Virtuális hálózatok közötti kapcsolat a Fortigate használatával
Ez a cikk azt ismerteti, hogyan hozhat létre kapcsolatot két virtuális hálózat között ugyanabban a környezetben. A kapcsolatok beállításakor megtudhatja, hogyan működnek a VPN-átjárók az Azure Stack Hubban. Csatlakoztassan két VNET-t ugyanabban az Azure Stack Hub-környezetben a Fortinet FortiGate használatával. Ez az eljárás két VNET-t helyez üzembe egy FortiGate NVA-val, egy hálózati virtuális berendezéssel minden egyes virtuális hálózaton egy külön erőforráscsoporton belül. A két virtuális hálózat közötti IPSec VPN beállításához szükséges módosításokat is részletezi. Ismételje meg az ebben a cikkben szereplő lépéseket minden virtuális hálózat üzemelő példánya esetében.
Előfeltételek
Hozzáférés a rendelkezésre álló kapacitással rendelkező rendszerhez a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.
Az Azure Stack Hub Marketplace-en letöltött és közzétett hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a szegélyhálózatról más hálózatokra vagy alhálózatokra érkező hálózati forgalom áramlását. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal egy virtuálisgép-megoldást használja.
Legalább két elérhető FortiGate-licencfájl a FortiGate NVA aktiválásához. A licencek beszerzéséről további információt a Licenc regisztrálása és letöltése című Fortinet-dokumentumtárban talál.
Ez az eljárás a Single FortiGate-VM üzemelő példányt használja. A FortiGate NVA és az Azure Stack Hub virtuális hálózat csatlakoztatásának lépéseit a helyszíni hálózatban találja.
A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library FortiGate-VM for FortiGate-VM on Azure-hoz című cikkében talál.
Üzembehelyezési paraméterek
Az alábbi táblázat az ezekben az üzemelő példányokban használt paramétereket foglalja össze referenciaként:
Első üzembe helyezés: Forti1
FortiGate-példány neve | Forti1 |
---|---|
BYOL-licenc/verzió | 6.0.3 |
FortiGate rendszergazdai felhasználónév | fortiadmin |
Erőforráscsoport neve | forti1-rg1 |
Virtuális hálózat neve | forti1vnet1 |
VNET-címtér | 172.16.0.0/16* |
Nyilvános virtuális hálózat alhálózatának neve | forti1-PublicFacingSubnet |
Nyilvános virtuális hálózat címelőtagja | 172.16.0.0/24* |
A virtuális hálózat alhálózatának neve | forti1-InsideSubnet |
A VNET-alhálózat előtagja | 172.16.1.0/24* |
A FortiGate NVA virtuálisgép-mérete | Standard F2s_v2 |
Nyilvános IP-cím | forti1-publicip1 |
Nyilvános IP-cím típusa | Statikus |
Második üzembe helyezés: Forti2
FortiGate-példány neve | Forti2 |
---|---|
BYOL-licenc/verzió | 6.0.3 |
FortiGate rendszergazdai felhasználónév | fortiadmin |
Erőforráscsoport neve | forti2-rg1 |
Virtuális hálózat neve | forti2vnet1 |
VNET-címtér | 172.17.0.0/16* |
Nyilvános virtuális hálózat alhálózatának neve | forti2-PublicFacingSubnet |
Nyilvános virtuális hálózat címelőtagja | 172.17.0.0/24* |
A virtuális hálózat alhálózatának neve | Forti2-InsideSubnet |
A VNET-alhálózat előtagja | 172.17.1.0/24* |
A FortiGate NVA virtuálisgép-mérete | Standard F2s_v2 |
Nyilvános IP-cím | Forti2-publicip1 |
Nyilvános IP-cím típusa | Statikus |
Megjegyzés
* Válasszon másik címtereket és alhálózati előtagokat, ha a fenti átfedés bármilyen módon átfedésben van a helyszíni hálózati környezettel, beleértve bármelyik Azure Stack Hub VIP-készletét is. Gondoskodjon arról is, hogy a címtartományok ne legyenek átfedésben egymással.
A FortiGate NGFW üzembe helyezése
Nyissa meg az Azure Stack Hub felhasználói portálját.
Válassza az Erőforrás létrehozása lehetőséget, és keressen rá a kifejezésre
FortiGate
.Válassza a FortiGate NGFW elemet, majd a Létrehozás lehetőséget.
Töltse ki az Alapszintű beállításokat a Deployment parameters (Üzembe helyezési paraméterek) tábla paramétereivel .
Válassza az OK lehetőséget.
Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az Üzembehelyezési paraméterek táblával.
Figyelmeztetés
Ha a helyszíni hálózat átfedésben van az IP-cím tartománnyal
172.16.0.0/16
, másik hálózati tartományt és alhálózatot kell választania és beállítania. Ha az Üzembehelyezési paraméterek táblában szereplő neveknél és tartományoknál eltérő neveket és tartományokat szeretne használni, olyan paramétereket használjon, amelyek nem ütköznek a helyszíni hálózattal. Ügyeljen arra, hogy a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítsa be. Nem szeretné, hogy a tartomány átfedésben legyen a helyszíni hálózaton található IP-címtartományokkal.Válassza az OK lehetőséget.
Konfigurálja a Fortigate NVA nyilvános IP-címét:
Válassza az OK lehetőséget. Majd válassza az OK elemet.
Válassza a Létrehozás lehetőséget.
Az üzembe helyezés körülbelül 10 percet vesz igénybe.
Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz
Hajtsa végre ezeket a lépéseket mindkét üzemelő példány esetében: forti1-rg1 és forti2-rg1.
Nyissa meg az Azure Stack Hub felhasználói portálját.
Válassza az Erőforráscsoportok lehetőséget. Írja be
forti1-rg1
a szűrőt, és kattintson duplán a forti1-rg1 erőforráscsoportra.Válassza a forti1-forti1-InsideSubnet-routes-xxxx erőforrást.
Válassza az Útvonalak lehetőséget a Beállítások területen.
Törölje az internetes útvonalat.
Válassza az Igen lehetőséget.
Új útvonal hozzáadásához válassza a Hozzáadás lehetőséget.
Nevezze el az útvonalat
to-onprem
.Adja meg azt az IP-hálózati tartományt, amely meghatározza annak a helyszíni hálózatnak a hálózati tartományát, amelyhez a VPN csatlakozni fog.
Válassza a Következő ugrás típusa és
172.16.1.4
a virtuális berendezés lehetőséget. Ha másik IP-tartományt használ, használja az IP-tartományt.Kattintson a Mentés gombra.
Az egyes FortiGate NVA-k aktiválásához a Fortinet érvényes licencfájlja szükséges. Az NVA-k mindaddig nem működnek, amíg nem aktiválja az egyes NVA-kat. További információ a licencfájl beszerzéséről és az NVA aktiválásának lépéseiről: Fortinet Document Library (A licenc regisztrálása és letöltése).
Két licencfájlt kell beszerezni – egyet minden NVA-hoz.
IPSec VPN létrehozása a két NVA között
Miután aktiválta az NVA-kat, az alábbi lépéseket követve hozzon létre egy IPSec VPN-t a két NVA között.
Kövesse az alábbi lépéseket a forti1 NVA és a forti2 NVA esetében is:
A hozzárendelt nyilvános IP-cím lekéréséhez lépjen a fortiX virtuális gép áttekintési oldalára:
Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható. Ennek ellenére folytassa.
Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.
Válassza a Rendszer>belső vezérlőprogramja lehetőséget.
Jelölje be a legújabb belső vezérlőprogramot megjelenítő mezőt, például
FortiOS v6.2.0 build0866
: .Válassza a Biztonsági mentés konfigurációja és a Frissítés>folytatása lehetőséget.
Az NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.
Kattintson a VPN>IPSec varázslóra.
Adja meg a VPN nevét, például
conn1
a VPN létrehozása varázslóban.Válassza az Ez a webhely a NAT mögött lehetőséget.
Kattintson a Tovább gombra.
Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.
Válassza az 1. portot kimenő adapterként.
Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előre megosztott kulcsot.
Megjegyzés
Erre a kulcsra szüksége lesz a helyszíni VPN-eszköz kapcsolatának beállításához, azaz pontosan meg kell egyeznie.
Kattintson a Tovább gombra.
Válassza a port2 lehetőséget a helyi felülethez.
Adja meg a helyi alhálózati tartományt:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Ha másik IP-tartományt használ, használja az IP-tartományt.
Adja meg a megfelelő távoli alhálózatot, amely a helyszíni hálózatot jelöli, amelyhez a helyszíni VPN-eszközön keresztül csatlakozik.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Ha másik IP-tartományt használ, használja az IP-tartományt.
Kattintson a Létrehozás elemre.
Válassza a Hálózati>adapterek lehetőséget.
Kattintson duplán a 2. portra.
A Címzés módban válassza a LAN lehetőséget a Szerepkör listában, a DHCP-t pedig a Címzés módban.
Válassza az OK lehetőséget.
Ismételje meg a másik NVA lépéseit.
Az összes 2. fázis választóinak beállítása
Ha a fentiek mindkét NVA esetében befejeződtek:
A forti2 FortiGate webkonzolon válassza azIPsec Monitormonitorozása> lehetőséget.
Jelölje ki
conn1
és válassza ki az>Összes fázis 2 választóit.
Kapcsolat tesztelése és ellenőrzése
Most már képesnek kell lennie az egyes virtuális hálózatok közötti útválasztásra a FortiGate NVA-kon keresztül. A kapcsolat ellenőrzéséhez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnetjében. Azure Stack Hub virtuális gép létrehozása a portálon, az Azure CLI-vel vagy a PowerShell-lel végezhető el. A virtuális gépek létrehozásakor:
Az Azure Stack Hub virtuális gépei az egyes virtuális hálózatok InsideSubnetjén vannak elhelyezve.
A létrehozáskor nem alkalmaz NSG-ket a virtuális gépre (azaz távolítsa el az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.
Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok engedélyezik a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy ha lehetséges, teljesen tiltsa le a tűzfalat az operációs rendszeren belül.
Következő lépések
Az Azure Stack Hub hálózatkezelésének különbségei és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: