Bagikan melalui

Konektivitas VNet ke VNet dengan Fortigate

  • Artikel

Artikel ini menjelaskan cara membuat koneksi antara dua jaringan virtual di lingkungan yang sama. Saat menyiapkan koneksi, Anda mempelajari cara kerja gateway VPN di Azure Stack Hub. Sambungkan dua VNET dalam lingkungan Azure Stack Hub yang sama menggunakan Fortinet FortiGate. Prosedur ini menyebarkan dua VNET dengan NVA FortiGate, appliance virtual jaringan, di setiap VNET masing-masing dalam grup sumber daya terpisah. Prosedur ini juga medetailkan perubahan yang diperlukan untuk menyiapkan VPN IPSec antara dua VNET. Ulangi langkah-langkah dalam artikel ini untuk setiap penyebaran VNET.

Prasyarat

  • Akses ke sistem dengan kapasitas yang tersedia untuk menyebarkan persyaratan komputasi, jaringan, dan sumber daya yang diperlukan untuk solusi ini.

  • Solusi appliance virtual jaringan (NVA) diunduh dan dipublikasikan ke Marketplace Azure Stack Hub. NVA mengontrol alur lalu lintas jaringan dari jaringan sekitar ke jaringan atau subnet lain. Prosedur ini menggunakan Solusi Mesin Virtual Tunggal Firewall Fortinet FortiGate Next-Generation.

  • Setidaknya terdapat dua file lisensi FortiGate yang tersedia untuk mengaktifkan NVA FortiGate. Informasi tentang cara mendapatkan lisensi ini, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.

    Prosedur ini menggunakan penyebaran FortiGate-VM Tunggal. Anda dapat menemukan langkah-langkah tentang cara menyambungkan NVA FortiGate ke VNET Azure Stack Hub di jaringan lokal Anda.

    Untuk informasi selengkapnya tentang cara menyebarkan solusi FortiGate dalam penyiapan aktif-pasif (HA), lihat detailnya di artikel Pustaka Dokumen Fortinet HA untuk FortiGate-VM di Azure.

Parameter penyebaran

Tabel berikut meringkas parameter yang digunakan dalam penyebaran ini sebagai referensi:

Penyebaran satu: Forti1

Nama Instans FortiGate Forti1
Lisensi/Versi BYOL 6.0.3
Nama pengguna administratif FortiGate fortiadmin
Nama Grup Sumber Daya forti1-rg1
Nama jaringan virtual forti1vnet1
Ruang Alamat VNET 172.16.0.0/16*
Nama subnet VNET publik forti1-PublicFacingSubnet
Prefiks alamat VNET publik 172.16.0.0/24*
Di dalam nama subnet VNET forti1-InsideSubnet
Prefiks di dalam subnet VNET 172.16.1.0/24*
Ukuran Mesin Virtual NVA FortiGate F2s_v2 standar
Nama alamat IP publik forti1-publicip1
Jenis alamat IP publik Statis

Penyebaran dua: Forti2

Nama Instans FortiGate Forti2
Lisensi/Versi BYOL 6.0.3
Nama pengguna administratif FortiGate fortiadmin
Nama Grup Sumber Daya forti2-rg1
Nama jaringan virtual forti2vnet1
Ruang Alamat VNET 172.17.0.0/16*
Nama subnet VNET publik forti2-PublicFacingSubnet
Prefiks alamat VNET publik 172.17.0.0/24*
Di dalam nama subnet VNET Forti2-InsideSubnet
Prefiks di dalam subnet VNET 172.17.1.0/24*
Ukuran Mesin Virtual NVA FortiGate F2s_v2 standar
Nama alamat IP publik Forti2-publicip1
Jenis alamat IP publik Statis

Catatan

* Pilih satu set ruang alamat dan awalan subnet yang berbeda jika hal di atas tumpang tindih dalam hal apa pun dengan lingkungan jaringan lokal termasuk Kumpulan VIP dari salah satu Azure Stack Hub. Juga pastikan bahwa rentang alamat tidak tumpang tindih satu sama lain.

Menyebarkan FortiGate NGFW

  1. Buka portal pengguna Azure Stack Hub.

  2. Pilih Buat sumber daya dan cari .

    Daftar hasil pencarian menunjukkan FortiGate NGFW - Penyebaran VM Tunggal.

  3. Pilih FortiGate NGFW dan pilih Buat.

  4. Lengkapi Dasar-dasar menggunakan parameter dari tabel Parameter penyebaran.

    Layar Dasar memiliki nilai dari parameter penyebaran yang dipilih dan dimasukkan dalam daftar dan kotak teks.

  5. PilihOK.

  6. Berikan detail ukuran jaringan Virtual, Subnet, dan Mesin Virtual menggunakan tabel Parameter penyebaran.

    Peringatan

    Jika jaringan lokal tumpang tindih dengan rentang IP 172.16.0.0/16, Anda harus memilih dan menyiapkan rentang jaringan dan subnet yang berbeda. Jika Anda ingin menggunakan nama dan rentang yang berbeda dari yang ada di tabel Parameter penyebaran, gunakan parameter yang tidak akan bertentangan dengan jaringan lokal. Berhati-hatilah saat mengatur rentang IP VNET dan rentang subnet dalam VNET. Anda tidak ingin rentang tersebut tumpang tindih dengan rentang IP yang ada di jaringan lokal Anda.

  7. PilihOK.

  8. Konfigurasikan IP Publik untuk NVA Fortigate:

    Kotak dialog Penetapan IP memperlihatkan nilai forti1-publicip1 untuk

  9. PilihOK. Dan kemudian, pilih OK.

  10. Pilih Buat.

Penyebaran akan memakan waktu sekitar 10 menit.

Mengonfigurasi rute (UDR) untuk setiap VNET

Lakukan langkah-langkah ini untuk kedua penyebaran, forti1-rg1 dan forti2-rg1.

  1. Buka portal pengguna Azure Stack Hub.

  2. Pilih grup Sumber Daya. Ketik forti1-rg1 dalam filter dan klik dua kali grup sumber daya forti1-rg1.

    Sepuluh sumber daya tercantum untuk grup sumber daya forti1-rg1.

  3. Pilih sumber daya forti1-forti1-InsideSubnet-routes-xxxx.

  4. Pilih Rute di bawah Pengaturan.

    Tombol Rute dipilih dalam kotak dialog Pengaturan.

  5. Hapus Rute to-Internet.

    Rute ke Internet adalah satu-satunya rute yang tercantum, dan dipilih. Ada tombol hapus.

  6. Pilih Ya.

  7. Pilih Tambahkan untuk menambahkan rute baru.

  8. Beri nama rute to-onprem.

  9. Masukkan rentang jaringan IP yang mendefinisikan rentang jaringan lokal tempat VPN akan tersambung.

  10. Pilih Appliance virtual untuk jenis lompatan berikutnya dan . Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

    Kotak dialog Tambahkan rute memperlihatkan empat nilai yang telah dipilih dan dimasukkan dalam kotak teks.

  11. Pilih Simpan.

Anda akan memerlukan file lisensi yang valid dari Fortinet untuk mengaktifkan setiap NVA FortiGate. NVA tidak akan berfungsi sampai Anda mengaktifkan setiap NVA. Untuk informasi selengkapnya tentang cara mendapatkan file lisensi dan langkah-langkah untuk mengaktifkan NVA, lihat artikel Pustaka Dokumen Fortinet Mendaftarkan dan mengunduh lisensi Anda.

Dua file lisensi perlu diperoleh - satu untuk setiap NVA.

Membuat VPN IPSec antara dua NVA

Setelah NVA diaktifkan, ikuti langkah-langkah ini untuk membuat VPN IPSec antara kedua NVA.

Ikuti langkah-langkah di bawah ini untuk NVA forti1 dan NVA forti2:

  1. Dapatkan alamat IP Publik yang ditetapkan dengan masuk ke halaman ringkasan mesin virtual fortiX:

    Halaman Gambaran Umum komputer virtual forti1 menampilkan nilai untuk forti1, seperti

  2. Salin alamat IP yang ditetapkan, buka browser, dan tempel alamat ke bar alamat. Browser Anda mungkin memperingatkan Anda bahwa sertifikat keamanan tidak dipercaya. Lanjutkan saja.

  3. Masukkan nama pengguna administratif dan kata sandi FortiGate yang Anda buat selama penyebaran.

    Kotak dialog masuk memiliki kotak teks pengguna dan kata sandi, dan tombol Masuk.

  4. Pilih FirmwareSistem.

  5. Pilih kotak yang menampilkan firmware terbaru, misalnya, FortiOS v6.2.0 build0866.

    Kotak dialog Firmware memiliki pengidentifikasi firmware

  6. Pilih Konfigurasi cadangan dan peningkatanLanjutkan.

  7. NVA memperbarui firmware-nya ke build dan reboot terbaru. Prosesnya memakan waktu sekitar lima menit. Masuk kembali ke konsol web FortiGate.

  8. Klik VPNWizard IPSec.

  9. Masukkan nama untuk VPN, misalnya, conn1 dalam conn1.

  10. Pilih Situs ini berada di belakang NAT.

    Cuplikan layar Wizard Pembuatan VPN menunjukkannya pada langkah pertama, Penyiapan VPN. Nilai berikut dipilih:

  11. Pilih Selanjutnya.

  12. Masukkan alamat IP jarak jauh dari perangkat VPN lokal tempat Anda akan terhubung.

  13. Pilih port1 sebagai Antarmuka Keluar.

  14. Pilih Kunci sebelum Berbagi dan masukkan (dan catatan) kunci yang telah dibagikan sebelumnya.

    Catatan

    Anda akan memerlukan kunci ini untuk menyiapkan koneksi pada perangkat VPN lokal, yaitu, harus sama persis.

    Cuplikan layar Wizard Pembuatan VPN memperlihatkannya berada pada langkah kedua, Autentikasi, dan nilai yang dipilih disorot.

  15. Pilih Selanjutnya.

  16. Pilih port2 untuk Antarmuka Lokal.

  17. Masukkan rentang subnet lokal:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

  18. Masukkan Subnet Jarak Jauh yang sesuai yang mewakili jaringan lokal, tempat Anda akan tersambung melalui perangkat VPN lokal.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Gunakan rentang IP Anda jika Anda menggunakan rentang IP yang berbeda.

    Cuplikan layar Wizard Pembuatan VPN menunjukkannya pada langkah ketiga, Kebijakan & Perutean. Ini menunjukkan nilai yang dipilih dan dimasukkan.

  19. Pilih Buat

  20. Pilih AntarmukaJaringan.

    Daftar antarmuka menunjukkan dua antarmuka: port1, yang telah dikonfigurasi, dan port2, yang belum. Ada tombol untuk membuat, mengedit, dan menghapus antarmuka.

  21. Klik dua kali port2.

  22. Pilih LAN dalam daftar Peran dan DHCP untuk mode Pengalamatan.

  23. PilihOK.

Ulangi langkah-langkah tersebut untuk NVA lainnya.

Memunculkan Semua Pemilih Fase 2

Setelah hal di atas selesai untuk kedua NVA:

  1. Di konsol web FortiGate forti2, pilih Monitor>Monitor IPsec.

    Monitor untuk koneksi VPN conn1 tercantum. Ini ditampilkan sebagai sedang tidak berfungsi, seperti halnya Pemilih Fase 2 yang sesuai.

  2. Sorot conn1 dan pilih Munculkan>Semua Pemilih Fase 2.

    Pemantau dan Pemilih Fase 2 keduanya ditampilkan sebagai atas.

Menguji dan memvalidasi konektivitas

Sekarang Anda dapat merutekan antara setiap VNET melalui NVA FortiGate. Untuk memvalidasi koneksi, buat Mesin Virtual Azure Stack Hub di setiap InsideSubnet VNET. Pembuatan Mesin Virtual Azure Stack Hub dapat dilakukan melalui portal, Azure CLI, atau PowerShell. Saat membuat Mesin Virtual:

  • Mesin virtual Azure Stack Hub ditempatkan di InsideSubnet dari setiap VNET.

  • Anda tidak menerapkan NSG apa pun ke mesin virtual saat pembuatan (Yaitu, menghapus NSG yang ditambahkan secara default jika Anda membuat VM dari portal.

  • Pastikan bahwa aturan firewall VMS memungkinkan komunikasi yang akan Anda gunakan untuk menguji konektivitas. Untuk tujuan pengujian, disarankan untuk menonaktifkan firewall sepenuhnya dalam OS jika memungkinkan.

Langkah berikutnya

Perbedaan dan pertimbangan untuk jaringan Azure Stack Hub
Menawarkan solusi jaringan di Azure Stack Hub dengan Fortinet FortiGate