Udostępnij za pośrednictwem

Łączność między wystąpieniami usługi Azure Stack Hub z siecią wirtualną za pomocą urządzenia WUS fortiGate fortiGate

  • Artykuł

W tym artykule połączysz sieć wirtualną w jednym centrum usługi Azure Stack Hub z siecią wirtualną w innej usłudze Azure Stack Hub przy użyciu wirtualnego urządzenia FortiGate FortiGate FortiGate.

Ten artykuł dotyczy bieżącego ograniczenia usługi Azure Stack Hub, który umożliwia dzierżawcom skonfigurowanie tylko jednego połączenia sieci VPN w dwóch środowiskach. Użytkownicy dowiedzą się, jak skonfigurować bramę niestandardową na maszynie wirtualnej z systemem Linux, która będzie zezwalać na wiele połączeń sieci VPN w różnych usłudze Azure Stack Hub. Procedura w tym artykule umożliwia wdrożenie dwóch sieci wirtualnych z wirtualnym urządzeniem WUS FortiGate w każdej sieci wirtualnej: jednym wdrożeniem w środowisku usługi Azure Stack Hub. Zawiera on również szczegółowe informacje o zmianach wymaganych do skonfigurowania sieci VPN protokołu IPSec między dwiema sieciami wirtualnymi. Kroki opisane w tym artykule powinny być powtarzane dla każdej sieci wirtualnej w każdej usłudze Azure Stack Hub.

Wymagania wstępne

  • Dostęp do zintegrowanych systemów usługi Azure Stack Hub z dostępną pojemnością w celu wdrożenia wymaganych wymagań dotyczących zasobów obliczeniowych, sieciowych i zasobów potrzebnych dla tego rozwiązania.

    Uwaga

    Te instrukcje nie będą działać z zestawem Azure Stack Development Kit (ASDK) ze względu na ograniczenia sieci w zestawie ASDK. Aby uzyskać więcej informacji, zobacz Wymagania i zagadnienia dotyczące zestawu ASDK.

  • Rozwiązanie wirtualnego urządzenia sieciowego (WUS) pobrane i opublikowane w witrynie Azure Stack Hub Marketplace. Urządzenie WUS steruje przepływem ruchu sieciowego z sieci obwodowej do innych sieci lub podsieci. Ta procedura korzysta z rozwiązania Fortinet FortiGate z pojedynczą maszyną wirtualną zapory nowej generacji.

  • Co najmniej dwa dostępne pliki licencji FortiGate w celu aktywowania urządzenia WUS fortiGate. Informacje na temat sposobu uzyskiwania tych licencji można znaleźć w artykule Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

    Ta procedura używa wdrożenia single FortiGate-VM. Kroki dotyczące łączenia urządzenia WUS FortiGate z siecią wirtualną usługi Azure Stack Hub można znaleźć w sieci lokalnej.

    Aby uzyskać więcej informacji na temat wdrażania rozwiązania FortiGate w konfiguracji aktywne-pasywne (HA), zobacz artykuł Fortinet Document Library (Wysoka dostępność dla maszyny wirtualnej FortiGate-VM na platformie Azure).

Parametry wdrożenia

Poniższa tabela zawiera podsumowanie parametrów używanych w tych wdrożeniach do celów referencyjnych:

Wdrożenie jedno: Forti1

Nazwa wystąpienia FortiGate Forti1
Licencja/wersja BYOL 6.0.3
FortiGate nazwa użytkownika administracyjnego fortiadmin
Nazwa grupy zasobów forti1-rg1
Nazwa sieci wirtualnej forti1vnet1
Przestrzeń adresowa sieci wirtualnej 172.16.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti1-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.16.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej forti1-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.16.1.0/24*
Rozmiar maszyny wirtualnej fortiGate WUS F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP forti1-publicip1
Typ publicznego adresu IP Static

Wdrożenie dwa: Forti2

Nazwa wystąpienia FortiGate Forti2
Licencja/wersja BYOL 6.0.3
FortiGate nazwa użytkownika administracyjnego fortiadmin
Nazwa grupy zasobów forti2-rg1
Nazwa sieci wirtualnej forti2vnet1
Przestrzeń adresowa sieci wirtualnej 172.17.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti2-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.17.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej Forti2-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.17.1.0/24*
Rozmiar maszyny wirtualnej fortiGate WUS F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP Forti2-publicip1
Typ publicznego adresu IP Static

Uwaga

* Wybierz inny zestaw przestrzeni adresowych i prefiksów podsieci, jeśli powyższe nakładają się w jakikolwiek sposób ze środowiskiem sieci lokalnej, w tym pulą adresów VIP dowolnego centrum usługi Azure Stack Hub. Upewnij się również, że zakresy adresów nie nakładają się na siebie.**

Wdrażanie elementów witryny Marketplace FortiGate NGFW

Powtórz te kroki dla obu środowisk usługi Azure Stack Hub.

  1. Otwórz portal użytkowników usługi Azure Stack Hub. Pamiętaj, aby użyć poświadczeń, które mają co najmniej prawa współautora do subskrypcji.

  2. Wybierz pozycję Utwórz zasób i wyszukaj ciąg FortiGate.

    Zrzut ekranu przedstawia pojedynczy wiersz wyników z wyszukiwania

  3. Wybierz pozycję FortiGate NGFW i wybierz pozycję Utwórz.

  4. Ukończ podstawowe informacje przy użyciu parametrów z tabeli Parametry wdrożenia.

    Formularz powinien zawierać następujące informacje:

    Pola tekstowe (takie jak Nazwa wystąpienia i Licencja BYOL) okna dialogowego Podstawy zostały wypełnione wartościami z tabeli wdrażania.

  5. Wybierz przycisk OK.

  6. Podaj szczegóły dotyczące sieci wirtualnej, podsieci i rozmiaru maszyny wirtualnej z parametrów wdrożenia.

    Jeśli chcesz używać różnych nazw i zakresów, nie używaj parametrów, które będą powodować konflikt z innymi zasobami sieci wirtualnej i FortiGate w innym środowisku usługi Azure Stack Hub. Jest to szczególnie istotne w przypadku ustawiania zakresu adresów IP i podsieci sieci wirtualnej w sieci wirtualnej. Sprawdź, czy nie nakładają się one na zakresy adresów IP dla innego utworzonej sieci wirtualnej.

  7. Wybierz przycisk OK.

  8. Skonfiguruj publiczny adres IP, który będzie używany dla urządzenia WUS fortiGate:

    Pole tekstowe

  9. Wybierz przycisk OK , a następnie wybierz przycisk OK.

  10. Wybierz pozycję Utwórz.

Wdrożenie potrwa około 10 minut. Teraz możesz powtórzyć kroki, aby utworzyć inne wdrożenie urządzenia WUS fortiGate i sieci wirtualnej w innym środowisku usługi Azure Stack Hub.

Konfigurowanie tras (UDR) dla każdej sieci wirtualnej

Wykonaj te kroki dla obu wdrożeń, forti1-rg1 i forti2-rg1.

  1. Przejdź do grupy zasobów forti1-rg1 w portalu usługi Azure Stack Hub.

    Jest to zrzut ekranu przedstawiający listę zasobów w grupie zasobów forti1-rg1.

  2. Wybierz zasób "forti1-forti1-InsideSubnet-routes-xxxx".

  3. Wybierz pozycję Trasy w obszarze Ustawienia.

    Zrzut ekranu przedstawia wyróżniony element Trasy w obszarze Ustawienia.

  4. Usuń trasę z Internetem.

    Zrzut ekranu przedstawia wyróżnioną trasę internetową. Istnieje przycisk usuwania.

  5. Wybierz opcję Tak.

  6. Wybierz Dodaj.

  7. Nazwij trasę to-forti1 lub to-forti2. Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  8. Wprowadź:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  9. Wybierz pozycję Urządzenie wirtualne dla typu Następnego przeskoku.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    Okno dialogowe Edytowanie trasy dla elementu to-forti2 zawiera pola tekstowe z wartościami.

  10. Wybierz pozycję Zapisz.

Powtórz kroki dla każdej trasy InsideSubnet dla każdej grupy zasobów.

Aktywowanie urządzeń WUS fortiGate i konfigurowanie połączenia sieci VPN PROTOKOŁU IPSec w każdym urządzeniu WUS

Aby aktywować każde urządzenie WUS fortiGate, wymagany będzie prawidłowy plik licencji z witryny Fortinet. Urządzenia WUS nie będą działać do momentu aktywowania każdego urządzenia WUS. Aby uzyskać więcej informacji na temat pobierania pliku licencji i kroków aktywowania urządzenia WUS, zobacz artykuł Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

Należy uzyskać dwa pliki licencji — jeden dla każdego urządzenia WUS.

Tworzenie sieci VPN protokołu IPSec między dwoma urządzeniami WUS

Po aktywowaniu urządzeń WUS wykonaj następujące kroki, aby utworzyć sieć VPN PROTOKOŁU IPSec między dwoma urządzeniami WUS.

Wykonaj poniższe kroki dla urządzenia WUS forti1 i forti2 NVA:

  1. Uzyskaj przypisany publiczny adres IP, przechodząc do strony Przegląd maszyny wirtualnej fortiX:

    Na stronie przeglądu forti1 jest wyświetlana grupa zasobów, stan itd.

  2. Skopiuj przypisany adres IP, otwórz przeglądarkę i wklej adres na pasku adresu. Przeglądarka może wyświetlić ostrzeżenie, że certyfikat zabezpieczeń nie jest zaufany. Kontynuuj mimo to.

  3. Wprowadź nazwę użytkownika administracyjnego fortiGate i hasło podane podczas wdrażania.

    Zrzut ekranu przedstawiający ekran logowania, który zawiera przycisk Logowania i pola tekstowe dla nazwy użytkownika i hasła.

  4. Wybierz pozycję Oprogramowanie układowe systemu>.

  5. Wybierz pole z wyświetlonym najnowszym oprogramowaniem układowym, na przykład FortiOS v6.2.0 build0866.

    Zrzut ekranu przedstawiający oprogramowanie układowe

  6. Po wyświetleniu monitu wybierz pozycję Konfiguracja kopii zapasowej i uaktualnij i kontynuuj.

  7. Urządzenie WUS aktualizuje oprogramowanie układowe do najnowszej kompilacji i ponownego uruchamiania. Proces trwa około pięciu minut. Zaloguj się ponownie do konsoli sieci Web FortiGate.

  8. Kliknij pozycję Kreator protokołu IPSec sieci VPN>.

  9. Wprowadź nazwę sieci VPN, na przykład conn1 w Kreatorze tworzenia sieci VPN.

  10. Wybierz pozycję Ta witryna znajduje się za translatorem adresów sieciowych.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w pierwszym kroku Konfiguracja sieci VPN. Wybrano następujące wartości:

  11. Wybierz Dalej.

  12. Wprowadź zdalny adres IP lokalnego urządzenia sieci VPN, z którym chcesz nawiązać połączenie.

  13. Wybierz port1 jako interfejs wychodzący.

  14. Wybierz pozycję Klucz wstępny i wprowadź (i rekord) klucz wstępny.

    Uwaga

    Ten klucz będzie potrzebny do skonfigurowania połączenia na lokalnym urządzeniu sieci VPN, czyli musi być dokładnie zgodny.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w drugim kroku, Uwierzytelnianie, a wybrane wartości są wyróżnione.

  15. Wybierz Dalej.

  16. Wybierz port2 dla interfejsu lokalnego.

  17. Wprowadź zakres podsieci lokalnej:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  18. Wprowadź odpowiednie podsieci zdalne reprezentujące sieć lokalną, z którą połączysz się za pośrednictwem lokalnego urządzenia sieci VPN.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w trzecim kroku, zasady i routing, pokazując wybrane i wprowadzone wartości.

  19. Wybierz pozycję Utwórz

  20. Wybierz pozycję Interfejsy sieciowe>.

    Lista interfejsów zawiera dwa interfejsy: port1, który został skonfigurowany, i port2, który nie został skonfigurowany. Istnieją przyciski do tworzenia, edytowania i usuwania interfejsów.

  21. Kliknij dwukrotnie port2.

  22. Wybierz pozycję LAN na liście Role (Rola) i DHCP (DHCP) dla trybu adresowania.

  23. Wybierz przycisk OK.

Powtórz kroki dla innego urządzenia WUS.

Podnieś wszystkie selektory fazy 2

Po zakończeniu powyższych czynności dla obu urządzeń WUS:

  1. W konsoli sieci Web forti2 FortiGate wybierz pozycję Monitor>IPsec.

    Zostanie wyświetlony monitor połączenia sieci VPN conn1. Jest on wyświetlany jako wyłączony, podobnie jak odpowiedni selektor fazy 2.

  2. Wyróżnij conn1 i wybierz selektory ">Przynieś wszystkie fazy 2".

    Monitor i Selektor fazy 2 są wyświetlane jako w górę.

Testowanie i weryfikowanie łączności

Teraz powinno być możliwe kierowanie między poszczególnymi sieciami wirtualnymi za pośrednictwem urządzeń WUS FortiGate. Aby zweryfikować połączenie, utwórz maszynę wirtualną usługi Azure Stack Hub w podsieci InsideSubnet każdej sieci wirtualnej. Tworzenie maszyny wirtualnej usługi Azure Stack Hub można wykonać za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure lub programu PowerShell. Podczas tworzenia maszyn wirtualnych:

  • Maszyny wirtualne usługi Azure Stack Hub są umieszczane w podsieci InsideSubnet każdej sieci wirtualnej.

  • Nie stosuje się żadnych sieciowych grup zabezpieczeń do maszyny wirtualnej podczas tworzenia (oznacza to, że usuwaj sieciową grupę zabezpieczeń dodaną domyślnie, jeśli tworzysz maszynę wirtualną z portalu.

  • Upewnij się, że reguły zapory maszyny wirtualnej zezwalają na komunikację używaną do testowania łączności. W celach testowych zaleca się całkowite wyłączenie zapory w systemie operacyjnym, jeśli jest to możliwe.

Następne kroki

Różnice i zagadnienia dotyczące sieci w usłudze Azure Stack Hub
Oferowanie rozwiązania sieciowego w usłudze Azure Stack Hub za pomocą rozwiązania Fortinet FortiGate