Fortigate를 사용하여 VNet 간 연결

  • 아티클

이 문서에서는 동일한 환경에서 두 가상 네트워크 간에 연결을 만드는 방법을 설명합니다. 연결을 설정할 때 Azure Stack Hub의 VPN 게이트웨이 작동 방식을 알아봅니다. Fortinet FortiGate를 사용하여 동일한 Azure Stack Hub 환경 내에서 두 개의 VNET을 연결합니다. 이 절차에서는 각각 별도의 리소스 그룹 내의 각 VNET에 네트워크 가상 어플라이언스 FortiGate NVA를 사용하여 두 개의 VNET을 배포합니다. 또한 두 VNET 간에 IPSec VPN을 설정하는 데 필요한 변경 내용도 자세히 설명합니다. 각 VNET 배포에 대해 이 문서의 단계를 반복합니다.

사전 요구 사항

  • 이 솔루션에 필요한 컴퓨팅, 네트워크 및 리소스 요구 사항을 배포하는 데 사용할 수 있는 용량이 있는 시스템에 액세스합니다.

  • NVA(네트워크 가상 어플라이언스) 솔루션이 다운로드되어 Azure Stack Hub Marketplace에 게시되었습니다. NVA는 경계 네트워크에서 다른 네트워크 또는 서브넷으로의 네트워크 트래픽 흐름을 제어합니다. 이 절차에서는 Fortinet FortiGate 차세대 방화벽 단일 VM 솔루션을 사용합니다.

  • FortiGate NVA를 활성화하는 데 사용할 수 있는 FortiGate 라이선스 파일이 두 개 이상 있습니다. 이러한 라이선스를 가져오는 방법에 대한 자세한 내용은 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드를 참조하세요.

    이 절차에서는 단일 FortiGate-VM 배포를 사용합니다. 온-프레미스 네트워크에서 FortiGate NVA를 Azure Stack Hub VNET에 연결하는 방법에 대한 단계를 찾을 수 있습니다.

    활성-수동(HA) 설정에서 FortiGate 솔루션을 배포하는 방법에 대한 자세한 내용은 Azure의 FortiGate-VM에 대한 Fortinet 문서 라이브러리 문서 HA의 세부 정보를 참조하세요.

배포 매개 변수

다음 표에는 참조를 위해 이러한 배포에 사용되는 매개 변수가 요약되어 있습니다.

배포 1: Forti1

FortiGate 인스턴스 이름 Forti1
BYOL 라이선스/버전 6.0.3
FortiGate 관리 사용자 이름 fortiadmin
리소스 그룹 이름 forti1-rg1
가상 네트워크 이름 forti1vnet1
VNET 주소 공간 172.16.0.0/16*
공용 VNET 서브넷 이름 forti1-PublicFacingSubnet
공용 VNET 주소 접두사 172.16.0.0/24*
VNET 서브넷 이름 내부 forti1-InsideSubnet
VNET 서브넷 접두사 내부 172.16.1.0/24*
FortiGate NVA의 VM 크기 표준 F2s_v2
공용 IP 주소 이름 forti1-publicip1
공용 IP 주소 형식 정적

배포 2: Forti2

FortiGate 인스턴스 이름 Forti2
BYOL 라이선스/버전 6.0.3
FortiGate 관리 사용자 이름 fortiadmin
리소스 그룹 이름 forti2-rg1
가상 네트워크 이름 forti2vnet1
VNET 주소 공간 172.17.0.0/16*
공용 VNET 서브넷 이름 forti2-PublicFacingSubnet
공용 VNET 주소 접두사 172.17.0.0/24*
VNET 서브넷 이름 내부 Forti2-InsideSubnet
VNET 서브넷 접두사 내부 172.17.1.0/24*
FortiGate NVA의 VM 크기 표준 F2s_v2
공용 IP 주소 이름 Forti2-publicip1
공용 IP 주소 형식 정적

참고

* 위의 주소 공간 및 서브넷 접두사가 Azure Stack Hub의 VIP 풀을 포함하여 온-프레미스 네트워크 환경과 어떤 방식으로든 겹치는 경우 다른 주소 공간 및 서브넷 접두사 집합을 선택합니다. 또한 주소 범위가 서로 겹치지 않도록 합니다.

FortiGate NGFW 배포

  1. Azure Stack Hub 사용자 포털을 엽니다.

  2. 리소스 만들기를 선택하고 를 검색합니다FortiGate.

    검색 결과 목록에는 FortiGate NGFW - 단일 VM 배포가 표시됩니다.

  3. FortiGate NGFW를 선택하고 만들기를 선택합니다.

  4. 배포 매개 변수 테이블의 매개 변수를 사용하여 기본 사항을 완료합니다.

    기본 사항 화면에는 목록 및 텍스트 상자에 선택되고 입력된 배포 매개 변수의 값이 있습니다.

  5. 확인을 선택합니다.

  6. 배포 매개 변수 테이블을 사용하여 가상 네트워크, 서브넷 및 VM 크기 세부 정보를 제공합니다.

    경고

    온-프레미스 네트워크가 IP 범위 172.16.0.0/16와 겹치는 경우 다른 네트워크 범위 및 서브넷을 선택하고 설정해야 합니다. 배포 매개 변수 테이블의 이름과 범위와 다른 이름을 사용하려는 경우 온-프레미스 네트워크와 충돌하지 않는 매개 변수를 사용합니다. VNET 내에서 VNET IP 범위 및 서브넷 범위를 설정할 때 주의하세요. 범위가 온-프레미스 네트워크에 있는 IP 범위와 겹치지 않도록 합니다.

  7. 확인을 선택합니다.

  8. Fortigate NVA에 대한 공용 IP를 구성합니다.

    IP 할당 대화 상자에는

  9. 확인을 선택합니다. 그런 다음, 확인을 선택합니다.

  10. 만들기를 선택합니다.

배포에는 약 10분 정도 걸립니다.

각 VNET에 대한 경로 구성(UDR)

forti1-rg1 및 forti2-rg1 배포 모두에 대해 다음 단계를 수행합니다.

  1. Azure Stack Hub 사용자 포털을 엽니다.

  2. 리소스 그룹을 선택합니다. 필터를 입력 forti1-rg1 하고 forti1-rg1 리소스 그룹을 두 번 클릭합니다.

    forti1-rg1 리소스 그룹에 대한 10개의 리소스가 나열됩니다.

  3. forti1-forti1-InsideSubnet-routes-xxxx 리소스를 선택합니다.

  4. 설정에서 경로를 선택합니다.

    설정 대화 상자에서 경로 단추가 선택됩니다.

  5. 인터넷으로의 경로를 삭제합니다.

    인터넷으로 가는 경로는 나열된 유일한 경로이며 선택됩니다. 삭제 단추가 있습니다.

  6. 를 선택합니다.

  7. 추가를 선택하여 새 경로를 추가합니다.

  8. 경로 to-onprem이름을 로 지정합니다.

  9. VPN이 연결할 온-프레미스 네트워크의 네트워크 범위를 정의하는 IP 네트워크 범위를 입력합니다.

  10. 다음 홉 유형172.16.1.4에 대한 가상 어플라이언스 선택합니다. 다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.

    경로 추가 대화 상자에는 텍스트 상자에 선택되어 입력된 4개의 값이 표시됩니다.

  11. 저장을 선택합니다.

각 FortiGate NVA를 활성화하려면 Fortinet의 유효한 라이선스 파일이 필요합니다. NVA는 각 NVA를 활성화할 때까지 작동하지 않습니다 . 라이선스 파일을 가져오는 방법 및 NVA를 활성화하는 단계에 대한 자세한 내용은 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드 문서를 참조하세요.

NVA마다 하나씩 두 개의 라이선스 파일을 획득해야 합니다.

두 NVA 간에 IPSec VPN 만들기

NVA가 활성화되면 다음 단계에 따라 두 NVA 간에 IPSec VPN을 만듭니다.

forti1 NVA 및 forti2 NVA 모두에 대해 아래 단계를 수행합니다.

  1. fortiX VM 개요 페이지로 이동하여 할당된 공용 IP 주소를 가져옵니다.

    forti1 가상 머신 개요 페이지에는

  2. 할당된 IP 주소를 복사하고 브라우저를 열고 주소를 주소 표시줄에 붙여넣습니다. 브라우저에서 보안 인증서를 신뢰할 수 없음을 경고할 수 있습니다. 어쨌든 계속합니다.

  3. 배포 중에 제공한 FortiGate 관리 사용자 이름 및 암호를 입력합니다.

    로그인 대화 상자에는 사용자 및 암호 텍스트 상자와 로그인 단추가 있습니다.

  4. 시스템>펌웨어를 선택합니다.

  5. 최신 펌웨어를 보여 주는 상자(예: FortiOS v6.2.0 build0866)를 선택합니다.

    펌웨어 대화 상자에는 펌웨어 식별자

  6. 백업 구성을 선택하고 계속을 업그레이드>합니다.

  7. NVA는 펌웨어를 최신 빌드로 업데이트하고 다시 부팅합니다. 이 프로세스는 약 5분이 걸립니다. FortiGate 웹 콘솔에 다시 로그인합니다.

  8. VPN>IPSec 마법사를 클릭합니다.

  9. 예를 들어 conn1 VPN 만들기 마법사에서 VPN의 이름을 입력합니다.

  10. 이 사이트가 NAT 뒤에 있습니다를 선택합니다.

    VPN 만들기 마법사의 스크린샷은 첫 번째 단계인 VPN 설치에 있는 것으로 표시됩니다. 템플릿 형식의 경우

  11. 다음을 선택합니다.

  12. 연결할 온-프레미스 VPN 디바이스의 원격 IP 주소를 입력합니다.

  13. 나가는 인터페이스port1을 선택합니다.

  14. 사전 공유 키를 선택하고 미리 공유된 키를 입력(및 기록)합니다.

    참고

    온-프레미스 VPN 디바이스에서 연결을 설정하려면 이 키가 필요합니다. 즉, 정확히 일치해야 합니다.

    VPN 만들기 마법사의 스크린샷은 두 번째 단계인 인증에 표시되고 선택한 값이 강조 표시됩니다.

  15. 다음을 선택합니다.

  16. 로컬 인터페이스에 대해 port2를 선택합니다.

  17. 로컬 서브넷 범위를 입력합니다.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.

  18. 온-프레미스 VPN 디바이스를 통해 연결할 온-프레미스 네트워크를 나타내는 적절한 원격 서브넷을 입력합니다.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    다른 IP 범위를 사용하는 경우 IP 범위를 사용합니다.

    VPN 만들기 마법사의 스크린샷은 세 번째 단계인 정책 & 라우팅에 있는 것으로 표시됩니다. 선택한 값과 입력된 값을 표시합니다.

  19. 만들기를 선택합니다.

  20. 네트워크>인터페이스를 선택합니다.

    인터페이스 목록에는 구성된 port1과 구성되지 않은 port2의 두 인터페이스가 표시됩니다. 인터페이스를 만들고, 편집하고, 삭제하는 단추가 있습니다.

  21. port2를 두 번 클릭합니다.

  22. 역할 목록에서 LAN을 선택하고 주소 지정 모드로 DHCP를 선택합니다.

  23. 확인을 선택합니다.

다른 NVA에 대한 단계를 반복합니다.

모든 2단계 선택기 표시

NVA에 대해 위의 작업이 완료되면 다음을 수행합니다.

  1. forti2 FortiGate 웹 콘솔에서IPsec 모니터모니터링>을 선택합니다.

    VPN 연결 conn1용 모니터가 나열됩니다. 해당 2단계 선택기처럼 다운된 것으로 표시됩니다.

  2. 모든 2단계 선택기를 강조 conn1 표시하고 선택합니다>.

    모니터와 2단계 선택기가 모두 위로 표시됩니다.

연결 테스트 및 유효성 검사

이제 FortiGate NVA를 통해 각 VNET 간에 라우팅할 수 있습니다. 연결의 유효성을 검사하려면 각 VNET의 InsideSubnet에 Azure Stack Hub VM을 만듭니다. Azure Stack Hub VM 만들기는 포털, Azure CLI 또는 PowerShell을 통해 수행할 수 있습니다. VM을 만드는 경우:

  • Azure Stack Hub VM은 각 VNET의 InsideSubnet 에 배치됩니다.

  • 만들 때 VM에 NSG를 적용 하지 않습니다 (즉, 포털에서 VM을 만드는 경우 기본적으로 추가되는 NSG를 제거합니다.

  • VMS 방화벽 규칙이 연결을 테스트하는 데 사용할 통신을 허용하는지 확인합니다. 테스트 목적으로 가능한 경우 OS 내에서 방화벽을 완전히 사용하지 않도록 설정하는 것이 좋습니다.

다음 단계

Azure Stack Hub 네트워킹에 대한 차이점 및 고려 사항
Fortinet FortiGate를 사용하여 Azure Stack Hub에서 네트워크 솔루션 제공