FortiGate NVA를 사용하여 Azure Stack Hub에 대한 VPN Gateway 설정

이 문서에서는 Azure Stack Hub에 대한 VPN 연결을 만드는 방법을 설명합니다. VPN 게이트웨이는 Azure Stack Hub의 가상 네트워크와 원격 VPN 게이트웨이 간에 암호화된 트래픽을 보내는 가상 네트워크 게이트웨이의 유형입니다. 아래 절차에서는 리소스 그룹 내에 네트워크 가상 어플라이언스 FortiGate NVA를 사용하여 하나의 VNET을 배포합니다. 또한 FortiGate NVA에서 IPSec VPN을 설정하는 단계도 제공합니다.

사전 요구 사항

• 이 솔루션에 필요한 컴퓨팅, 네트워크 및 리소스 요구 사항을 배포하는 데 사용할 수 있는 용량이 있는 Azure Stack Hub 통합 시스템에 액세스합니다.

  참고

  이러한 지침은 ASDK의 네트워크 제한으로 인해 ASDK(Azure Stack Development Kit)에서 작동하지 않습니다 . 자세한 내용은 ASDK 요구 사항 및 고려 사항을 참조하세요.

• Azure Stack Hub 통합 시스템을 호스트하는 온-프레미스 네트워크의 VPN 디바이스에 액세스합니다. 디바이스는 배포 매개 변수에 설명된 매개 변수를 충족하는 IPSec 터널을 만들어야 합니다.

• Azure Stack Hub Marketplace에서 사용할 수 있는 NVA(네트워크 가상 어플라이언스) 솔루션입니다. NVA는 경계 네트워크에서 다른 네트워크 또는 서브넷으로의 네트워크 트래픽 흐름을 제어합니다. 이 절차에서는 Fortinet FortiGate 차세대 방화벽 단일 VM 솔루션을 사용합니다.

  참고

  Azure Stack Hub Marketplace에서 사용할 수 있는 Fortinet FortiGate-VM for Azure BYOL 및 FortiGate NGFW - BYOL(단일 VM 배포) 이 없는 경우 클라우드 운영자에게 문의하세요.

• FortiGate NVA를 활성화하려면 사용 가능한 FortiGate 라이선스 파일이 하나 이상 필요합니다. 이러한 라이선스를 획득하는 방법에 대한 자세한 내용은 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드를 참조하세요.

  이 절차에서는 단일 FortiGate-VM 배포를 사용합니다. 온-프레미스 네트워크에서 FortiGate NVA를 Azure Stack Hub VNET에 연결하는 방법에 대한 단계를 찾을 수 있습니다.

  활성-수동(HA) 설정에서 FortiGate 솔루션을 배포하는 방법에 대한 자세한 내용은 Azure의 FortiGate-VM에 대한 Fortinet 문서 라이브러리 문서 HA의 세부 정보를 참조하세요.

배포 매개 변수

다음 표에는 참조를 위해 이러한 배포에 사용되는 매개 변수가 요약되어 있습니다.

매개 변수	값
FortiGate 인스턴스 이름	forti1
BYOL 라이선스/버전	6.0.3
FortiGate 관리 사용자 이름	fortiadmin
리소스 그룹 이름	forti1-rg1
가상 네트워크 이름	forti1vnet1
VNET 주소 공간	172.16.0.0/16*
공용 VNET 서브넷 이름	forti1-PublicFacingSubnet
공용 VNET 주소 접두사	172.16.0.0/24*
VNET 서브넷 이름 내부	forti1-InsideSubnet
VNET 서브넷 접두사 내부	172.16.1.0/24*
FortiGate NVA의 VM 크기	표준 F2s_v2
공용 IP 주소 이름	forti1-publicip1
공용 IP 주소 형식	정적

참고

* 온-프레미스 네트워크 또는 Azure Stack Hub VIP 풀과 겹치는 경우 172.16.0.0/16 다른 주소 공간 및 서브넷 접두사를 선택합니다.

FortiGate NGFW Marketplace 항목 배포

1. Azure Stack Hub 사용자 포털을 엽니다.

2. 리소스 만들기를 선택하고 를 검색합니다FortiGate.

   

3. FortiGate NGFW를 선택하고 만들기를 선택합니다.

4. 배포 매개 변수 테이블의 매개 변수를 사용하여 기본 사항을 완료합니다.

   

5. 확인을 선택합니다.

6. 배포 매개 변수 테이블을 사용하여 가상 네트워크, 서브넷 및 VM 크기 세부 정보를 제공합니다.

   경고

   온-프레미스 네트워크가 IP 범위 172.16.0.0/16와 겹치는 경우 다른 네트워크 범위 및 서브넷을 선택하고 설정해야 합니다. 배포 매개 변수 테이블의 이름과 범위와 다른 이름을 사용하려는 경우 온-프레미스 네트워크와 충돌하지 않는 매개 변수를 사용합니다. VNET 내에서 VNET IP 범위 및 서브넷 범위를 설정할 때 주의하세요. 범위가 온-프레미스 네트워크에 있는 IP 범위와 겹치지 않도록 합니다.

7. 확인을 선택합니다.

8. FortiGate NVA에 대한 공용 IP를 구성합니다.

   

9. 확인을 선택합니다. 그런 다음, 확인을 선택합니다.

10. 만들기를 선택합니다.

    배포에는 약 10분 정도 걸립니다.

VNET에 대한 UDR(경로 구성)

1. Azure Stack Hub 사용자 포털을 엽니다.

2. 리소스 그룹을 선택합니다. 필터를 입력 forti1-rg1 하고 forti1-rg1 리소스 그룹을 두 번 클릭합니다.

   

3. 'forti1-forti1-InsideSubnet-routes-xxxx' 리소스를 선택합니다.

4. 설정에서 경로를 선택합니다.

   

5. 인터넷으로 가는 경로를 삭제합니다.

   

6. 예를 선택합니다.

7. 추가를 선택하여 새 경로를 추가합니다.

8. 경로 to-onprem이름을 로 지정합니다.

9. VPN이 연결할 온-프레미스 네트워크의 네트워크 범위를 정의하는 IP 네트워크 범위를 입력합니다.

10. 다음 홉 유형 및 172.16.1.4에 대한 가상 어플라이언스 선택합니다. 다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.

    

11. 저장을 선택합니다.

FortiGate NVA 활성화

FortiGate NVA를 활성화하고 각 NVA에서 IPSec VPN 연결을 설정합니다.

각 FortiGate NVA를 활성화하려면 Fortinet의 유효한 라이선스 파일이 필요합니다. NVA는 각 NVA를 활성화할 때까지 작동하지 않습니다 . 라이선스 파일을 가져오는 방법 및 NVA를 활성화하는 단계는 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드를 참조하세요.

NVA를 활성화한 후 NVA에 IPSec VPN 터널을 만듭니다.

1. Azure Stack Hub 사용자 포털을 엽니다.

2. 리소스 그룹을 선택합니다. 필터를 입력 forti1 하고 forti1 리소스 그룹을 두 번 클릭합니다.

3. 리소스 그룹 블레이드의 리소스 종류 목록에서 forti1 가상 머신을 두 번 클릭합니다.

   

4. 할당된 IP 주소를 복사하고 브라우저를 열고 IP 주소를 주소 표시줄에 붙여넣습니다. 사이트에서 보안 인증서를 신뢰할 수 없다는 경고를 트리거할 수 있습니다. 어쨌든 계속합니다.

5. 배포 중에 제공한 FortiGate 관리 사용자 이름 및 암호를 입력합니다.

   

6. 시스템>펌웨어를 선택합니다.

7. 최신 펌웨어를 보여 주는 상자(예: )를 FortiOS v6.2.0 build0866선택합니다.

   

8. 백업 구성을 선택하고 계속을 업그레이드>합니다.

9. NVA는 펌웨어를 최신 빌드로 업데이트하고 다시 부팅합니다. 프로세스는 약 5분이 걸립니다. FortiGate 웹 콘솔에 다시 로그인합니다.

10. VPN>IPSec 마법사를 클릭합니다.

11. 예를 들어 conn1 VPN 만들기 마법사에서 VPN의 이름을 입력합니다.

12. 이 사이트가 NAT 뒤에 있습니다를 선택합니다.

    

13. 다음을 선택합니다.

14. 연결할 온-프레미스 VPN 디바이스의 원격 IP 주소를 입력합니다.

15. 나가는 인터페이스로 port1을 선택합니다.

16. 미리 공유된 키를 선택하고 미리 공유된 키를 입력(및 기록)합니다.

    참고

    온-프레미스 VPN 디바이스에서 연결을 설정하려면 이 키가 필요합니다. 즉, 정확히 일치해야 합니다.

    

17. 다음을 선택합니다.

18. 로컬 인터페이스에 대해 port2를 선택합니다.

19. 로컬 서브넷 범위를 입력합니다.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.

20. 온-프레미스 VPN 디바이스를 통해 연결할 온-프레미스 네트워크를 나타내는 적절한 원격 서브넷을 입력합니다.

    

21. 만들기를 선택합니다.

22. 네트워크>인터페이스를 선택합니다.

    

23. port2를 두 번 클릭합니다.

24. 역할 목록에서 LAN을 선택하고 주소 지정 모드에 대해 DHCP를 선택합니다.

25. 확인을 선택합니다.

온-프레미스 VPN 구성

IPSec VPN 터널을 만들도록 온-프레미스 VPN 디바이스를 구성해야 합니다. 다음 표에서는 온-프레미스 VPN 디바이스를 설정하는 데 필요한 매개 변수를 제공합니다. 온-프레미스 VPN 디바이스를 구성하는 방법에 대한 자세한 내용은 디바이스에 대한 설명서 tp를 참조하세요.

매개 변수	값
원격 게이트웨이 IP	forti1에 할당된 공용 IP 주소 - FortiGate NVA 활성화를 참조하세요.
원격 IP 네트워크	172.16.0.0/16(VNET에 대한 이러한 지침에서 IP 범위를 사용하는 경우).
Auth. 메서드 = PSK(사전 공유 키)	16단계부터
IKE 버전	1
IKE 모드	Main(ID 보호)
1단계 제안 알고리즘	AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Diffie-Hellman 그룹	14, 5

VPN 터널 만들기

온-프레미스 VPN 디바이스가 적절하게 구성되면 이제 VPN 터널을 설정할 수 있습니다.

FortiGate NVA에서:

1. forti1 FortiGate 웹 콘솔에서IPsec 모니터모니터링>으로 이동합니다.

   

2. conn1을> 강조 표시하고모든 2단계 선택기를 선택합니다.

   

연결 테스트 및 유효성 검사

온-프레미스 VPN 디바이스를 통해 VNET 네트워크와 온-프레미스 네트워크 간에 라우팅할 수 있습니다.

연결의 유효성을 검사하려면 다음을 수행합니다.

1. Azure Stack Hub VNET에 VM을 만들고 온-프레미스 네트워크에 시스템을 만듭니다. 빠른 시작: Azure Stack Hub 포털을 사용하여 Windows 서버 VM 만들기에서 VM을 만들기 위한 지침을 따를 수 있습니다.

2. Azure Stack Hub VM을 만들고 온-프레미스 시스템을 준비할 때 다음을 검사.

• Azure Stack Hub VM은 VNET의 InsideSubnet 에 배치됩니다.

• 온-프레미스 시스템은 IPSec 구성에 정의된 대로 정의된 IP 범위 내의 온-프레미스 네트워크에 배치됩니다. 또한 온-프레미스 VPN 디바이스의 로컬 인터페이스 IP 주소가 Azure Stack Hub VNET 네트워크에 연결할 수 있는 경로(예 172.16.0.0/16: )로 온-프레미스 시스템에 제공되는지 확인합니다.

• 만들 때 Azure Stack Hub VM에 NSG를 적용 하지 마세요. 포털에서 VM을 만드는 경우 기본적으로 추가되는 NSG를 제거해야 할 수 있습니다.

• 온-프레미스 시스템 OS 및 Azure Stack Hub VM OS에 연결을 테스트하는 데 사용할 통신을 금지하는 OS 방화벽 규칙이 없는지 확인합니다. 테스트를 위해 두 시스템의 운영 체제 내에서 방화벽을 완전히 사용하지 않도록 설정하는 것이 좋습니다.

다음 단계

Azure Stack Hub 네트워킹에 대한 차이점 및 고려 사항
Fortinet FortiGate를 사용하여 Azure Stack Hub에서 네트워크 솔루션 제공