VNet VNet-kapcsolattal a FortiGateVNet to VNet connectivity with Fortigate

Ez a cikk azt ismerteti, hogyan hozható létre kapcsolat két virtuális hálózat között ugyanabban a környezetben.This article describes how to create a connection between two virtual networks in the same environment. A kapcsolatok beállításakor megtudhatja, hogyan működik a VPN-átjárók Azure Stack hub-ban.When you set up the connections, you learn how VPN gateways in Azure Stack Hub work. Két virtuális hálózatok összekötése ugyanazon a Azure Stack hub-környezeten belül a Fortinet FortiGate használatával.Connect two VNETs within the same Azure Stack Hub environment using Fortinet FortiGate. Ez az eljárás két virtuális hálózatok helyez üzembe egy FortiGate NVA, egy hálózati virtuális berendezéssel, mindegyik VNET külön erőforráscsoporthoz.This procedure deploys two VNETs with a FortiGate NVA, a network virtual appliance, in each VNET each within a separate resource group. Emellett részletesen ismerteti a két virtuális hálózatok közötti IPSec VPN beállításához szükséges módosításokat is.It also details the changes required to set up an IPSec VPN between the two VNETs. Ismételje meg a cikkben ismertetett lépéseket az egyes VNET-telepítések esetében.Repeat the steps in this article for each VNET deployment.

ElőfeltételekPrerequisites

  • Hozzáférés a rendelkezésre álló kapacitással rendelkező rendszerekhez a megoldáshoz szükséges számítási, hálózati és erőforrás-követelmények telepítéséhez.Access to a system with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

  • Egy hálózati virtuális berendezés (NVA) megoldást töltöttek le és tesznek közzé az Azure Stack hub piactéren.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. Az NVA vezérli a peremhálózat hálózati forgalmának áramlását más hálózatokra vagy alhálózatokra.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. Ez az eljárás a Fortinet FortiGate következő generációs tűzfalának egyetlen virtuálisgép-megoldásáthasználja.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • Legalább két elérhető FortiGate a FortiGate-NVA aktiválásához.At least two available FortiGate license files to activate the FortiGate NVA. A licencek beszerzésével kapcsolatos információkért tekintse meg a Fortinet a regisztráció és a licenc letöltésecímű cikket.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    Ez az eljárás az egyetlen FortiGate-VM-telepítésthasználja.This procedure uses the Single FortiGate-VM deployment. A FortiGate-NVA a helyszíni hálózatban lévő, a Azure Stack hub VNET való összekapcsolásával kapcsolatban talál további lépéseket.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    A FortiGate-megoldás aktív-passzív (HA) beállítással történő üzembe helyezésével kapcsolatos további információkért tekintse meg az Azure-beli FortiGate-VMFortinet dokumentációjában található részleteket.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the details in the Fortinet Document Library article HA for FortiGate-VM on Azure.

Központi telepítési paraméterekDeployment parameters

Az alábbi táblázat összefoglalja a központi telepítésekben használt paramétereket a következő hivatkozással:The following table summarizes the parameters that are used in these deployments for reference:

Központi telepítés: Forti1Deployment one: Forti1

FortiGate-példány neveFortiGate Instance Name Forti1Forti1
BYOL-licenc/-verzióBYOL License/Version 6.0.36.0.3
FortiGate rendszergazdai FelhasználónévFortiGate administrative username fortiadminfortiadmin
Erőforráscsoport neveResource Group name forti1-rg1forti1-rg1
Virtuális hálózat neveVirtual network name forti1vnet1forti1vnet1
VNET címterületVNET Address Space 172.16.0.0/16 *172.16.0.0/16*
Nyilvános VNET alhálózatának nevePublic VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
Nyilvános VNET-címek előtagjaPublic VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
VNET alhálózatának neveInside VNET subnet name forti1-InsideSubnetforti1-InsideSubnet
VNET alhálózati előtagon belülInside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
FortiGate NVA virtuális gép méreteVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Nyilvános IP-címPublic IP address name forti1-publicip1forti1-publicip1
Nyilvános IP-cím típusaPublic IP address type StatikusStatic

Kettő üzembe helyezése: Forti2Deployment two: Forti2

FortiGate-példány neveFortiGate Instance Name Forti2Forti2
BYOL-licenc/-verzióBYOL License/Version 6.0.36.0.3
FortiGate rendszergazdai FelhasználónévFortiGate administrative username fortiadminfortiadmin
Erőforráscsoport neveResource Group name forti2-rg1forti2-rg1
Virtuális hálózat neveVirtual network name forti2vnet1forti2vnet1
VNET címterületVNET Address Space 172.17.0.0/16 *172.17.0.0/16*
Nyilvános VNET alhálózatának nevePublic VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
Nyilvános VNET-címek előtagjaPublic VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
VNET alhálózatának neveInside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
VNET alhálózati előtagon belülInside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
FortiGate NVA virtuális gép méreteVM Size of FortiGate NVA Standard F2s_v2Standard F2s_v2
Nyilvános IP-címPublic IP address name Forti2-publicip1Forti2-publicip1
Nyilvános IP-cím típusaPublic IP address type StatikusStatic

Megjegyzés

* Válasszon másik címtartományt és alhálózati előtagokat, ha a fentiek bármilyen módon átfedésben vannak a helyszíni hálózati környezettel, beleértve a Azure Stack hub VIP-készletét.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. Győződjön meg arról is, hogy a címtartományok nem fedik át egymást egymással.Also ensure that the address ranges do not overlap with one another.

A FortiGate-NGFW üzembe helyezéseDeploy the FortiGate NGFW

  1. Nyissa meg az Azure Stack hub felhasználói portált.Open the Azure Stack Hub user portal.

  2. Válassza az erőforrás létrehozása elemet, és keresse meg a következőt: FortiGate .Select Create a resource and search for FortiGate.

    A keresési eredmények listája a FortiGate NGFW – egyetlen virtuálisgép-telepítést jeleníti meg.

  3. Válassza ki a FORTIGATE NGFW , és válassza a Létrehozás lehetőséget.Select the FortiGate NGFW and select Create.

  4. Fejezze be az alapismereteket a telepítési paraméterek táblázat paramétereinek használatával.Complete the Basics using the parameters from the Deployment parameters table.

    Az alapvető beállítások képernyő a kiválasztott központi telepítési paraméterek értékeit tartalmazza, és a listában és a szövegmezőben szerepel.

  5. Kattintson az OK gombra.Select OK.

  6. Adja meg a virtuális hálózatot, az alhálózatokat és a virtuális gép méretét a telepítési paraméterek táblázat használatával.Provide the Virtual network, Subnets, and VM Size details using the Deployment parameters table.

    Figyelmeztetés

    Ha a helyszíni hálózat átfedésben van az IP-tartománnyal 172.16.0.0/16 , ki kell választania és be kell állítania egy másik hálózati tartományt és alhálózatot.If the on-premises network overlaps with the IP range 172.16.0.0/16, you must select and set up a different network range and subnets. Ha más neveket és tartományokat kíván használni a telepítési paraméterek táblázatban, akkor olyan paramétereket használjon, amelyek nem ütköznek a helyszíni hálózattal.If you wish to use different names and ranges than the ones in the Deployment parameters table, use parameters that will not conflict with the on-premises network. Ügyeljen arra, hogy a VNET IP-címtartomány és alhálózati tartományok beállítása a VNET belül történjen.Take care when setting the VNET IP range and subnet ranges within the VNET. Nem szeretné, hogy a tartomány átfedésben legyen a helyszíni hálózatban található IP-tartományokkal.You do not want the range to overlap with the IP ranges that exist in your on-premises network.

  7. Kattintson az OK gombra.Select OK.

  8. Konfigurálja a FortiGate NVA tartozó nyilvános IP-címet:Configure the Public IP for the Fortigate NVA:

    Az IP-hozzárendelés párbeszédpanel a "nyilvános IP-cím" forti1 és a "nyilvános IP-cím" típushoz statikus "publicip1" értéket jeleníti meg.

  9. Kattintson az OK gombra.Select OK. Majd válassza az OK elemet.And then select OK.

  10. Kattintson a Létrehozás gombra.Select Create.

Az üzembe helyezés körülbelül 10 percet vesz igénybe.The deployment will take about 10 minutes.

Útvonalak (UDR) konfigurálása az egyes VNETConfigure routes (UDRs) for each VNET

Hajtsa végre ezeket a lépéseket mindkét központi telepítéshez, a forti1-rg1 és a forti2-rg1-hez.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Nyissa meg az Azure Stack hub felhasználói portált.Open the Azure Stack Hub user portal.

  2. Válassza az Erőforráscsoportok lehetőséget.Select Resource groups. Írja be forti1-rg1 a szűrőt, majd kattintson duplán a forti1-rg1 erőforráscsoport elemre.Type forti1-rg1 in the filter and double-click the forti1-rg1 resource group.

    Tíz erőforrás szerepel a forti1-rg1 erőforráscsoport listájában.

  3. Válassza ki a forti1-forti1-InsideSubnet-Routes-XXXX erőforrást.Select the forti1-forti1-InsideSubnet-routes-xxxx resource.

  4. Válassza az útvonalak elemet a Beállítások területen.Select Routes under Settings.

    Az útvonalak gomb a beállítások párbeszédpanelen van kiválasztva.

  5. Törölje a to-Internet útvonalat.Delete the to-Internet Route.

    A to-Internet útvonal az egyetlen felsorolt útvonal, és ki van választva.

  6. Válassza az Igen lehetőséget.Select Yes.

  7. Új útvonal hozzáadásához válassza a Hozzáadás lehetőséget.Select Add to add a new route.

  8. Nevezze el az útvonalat to-onprem .Name the route to-onprem.

  9. Adja meg az IP-hálózati tartományt, amely meghatározza annak a helyszíni hálózatnak a hálózati tartományát, amelyhez a VPN csatlakozni fog.Enter the IP network range that defines the network range of the on-premises network to which the VPN will connect.

  10. Válassza a virtuális berendezés lehetőséget a következő ugrási típushoz és 172.16.1.4 .Select Virtual appliance for Next hop type and 172.16.1.4. Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

    Az útvonal hozzáadása párbeszédpanel a négy kiválasztott és a szövegmezőben megadott értékeket jeleníti meg.

  11. Válassza a Mentés lehetőséget.Select Save.

Az egyes FortiGate-NVA aktiválásához szüksége lesz egy érvényes Fortinet-fájlra.You will need a valid license file from Fortinet to activate each FortiGate NVA. A NVA addig nem fog működni, amíg be nem aktiválja az egyes NVA.The NVAs will not function until you have activated each NVA. A licencfájl beszerzésével és a NVA aktiválásához szükséges lépésekkel kapcsolatos további információkért tekintse meg a Fortinet-dokumentum regisztrálásával és a licenc letöltésévelfoglalkozó cikket.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

Két licencfájl beszerzése szükséges – egyet az egyes NVA.Two license files will need to be acquired – one for each NVA.

IPSec VPN létrehozása a két NVA közöttCreate an IPSec VPN between the two NVAs

A NVA aktiválása után a következő lépésekkel hozzon létre egy IPSec VPN-t a két NVA között.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

A forti1 NVA és a forti2 NVA az alábbi lépéseket követve:Following the below steps for both the forti1 NVA and forti2 NVA:

  1. A hozzárendelt nyilvános IP-cím lekéréséhez navigáljon a fortiX VM – áttekintés oldalra:Get the assigned Public IP address by navigating to the fortiX VM overview page:

    A forti1 virtuális gép áttekintő lapja a forti1, például az "erőforráscsoport" és az állapot értékeket jeleníti meg.

  2. Másolja a hozzárendelt IP-címet, nyisson meg egy böngészőt, és illessze be a címet a címsorba.Copy the assigned IP address, open a browser, and paste the address into the address bar. Előfordulhat, hogy a böngésző figyelmezteti, hogy a biztonsági tanúsítvány nem megbízható.Your browser may warn you that the security certificate is not trusted. Folytatás mindenképpen.Continue anyway.

  3. Adja meg az üzembe helyezés során megadott FortiGate rendszergazdai felhasználónevet és jelszót.Enter the FortiGate administrative user name and password you provided during the deployment.

    A Bejelentkezés párbeszédpanelen a felhasználó és a jelszó szövegmezők és a bejelentkezési gomb is látható.

  4. Válassza a > rendszerbelső vezérlőprogram lehetőséget.Select System > Firmware.

  5. Jelölje be a legújabb belső vezérlőprogram, például a következőt: FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    A belső vezérlőprogram párbeszédpanel a "FortiOS v 6.2.0 build0866" belső vezérlőprogram-azonosítót, egy kibocsátási megjegyzésekre mutató hivatkozást és két gombot tartalmaz: "Backup config and Upgrade" és upgrade.

  6. Válassza a biztonsági mentési konfiguráció és a frissítés > folytatása lehetőséget.Select Backup config and upgrade > Continue.

  7. A NVA frissíti a belső vezérlőprogramot a legújabb buildekre és újraindításokra.The NVA updates its firmware to the latest build and reboots. A folyamat körülbelül öt percet vesz igénybe.The process takes about five minutes. Jelentkezzen be újra a FortiGate webkonzolra.Log back into the FortiGate web console.

  8. Kattintson a VPN > IPSec varázsló elemre.Click VPN > IPSec Wizard.

  9. Adja meg a VPN nevét, például conn1 a VPN-létrehozási varázslóban.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. Válassza ezt a helyet a NAT mögött.Select This site is behind NAT.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy az első lépésben, a VPN-beállításban kell lennie.

  11. Kattintson a Tovább gombra.Select Next.

  12. Adja meg annak a helyszíni VPN-eszköznek a távoli IP-címét, amelyhez csatlakozni fog.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. A kimenő illesztőfelületként válassza a port1 lehetőséget.Select port1 as the Outgoing Interface.

  14. Válassza az előmegosztott kulcs lehetőséget, és adja meg (és jegyezze fel) az előmegosztott kulcsot.Select Pre-shared Key and enter (and record) a pre-shared key.

    Megjegyzés

    Erre a kulcsra szüksége lesz a kapcsolat beállításához a helyszíni VPN-eszközön, azaz pontosan meg kell egyeznie.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a második lépésben, a hitelesítésen és a kiválasztott értékek kiemelése megtörténik.

  15. Kattintson a Tovább gombra.Select Next.

  16. Válassza a port2 lehetőséget a helyi adapterhez.Select port2 for the Local Interface.

  17. Adja meg a helyi alhálózat tartományát:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

  18. Adja meg a helyszíni hálózatot jelölő megfelelő távoli alhálózatot, amelyet a helyszíni VPN-eszközön keresztül fog csatlakozni.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    Ha más IP-címtartományt használ, használja az IP-címtartományt.Use your IP range if you are using a different IP range.

    A VPN-létrehozási varázsló képernyőképe azt mutatja, hogy a harmadik lépés, a házirend & az Útválasztás.

  19. Kattintson a Létrehozás elemre.Select Create

  20. Válassza a hálózati > adapterek lehetőséget.Select Network > Interfaces.

    Az illesztőfelületek listáján két interfész látható: port1, amely konfigurálva van, és port2, amely még nem.

  21. Kattintson duplán a port2 elemre.Double-click port2.

  22. Válassza a helyi hálózat lehetőséget a szerepkör listában és a DHCP- ben a címzési mód beállításnál.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. Kattintson az OK gombra.Select OK.

Ismételje meg a többi NVA lépéseit.Repeat the steps for the other NVA.

A 2. fázis összes Választójának felébresztéseBring Up All Phase 2 Selectors

Miután a fentiek befejeződtek mindkét NVA esetében:Once the above has been completed for both NVAs:

  1. A forti2 FortiGate webkonzolon válassza az Monitor > IPSec-figyelő figyelése lehetőséget.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    Megjelenik a VPN-kapcsolat conn1 figyelő.

  2. Jelölje ki conn1 és válassza Bring Up ki az > összes fázis 2 választók lehetőséget.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    A figyelő és a 2. fázis választó is megjelenik.

Kapcsolat tesztelése és érvényesítéseTest and validate connectivity

A FortiGate-NVA keresztül most már képesnek kell lennie az egyes VNET közötti útválasztásra.You should now be able to route in between each VNET via the FortiGate NVAs. A kapcsolódás ellenőrzéséhez hozzon létre egy Azure Stack hub virtuális gépet az egyes VNET InsideSubnet.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Azure Stack hub-alapú virtuális gép létrehozása a portálon, a CLI-n vagy a PowerShellen keresztül végezhető el.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Virtuális gépek létrehozásakor:When creating the VMs:

  • Az Azure Stack hub virtuális gépek az egyes VNET InsideSubnet lesznek elhelyezve.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • A létrehozáskor semmilyen NSG nem alkalmaz a virtuális gépre (azaz eltávolítja az alapértelmezés szerint hozzáadott NSG, ha létrehozza a virtuális gépet a portálról.You don't apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if you create the VM from the portal.

  • Győződjön meg arról, hogy a virtuális gépek tűzfalszabályok lehetővé teszik a kapcsolat teszteléséhez használni kívánt kommunikációt.Ensure that the VMS firewall rules allow the communication you are going to use to test connectivity. Tesztelési célból javasoljuk, hogy a tűzfalat teljes mértékben tiltsa le az operációs rendszeren belül, ha lehetséges.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

További lépésekNext steps

A Azure Stack hub hálózatkezelésével kapcsolatos különbségek és megfontolásokDifferences and considerations for Azure Stack Hub networking
Hálózati megoldás nyújtása Azure Stack központban a Fortinet FortiGateOffer a network solution in Azure Stack Hub with Fortinet FortiGate