Fortigate를 사용 하 여 VNet 간 연결VNet to VNet connectivity with Fortigate

이 문서에서는 동일한 환경에서 두 가상 네트워크 간의 연결을 만드는 방법을 설명 합니다.This article describes how to create a connection between two virtual networks in the same environment. 연결을 설정할 때 Azure Stack 허브의 VPN gateway가 작동 하는 방식에 대해 알아봅니다.When you set up the connections, you learn how VPN gateways in Azure Stack Hub work. Fortinet FortiGate를 사용 하 여 동일한 Azure Stack 허브 환경 내에서 두 개의 Vnet를 연결 합니다.Connect two VNETs within the same Azure Stack Hub environment using Fortinet FortiGate. 이 절차는 각각 별도의 리소스 그룹에 있는 각 VNET에서 FortiGate NVA, 네트워크 가상 어플라이언스를 사용 하 여 두 개의 Vnet를 배포 합니다.This procedure deploys two VNETs with a FortiGate NVA, a network virtual appliance, in each VNET each within a separate resource group. 또한 두 Vnet 간에 IPSec VPN을 설정 하는 데 필요한 변경 사항에 대해 자세히 설명 합니다.It also details the changes required to set up an IPSec VPN between the two VNETs. 각 VNET 배포에 대해이 문서의 단계를 반복 합니다.Repeat the steps in this article for each VNET deployment.

필수 구성 요소Prerequisites

  • 이 솔루션에 필요한 계산, 네트워크 및 리소스 요구 사항을 배포 하는 데 사용할 수 있는 용량이 있는 시스템에 액세스 합니다.Access to a system with available capacity to deploy the required compute, network, and resource requirements needed for this solution.

  • NVA (네트워크 가상 어플라이언스) 솔루션이 다운로드 되어 Azure Stack Hub Marketplace에 게시 됩니다.A network virtual appliance (NVA) solution downloaded and published to the Azure Stack Hub Marketplace. NVA는 경계 네트워크에서 다른 네트워크 또는 서브넷으로의 네트워크 트래픽 흐름을 제어 합니다.An NVA controls the flow of network traffic from a perimeter network to other networks or subnets. 이 절차에서는 Fortinet FortiGate 차세대 방화벽 단일 VM 솔루션을 사용 합니다.This procedure uses the Fortinet FortiGate Next-Generation Firewall Single VM Solution.

  • FortiGate NVA를 활성화 하는 데 사용할 수 있는 두 개 이상의 FortiGate 라이선스 파일입니다.At least two available FortiGate license files to activate the FortiGate NVA. 이러한 라이선스를 얻는 방법에 대 한 정보는 Fortinet 문서 라이브러리 문서 라이선스 등록 및 다운로드를 참조 하세요.Information on how to get these licenses, see the Fortinet Document Library article Registering and downloading your license.

    이 절차에서는 단일 FortiGate-VM 배포를 사용 합니다.This procedure uses the Single FortiGate-VM deployment. 온-프레미스 네트워크에서 Azure Stack 허브 VNET에 FortiGate NVA를 연결 하는 방법에 대 한 단계를 찾을 수 있습니다.You can find steps on how to connect the FortiGate NVA to the Azure Stack Hub VNET to in your on-premises network.

    HA (활성-수동) 설정에서 FortiGate 솔루션을 배포 하는 방법에 대 한 자세한 내용은 Fortinet 문서 라이브러리 문서 Azure의 fortigate-VM의 세부 정보를 참조 하세요.For more information on how to deploy the FortiGate solution in an active-passive (HA) set up, see the details in the Fortinet Document Library article HA for FortiGate-VM on Azure.

배포 매개 변수Deployment parameters

다음 표에서는 이러한 배포에서 참조할 수 있는 매개 변수를 요약 하 여 보여 줍니다.The following table summarizes the parameters that are used in these deployments for reference:

배포 1: Forti1Deployment one: Forti1

FortiGate 인스턴스 이름FortiGate Instance Name Forti1Forti1
BYOL 라이선스/버전BYOL License/Version 6.0.36.0.3
FortiGate 관리 사용자 이름FortiGate administrative username fortiadminfortiadmin
리소스 그룹 이름Resource Group name forti1-rg1forti1-rg1
가상 네트워크 이름Virtual network name forti1vnet1forti1vnet1
VNET 주소 공간VNET Address Space 172.16.0.0/16 *172.16.0.0/16*
공용 VNET 서브넷 이름Public VNET subnet name forti1-PublicFacingSubnetforti1-PublicFacingSubnet
공용 VNET 주소 접두사Public VNET address prefix 172.16.0.0/24 *172.16.0.0/24*
내부 VNET 서브넷 이름Inside VNET subnet name forti1-Insubnetforti1-InsideSubnet
내부 VNET 서브넷 접두사Inside VNET subnet prefix 172.16.1.0/24 *172.16.1.0/24*
FortiGate의 VM 크기 NVAVM Size of FortiGate NVA 표준 F2s_v2Standard F2s_v2
공용 IP 주소 이름Public IP address name forti1-publicip1forti1-publicip1
공용 IP 주소 유형Public IP address type 정적Static

배포 2: Forti2Deployment two: Forti2

FortiGate 인스턴스 이름FortiGate Instance Name Forti2Forti2
BYOL 라이선스/버전BYOL License/Version 6.0.36.0.3
FortiGate 관리 사용자 이름FortiGate administrative username fortiadminfortiadmin
리소스 그룹 이름Resource Group name forti2-rg1forti2-rg1
가상 네트워크 이름Virtual network name forti2vnet1forti2vnet1
VNET 주소 공간VNET Address Space 172.17.0.0/16 *172.17.0.0/16*
공용 VNET 서브넷 이름Public VNET subnet name forti2-PublicFacingSubnetforti2-PublicFacingSubnet
공용 VNET 주소 접두사Public VNET address prefix 172.17.0.0/24 *172.17.0.0/24*
내부 VNET 서브넷 이름Inside VNET subnet name Forti2-InsideSubnetForti2-InsideSubnet
내부 VNET 서브넷 접두사Inside VNET subnet prefix 172.17.1.0/24 *172.17.1.0/24*
FortiGate의 VM 크기 NVAVM Size of FortiGate NVA 표준 F2s_v2Standard F2s_v2
공용 IP 주소 이름Public IP address name Forti2-publicip1Forti2-publicip1
공용 IP 주소 유형Public IP address type 정적Static

참고

* Azure Stack 허브의 VIP 풀을 포함 하 여 온-프레미스 네트워크 환경에서 위와 같은 방식으로 겹치는 경우 다른 주소 공간 및 서브넷 접두사 집합을 선택 합니다.* Choose a different set of address spaces and subnet prefixes if the above overlap in any way with the on-premises network environment including the VIP Pool of either Azure Stack Hub. 또한 주소 범위가 서로 겹치지 않도록 해야 합니다.Also ensure that the address ranges do not overlap with one another.

FortiGate NGFW 배포Deploy the FortiGate NGFW

  1. Azure Stack 허브 사용자 포털을 엽니다.Open the Azure Stack Hub user portal.

  2. 리소스 만들기 를 선택 하 고을 검색 FortiGate 합니다.Select Create a resource and search for FortiGate.

    검색 결과 목록에는 FortiGate NGFW 단일 VM 배포가 표시 됩니다.

  3. Fortigate NGFW 를 선택 하 고 만들기 를 선택 합니다.Select the FortiGate NGFW and select Create.

  4. 배포 매개 변수 표의 매개 변수를 사용 하 여 기본 사항을 완료 합니다.Complete the Basics using the parameters from the Deployment parameters table.

    기본 화면에는 선택한 배포 매개 변수 값이 나열 되 고 목록 및 텍스트 상자에 입력 됩니다.

  5. 확인 을 선택합니다.Select OK.

  6. 배포 매개 변수 표를 사용 하 여 가상 네트워크, 서브넷 및 VM 크기 세부 정보를 제공 합니다.Provide the Virtual network, Subnets, and VM Size details using the Deployment parameters table.

    경고

    온-프레미스 네트워크가 IP 범위와 겹치면 172.16.0.0/16 다른 네트워크 범위 및 서브넷을 선택 하 고 설정 해야 합니다.If the on-premises network overlaps with the IP range 172.16.0.0/16, you must select and set up a different network range and subnets. 배포 매개 변수 테이블의 이름과 범위를 다른 이름으로 사용 하려는 경우 온-프레미스 네트워크와 충돌 하지 않는 매개 변수를 사용 합니다.If you wish to use different names and ranges than the ones in the Deployment parameters table, use parameters that will not conflict with the on-premises network. Vnet 내에서 VNET IP 범위 및 서브넷 범위를 설정할 때는 주의 해야 합니다.Take care when setting the VNET IP range and subnet ranges within the VNET. 범위가 온-프레미스 네트워크에 존재 하는 IP 범위와 겹치지 않도록 합니다.You do not want the range to overlap with the IP ranges that exist in your on-premises network.

  7. 확인 을 선택합니다.Select OK.

  8. Fortigate NVA에 대 한 공용 IP를 구성 합니다.Configure the Public IP for the Fortigate NVA:

    IP 할당 대화 상자에는 "공용 IP 주소 이름"에 대 한 forti1-publicip1 값과 "공용 IP 주소 유형"에 대 한 정적 값이 표시 됩니다.

  9. 확인 을 선택합니다.Select OK. 그런 다음, 확인 을 선택합니다.And then select OK.

  10. 만들기 를 선택합니다.Select Create.

배포에는 약 10분 정도 걸립니다.The deployment will take about 10 minutes.

각 VNET에 대 한 경로 (UDRs) 구성Configure routes (UDRs) for each VNET

Forti1-rg1 및 forti2-rg1의 두 배포 모두에 대해 이러한 단계를 수행 합니다.Perform these steps for both deployments, forti1-rg1 and forti2-rg1.

  1. Azure Stack 허브 사용자 포털을 엽니다.Open the Azure Stack Hub user portal.

  2. 리소스 그룹을 선택합니다.Select Resource groups. 필터를 입력 forti1-rg1 하 고 forti1-rg1 리소스 그룹을 두 번 클릭 합니다.Type forti1-rg1 in the filter and double-click the forti1-rg1 resource group.

    Forti1-rg1 리소스 그룹에 대해 10 개의 리소스가 나열 됩니다.

  3. Forti1- forti1-xxxx 리소스를 선택 합니다.Select the forti1-forti1-InsideSubnet-routes-xxxx resource.

  4. 설정 에서 경로 를 선택 합니다.Select Routes under Settings.

    설정 대화 상자에서 경로 단추가 선택 됩니다.

  5. 인터넷 경로 삭제 합니다.Delete the to-Internet Route.

    인터넷 경로는 나열 된 유일한 경로 이며 선택 됩니다.

  6. 를 선택합니다.Select Yes.

  7. 추가 를 선택 하 여 새 경로를 추가 합니다.Select Add to add a new route.

  8. 경로 이름을로 to-onprem 합니다.Name the route to-onprem.

  9. VPN이 연결 될 온-프레미스 네트워크의 네트워크 범위를 정의 하는 IP 네트워크 범위를 입력 합니다.Enter the IP network range that defines the network range of the on-premises network to which the VPN will connect.

  10. 다음 홉 유형 및에 대해 가상 어플라이언스 를 선택 172.16.1.4 합니다.Select Virtual appliance for Next hop type and 172.16.1.4. 다른 IP 범위를 사용 하는 경우 IP 범위를 사용 합니다.Use your IP range if you are using a different IP range.

    경로 추가 대화 상자에는 텍스트 상자에 선택 되어 입력 된 4 개의 값이 표시 됩니다.

  11. 저장 을 선택합니다.Select Save.

각 FortiGate NVA를 활성화 하려면 Fortinet의 유효한 라이선스 파일이 필요 합니다.You will need a valid license file from Fortinet to activate each FortiGate NVA. Nva는 각 NVA를 활성화할 때까지 작동 하지 않습니다.The NVAs will not function until you have activated each NVA. 라이선스 파일을 가져오는 방법 및 NVA를 활성화 하는 단계에 대 한 자세한 내용은 Fortinet Document Library 문서 라이선스 등록 및 다운로드를 참조 하세요.For more information how to get a license file and steps to activate the NVA, see the Fortinet Document Library article Registering and downloading your license.

각 NVA에 대해 하나씩, 두 개의 라이선스 파일을 획득 해야 합니다.Two license files will need to be acquired – one for each NVA.

두 Nva 간에 IPSec VPN을 만듭니다.Create an IPSec VPN between the two NVAs

Nva가 활성화 되 면 다음 단계에 따라 두 Nva 간에 IPSec VPN을 만듭니다.Once the NVAs have been activated, follow these steps to create an IPSec VPN between the two NVAs.

Forti1 NVA 및 forti2 NVA 모두에 대해 아래 단계를 수행 합니다.Following the below steps for both the forti1 NVA and forti2 NVA:

  1. FortiX VM 개요 페이지로 이동 하 여 할당 된 공용 IP 주소를 가져옵니다.Get the assigned Public IP address by navigating to the fortiX VM overview page:

    Forti1 가상 컴퓨터 개요 페이지에는 "리소스 그룹" 및 상태와 같은 forti1 값이 표시 됩니다.

  2. 할당 된 IP 주소를 복사 하 여 브라우저를 열고 주소 표시줄에 주소를 붙여넣습니다.Copy the assigned IP address, open a browser, and paste the address into the address bar. 보안 인증서를 신뢰할 수 없음을 브라우저에서 경고할 수 있습니다.Your browser may warn you that the security certificate is not trusted. 계속 합니다.Continue anyway.

  3. 배포 하는 동안 제공한 FortiGate 관리 사용자 이름 및 암호를 입력 합니다.Enter the FortiGate administrative user name and password you provided during the deployment.

    로그인 대화 상자에는 사용자 및 암호 텍스트 상자와 로그인 단추가 있습니다.

  4. 시스템 > 펌웨어 를 선택 합니다.Select System > Firmware.

  5. 최신 펌웨어를 표시 하는 상자를 선택 합니다 (예:) FortiOS v6.2.0 build0866 .Select the box showing the latest firmware, for example, FortiOS v6.2.0 build0866.

    펌웨어 대화 상자에는 펌웨어 식별자 "FortiOS v 6.2.0 build0866", 릴리스 정보에 대 한 링크, "백업 구성 및 업그레이드", 업그레이드의 두 가지 단추가 있습니다.

  6. 백업 구성 및 계속 업그레이드를 선택 > Continue 합니다.Select Backup config and upgrade > Continue.

  7. NVA는 펌웨어를 최신 빌드로 업데이트 하 고 다시 부팅 합니다.The NVA updates its firmware to the latest build and reboots. 이 프로세스는 5 분 정도 걸립니다.The process takes about five minutes. FortiGate 웹 콘솔로 다시 로그인 합니다.Log back into the FortiGate web console.

  8. VPN > IPSec 마법사 를 클릭 합니다.Click VPN > IPSec Wizard.

  9. Vpn conn1 만들기 마법사 에서 vpn의 이름을 입력 합니다.Enter a name for the VPN, for example, conn1 in the VPN Creation Wizard.

  10. 이 사이트는 NAT 뒤에 있습니다 .를 선택 합니다.Select This site is behind NAT.

    VPN 만들기 마법사의 스크린샷에는 vpn 설치 마법사의 첫 번째 단계를 보여 줍니다.

  11. 다음 을 선택합니다.Select Next.

  12. 연결할 온-프레미스 VPN 장치의 원격 IP 주소를 입력 합니다.Enter the remote IP address of the on-premises VPN device to which you are going to connect.

  13. 송신 인터페이스로 port1 를 선택 합니다.Select port1 as the Outgoing Interface.

  14. 미리 공유한 키 를 선택 하 고 미리 공유한 키를 입력 (및 기록) 합니다.Select Pre-shared Key and enter (and record) a pre-shared key.

    참고

    온-프레미스 VPN 장치에서 연결을 설정 하려면이 키가 필요 합니다. 즉, 정확 하 게 일치 해야 합니다.You will need this key to set up the connection on the on-premises VPN device, that is, they must match exactly.

    VPN 만들기 마법사의 스크린샷에서는 두 번째 단계 인증에 있는 것으로 표시 되며 선택한 값이 강조 표시 됩니다.

  15. 다음 을 선택합니다.Select Next.

  16. 로컬 인터페이스 에 대해 port2 를 선택 합니다.Select port2 for the Local Interface.

  17. 로컬 서브넷 범위 입력:Enter the local subnet range:

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    다른 IP 범위를 사용 하는 경우 IP 범위를 사용 합니다.Use your IP range if you are using a different IP range.

  18. 온-프레미스 VPN 장치를 통해 연결 하는 온-프레미스 네트워크를 나타내는 적절 한 원격 서브넷을 입력 합니다.Enter the appropriate Remote Subnet(s) that represent the on-premises network, which you will connect to through the on-premises VPN device.

    • forti1:172.16.0.0/16forti1: 172.16.0.0/16
    • forti2:172.17.0.0/16forti2: 172.17.0.0/16

    다른 IP 범위를 사용 하는 경우 IP 범위를 사용 합니다.Use your IP range if you are using a different IP range.

    VPN 만들기 마법사의 스크린샷에서는 세 번째 단계인 정책 & 라우팅을 표시 합니다.

  19. 만들기 를 선택합니다.Select Create

  20. 네트워크 > 인터페이스 를 선택 합니다.Select Network > Interfaces.

    인터페이스 목록에는 구성 된 port1 및 port2의 두 가지 인터페이스가 표시 됩니다.

  21. Port2 를 두 번 클릭 합니다.Double-click port2.

  22. 역할 목록에서 LAN 을 선택 하 고 주소 지정 모드에 대해 DHCP 를 선택 합니다.Choose LAN in the Role list and DHCP for the Addressing mode.

  23. 확인 을 선택합니다.Select OK.

다른 NVA에 대 한 단계를 반복 합니다.Repeat the steps for the other NVA.

모든 2 단계 선택기 가져오기Bring Up All Phase 2 Selectors

위의 nva 두 가지 모두 에 대해 완료 된 경우:Once the above has been completed for both NVAs:

  1. Forti2 fortigate 웹 콘솔에서 Monitor > IPsec 모니터 를 모니터링 하려면를 선택 합니다.On the forti2 FortiGate web console, select to Monitor > IPsec Monitor.

    VPN 연결 conn1 모니터가 나열 됩니다.

  2. conn1 Bring Up > 모든 단계 2 선택 선택기 를 강조 표시 하 고 선택 합니다.Highlight conn1 and select the Bring Up > All Phase 2 Selectors.

    모니터와 2 단계 선택 기가 모두 위쪽으로 표시 됩니다.

연결 테스트 및 유효성 검사Test and validate connectivity

이제 FortiGate Nva을 통해 각 VNET 간에 라우팅할 수 있어야 합니다.You should now be able to route in between each VNET via the FortiGate NVAs. 연결의 유효성을 검사 하려면 각 VNET의 Insubnet에서 Azure Stack 허브 VM을 만듭니다.To validate the connection, create an Azure Stack Hub VM in each VNET's InsideSubnet. Azure Stack 허브 VM 만들기는 포털, CLI 또는 PowerShell을 통해 수행할 수 있습니다.Creating an Azure Stack Hub VM can be done via the portal, CLI, or PowerShell. Vm을 만들 때:When creating the VMs:

  • Azure Stack 허브 Vm은 각 VNET의 Insidesubnet 서브넷 에 배치 됩니다.The Azure Stack Hub VMs are placed on the InsideSubnet of each VNET.

  • 만들 때 VM에 NSGs를 적용 하지 않습니다 . 즉, 포털에서 vm을 만들 때 기본적으로 추가 되는 nsgs를 제거 합니다.You don't apply any NSGs to the VM upon creation (That is, remove the NSG that gets added by default if you create the VM from the portal.

  • VM 방화벽 규칙이 연결을 테스트 하는 데 사용할 통신을 허용 하는지 확인 합니다.Ensure that the VMS firewall rules allow the communication you are going to use to test connectivity. 테스트를 위해 가능한 경우 OS 내에서 완전히 방화벽을 사용 하지 않도록 설정 하는 것이 좋습니다.For testing purposes, it is recommended to disable the firewall completely within the OS if at all possible.

다음 단계Next steps

Azure Stack 허브 네트워킹의 차이점 및 고려 사항Differences and considerations for Azure Stack Hub networking
Fortinet FortiGate를 사용 하 여 Azure Stack 허브에서 네트워크 솔루션 제공Offer a network solution in Azure Stack Hub with Fortinet FortiGate