Virtuális hálózatok közötti kapcsolat Azure Stack Hub Fortinet FortiGate NVA-val

Ebben a cikkben egy virtuális hálózatot fog csatlakoztatni az egyik Azure Stack Hub egy másik Azure Stack Hub virtuális hálózatához a Fortinet FortiGate NVA hálózati virtuális berendezés használatával.

Ez a cikk az aktuális Azure Stack Hub foglalkozik, amely lehetővé teszi, hogy a bérlők csak egy VPN-kapcsolatot állítsanak be két környezetben. A felhasználók megtudhatja, hogyan állíthat be egyéni átjárót egy Linux rendszerű virtuális gépen, amely több VPN-kapcsolatot engedélyez a különböző Azure Stack Hub. A cikkben található eljárás két, FortiGate NVA-val és minden virtuális hálózatban két virtuális hálózatban üzembe helyez két virtuális Azure Stack Hub üzembe helyezést. A két virtuális hálózat közötti IPSec VPN beállításához szükséges módosításokat is részletezi. A cikkben található lépéseket minden virtuális hálózatban meg kell ismételni az Azure Stack Hub.

Előfeltételek

  • Hozzáférés egy Azure Stack Hub integrált rendszerekhez, amelyek rendelkezésre állnak a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.

    Megjegyzés

    Ezek az utasítások az ASDK hálózati korlátozásai miatt Azure Stack Development Kit (ASDK) nem működnek. További információkért lásd az ASDK követelményeit és szempontjait.

  • Hálózati virtuális berendezés (NVA) letöltése és közzététele a Azure Stack Hub Marketplace-en. Az NVA vezérli a szegélyhálózat és más hálózatok vagy alhálózatok hálózati forgalmát. Ez az eljárás a Fortinet FortiGate új generációs tűzfal egy virtuálisgép-megoldást használja.

  • Legalább két elérhető FortiGate licencfájl a FortiGate NVA aktiválásához. A licencek letöltésével kapcsolatos információkért lásd a Fortinet dokumentumtárat a licenc regisztrálásával és letöltésével kapcsolatos cikkben.

    Ez az eljárás a Single FortiGate-VM üzemelő példányát használja. A FortiGate NVA helyszíni hálózathoz Azure Stack Hub VNET-hez való csatlakoztatásának lépéseit itt találja.

    A FortiGate megoldás aktív-passzív (HA) beállítással való üzembe helyezésével kapcsolatos további információkért tekintse meg a Fortinet dokumentumtár ha rendelkezésre áll a FortiGate-VM-hez az Azure-ban cikkét.

Üzembe helyezési paraméterek

Az alábbi táblázat összefoglalja az ezekben az üzemelő példányokban referenciaként használt paramétereket:

Első üzembe helyezés: Forti1

FortiGate-példány neve Forti1
BYOL-licenc/-verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti1-rg1
Virtuális hálózat neve forti1vnet1
Virtuális hálózat címterülete 172.16.0.0/16*
Nyilvános VNET-alhálózat neve forti1-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.16.0.0/24*
A VNET-alhálózat nevén belül forti1-InsideSubnet
VNET-alhálózat előtagja 172.16.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím forti1-publicip1
Nyilvános IP-cím típusa Statikus

Második üzembe helyezés: Forti2

FortiGate-példány neve Forti2
BYOL-licenc/-verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti2-rg1
Virtuális hálózat neve forti2vnet1
Virtuális hálózat címterülete 172.17.0.0/16*
Nyilvános VNET-alhálózat neve forti2-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.17.0.0/24*
A VNET-alhálózat nevén belül Forti2-InsideSubnet
VNET-alhálózat előtagja 172.17.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím Forti2-publicip1
Nyilvános IP-cím típusa Statikus

Megjegyzés

* Válasszon eltérő címtereket és alhálózati előtagokat, ha a fenti átfedésben van a helyszíni hálózati környezettel, beleértve a két virtuális IP-címkészletet Azure Stack Hub. Ügyeljen arra is, hogy a címtartományok ne legyenek átfedésben egymással.**

A FortiGate NGFW Marketplace-elemek üzembe helyezése

Ismételje meg ezeket a lépéseket mindkét Azure Stack Hub környezetben.

  1. Nyissa meg Azure Stack Hub felhasználói portált. Olyan hitelesítő adatokat használjon, amelyek legalább Közreműködői jogosultságokkal rendelkezik az előfizetéshez.

  2. Válassza az Erőforrás létrehozása lehetőséget, és keresse meg a et.

    A képernyőképen egyetlen sor eredmény látható a

  3. Válassza ki a FortiGate NGFW-t, majd a Létrehozás lehetőséget.

  4. Az Üzembe helyezési paraméterek táblázat paramétereinek használatával teljes körű alapszintű ismereteket.

    Az űrlapnak a következő információkat kell tartalmaznia:

    Az Alapvető beállítások párbeszédpanel szövegmezői (például a Példány neve és a BYOL-licenc) ki vannak töltve a Központi telepítési táblázat értékeivel.

  5. Válassza az OK lehetőséget.

  6. Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az Üzembe helyezési paraméterek között.

    Ha eltérő neveket és tartományokat szeretne használni, ne használjon olyan paramétereket, amelyek ütköznek a másik virtuális hálózat és a FortiGate erőforrásokkal a Azure Stack Hub környezetben. Ez különösen igaz a VNET IP-címtartományának és alhálózati tartományának a virtuális hálózaton belüli beállításakor. Ellenőrizze, hogy nincsenek-e átfedésben a másik létrehozott virtuális hálózat IP-címtartományával.

  7. Válassza az OK lehetőséget.

  8. Konfigurálja a FortiGate NVA-hoz használni fogja a nyilvános IP-címet:

    Az IP-cím hozzárendelése párbeszédpanel

  9. Kattintson az OK, majd az OK gombra.

  10. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés körülbelül 10 percet fog igénybe venni. Most megismételheti a lépéseket, hogy létrehozza a másik FortiGate NVA- és VNET-telepítést a másik Azure Stack Hub környezetben.

Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz

Hajtsa végre ezeket a lépéseket mindkét üzemelő példányhoz( forti1-rg1 és forti2-rg1).

  1. Lépjen a forti1-rg1 erőforráscsoportra a Azure Stack Hub portálon.

    Ez egy képernyőkép a forti1-rg1 erőforráscsoportban található erőforrások listájáról.

  2. Válassza a "forti1-forti1-InsideSubnet-routes-xxxx" erőforrást.

  3. Válassza az Útvonalak lehetőséget a Gépház.

    A képernyőképen a kiemelt Útvonalak elem látható Gépház.

  4. Törölje az internetre útvonalat.

    A képernyőképen a kiemelt internetes útvonal látható. Van egy törlés gomb.

  5. Válassza az Igen lehetőséget.

  6. Válassza a Hozzáadás lehetőséget.

  7. Nevezze el az útvonalat vagyto-forti2 . Ha más IP-címtartományt használ, használja az IP-címtartományt.

  8. Adja meg a következőt:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.

  9. A Következő ugrás típusaként válassza a Virtuális berendezés lehetőséget.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Ha más IP-címtartományt használ, használja az IP-címtartományt.

    A to-forti2 Útvonal szerkesztése párbeszédpanelje értékeket is tartalmaz a szövegmezőkben. A

  10. Válassza a Mentés lehetőséget.

Ismételje meg a lépéseket minden egyes InsideSubnet-útvonalon az egyes erőforráscsoportoknál.

A FortiGate NVA-k aktiválása és IPSec VPN-kapcsolat konfigurálása minden NVA-n

Az egyes FortiGate NVA-k aktiválásához érvényes licencfájlra lesz szüksége a Fortinettől. Az NVA-k nem fognak működni, amíg nem aktiválta az egyes NVA-okat. A licencfájl letöltésével és az NVA aktiválásának lépéseivel kapcsolatos további információkért tekintse meg a Fortinet document Library (A Fortinet-dokumentumtár regisztrálása és letöltése) cikket.

Két licencfájlt kell be szereznie – NVA-ként egyet.

IPSec VPN létrehozása a két NVA között

Az NVA-k aktiválása után kövesse az alábbi lépéseket egy IPSec VPN létrehozásához a két NVA között.

Kövesse az alábbi lépéseket a forti1 NVA-n és a forti2 NVA-n is:

  1. A hozzárendelt nyilvános IP-címet a fortiX VM Áttekintés oldalára navigálva kaphatja meg:

    A forti1 áttekintő oldala az erőforráscsoportot, az állapotot és így tovább jeleníti meg.

  2. Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. A böngésző figyelmeztetheti, hogy a biztonsági tanúsítvány nem megbízható. A folytatást mindenképp folytassa.

  3. Adja meg a FortiGate rendszergazdai felhasználónevet és jelszót, amit a telepítés során adott meg.

    A képernyőképen a bejelentkezési képernyő látható, amelyen egy Bejelentkezés gomb, valamint a felhasználónév és a jelszó szövegmezői láthatóak.

  4. Válassza a Rendszer belsővezérlőprogramja lehetőséget.

  5. Jelölje be a legújabb belső vezérlőprogramot (például) megjelenítő FortiOS v6.2.0 build0866 mezőt.

    A

  6. Amikor a rendszer kéri, válassza a Biztonsági mentés konfigurációja és frissítése, majd a Folytatás lehetőséget.

  7. Az NVA a legújabb buildre frissíti a belső vezérlőprogramját, és újraindul. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.

  8. Kattintson a VPNIPSec varázsló elemre.

  9. Adjon nevet a VPN-nek, például a conn1conn1

  10. Válassza az Ez a webhely NAT mögötti lehetőséget.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy ez az első lépés, a VPN beállítása. A következő értékek vannak kiválasztva:

  11. Kattintson a Tovább gombra.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni szeretne.

  13. A kimenő adapterként válassza a port1 lehetőséget.

  14. Válassza az Elő megosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy elő megosztott kulcsot.

    Megjegyzés

    Erre a kulcsra szüksége lesz a kapcsolat helyszíni VPN-eszközön való beállításhoz, azaz pontosan egyeznie kell a következővel:.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben a Hitelesítés van megjelölve, és a kiválasztott értékek ki vannak emelve.

  15. Kattintson a Tovább gombra.

  16. A Helyi felület mezőben válassza a port2 portot.

  17. Adja meg a helyi alhálózat tartományát:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.

  18. Adja meg a helyszíni hálózatot képviselő megfelelő távoli alhálózat(ak)t, amelyhez a helyszíni VPN-eszközön keresztül fog csatlakozni.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a harmadik, Policy Routing (Házirend-útválasztás) lépésnél van, amely a kijelölt <img src= és a megadott értékeket mutatja." data-linktype="relative-path"/>

  19. Kattintson a Létrehozás elemre.

  20. Válassza a Hálózatiadapterek lehetőséget.

    Az illesztőlista két felületet mutat be: a port1- és a 2-es portot, amelyek nem. Illesztőket hozhat létre, szerkeszthet és törölhet gombokkal.

  21. Kattintson duplán a port2 elemre.

  22. A Szerepkör listában válassza a HELYI hálózat, címzési módként pedig a DHCP lehetőséget.

  23. Válassza az OK lehetőséget.

Ismételje meg a lépéseket a másik NVA-n is.

Az összes 2. fázis választói

Miután a fentiek mindkét NVA esetében befejeződtek:

  1. A forti2 FortiGate webkonzolon válassza az IPsec-monitor figyelése lehetőséget.

    Megjelenik a VPN-kapcsolat figyelője1. Ez úgy jelenik meg, mint a megfelelő 2. fázisválasztó.

  2. Jelölje ki és válassza ki conn1conn1>>

    A figyelő és a 2. fázisválasztó is megjelenik.

Kapcsolat tesztelése és ellenőrzése

Most már képesnek kell lennie arra, hogy a-t az egyes virtuális hálózatok között a FortiGate NVA-kon keresztül irányítsa. A kapcsolat ellenőrzéshez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnet hálózatában. A virtuális Azure Stack Hub a portálon, az Azure CLI-n vagy a PowerShellen keresztül lehet létrehozni. A virtuális gépek létrehozásakor:

  • A Azure Stack Hub virtuális gépek az egyes virtuális hálózatok InsideSubnet alhálózatán vannak elhelyezve.

  • Létrehozáskor nem alkalmaz NSG-t a virtuális gépre (azaz távolítsa el azt az NSG-t, amelyet a rendszer alapértelmezés szerint hozzáad a virtuális gépnek a portálról való létrehozásakor.

  • Győződjön meg arról, hogy a virtuális gép tűzfalszabálya engedélyezi a kapcsolat teszteléséhez használt kommunikációt. Tesztelési célból ajánlott teljesen letiltani a tűzfalat az operációs rendszeren belül, ha lehetséges.

Következő lépések

A hálózati Azure Stack Hub és szempontjai
Hálózati megoldásajánlat a Fortinet FortiGate Azure Stack Hub ban