Aracılığıyla paylaş

Fortinet FortiGate NVA ile Azure Stack Hub örnekleri arasında sanal ağdan sanal ağa bağlantı

  • Makale

Bu makalede, bir ağ sanal gereci olan Fortinet FortiGate NVA'yı kullanarak bir Azure Stack Hub'daki bir sanal ağı başka bir Azure Stack Hub'daki bir VNET'e bağlayacaksınız.

Bu makalede, kiracıların iki ortamda yalnızca bir VPN bağlantısı kurmasına olanak tanıyan geçerli Azure Stack Hub sınırlaması ele alınıyor. Kullanıcılar, farklı Azure Stack Hub'da birden çok VPN bağlantısına izin verecek bir Linux sanal makinesinde özel bir ağ geçidi ayarlamayı öğrenecektir. Bu makaledeki yordam, her sanal ağda FortiGate NVA'sı olan iki sanal ağ dağıtır: Azure Stack Hub ortamı başına bir dağıtım. Ayrıca, iki VNET arasında bir IPSec VPN'i ayarlamak için gereken değişiklikleri de açıklar. Bu makaledeki adımlar, her Azure Stack Hub'daki her sanal ağ için yinelenmelidir.

Önkoşullar

  • Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip Azure Stack Hub tümleşik sistemlerine erişim.

    Not

    Bu yönergeler, ASDK'deki ağ sınırlamaları nedeniyle azure stack geliştirme seti (ASDK) ile çalışmaz. Daha fazla bilgi için bkz . ASDK gereksinimleri ve dikkat edilmesi gerekenler.

  • Azure Stack Hub Marketi'nde indirilip yayımlanan bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.

  • FortiGate NVA'sını etkinleştirmek için en az iki FortiGate lisans dosyası kullanılabilir. Bu lisansları alma hakkında bilgi için, Fortinet Belge Kitaplığı makalesine bakın Lisansınızı kaydetme ve indirme.

    Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızda Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.

    FortiGate çözümünün etkin-pasif (HA) kurulumunda nasıl dağıtılacağı hakkında daha fazla bilgi için Bkz. Azure'da FortiGate-VM için FortiNet Belge Kitaplığı makalesi HA.

Dağıtım parametreleri

Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir:

Dağıtım bir: Forti1

Örnek Adını FortiGate Forti1
KLG Lisansı/Sürümü 6.0.3
Yönetici kullanıcı adını fortiGate fortiadmin
Kaynak Grubu adı forti1-rg1
Sanal ağın adı forti1vnet1
VNET Adres Alanı 172.16.0.0/16*
Genel sanal ağ alt ağı adı forti1-PublicFacingSubnet
Genel sanal ağ adresi ön eki 172.16.0.0/24*
İç sanal ağ alt ağı adı forti1-InsideSubnet
VNET alt ağı ön eki içinde 172.16.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı forti1-publicip1
Genel IP adresi türü Statik

Dağıtım iki: Forti2

Örnek Adını FortiGate Forti2
KLG Lisansı/Sürümü 6.0.3
Yönetici kullanıcı adını fortiGate fortiadmin
Kaynak Grubu adı forti2-rg1
Sanal ağın adı forti2vnet1
VNET Adres Alanı 172.17.0.0/16*
Genel sanal ağ alt ağı adı forti2-PublicFacingSubnet
Genel sanal ağ adresi ön eki 172.17.0.0/24*
İç sanal ağ alt ağı adı Forti2-InsideSubnet
VNET alt ağı ön eki içinde 172.17.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı Forti2-publicip1
Genel IP adresi türü Statik

Not

* Yukarıdakiler Azure Stack Hub'ın VIP Havuzu dahil olmak üzere şirket içi ağ ortamıyla herhangi bir şekilde çakışıyorsa farklı bir adres alanları ve alt ağ ön ekleri kümesi seçin. Ayrıca adres aralıklarının birbiriyle çakışmadığından emin olun.**

FortiGate NGFW Market Öğelerini Dağıtma

Her iki Azure Stack Hub ortamı için de bu adımları yineleyin.

  1. Azure Stack Hub kullanıcı portalını açın. Abonelikte en az Katkıda Bulunan haklarına sahip kimlik bilgilerini kullandığınızdan emin olun.

  2. Kaynak oluştur'u seçin ve için FortiGatearama yapın.

    Ekran görüntüsünde

  3. FortiGate NGFW'yi ve ardından Oluştur'u seçin.

  4. Dağıtım parametreleri tablosundaki parametreleri kullanarak Temel Bilgileri tamamlayın.

    Formunuz aşağıdaki bilgileri içermelidir:

    Temel Bilgiler iletişim kutusunun metin kutuları (Örnek Adı ve KLG Lisansı gibi) Dağıtım Tablosundaki değerlerle doldurulmuş.

  5. Tamam'ı seçin.

  6. Dağıtım parametrelerinden sanal ağ, alt ağlar ve VM boyutu ayrıntılarını sağlayın.

    Farklı adlar ve aralıklar kullanmak istiyorsanız, diğer Azure Stack Hub ortamındaki diğer sanal ağ ve FortiGate kaynaklarıyla çakışacak parametreleri kullanmamaya dikkat edin. Bu durum özellikle VNET IP aralığını ve alt ağ aralıklarını sanal ağ içinde ayarlarken geçerlidir. Oluşturduğunuz diğer sanal ağın IP aralıklarıyla çakışmadığını denetleyin.

  7. Tamam'ı seçin.

  8. FortiGate NVA için kullanılacak genel IP'yi yapılandırın:

    IP Ataması iletişim kutusunun

  9. Tamam'ı ve ardından Tamam'ı seçin.

  10. Oluştur'u belirleyin.

Dağıtım yaklaşık 10 dakika sürer. Artık diğer Azure Stack Hub ortamında diğer FortiGate NVA ve VNET dağıtımını oluşturmak için adımları yineleyebilirsiniz.

Her sanal ağ için yolları (UDR) yapılandırma

Forti1-rg1 ve forti2-rg1 dağıtımları için bu adımları gerçekleştirin.

  1. Azure Stack Hub portalında forti1-rg1 Kaynak Grubu'na gidin.

    Bu, forti1-rg1 kaynak grubundaki kaynak listesinin ekran görüntüsüdür.

  2. 'forti1-forti1-InsideSubnet-routes-xxxx' kaynağında öğesini seçin.

  3. Ayarlar'ın altında Yollar'ı seçin.

    Ekran görüntüsünde Ayarlar'ın vurgulanan Rotalar öğesi gösterilir.

  4. İnternet Yolu'nı silin.

    Ekran görüntüsünde vurgulanan İnternet yolu gösterilir. Sil düğmesi vardır.

  5. Evet'i seçin.

  6. Ekle'yi seçin.

  7. Yolu to-forti1 veya to-forti2olarak adlandırın. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  8. Şunları girin:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  9. Sonraki atlama türü için Sanal gereç'i seçin.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    to-forti2 için Yolu düzenle iletişim kutusunda değer içeren metin kutuları bulunur.

  10. Kaydet'i seçin.

Her bir kaynak grubu için her InsideSubnet yolu için adımları yineleyin.

FortiGate NVA'larını etkinleştirme ve Her NVA'da IPSec VPN bağlantısı yapılandırma

Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma ve NVA'yı etkinleştirme adımları hakkında daha fazla bilgi için, Fortinet Belge Kitaplığı makalesine bakın Lisansınızı kaydetme ve indirme.

Her NVA için bir tane olmak üzere iki lisans dosyasının alınması gerekir.

İki NVA arasında IPSec VPN'i oluşturma

NVA'lar etkinleştirildikten sonra, iki NVA arasında bir IPSec VPN'i oluşturmak için bu adımları izleyin.

Forti1 NVA ve forti2 NVA için aşağıdaki adımları izleyin:

  1. FortiX VM Genel Bakış sayfasına giderek atanan Genel IP adresini alın:

    Forti1 genel bakış sayfasında kaynak grubu, durum vb. gösterilir.

  2. Atanan IP adresini kopyalayın, bir tarayıcı açın ve adresi adres çubuğuna yapıştırın. Tarayıcınız sizi güvenlik sertifikasının güvenilir olmadığı konusunda uyarabilir. Yine de devam edin.

  3. Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.

    Ekran görüntüsü, oturum açma düğmesinin ve kullanıcı adı ve parola için metin kutularının bulunduğu oturum açma ekranının ekran görüntüsüdür.

  4. Sistem Üretici Yazılımı'nı> seçin.

  5. En son üretici yazılımını gösteren kutuyu seçin, örneğin, FortiOS v6.2.0 build0866.

  6. İstendiğinde Yedekleme yapılandırması ve yükseltme ve Devam et'i seçin.

  7. NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.

  8. VPN>IPSec Sihirbazı'nı tıklatın.

  9. ÖRNEĞINconn1, VPN Oluşturma Sihirbazı'na VPN için bir ad girin.

  10. Bu site NAT'ın arkasında'ı seçin.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, ilk adım olan VPN Kurulumu'nda olduğunu gösterir. Aşağıdaki değerler seçilidir: Şablon Türü için

  11. İleri'yi seçin.

  12. Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.

  13. Giden Arabirim olarak bağlantı noktası1'i seçin.

  14. Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).

    Not

    Şirket içi VPN cihazında bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, ikinci adım olan Kimlik Doğrulaması'nda olduğunu gösterir ve seçili değerler vurgulanır.

  15. İleri'yi seçin.

  16. Yerel Arabirim için bağlantı noktası2'yi seçin.

  17. Yerel alt ağ aralığını girin:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  18. Şirket içi VPN cihazı üzerinden bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, seçilen ve girilen değerleri gösteren üçüncü adım olan İlke ve Yönlendirme'de olduğunu gösterir.

  19. Oluştur'u seçin

  20. >Arabirimleri'ni seçin.

    Arabirim listesinde iki arabirim gösterilir: yapılandırılmış olan bağlantı noktası1 ve yapılandırılmamış olan bağlantı noktası2. Arabirim oluşturma, düzenleme ve silme düğmeleri vardır.

  21. Bağlantı noktası2'ye çift tıklayın.

  22. Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.

  23. Tamam'ı seçin.

Diğer NVA için adımları yineleyin.

Tüm 2. Aşama Seçicilerini Getir

Yukarıdakiler her iki NVA için de tamamlandıktan sonra:

  1. forti2 FortiGate web konsolunda IPsec İzleyici'yi >seçin.

    VPN bağlantısı conn1 izleyicisi listelenir. İlgili 2. Aşama Seçicisi gibi aşağı olarak gösterilir.

  2. Tüm Aşama 2 Seçicilerini> Vurgulayın conn1 ve seçin.

    Monitör ve 2. Aşama Seçicisi'nin her ikisi de yukarı olarak gösterilir.

Bağlantıyı test etme ve doğrulama

Artık FortiGate NVA'ları aracılığıyla her sanal ağ arasında yönlendirme yapabilmeniz gerekir. Bağlantıyı doğrulamak için her sanal ağın InsideSubnet'inde bir Azure Stack Hub VM oluşturun. Azure Stack Hub VM oluşturma işlemi portal, Azure CLI veya PowerShell aracılığıyla yapılabilir. VM'leri oluştururken:

  • Azure Stack Hub VM'leri her sanal ağın InsideSubnet'ine yerleştirilir.

  • Oluşturulduktan sonra VM'ye herhangi bir NSG uygulamazsınız (Başka bir ifadeyle, VM'yi portaldan oluştururken varsayılan olarak eklenen NSG'yi kaldırın.

  • VM güvenlik duvarı kurallarının bağlantıyı test etmek için kullanacağınız iletişime izin verin. Test amacıyla, mümkünse güvenlik duvarının işletim sistemi içinde tamamen devre dışı bırakılması önerilir.

Sonraki adımlar

Azure Stack Hub ağı için farklılıklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma