Virtuális hálózatok közötti kapcsolat az Azure Stack Hub-példányok között a Fortinet FortiGate NVA-val

  • Cikk

Ebben a cikkben az egyik Azure Stack Hubban lévő virtuális hálózatot egy másik Azure Stack Hub virtuális hálózatához csatlakoztatja a Fortinet FortiGate NVA hálózati virtuális berendezés használatával.

Ez a cikk az Azure Stack Hub jelenlegi korlátozásával foglalkozik, amely lehetővé teszi, hogy a bérlők csak egy VPN-kapcsolatot állítsanak be két környezetben. A felhasználók megtanulhatják, hogyan állíthatnak be egyéni átjárót egy Linux rendszerű virtuális gépen, amely több VPN-kapcsolatot tesz lehetővé a különböző Azure Stack Hubon. A jelen cikkben ismertetett eljárás két VNET-t helyez üzembe egy FortiGate NVA-val minden virtuális hálózaton: egy üzembe helyezést Azure Stack Hub-környezetben. Emellett az IPSec VPN két virtuális hálózat közötti beállításához szükséges módosításokat is részletezi. A cikkben szereplő lépéseket meg kell ismételni az egyes Azure Stack Hubokban található virtuális hálózatok esetében.

Előfeltételek

  • Hozzáférés az Azure Stack Hub integrált rendszereihez, amelyek rendelkezésre álló kapacitással rendelkeznek a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények üzembe helyezéséhez.

    Megjegyzés

    Ezek az utasítások az ASDK hálózati korlátozásai miatt nem működnek az Azure Stack Development Kittel (ASDK). További információ: ASDK-követelmények és szempontok.

  • Az Azure Stack Hub Marketplace-en letöltött és közzétett hálózati virtuális berendezés (NVA) megoldás. Az NVA szabályozza a hálózati forgalom áramlását egy szegélyhálózatról más hálózatokra vagy alhálózatokra. Ez az eljárás a Fortinet FortiGate következő generációs tűzfal önálló virtuálisgép-megoldását használja.

  • Legalább két elérhető FortiGate-licencfájl a FortiGate NVA aktiválásához. A licencek beszerzéséről a Licenc regisztrálása és letöltése című Fortinet-dokumentumtár című cikkben olvashat.

    Ez az eljárás az önálló FortiGate-VM üzembe helyezést használja. Megtudhatja, hogyan csatlakoztathatja a FortiGate NVA-t az Azure Stack Hub VNET-hez a helyszíni hálózaton.

    A FortiGate-megoldás aktív-passzív (HA) beállításban való üzembe helyezéséről további információt a Fortinet Document Library for FortiGate-VM for FortiGate-VM for Azure-hoz című cikkében talál.

Üzembehelyezési paraméterek

Az alábbi táblázat összefoglalja az ezekben az üzemelő példányokban referenciaként használt paramétereket:

Első üzembe helyezés: Forti1

FortiGate-példány neve Forti1
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti1-rg1
Virtuális hálózat neve forti1vnet1
VNET-címtér 172.16.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti1-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.16.0.0/24*
A virtuális hálózat alhálózatának neve forti1-InsideSubnet
A VNET-alhálózat előtagja 172.16.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím forti1-publicip1
Nyilvános IP-cím típusa Statikus

Második üzembe helyezés: Forti2

FortiGate-példány neve Forti2
BYOL-licenc/verzió 6.0.3
FortiGate rendszergazdai felhasználónév fortiadmin
Erőforráscsoport neve forti2-rg1
Virtuális hálózat neve forti2vnet1
VNET-címtér 172.17.0.0/16*
Nyilvános virtuális hálózat alhálózatának neve forti2-PublicFacingSubnet
Nyilvános VNET-címelőtag 172.17.0.0/24*
A virtuális hálózat alhálózatának neve Forti2-InsideSubnet
A VNET-alhálózat előtagja 172.17.1.0/24*
A FortiGate NVA virtuálisgép-mérete Standard F2s_v2
Nyilvános IP-cím Forti2-publicip1
Nyilvános IP-cím típusa Statikus

Megjegyzés

* Válasszon másik címtereket és alhálózati előtagokat, ha a fentiek bármilyen módon átfedésben vannak a helyszíni hálózati környezettel, beleértve bármelyik Azure Stack Hub VIP-készletét is. Győződjön meg arról is, hogy a címtartományok nem fedik egymást.**

A FortiGate NGFW Marketplace-elemek üzembe helyezése

Ismételje meg ezeket a lépéseket mindkét Azure Stack Hub-környezetben.

  1. Nyissa meg az Azure Stack Hub felhasználói portálját. Ügyeljen arra, hogy olyan hitelesítő adatokat használjon, amelyek legalább közreműködői jogosultságokkal rendelkeznek egy előfizetéshez.

  2. Válassza az Erőforrás létrehozása lehetőséget, és keressen rá.FortiGate

    A képernyőképen egyetlen találatsor látható a

  3. Válassza a FortiGate NGFW elemet , és válassza a Létrehozás lehetőséget.

  4. Végezze el az Alapszintű beállításokat az Üzembehelyezési paraméterek tábla paramétereivel.

    Az űrlapnak a következő információkat kell tartalmaznia:

    Az Alapok párbeszédpanel szövegmezői (például a Példány neve és a BYOL-licenc) ki lettek töltve az üzembehelyezési tábla értékeivel.

  5. Válassza az OK lehetőséget.

  6. Adja meg a virtuális hálózat, az alhálózatok és a virtuális gép méretének részleteit az üzembe helyezési paraméterekből.

    Ha különböző neveket és tartományokat szeretne használni, ügyeljen arra, hogy ne használjon olyan paramétereket, amelyek ütköznek a többi VNET- és FortiGate-erőforrással a másik Azure Stack Hub-környezetben. Ez különösen igaz, ha a virtuális hálózat IP-tartományát és alhálózati tartományait a virtuális hálózaton belül állítja be. Ellenőrizze, hogy nincsenek-e átfedésben a többi létrehozott virtuális hálózat IP-címtartományaival.

  7. Válassza az OK lehetőséget.

  8. Konfigurálja a FortiGate NVA-hoz használni kívánt nyilvános IP-címet:

    Az IP-hozzárendelés párbeszédpanel

  9. Válassza az OK , majd az OK gombot.

  10. Válassza a Létrehozás lehetőséget.

Az üzembe helyezés körülbelül 10 percet vesz igénybe. Most megismételheti a lépéseket a másik FortiGate NVA- és VNET-üzembe helyezés létrehozásához a másik Azure Stack Hub-környezetben.

Útvonalak (UDR-ek) konfigurálása az egyes virtuális hálózatokhoz

Hajtsa végre ezeket a lépéseket mindkét üzemelő példány esetében: forti1-rg1 és forti2-rg1.

  1. Lépjen a forti1-rg1 erőforráscsoportra az Azure Stack Hub portálon.

    Ez egy képernyőkép a forti1-rg1 erőforráscsoport erőforrásainak listájáról.

  2. Válassza a "forti1-forti1-InsideSubnet-routes-xxxx" erőforrást.

  3. Válassza az Útvonalak lehetőséget a Beállítások területen.

    A képernyőképen a Beállítások kiemelt Útvonalak eleme látható.

  4. Törölje az internetes útvonalat.

    A képernyőképen a kiemelt internetes útvonal látható. Van egy törlés gomb.

  5. Válassza az Igen lehetőséget.

  6. Válassza a Hozzáadás lehetőséget.

  7. Nevezze el az útvonalatto-forti1 vagy to-forti2a nevet. Ha másik IP-tartományt használ, használja az IP-tartományt.

  8. Adja meg a következőt:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

  9. Válassza a Virtuális berendezés lehetőséget a Következő ugrás típushoz.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Ha másik IP-tartományt használ, használja az IP-tartományt.

    A To-forti2 útvonalának szerkesztése párbeszédpanelen értékeket tartalmazó szövegdobozok találhatók. A

  10. Kattintson a Mentés gombra.

Ismételje meg az egyes erőforráscsoportok InsideSubnet-útvonalainak lépéseit.

A FortiGate NVA-k aktiválása és IPSec VPN-kapcsolat konfigurálása minden NVA-n

Az egyes FortiGate NVA-k aktiválásához érvényes licencfájlra lesz szüksége a Fortinettől. Az NVA-k mindaddig nem működnek, amíg nem aktiválja az egyes NVA-kat. További információ a licencfájl beszerzéséről és az NVA aktiválásának lépéseiről: Fortinet Document Library (A licenc regisztrálása és letöltése).

Két licencfájlt kell beszerezni – egyet minden NVA-hoz.

IPSec VPN létrehozása a két NVA között

Miután aktiválta az NVA-kat, az alábbi lépéseket követve hozzon létre egy IPSec VPN-t a két NVA között.

Kövesse az alábbi lépéseket a forti1 NVA és a forti2 NVA esetében is:

  1. A hozzárendelt nyilvános IP-cím lekéréséhez navigáljon a fortiX virtuális gép áttekintési oldalára:

    A forti1 áttekintési oldalán látható az erőforráscsoport, az állapot stb.

  2. Másolja ki a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható. Ennek ellenére folytassa.

  3. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.

    A képernyőkép a bejelentkezési képernyőről készült, amelynek bejelentkezési gombja és a felhasználónév és a jelszó szövegmezői találhatók.

  4. Válassza a Rendszer>belső vezérlőprogramja lehetőséget.

  5. Jelölje be a legújabb belső vezérlőprogramot megjelenítő mezőt, például FortiOS v6.2.0 build0866: .

    A

  6. Válassza a Biztonsági mentés konfigurációja és frissítése , majd a Folytatás lehetőséget, amikor a rendszer kéri.

  7. Az NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra. A folyamat körülbelül öt percet vesz igénybe. Jelentkezzen be újra a FortiGate webkonzolra.

  8. Kattintson a VPN>IPSec varázslóra.

  9. Adja meg a VPN nevét, például conn1 a VPN létrehozása varázslóban.

  10. Válassza az Ez a webhely a NAT mögött lehetőséget.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépésben, a VPN-beállításon kell lennie. A következő értékek vannak kiválasztva:

  11. Kattintson a Tovább gombra.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni kíván.

  13. Válassza az 1. portot kimenő adapterként.

  14. Válassza az Előmegosztott kulcs lehetőséget, és adjon meg (és rögzítsen) egy előre megosztott kulcsot.

    Megjegyzés

    Erre a kulcsra szüksége lesz a helyszíni VPN-eszköz kapcsolatának beállításához, azaz pontosan meg kell egyeznie.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben a Hitelesítés és a kijelölt értékek vannak kiemelve.

  15. Kattintson a Tovább gombra.

  16. Válassza a port2 lehetőséget a helyi felülethez.

  17. Adja meg a helyi alhálózati tartományt:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

  18. Adja meg a megfelelő távoli alhálózatot, amely a helyszíni hálózatot jelöli, amelyhez a helyszíni VPN-eszközön keresztül csatlakozik.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Ha másik IP-tartományt használ, használja az IP-tartományt.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a harmadik lépésben, a Policy & Routing (Házirend & Útválasztás) lépésben jelenik meg, és megjeleníti a kiválasztott és beírt értékeket.

  19. Kattintson a Létrehozás elemre.

  20. Válassza a Hálózati>adapterek lehetőséget.

    A felületlista két adaptert tartalmaz: a konfigurált 1- és a 2-es portot, amelyek nem. A felületek létrehozásához, szerkesztéséhez és törléséhez gombok találhatók.

  21. Kattintson duplán a 2. portra.

  22. A Címzés módban válassza a LAN lehetőséget a Szerepkör listában, a DHCP-t pedig a Címzés módban.

  23. Válassza az OK lehetőséget.

Ismételje meg a másik NVA lépéseit.

Az összes 2. fázis választóinak beállítása

Ha a fentiek mindkét NVA esetében befejeződtek:

  1. A forti2 FortiGate webkonzolon válassza azIPsec Monitormonitorozása> lehetőséget.

    A listában a VPN-kapcsolat conn1 figyelője látható. Úgy jelenik meg, mint a megfelelő 2. fázisválasztó.

  2. Jelölje ki conn1 és válassza ki az>Összes fázis 2 választóit.

    A figyelő és a 2. fázisválasztó is felfelé jelenik meg.

Kapcsolat tesztelése és ellenőrzése

Most már képesnek kell lennie az egyes virtuális hálózatok közötti útválasztásra a FortiGate NVA-kon keresztül. A kapcsolat ellenőrzéséhez hozzon létre egy Azure Stack Hub virtuális gépet az egyes virtuális hálózatok InsideSubnetjében. Azure Stack Hub virtuális gép létrehozása a portálon, az Azure CLI-vel vagy a PowerShell-lel végezhető el. A virtuális gépek létrehozásakor:

  • Az Azure Stack Hub virtuális gépei az egyes virtuális hálózatok InsideSubnetjén vannak elhelyezve.

  • A létrehozáskor nem alkalmaz NSG-ket a virtuális gépre (azaz távolítsa el az alapértelmezés szerint hozzáadott NSG-t, ha a virtuális gépet a portálról hozza létre.

  • Győződjön meg arról, hogy a virtuálisgép-tűzfalszabályok engedélyezik a kapcsolat teszteléséhez használni kívánt kommunikációt. Tesztelési célokból javasoljuk, hogy ha lehetséges, teljesen tiltsa le a tűzfalat az operációs rendszeren belül.

Következő lépések

Az Azure Stack Hub hálózatkezelésének különbségei és szempontjai
Hálózati megoldás felajánlása az Azure Stack Hubban a Fortinet FortiGate használatával