Megosztás a következőn keresztül:

Virtuális hálózatok közötti kapcsolat az Azure Stack Hub-példányok között a Fortinet FortiGate NVA-val

  • Cikk

Ebben a cikkben az egyik Azure Stack Hubban lévő virtuális hálózatot csatlakoztatja egy másik Azure Stack Hub virtuális hálózatához a Fortinet FortiGate NVA, egy hálózati virtuális berendezés használatával.

Ez a cikk az Azure Stack Hub jelenlegi korlátozásával foglalkozik, amely lehetővé teszi, hogy a bérlők két környezetben csak egy VPN-kapcsolatot állítsanak be. A felhasználók megtanulhatják, hogyan állíthatnak be egyéni átjárót linuxos virtuális gépen, amely több VPN-kapcsolatot tesz lehetővé a különböző Azure Stack Hubon. A cikkben ismertetett eljárás két virtuális gépet helyez üzembe egy FortiGate NVA-val minden egyes virtuális hálózaton: egy üzembe helyezést Azure Stack Hub-környezetenként. A két virtuális hálózat közötti IPSec VPN beállításához szükséges módosításokat is részletezi. A cikkben szereplő lépéseket meg kell ismételni minden egyes Azure Stack Hub virtuális hálózatához.

Előfeltételek

  • Hozzáférés az Azure Stack Hub integrált rendszereihez, amely rendelkezésre álló kapacitással rendelkezik a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.

    Feljegyzés

    Ezek az utasítások az ASDK hálózati korlátozásai miatt nem működnek az Azure Stack Fejlesztői Készlettel (ASDK). További információkért lásd az ASDK követelményeit és szempontjait.

  • Az Azure Stack Hub Marketplace-en letöltött és közzétett hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a szegélyhálózatról más hálózatokra vagy alhálózatokra érkező hálózati forgalom áramlását. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal egyetlen virtuálisgép-megoldását használja.

  • Legalább két elérhető FortiGate-licencfájl a FortiGate NVA aktiválásához. A licencek beszerzéséről további információt a Fortinet-dokumentumtár regisztrációja és letöltése című cikkben talál.

    Ez az eljárás a Single FortiGate-VM üzembe helyezését használja. A FortiGate NVA és az Azure Stack Hub VNET helyszíni hálózatához való csatlakoztatásának lépéseit megtalálhatja.

    A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library Ha for FortiGate-VM-hez készült Azure-beli cikkében talál.

Üzembehelyezési paraméterek

Az alábbi táblázat az ezekben az üzemelő példányokban használt paramétereket foglalja össze referenciaként:

Első üzembe helyezés: Forti1

FortiGate-példány neve Forti1
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti1-rg1
Virtuális hálózat neve forti1vnet1
VNET-címtér 172.16.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti1-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.16.0.0/24*
A virtuális hálózat alhálózatának neve forti1-InsideSubnet
A VNET-alhálózat előtagja 172.16.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím neve forti1-publicip1
Nyilvános IP-cím típusa Statikus

Második üzembe helyezés: Forti2

FortiGate-példány neve Forti2
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti2-rg1
Virtuális hálózat neve forti2vnet1
VNET-címtér 172.17.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti2-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.17.0.0/24*
A virtuális hálózat alhálózatának neve Forti2-InsideSubnet
A VNET-alhálózat előtagja 172.17.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím neve Forti2-publicip1
Nyilvános IP-cím típusa Statikus

Feljegyzés

* Válasszon másik címtereket és alhálózati előtagokat, ha a fenti átfedés bármilyen módon átfedésben van a helyszíni hálózati környezettel, beleértve bármelyik Azure Stack Hub VIP-készletét is. Győződjön meg arról is, hogy a címtartományok nem fedik egymást.**

A FortiGate NGFW Marketplace-elemek üzembe helyezése

Ismételje meg ezeket a lépéseket mindkét Azure Stack Hub-környezet esetében.

  1. Nyissa meg az Azure Stack Hub felhasználói portálját. Ügyeljen arra, hogy olyan hitelesítő adatokat használjon, amelyek legalább közreműködői jogosultságokkal rendelkeznek egy előfizetéshez.

  2. Válassza az Erőforrás létrehozása lehetőséget, és keressen rá FortiGate.

    A képernyőkép egyetlen találatsort jelenít meg a

  3. Válassza ki a FortiGate NGFW-t , és válassza a Létrehozás lehetőséget.

  4. Végezze el az alapismereteket az Üzembe helyezési paraméterek táblában szereplő paraméterek használatával.

    Az űrlapnak a következő információkat kell tartalmaznia:

    Az Alapismeretek párbeszédpanel szövegmezői (például a Példány neve és a BYOL-licenc) ki lettek töltve a Központi telepítési tábla értékeivel.

  5. Kattintson az OK gombra.

  6. Adja meg a virtuális hálózatot, az alhálózatokat és a virtuális gép méretét az üzembehelyezési paraméterekből.

    Ha különböző neveket és tartományokat szeretne használni, ügyeljen arra, hogy ne használjon olyan paramétereket, amelyek ütköznek a másik Azure Stack Hub-környezetben lévő többi VNET- és FortiGate-erőforrással. Ez különösen igaz, ha a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítja be. Ellenőrizze, hogy nincsenek-e átfedésben a többi létrehozott virtuális hálózat IP-tartományaival.

  7. Kattintson az OK gombra.

  8. Konfigurálja a FortiGate NVA-hoz használt nyilvános IP-címet:

    Az IP-hozzárendelés párbeszédpanel

  9. Válassza az OK, majd az OK gombot.

  10. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés körülbelül 10 percet vesz igénybe. Most már megismételheti a lépéseket a másik FortiGate NVA- és VNET-telepítés létrehozásához a másik Azure Stack Hub-környezetben.

Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz

Hajtsa végre ezeket a lépéseket mindkét üzemelő példány, a forti1-rg1 és a forti2-rg1 esetében.

  1. Lépjen a forti1-rg1 erőforráscsoportra az Azure Stack Hub portálon.

    Ez egy képernyőkép a forti1-rg1 erőforráscsoport erőforrásainak listájáról.

  2. Válassza a forti1-forti1-InsideSubnet-routes-xxxx erőforrást.

  3. Válassza az Útvonalak lehetőséget a Beállítások területen.

    A képernyőképen a Beállítások kiemelt Útvonalak elem látható.

  4. Törölje az internetes útvonalat.

    A képernyőképen a kiemelt internetes útvonal látható. Van egy törlés gomb.

  5. Válassza az Igen lehetőséget.

  6. Válassza a Hozzáadás lehetőséget.

  7. Nevezze el az útvonalat to-forti1 vagy to-forti2a . Használja az IP-tartományt, ha másik IP-tartományt használ.

  8. Adja meg a következőt:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Használja az IP-tartományt, ha másik IP-tartományt használ.

  9. Válassza a Következő ugrás típushoz tartozó virtuális berendezést.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Használja az IP-tartományt, ha másik IP-tartományt használ.

    A to-forti2 útvonal szerkesztése párbeszédpanelen értékeket tartalmazó szövegmezők szerepelnek. A

  10. Válassza a Mentés lehetőséget.

Ismételje meg az egyes Erőforráscsoportok InsideSubnet-útvonalainak lépéseit.

A FortiGate NVA-k aktiválása és IPSec VPN-kapcsolat konfigurálása minden NVA-n

Az egyes FortiGate NVA-k aktiválásához érvényes licencfájlra lesz szüksége a Fortinettől. Az NVA-k csak akkor működnek, ha aktiválta az egyes NVA-kat. További információ a licencfájl beszerzéséről és az NVA aktiválásának lépéseiről: Fortinet Document Library article Registering and downloading your license.

Két licencfájlt kell beszerezni – egyet minden NVA-hoz.

IPSec VPN létrehozása a két NVA között

Miután aktiválta az NVA-kat, az alábbi lépéseket követve hozzon létre egy IPSec VPN-t a két NVA között.

Kövesse az alábbi lépéseket a forti1 NVA és a forti2 NVA esetében is:

  1. Kérje le a hozzárendelt nyilvános IP-címet a FortiX virtuális gép áttekintési oldalára lépve:

    A forti1 áttekintési oldala az erőforráscsoportot, az állapotot és így tovább.

  2. Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható. Mindenképpen folytassa.

  3. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.

    A képernyőkép a bejelentkezési képernyőről készült, amelynek bejelentkezési gombja és szövegmezői a felhasználónévhez és a jelszóhoz.

  4. Válassza a Rendszer>belső vezérlőprogramja lehetőséget.

  5. Jelölje ki a legújabb belső vezérlőprogramot megjelenítő jelölőnégyzetet, például FortiOS v6.2.0 build0866: .

    A

  6. Válassza a Biztonsági mentés konfigurációja és frissítése lehetőséget, majd amikor a rendszer kéri, folytassa a műveletet.

  7. Az NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.

  8. Kattintson a VPN>IPSec varázslóra.

  9. Adja meg például conn1 a VPN nevét a VPN létrehozási varázslójában.

  10. Válassza a Webhely a NAT mögött lehetőséget.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépésben, a VPN-beállításon kell lennie. A következő értékek vannak kiválasztva:

  11. Válassza a Tovább lehetőséget.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.

  13. Válassza az 1 . portot kimenő felületként.

  14. Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előre megosztott kulcsot.

    Feljegyzés

    Erre a kulccsal kell beállítania a kapcsolatot a helyszíni VPN-eszközön, vagyis pontosan meg kell egyezniük.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben a Hitelesítés és a kijelölt értékek vannak kiemelve.

  15. Válassza a Tovább lehetőséget.

  16. Válassza a port2 lehetőséget a helyi felülethez.

  17. Adja meg a helyi alhálózat tartományát:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Használja az IP-tartományt, ha másik IP-tartományt használ.

  18. Adja meg a megfelelő távoli alhálózatot, amely a helyszíni hálózatot jelöli, amelyhez a helyszíni VPN-eszközön keresztül csatlakozik.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Használja az IP-tartományt, ha másik IP-tartományt használ.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a harmadik lépésben, a Házirend &útválasztáson jelenik meg, amelyen a kiválasztott és beírt értékek láthatók.

  19. Válassza a Létrehozás elemet

  20. Válassza a Hálózati>adapterek lehetőséget.

    A felületlistán két illesztő látható: a konfigurált 1. port és a 2. port, amely nem. A felületek létrehozásához, szerkesztéséhez és törléséhez gombok is használhatók.

  21. Kattintson duplán a 2. portra.

  22. Válassza ki a LAN-t a szerepkörlistában , a DHCP-t pedig a címzési módhoz.

  23. Kattintson az OK gombra.

Ismételje meg a többi NVA lépéseit.

Az összes 2. fázis választóinak létrehozása

Ha a fentiek mindkét NVA esetében befejeződtek:

  1. A Forti2 FortiGate webkonzolon válassza az IPsec Monitor monitorozása> lehetőséget.

    Megjelenik a VPN-kapcsolat conn1 figyelője. Úgy jelenik meg, mint a megfelelő 2. fázisválasztó.

  2. Jelölje ki conn1 és válassza ki>a 2. fázisú összes választót.

    A figyelő és a 2. fázis választója egyaránt felfelé jelenik meg.

Kapcsolat tesztelése és ellenőrzése

Most már képesnek kell lennie az egyes virtuális hálózatok közötti átirányításra a FortiGate NVA-kon keresztül. A kapcsolat ellenőrzéséhez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnetjében. Azure Stack Hub virtuális gép létrehozása a portálon, az Azure CLI-vel vagy a PowerShell-lel végezhető el. A virtuális gépek létrehozásakor:

  • Az Azure Stack Hub virtuális gépei az egyes virtuális hálózatok InsideSubnetjére kerülnek.

  • Létrehozáskor nem alkalmaz NSG-ket a virtuális gépre (azaz távolítsa el az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.

  • Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok engedélyezik a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy ha lehetséges, teljesen tiltsa le a tűzfalat az operációs rendszeren belül.

Következő lépések

Az Azure Stack Hub hálózatkezelésének eltérései és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával