使用 Fortigate 的 VNet 對 VNet 連線能力

本文說明如何在相同環境中的兩個虛擬網路之間建立連線。 在您設定連線時,您會了解 VPN 閘道在 Azure Stack Hub 中的運作方式。 使用 Fortinet FortiGate 連接相同 Azure Stack Hub 環境中的兩個 VNET。 此程序會在個別的資源群組內的每個 VNET 中,部署兩個具有 FortiGate NVA (網路虛擬設備) 的 VNET。 此外也會詳細說明在這兩個 VNET 之間設定 IPSec VPN 所需的變更。 請重複執行本文中的步驟,以進行每個 VNET 部署。

必要條件

  • 能夠存取有足夠容量可部署此解決方案所需的計算、網路和資源的系統。

  • 已下載並發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 可控制從周邊網路到其他網路或子網路的網路流量。 此程序會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。

  • 至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 如需如何取得這些授權的相關資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權

    此程序會使用單一 FortiGate-VM 部署。 您可以找到在內部部署網路中將 FortiGate NVA 連線至 Azure Stack Hub VNET 的步驟。

    如需如何在主動-被動 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Fortinet 文件庫文章 FortiGate-VM 在 Azure 上的 HA 中的詳細資料。

部署參數

下表摘錄了在這些部署中使用的參數以供參考:

部署一:Forti1

FortiGate 執行個體名稱 Forti1
BYOL 授權/版本 6.0.3
FortiGate 系統管理使用者名稱 fortiadmin
資源群組名稱 forti1-rg1
虛擬網路名稱 forti1vnet1
VNET 位址空間 172.16.0.0/16*
公用 VNET 子網路名稱 forti1-PublicFacingSubnet
公用 VNET 位址首碼 172.16.0.0/24*
內部 VNET 子網路名稱 forti1-InsideSubnet
內部 VNET 子網路首碼 172.16.1.0/24*
FortiGate NVA 的 VM 大小 標準 F2s_v2
公用 IP 位址名稱 forti1-publicip1
公用 IP 位址類型 靜態

部署二:Forti2

FortiGate 執行個體名稱 Forti2
BYOL 授權/版本 6.0.3
FortiGate 系統管理使用者名稱 fortiadmin
資源群組名稱 forti2-rg1
虛擬網路名稱 forti2vnet1
VNET 位址空間 172.17.0.0/16*
公用 VNET 子網路名稱 forti2-PublicFacingSubnet
公用 VNET 位址首碼 172.17.0.0/24*
內部 VNET 子網路名稱 Forti2-InsideSubnet
內部 VNET 子網路首碼 172.17.1.0/24*
FortiGate NVA 的 VM 大小 標準 F2s_v2
公用 IP 位址名稱 Forti2-publicip1
公用 IP 位址類型 靜態

注意

* 如果上述項目與內部部署網路環境有任何重疊的情況 (包括任一 Azure Stack Hub 的 VIP 集區),請選擇一組不同的位址空間和子網路首碼。 同時請確定位址範圍未彼此重疊。

部署 FortiGate NGFW

  1. 開啟 Azure Stack Hub 使用者入口網站。

  2. 選取 [建立資源],然後搜尋

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. 選取 [FortiGate NGFW],然後選取 [建立]

  4. 使用部署參數 表格中的參數完成 [基本]

    The Basics screen has values from the deployment parameters selected and entered in list and text boxes.

  5. 選取 [確定]。

  6. 使用部署參數表格提供虛擬網路、子網路和 VM 大小的詳細資料。

    警告

    如果內部部署網路與 IP 範圍 172.16.0.0/16 重疊,您必須選取並設定不同的網路範圍和子網路。 如果您想要使用與部署參數表格中不同的名稱和範圍,請使用不會與內部部署網路衝突的參數。 在 VNET 中設定 VNET IP 範圍和子網路範圍時,請多加留意。 範圍不應與內部部署網路中存在的 IP 範圍重疊。

  7. 選取 [確定]。

  8. 設定 Fortigate NVA 的公用 IP:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. 選取 [確定]。 然後選取 [確定]

  10. 選取 [建立]。

完成部署大約需要 10 分鐘。

設定每個 VNET 的路由 (UDR)

請為 forti1-rg1 和 forti2-rg1 這兩個部署執行下列步驟。

  1. 開啟 Azure Stack Hub 使用者入口網站。

  2. 選取 [資源群組]。 在篩選條件中輸入 forti1-rg1,然後按兩下 forti1-rg1 資源群組。

    Ten resources are listed for the forti1-rg1 resource group.

  3. 選取 forti1-forti1-InsideSubnet-routes-xxxx 資源。

  4. 在 [設定] 底下,選取 [路由]。

    The Routes button is selected in the Settings dialog box.

  5. 刪除 to-Internet 路由。

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. 選取 [是] 。

  7. 選取 [新增] 以新增路由。

  8. 將路由命名為 to-onprem

  9. 輸入 IP 網路範圍,以定義 VPN 所將連接的內部部署網路的網路範圍。

  10. 針對 [下一個躍點類型],選取 [虛擬設備]。 如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。

    The Add route dialog box shows the four values that have been selected and entered in the text boxes.

  11. 選取 [儲存]。

您將需要 Fortinet 提供的有效授權檔案,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 將無法運作。 如需如何取得授權檔案和 NVA 啟用步驟的詳細資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權

必須取得兩個授權檔案 – 每個 NVA 一個。

在兩個 NVA 之間建立 IPSec VPN

啟用 NVA 之後,請依照下列步驟建立兩個 NVA 之間的 IPSec VPN。

對 forti1 NVA 和 forti2 NVA 執行下列步驟:

  1. 瀏覽至 fortiX VM 的概觀頁面,以取得指派的公用 IP 位址:

    The forti1 virtual machine Overview page show values for forti1, such as the

  2. 複製指派的 IP 位址,開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 請繼續作業。

  3. 輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。

    The login dialog box has user and password text boxes, and a Login button.

  4. 選取 [系統][韌體]

  5. 選取顯示最新韌體的方塊,例如 FortiOS v6.2.0 build0866

    The Firmware dialog box has the firmware identifier

  6. 選取 [備份組態並升級][繼續]

  7. NVA 會將其韌體更新為最新組建,然後重新開機。 此程序大約需要五分鐘的時間。 重新登入 FortiGate Web 主控台。

  8. 按一下 [VPN][IPSec 精靈]

  9. 在 [VPN 建立精靈]conn1 中輸入 VPN 的名稱,例如 conn1

  10. 選取 [此網站位於 NAT 後方]

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. 選取 [下一步] 。

  12. 輸入您要連線的內部部署 VPN 裝置的遠端 IP 位址。

  13. 選取 [port1] 作為 [連出介面]

  14. 選取 [預先共用金鑰],然後輸入 (並記錄) 預先共用金鑰。

    注意

    您將需要以此金鑰來設定內部部署 VPN 裝置上的連線,也就是說,金鑰必須完全相符。

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. 選取 [下一步] 。

  16. 針對 [本機介面],選取 [port2]

  17. 輸入本機子網路範圍:

    • forti1:172.16.0.0/16
    • forti2:172.17.0.0/16

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。

  18. 輸入代表內部部署網路的適當遠端子網路,您將透過內部部署 VPN 裝置連線至此網路。

    • forti1:172.16.0.0/16
    • forti2:172.17.0.0/16

    如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  19. 選取 [建立]

  20. 選取 [網路][介面]

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. 按兩下 [port2]

  22. 在 [角色] 清單中選擇 [LAN],並選擇 [DHCP] 作為 [定址模式]。

  23. 選取 [確定]。

對其他 NVA 重複前述步驟。

啟動所有的階段 2 選取器

兩個 NVA 都完成前述步驟後:

  1. 在 forti2 FortiGate Web 主控台上,選取 [監視][IPsec 監視器]

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. conn1 醒目提示,然後選取 [啟動]>[所有的階段 2 選取器]。

    The monitor and Phase 2 Selector are both shown as up.

測試並驗證連線能力

您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間進行路由。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:

  • Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet 上。

  • 在建立 VM 時,您不應將任何 NSG 套用至 VM (也就是說,如果您從入口網站建立 VM,請移除依預設新增的 NSG)。

  • 確定 VM 防火牆規則允許您要用來測試連線的通訊。 基於測試目的,建議您在作業系統中完全停用防火牆 (如果可能的話)。

後續步驟

Azure Stack Hub 網路服務的差異與注意事項
以 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案