Neustart wird folgende Meldung auf der CLI angezeigt: |
Im Menu wird die FortiGate VM als valid angezeigt: |
ESXi Know How
Wie kann ich den SSH Zugriff auf den ESXi Server aktivieren?
Standartmässig ist der SSH Administrations Zugriff auf einen ESXi Server deaktiviert. Will man per Remote über SSH auf den Server zugreiffen, muss dieser Zugriff zuerst aktiviert werden. Es ist darauf zu achten, dass man den Zugriff auf vertrauenswürdige Hosts beschränkt.
Folgendermassen kann der Zugriff aktiviert werden:
- Auf den ESXi Host navigieren.
- Das Menu Aktionen |Actions auswählen.
- Den Menupunkt Dienste |Services selektieren.
- Secure Shell (SSH) aktivieren |Enable Secure Shell (SSH) auswählen
Nun ist der Zugriff über SSH auf den ESXi Server möglich.
Wie kann ich sehen welche Durschsätze mein Interface auf dem ESXi Server zu verfügung stellen?
Um diese Informationen zu erhalten, muss mit SSH oder der Konsole auf den ESXi Server verbunden werden. Damit man per SSH auf den ESXi Server zugreifen kann, muss SSH zuerst in der Host Konfiguration aktiviert werden:
Eine Übersicht über die verfügbaren Netzwerkkarten auf dem ESXi Server kann mit dem folgenden Kommando abgerufen werden:
esxcli network nic list
Beispieloutput:
[root@esx01:~] esxcli network nic list Name PCI Device Driver Admin Status Link Status Speed Duplex MAC Address MTU Description ------ ------------ ------ ------------ ----------- ----- ------ ----------------- ---- ----------- vmnic0 0000:02:00.0 ntg3 Up Up 1000 Full f4:03:43:5a:3a:80 1500 Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet vmnic1 0000:02:00.1 ntg3 Up Up 1000 Full f4:03:43:5a:3a:81 1500 Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet vmnic2 0000:02:00.2 ntg3 Up Up 1000 Full f4:03:43:5a:3a:82 1500 Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet vmnic3 0000:02:00.3 ntg3 Up Up 1000 Full f4:03:43:5a:3a:83 1500 Broadcom Corporation NetXtreme BCM5719 Gigabit Ethernet
Um genauere Informationen über ein spezifisches Interface zu erhalten, kann dieser Befehl benutzt werden:
esxcli network nic get -n [vmnic Interface] esxcli network nic get -n vmnic0
Wir sehen im Abschnitt Advertised Link Modes die verfügbaren Durchsätze und Duplex Methoden welche das Interface unterstützt.
Beispieloutput für das Interface vmnic0:
[root@esx01:~] esxcli network nic get -n vmnic0
Advertised Auto Negotiation: true
Advertised Link Modes: Auto, 1000BaseT/Full, 100BaseT/Half, 100BaseT/Full, 10BaseT/Half, 10BaseT/Full
Auto Negotiation: true
Cable Type: Twisted Pair
Current Message Level: 7
Driver Info:
Bus Info: 0000:02:00:0
Driver: ntg3
Firmware Version: bc 1.46 ncsi 1.4.16.0
Version: 4.1.5.0
Link Detected: true
Link Status: Up
Name: vmnic0
PHYAddress: 0
Pause Autonegotiate: true
Pause RX: true
Pause TX: true
Supported Ports: TP
Supports Auto Negotiation: true
Supports Pause: true
Supports Wakeon: true
Transceiver: internal
Virtual Address: 00:50:56:5b:bd:01
Wakeon: MagicPacket(tm)