Megosztás a következőn keresztül:

Virtuális hálózatok közötti kapcsolat a Fortigate használatával

  • Cikk

Ez a cikk azt ismerteti, hogyan hozhat létre kapcsolatot két virtuális hálózat között ugyanabban a környezetben. A kapcsolatok beállításakor megtudhatja, hogyan működnek a VPN-átjárók az Azure Stack Hubban. Csatlakoztassan két VNET-t ugyanabban az Azure Stack Hub-környezetben a Fortinet FortiGate használatával. Ez az eljárás két VNET-t helyez üzembe egy FortiGate NVA-val, egy hálózati virtuális berendezéssel minden egyes virtuális hálózaton egy külön erőforráscsoporton belül. A két virtuális hálózat közötti IPSec VPN beállításához szükséges módosításokat is részletezi. Ismételje meg az ebben a cikkben szereplő lépéseket minden virtuális hálózat üzemelő példánya esetében.

Előfeltételek

  • Hozzáférés a rendelkezésre álló kapacitással rendelkező rendszerhez a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.

  • Az Azure Stack Hub Marketplace-en letöltött és közzétett hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a szegélyhálózatról más hálózatokra vagy alhálózatokra érkező hálózati forgalom áramlását. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal egy virtuálisgép-megoldást használja.

  • Legalább két elérhető FortiGate-licencfájl a FortiGate NVA aktiválásához. A licencek beszerzéséről további információt a Licenc regisztrálása és letöltése című Fortinet-dokumentumtárban talál.

    Ez az eljárás a Single FortiGate-VM üzemelő példányt használja. A FortiGate NVA és az Azure Stack Hub virtuális hálózat csatlakoztatásának lépéseit a helyszíni hálózatban találja.

    A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library FortiGate-VM for FortiGate-VM on Azure-hoz című cikkében talál.

Üzembehelyezési paraméterek

Az alábbi táblázat az ezekben az üzemelő példányokban használt paramétereket foglalja össze referenciaként:

Első üzembe helyezés: Forti1

FortiGate-példány neve Forti1
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti1-rg1
Virtuális hálózat neve forti1vnet1
VNET-címtér 172.16.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti1-PublicFacingSubnet
Nyilvános virtuális hálózat címelőtagja 172.16.0.0/24*
A virtuális hálózat alhálózatának neve forti1-InsideSubnet
A VNET-alhálózat előtagja 172.16.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím forti1-publicip1
Nyilvános IP-cím típusa Statikus

Második üzembe helyezés: Forti2

FortiGate-példány neve Forti2
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti2-rg1
Virtuális hálózat neve forti2vnet1
VNET-címtér 172.17.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti2-PublicFacingSubnet
Nyilvános virtuális hálózat címelőtagja 172.17.0.0/24*
A virtuális hálózat alhálózatának neve Forti2-InsideSubnet
A VNET-alhálózat előtagja 172.17.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím Forti2-publicip1
Nyilvános IP-cím típusa Statikus

Megjegyzés

* Válasszon másik címtereket és alhálózati előtagokat, ha a fenti átfedés bármilyen módon átfedésben van a helyszíni hálózati környezettel, beleértve bármelyik Azure Stack Hub VIP-készletét is. Gondoskodjon arról is, hogy a címtartományok ne legyenek átfedésben egymással.

A FortiGate NGFW üzembe helyezése

  1. Nyissa meg az Azure Stack Hub felhasználói portálját.

  2. Válassza az Erőforrás létrehozása lehetőséget, és keressen rá a kifejezésre FortiGate.

    A keresési eredmények listájában a FortiGate NGFW – Egyetlen virtuális gép üzembe helyezése látható.

  3. Válassza a FortiGate NGFW elemet, majd a Létrehozás lehetőséget.

  4. Töltse ki az Alapszintű beállításokat a Deployment parameters (Üzembe helyezési paraméterek) tábla paramétereivel .

    Az Alapvető beállítások képernyőn az üzembehelyezési paraméterekből származó értékek vannak kiválasztva, és szerepelnek a listában és a szövegmezőkben.

  5. Válassza az OK lehetőséget.

  6. Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az Üzembehelyezési paraméterek táblával.

    Figyelmeztetés

    Ha a helyszíni hálózat átfedésben van az IP-cím tartománnyal 172.16.0.0/16, másik hálózati tartományt és alhálózatot kell választania és beállítania. Ha az Üzembehelyezési paraméterek táblában szereplő neveknél és tartományoknál eltérő neveket és tartományokat szeretne használni, olyan paramétereket használjon, amelyek nem ütköznek a helyszíni hálózattal. Ügyeljen arra, hogy a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítsa be. Nem szeretné, hogy a tartomány átfedésben legyen a helyszíni hálózaton található IP-címtartományokkal.

  7. Válassza az OK lehetőséget.

  8. Konfigurálja a Fortigate NVA nyilvános IP-címét:

    Az IP-hozzárendelés párbeszédpanel a forti1-publicip1 értéket jeleníti meg a

  9. Válassza az OK lehetőséget. Majd válassza az OK elemet.

  10. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés körülbelül 10 percet vesz igénybe.

Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz

Hajtsa végre ezeket a lépéseket mindkét üzemelő példány esetében: forti1-rg1 és forti2-rg1.

  1. Nyissa meg az Azure Stack Hub felhasználói portálját.

  2. Válassza az Erőforráscsoportok lehetőséget. Írja be forti1-rg1 a szűrőt, és kattintson duplán a forti1-rg1 erőforráscsoportra.

    Tíz erőforrás szerepel a forti1-rg1 erőforráscsoportban.

  3. Válassza a forti1-forti1-InsideSubnet-routes-xxxx erőforrást.

  4. Válassza az Útvonalak lehetőséget a Beállítások területen.

    Az Útvonalak gomb ki van jelölve a Beállítások párbeszédpanelen.

  5. Törölje az internetes útvonalat.

    Az internetre vezető útvonal az egyetlen listában szereplő útvonal, és ki van jelölve. Van egy törlés gomb.

  6. Válassza az Igen lehetőséget.

  7. Új útvonal hozzáadásához válassza a Hozzáadás lehetőséget.

  8. Nevezze el az útvonalat to-onprem.

  9. Adja meg azt az IP-hálózati tartományt, amely meghatározza annak a helyszíni hálózatnak a hálózati tartományát, amelyhez a VPN csatlakozni fog.

  10. Válassza a Következő ugrás típusa és 172.16.1.4a virtuális berendezés lehetőséget. Ha másik IP-tartományt használ, használja az IP-tartományt.

    Az Útvonal hozzáadása párbeszédpanelen a szövegmezőkben kijelölt és beírt négy érték látható.

  11. Kattintson a Mentés gombra.

Az egyes FortiGate NVA-k aktiválásához a Fortinet érvényes licencfájlja szükséges. Az NVA-k mindaddig nem működnek, amíg nem aktiválja az egyes NVA-kat. További információ a licencfájl beszerzéséről és az NVA aktiválásának lépéseiről: Fortinet Document Library (A licenc regisztrálása és letöltése).

Két licencfájlt kell beszerezni – egyet minden NVA-hoz.

IPSec VPN létrehozása a két NVA között

Miután aktiválta az NVA-kat, az alábbi lépéseket követve hozzon létre egy IPSec VPN-t a két NVA között.

Kövesse az alábbi lépéseket a forti1 NVA és a forti2 NVA esetében is:

  1. A hozzárendelt nyilvános IP-cím lekéréséhez lépjen a fortiX virtuális gép áttekintési oldalára:

    A forti1 virtuális gép Áttekintés lapján a forti1 értékei láthatók, például az

  2. Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható. Ennek ellenére folytassa.

  3. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.

    A bejelentkezési párbeszédpanelen felhasználói és jelszó szövegmezők, valamint egy Bejelentkezés gomb található.

  4. Válassza a Rendszer>belső vezérlőprogramja lehetőséget.

  5. Jelölje be a legújabb belső vezérlőprogramot megjelenítő mezőt, például FortiOS v6.2.0 build0866: .

    A Belső vezérlőprogram párbeszédpanelen található a

  6. Válassza a Biztonsági mentés konfigurációja és a Frissítés>folytatása lehetőséget.

  7. Az NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.

  8. Kattintson a VPN>IPSec varázslóra.

  9. Adja meg a VPN nevét, például conn1 a VPN létrehozása varázslóban.

  10. Válassza az Ez a webhely a NAT mögött lehetőséget.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépésben, a VPN-beállításon kell lennie. A következő értékek vannak kiválasztva:

  11. Kattintson a Tovább gombra.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.

  13. Válassza az 1. portot kimenő adapterként.

  14. Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előre megosztott kulcsot.

    Megjegyzés

    Erre a kulcsra szüksége lesz a helyszíni VPN-eszköz kapcsolatának beállításához, azaz pontosan meg kell egyeznie.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben a Hitelesítés és a kijelölt értékek vannak kiemelve.

  15. Kattintson a Tovább gombra.

  16. Válassza a port2 lehetőséget a helyi felülethez.

  17. Adja meg a helyi alhálózati tartományt:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

  18. Adja meg a megfelelő távoli alhálózatot, amely a helyszíni hálózatot jelöli, amelyhez a helyszíni VPN-eszközön keresztül csatlakozik.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a harmadik lépés, a Szabályzat & Útválasztás. A kijelölt és a beírt értékeket jeleníti meg.

  19. Kattintson a Létrehozás elemre.

  20. Válassza a Hálózati>adapterek lehetőséget.

    A felületlista két adaptert tartalmaz: a konfigurált 1- és a 2-es portot, amelyek nem. A felületek létrehozásához, szerkesztéséhez és törléséhez gombok találhatók.

  21. Kattintson duplán a 2. portra.

  22. A Címzés módban válassza a LAN lehetőséget a Szerepkör listában, a DHCP-t pedig a Címzés módban.

  23. Válassza az OK lehetőséget.

Ismételje meg a másik NVA lépéseit.

Az összes 2. fázis választóinak beállítása

Ha a fentiek mindkét NVA esetében befejeződtek:

  1. A forti2 FortiGate webkonzolon válassza azIPsec Monitormonitorozása> lehetőséget.

    A listában a VPN-kapcsolat conn1 figyelője látható. Úgy jelenik meg, mint a megfelelő 2. fázisválasztó.

  2. Jelölje ki conn1 és válassza ki az>Összes fázis 2 választóit.

    A figyelő és a 2. fázisválasztó is felfelé jelenik meg.

Kapcsolat tesztelése és ellenőrzése

Most már képesnek kell lennie az egyes virtuális hálózatok közötti útválasztásra a FortiGate NVA-kon keresztül. A kapcsolat ellenőrzéséhez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnetjében. Azure Stack Hub virtuális gép létrehozása a portálon, az Azure CLI-vel vagy a PowerShell-lel végezhető el. A virtuális gépek létrehozásakor:

  • Az Azure Stack Hub virtuális gépei az egyes virtuális hálózatok InsideSubnetjén vannak elhelyezve.

  • A létrehozáskor nem alkalmaz NSG-ket a virtuális gépre (azaz távolítsa el az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.

  • Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok engedélyezik a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy ha lehetséges, teljesen tiltsa le a tűzfalat az operációs rendszeren belül.

Következő lépések

Az Azure Stack Hub hálózatkezelésének különbségei és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával