Připojení mezi virtuálními sítěmi s využitím Fortigate

  • Článek

Tento článek popisuje, jak vytvořit připojení mezi dvěma virtuálními sítěmi ve stejném prostředí. Při nastavování připojení se dozvíte, jak fungují brány VPN ve službě Azure Stack Hub. Připojte dvě virtuální sítě v rámci stejného prostředí služby Azure Stack Hub pomocí nástroje Fortinet FortiGate. Tento postup nasadí dvě virtuální sítě s síťovým virtuálním zařízením FortiGate v každé virtuální síti v rámci samostatné skupiny prostředků. Obsahuje také podrobnosti o změnách potřebných k nastavení SÍTĚ IPSec mezi dvěma virtuálními sítěmi. Opakujte kroky v tomto článku pro každé nasazení virtuální sítě.

Požadavky

  • Přístup k systému s dostupnou kapacitou pro nasazení požadovaných požadavků na výpočetní prostředky, síť a prostředky potřebné pro toto řešení.

  • Řešení síťového virtuálního zařízení (NVA) se stáhlo a publikovalo na Marketplace služby Azure Stack Hub. Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá řešení Fortinet FortiGate další generace brány firewall s jedním virtuálním počítačem.

  • Alespoň dva dostupné licenční soubory FortiGate pro aktivaci síťového virtuálního zařízení FortiGate. Informace o tom, jak tyto licence získat, najdete v článku o registraci a stažení licence v knihovně dokumentů Fortinet.

    Tento postup používá nasazení Single FortiGate-VM. Tady najdete postup připojení síťového virtuálního zařízení FortiGate k virtuální síti Azure Stack Hub ve vaší místní síti.

    Další informace o tom, jak nasadit řešení FortiGate v nastavení aktivní-pasivní (HA), najdete v podrobnostech v článku Knihovna dokumentů Fortinet pro vysokou dostupnost fortiGate-VM v Azure.

Parametry nasazení

Následující tabulka shrnuje parametry, které se používají v těchto nasazeních pro referenci:

Nasazení 1: Forti1

Název instance FortiGate Forti1
Licence/verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti1-rg1
Název virtuální sítě forti1vnet1
Adresní prostor virtuální sítě 172.16.0.0/16*
Název podsítě veřejné virtuální sítě forti1–PublicFacingSubnet
Předpona adresy veřejné virtuální sítě 172.16.0.0/24*
Název podsítě uvnitř virtuální sítě forti1–InsideSubnet
Předpona podsítě uvnitř virtuální sítě 172.16.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy forti1-publicip1
Typ veřejné IP adresy Static

Nasazení 2: Forti2

Název instance FortiGate Forti2
Licence/verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti2-rg1
Název virtuální sítě forti2vnet1
Adresní prostor virtuální sítě 172.17.0.0/16*
Název podsítě veřejné virtuální sítě forti2–PublicFacingSubnet
Předpona adresy veřejné virtuální sítě 172.17.0.0/24*
Název podsítě uvnitř virtuální sítě Forti2-InsideSubnet
Předpona podsítě uvnitř virtuální sítě 172.17.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy Forti2-publicip1
Typ veřejné IP adresy Static

Poznámka

* Zvolte jinou sadu adresních prostorů a předpon podsítí, pokud se výše uvedené možnosti jakýmkoli způsobem překrývají s místním síťovým prostředím, včetně fondu virtuálních IP adres služby Azure Stack Hub. Také se ujistěte, že se rozsahy adres vzájemně nepřekrývají.

Nasazení brány FortiGate NGFW

  1. Otevřete uživatelský portál Služby Azure Stack Hub.

  2. Vyberte Vytvořit prostředek a vyhledejte FortiGate.

    V seznamu výsledků hledání se zobrazí FortiGate NGFW – Nasazení jednoho virtuálního počítače.

  3. Vyberte FortiGate NGFW a vyberte Vytvořit.

  4. Dokončete základy pomocí parametrů z tabulky Parametry nasazení .

    Na obrazovce Základy jsou hodnoty z parametrů nasazení vybraných a zadaných v seznamu a textových polích.

  5. Vyberte OK.

  6. Pomocí tabulky Parametry nasazení zadejte podrobnosti o virtuální síti, podsítích a velikosti virtuálního počítače.

    Upozornění

    Pokud se místní síť překrývá s rozsahem 172.16.0.0/16IP adres , musíte vybrat a nastavit jiný rozsah sítě a podsítě. Pokud chcete použít jiné názvy a rozsahy, než jsou názvy v tabulce Parametry nasazení , použijte parametry, které nebudou v konfliktu s místní sítí. Při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí v rámci virtuální sítě je třeba ho pečlivě nastavit. Nechcete, aby se tento rozsah překrýval s rozsahy IP adres, které existují ve vaší místní síti.

  7. Vyberte OK.

  8. Nakonfigurujte veřejnou IP adresu pro síťové virtuální zařízení Fortigate:

    Dialogové okno Přiřazení IP adresy zobrazuje hodnotu forti1-publicip1 pro

  9. Vyberte OK. A pak vyberte OK.

  10. Vyberte Vytvořit.

Nasazení bude trvat asi 10 minut.

Konfigurace tras (UDR) pro každou virtuální síť

Tyto kroky proveďte pro obě nasazení, forti1-rg1 a forti2-rg1.

  1. Otevřete uživatelský portál Služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1-rg1 filtr a poklikejte na skupinu prostředků forti1-rg1.

    Pro skupinu prostředků forti1-rg1 je uvedeno deset prostředků.

  3. Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx .

  4. V části Nastavení vyberte Trasy.

    V dialogovém okně Nastavení je vybráno tlačítko Trasy.

  5. Odstraňte trasu do internetu .

    Trasa do internetu je jediná uvedená trasa, která je vybraná. K dispozici je tlačítko pro odstranění.

  6. Vyberte Ano.

  7. Vyberte Přidat a přidejte novou trasu.

  8. Pojmenujte trasu to-onprem.

  9. Zadejte rozsah sítě IP, který definuje rozsah sítě místní sítě, ke které se bude SÍŤ VPN připojovat.

  10. Jako Typ dalšího segmentu směrování vyberte Virtuální zařízení a 172.16.1.4. Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.

    Dialogové okno Přidat trasu zobrazuje čtyři hodnoty, které byly vybrány a zadány do textových polí.

  11. Vyberte Uložit.

K aktivaci každého síťového virtuálního zařízení FortiGate budete potřebovat platný licenční soubor z Fortinetu. Síťová virtuální zařízení nebudou fungovat, dokud všechna síťová virtuální zařízení neaktivujete. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku Knihovna dokumentů Fortinet Registrace a stažení licence.

Bude potřeba získat dva soubory licencí – jeden pro každé síťové virtuální zařízení.

Vytvoření sítě VPN IPSec mezi dvěma síťovými virtuálními zařízeními

Po aktivaci síťových virtuálních zařízení vytvořte mezi těmito dvěma síťovými virtuálními zařízeními síť VPN ipSec.

Postupujte podle následujících kroků pro síťové virtuální zařízení forti1 i pro síťové virtuální zařízení forti2:

  1. Pokud chcete získat přiřazenou veřejnou IP adresu, přejděte na stránku přehledu virtuálního počítače fortiX:

    Na stránce přehledu virtuálního počítače forti1 se zobrazují hodnoty forti1, například Skupina prostředků a Stav.

  2. Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte adresu do panelu Adresa. Prohlížeč vás může upozornit, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.

  3. Zadejte uživatelské jméno a heslo pro správu FortiGate, které jste zadali během nasazení.

    Přihlašovací dialogové okno obsahuje textová pole pro uživatele a heslo a tlačítko Přihlásit se.

  4. Vyberte Firmware systému>.

  5. Zaškrtněte políčko s nejnovějším firmwarem, FortiOS v6.2.0 build0866například .

    Dialogové okno Firmware obsahuje identifikátor firmwaru FortiOS v6.2.0 build0866, odkaz na poznámky k verzi a dvě tlačítka: Konfigurace a upgrade zálohování a Upgrade.

  6. Vyberte Konfigurace zálohování a upgrade>Pokračovat.

  7. Síťové virtuální zařízení aktualizuje svůj firmware na nejnovější build a restartuje ho. Proces trvá asi pět minut. Přihlaste se zpět do webové konzoly FortiGate.

  8. Klikněte na Průvodce VPN>IPSec.

  9. Zadejte název sítě VPN, conn1 například v Průvodci vytvořením sítě VPN.

  10. Vyberte Tento web je za překladem adres (NAT).

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je v prvním kroku – Nastavení sítě VPN. Jsou vybrány následující hodnoty:

  11. Vyberte Další.

  12. Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se chcete připojit.

  13. Jako odchozí rozhraní vyberte port1.

  14. Vyberte Předsdílený klíč a zadejte (a zaznamenejte) předsdílený klíč.

    Poznámka

    Tento klíč budete potřebovat k nastavení připojení k místnímu zařízení VPN, to znamená, že se musí přesně shodovat.

    Snímek obrazovky s Průvodcem vytvořením sítě VPN ukazuje, že se nachází ve druhém kroku, Ověřování, a vybrané hodnoty jsou zvýrazněné.

  15. Vyberte Další.

  16. Vyberte port2 pro místní rozhraní.

  17. Zadejte rozsah místní podsítě:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.

  18. Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se budete připojovat prostřednictvím místního zařízení VPN.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Pokud používáte jiný rozsah IP adres, použijte svůj rozsah IP adres.

    Snímek obrazovky s Průvodcem vytvořením sítě VPN ukazuje, že je ve třetím kroku, Zásady & Směrování. Zobrazuje vybrané a zadané hodnoty.

  19. Vyberte Vytvořit.

  20. Vyberte Síťová>rozhraní.

    V seznamu rozhraní se zobrazí dvě rozhraní: port1, který je nakonfigurovaný, a port2, který se nenakonfiguroval. K dispozici jsou tlačítka pro vytváření, úpravy a odstraňování rozhraní.

  21. Poklikejte na port 2.

  22. V seznamu Role zvolte LAN a jako režim adresování zvolte DHCP.

  23. Vyberte OK.

Opakujte postup pro jiné síťové virtuální zařízení.

Vyvolání všech selektorů fáze 2

Po dokončení výše uvedeného postupu pro obě síťová virtuální zařízení:

  1. Na webové konzole forti2 FortiGate vyberte Monitor>IPsec Monitor.

    Je uveden monitor připojení VPN conn1. Zobrazuje se jako mimo provoz, stejně jako odpovídající selektor fáze 2.

  2. Zvýrazněte conn1 a vyberteselektoryVyvolat> všechny fáze 2.

    Monitor i Selektor fáze 2 se zobrazí jako nahoře.

Testování a ověření připojení

Teď byste měli být schopni směrovat mezi jednotlivými virtuálními sítěmi přes síťová virtuální zařízení FortiGate. Pokud chcete připojení ověřit, vytvořte virtuální počítač Azure Stack Hub v podsíti InsideSubnet každé virtuální sítě. Vytvoření virtuálního počítače služby Azure Stack Hub je možné provést prostřednictvím portálu, Azure CLI nebo PowerShellu. Při vytváření virtuálních počítačů:

  • Virtuální počítače Služby Azure Stack Hub jsou umístěné v podsíti každé virtuální sítě.

  • Při vytvoření virtuálního počítače nepoužijete žádné skupiny zabezpečení sítě (to znamená, že odeberete skupinu zabezpečení sítě, která se přidá ve výchozím nastavení, pokud vytvoříte virtuální počítač z portálu.

  • Ujistěte se, že pravidla brány firewall virtuálních počítačů umožňují komunikaci, kterou budete používat k testování připojení. Pro účely testování se doporučuje úplně zakázat bránu firewall v operačním systému, pokud je to možné.

Další kroky

Rozdíly a důležité informace týkající se sítí služby Azure Stack Hub
Nabídka síťového řešení ve službě Azure Stack Hub s využitím fortinet FortiGate