Konfigurowanie bramy sieci VPN dla usługi Azure Stack Hub przy użyciu urządzenia WUS fortiGate

  • Artykuł

W tym artykule opisano sposób tworzenia połączenia sieci VPN z usługą Azure Stack Hub. Brama sieci VPN to typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch między siecią wirtualną w usłudze Azure Stack Hub i zdalną bramą sieci VPN. Poniższa procedura umożliwia wdrożenie jednej sieci wirtualnej z urządzeniem wirtualnym FortiGate, wirtualnym urządzeniem sieciowym w grupie zasobów. Zawiera również kroki konfigurowania sieci VPN protokołu IPSec w urządzeniu WUS fortiGate.

Wymagania wstępne

  • Dostęp do zintegrowanych systemów usługi Azure Stack Hub z dostępną pojemnością w celu wdrożenia wymaganych wymagań dotyczących zasobów obliczeniowych, sieciowych i zasobów wymaganych dla tego rozwiązania.

    Uwaga

    Te instrukcje nie będą działać z zestawem Azure Stack Development Kit (ASDK) z powodu ograniczeń sieci w zestawie ASDK. Aby uzyskać więcej informacji, zobacz Wymagania i zagadnienia dotyczące zestawu ASDK.

  • Dostęp do urządzenia sieci VPN w sieci lokalnej, która hostuje zintegrowany system usługi Azure Stack Hub. Urządzenie musi utworzyć tunel IPSec, który spełnia parametry opisane w parametrach wdrażania.

  • Rozwiązanie wirtualne wirtualnego urządzenia sieciowego (NVA) dostępne w witrynie Azure Stack Hub Marketplace. Urządzenie WUS kontroluje przepływ ruchu sieciowego z sieci obwodowej do innych sieci lub podsieci. Ta procedura korzysta z rozwiązania FortiGate FortiGate z pojedynczą maszyną wirtualną zapory nowej generacji.

    Uwaga

    Jeśli nie masz maszyny wirtualnej FortiGate-VM for Azure BYOL i FortiGate NGFW — pojedyncze wdrożenie maszyny wirtualnej (BYOL) dostępne w witrynie Azure Stack Hub Marketplace, skontaktuj się z operatorem chmury.

  • Aby aktywować urządzenie WUS fortiGate, musisz mieć co najmniej jeden dostępny plik licencji FortiGate. Informacje na temat uzyskiwania tych licencji można znaleźć w artykule Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

    Ta procedura używa wdrożenia single FortiGate-VM. Instrukcje dotyczące łączenia urządzenia WUS fortiGate z siecią wirtualną usługi Azure Stack Hub można znaleźć w sieci lokalnej.

    Aby uzyskać więcej informacji na temat wdrażania rozwiązania FortiGate w konfiguracji aktywne-pasywne (HA), zobacz szczegółowe informacje w artykule Fortinet Document Library HA for FortiGate-VM na platformie Azure.

Parametry wdrożenia

Poniższa tabela zawiera podsumowanie parametrów używanych w tych wdrożeniach do celów referencyjnych.

Parametr Wartość
Nazwa wystąpienia FortiGate forti1
Licencja/wersja BYOL 6.0.3
Nazwa użytkownika administracyjnego fortiGate fortiadmin
Nazwa grupy zasobów forti1-rg1
Nazwa sieci wirtualnej forti1vnet1
Przestrzeń adresowa sieci wirtualnej 172.16.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti1-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.16.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej forti1-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.16.1.0/24*
Rozmiar maszyny wirtualnej urządzenia WUS fortiGate F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP forti1-publicip1
Typ publicznego adresu IP Static

Uwaga

* Wybierz inną przestrzeń adresową i prefiksy podsieci, jeśli 172.16.0.0/16 nakładają się na siebie sieci lokalnej lub puli adresów VIP usługi Azure Stack Hub.

Wdrażanie elementów witryny Marketplace FortiGate NGFW

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Utwórz zasób i wyszukaj ciąg FortiGate.

    Na liście wyników wyszukiwania jest wyświetlana opcja FortiGate NGFW — pojedyncze wdrożenie maszyny wirtualnej.

  3. Wybierz pozycję FortiGate NGFW i wybierz pozycję Utwórz.

  4. Ukończ podstawowe informacje przy użyciu parametrów z tabeli Parametry wdrożenia .

    Ekran Podstawowe zawiera wartości z tabeli parametrów wdrożenia wprowadzonych na liście i polach tekstowych.

  5. Wybierz przycisk OK.

  6. Podaj szczegóły dotyczące sieci wirtualnej, podsieci i rozmiaru maszyny wirtualnej przy użyciu tabeli Parametry wdrożenia .

    Ostrzeżenie

    Jeśli sieć lokalna nakłada się na zakres 172.16.0.0/16adresów IP, musisz wybrać i skonfigurować inny zakres sieci i podsieci. Jeśli chcesz użyć różnych nazw i zakresów niż te w tabeli Parametry wdrożenia , użyj parametrów, które nie będą powodować konfliktu z siecią lokalną. Należy zachować ostrożność podczas ustawiania zakresu adresów IP sieci wirtualnej i zakresów podsieci w sieci wirtualnej. Nie chcesz, aby zakres nakładał się na zakresy adresów IP, które istnieją w sieci lokalnej.

  7. Wybierz przycisk OK.

  8. Skonfiguruj publiczny adres IP dla urządzenia WUS fortiGate:

    W oknie dialogowym Przypisywanie adresu IP jest wyświetlana wartość forti1-publicip1 dla opcji

  9. Wybierz przycisk OK. Wybierz przycisk OK.

  10. Wybierz przycisk Utwórz.

    Wdrożenie potrwa około 10 minut.

Konfigurowanie tras (UDR) dla sieci wirtualnej

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Grupy zasobów. Wpisz forti1-rg1 filtr i kliknij dwukrotnie grupę zasobów forti1-rg1.

    Dziesięć zasobów znajduje się na liście dla grupy zasobów forti1-rg1.

  3. Wybierz zasób "forti1-forti1-InsideSubnet-routes-xxxx".

  4. Wybierz pozycję Trasy w obszarze Ustawienia.

    Przycisk Trasy jest zaznaczony w oknie dialogowym Ustawienia.

  5. Usuń trasę z Internetu .

    Trasa do Internetu jest jedyną trasą na liście i jest zaznaczona. Istnieje przycisk usuwania.

  6. Wybierz pozycję Tak.

  7. Wybierz pozycję Dodaj , aby dodać nową trasę.

  8. Nadaj trasie to-onpremnazwę .

  9. Wprowadź zakres sieci IP, który definiuje zakres sieci lokalnej, z którą będzie się łączyć sieć VPN.

  10. Wybierz pozycję Urządzenie wirtualne dla pozycji Typ następnego przeskoku i 172.16.1.4. Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    W oknie dialogowym Dodawanie trasy są wyświetlane cztery wartości wprowadzone w polach tekstowych.

  11. Wybierz pozycję Zapisz.

Aktywowanie urządzenia WUS fortiGate

Aktywuj urządzenie WUS fortiGate i skonfiguruj połączenie sieci VPN IPSec na każdym urządzeniu WUS.

Aby aktywować każde urządzenie WUS fortiGate, będzie wymagać prawidłowego pliku licencji z aplikacji Fortinet. Urządzenia WUS nie będą działać do momentu aktywowania każdego urządzenia WUS. Aby uzyskać więcej informacji na temat pobierania pliku licencji i kroków aktywowania urządzenia WUS, zobacz artykuł Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

Po aktywowaniu urządzeń WUS utwórz tunel vpn IPSec na urządzeniu WUS.

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Grupy zasobów. Wprowadź forti1 w filtrze i kliknij dwukrotnie grupę zasobów forti1.

  3. Kliknij dwukrotnie maszynę wirtualną forti1 na liście typów zasobów w bloku grupy zasobów.

    Na stronie Przegląd maszyny wirtualnej forti1 są wyświetlane wartości forti1, takie jak

  4. Skopiuj przypisany adres IP, otwórz przeglądarkę i wklej adres IP na pasku adresu. Witryna może wyzwolić ostrzeżenie, że certyfikat zabezpieczeń nie jest zaufany. Kontynuuj mimo to.

  5. Wprowadź nazwę użytkownika administracyjnego fortiGate i hasło podane podczas wdrażania.

    Okno dialogowe logowania zawiera pola tekstowe użytkownika i hasła oraz przycisk Zaloguj.

  6. Wybierz pozycjęOprogramowanie układowesystemu>.

  7. Wybierz pole z najnowszym oprogramowaniem układowym, na przykład FortiOS v6.2.0 build0866.

    Okno dialogowe Oprogramowanie układowe zawiera identyfikator oprogramowania układowego

  8. Wybierz pozycję Konfiguracja kopii zapasowej i uaktualnij.>

  9. Urządzenie WUS aktualizuje oprogramowanie układowe do najnowszej kompilacji i ponownego uruchamiania. Proces trwa około pięciu minut. Zaloguj się ponownie do konsoli sieci Web FortiGate.

  10. Kliknijpozycję Kreator protokołu IPSecsieci VPN>.

  11. Wprowadź nazwę sieci VPN, na przykład conn1 w Kreatorze tworzenia sieci VPN.

  12. Wybierz pozycję Ta witryna znajduje się za translatorem adresów sieciowych.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w pierwszym kroku Konfiguracja sieci VPN. Wybrano następujące wartości:

  13. Wybierz opcję Dalej.

  14. Wprowadź zdalny adres IP lokalnego urządzenia sieci VPN, z którym chcesz nawiązać połączenie.

  15. Wybierz port1 jako interfejs wychodzący.

  16. Wybierz pozycję Klucz wstępny i wprowadź (i rekord) klucz wstępny.

    Uwaga

    Ten klucz będzie potrzebny do skonfigurowania połączenia na lokalnym urządzeniu sieci VPN, czyli musi być dokładnie zgodny.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w drugim kroku, Uwierzytelnianie, a wybrane wartości są wyróżnione.

  17. Wybierz opcję Dalej.

  18. Wybierz port2 dla interfejsu lokalnego.

  19. Wprowadź zakres podsieci lokalnej:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  20. Wprowadź odpowiednie podsieci zdalne reprezentujące sieć lokalną, z którą połączysz się za pośrednictwem lokalnego urządzenia sieci VPN.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w trzecim kroku, zasady & routingu. Zostanie wyświetlona wybrana i wprowadzona wartość.

  21. Wybierz pozycję Utwórz

  22. Wybierz pozycjęInterfejsysieciowe>.

    Lista interfejsów zawiera dwa interfejsy: port1, który został skonfigurowany, i port2, który nie. Istnieją przyciski do tworzenia, edytowania i usuwania interfejsów.

  23. Kliknij dwukrotnie port2.

  24. Wybierz sieć LAN na liście Rola i protokół DHCP dla trybu adresowania.

  25. Wybierz przycisk OK.

Konfigurowanie lokalnej sieci VPN

Aby utworzyć tunel VPN IPSec, należy skonfigurować lokalne urządzenie sieci VPN. Poniższa tabela zawiera parametry potrzebne do skonfigurowania lokalnego urządzenia sieci VPN. Aby uzyskać informacje na temat konfigurowania lokalnego urządzenia sieci VPN, zapoznaj się z dokumentacją urządzenia.

Parametr Wartość
Adres IP bramy zdalnej Publiczny adres IP przypisany do forti1 — zobacz Aktywowanie urządzenia WUS fortiGate.
Zdalna sieć IP 172.16.0.0/16 (jeśli używasz zakresu adresów IP w tych instrukcjach dla sieci wirtualnej).
Auth. Method = Preshared key (PSK) W kroku 16.
Wersja IKE 1
Tryb IKE Main (ochrona identyfikatorów)
Algorytmy propozycji fazy 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
grupy Diffie-Hellman 14, 5

Tworzenie tunelu sieci VPN

Po odpowiednim skonfigurowaniu lokalnego urządzenia sieci VPN można teraz ustanowić tunel VPN.

Z urządzenia WUS fortiGate:

  1. W konsoli sieci Web forti1 FortiGate przejdź do pozycji Monitorowanie monitora>IPsec.

    Na liście znajduje się monitor połączenia sieci VPN conn1. Jest on wyświetlany jako wyłączony, podobnie jak odpowiadający selektor fazy 2.

  2. Wyróżnij conn1 i wybierz selektory "Przynieś>wszystkie fazy 2".

    Monitor i Selektor fazy 2 są wyświetlane jako wyświetlane.

Testowanie i weryfikowanie łączności

Możesz kierować między siecią wirtualną a siecią lokalną za pośrednictwem lokalnego urządzenia sieci VPN.

Aby zweryfikować połączenie:

  1. Utwórz maszynę wirtualną w sieciach wirtualnych usługi Azure Stack Hub i systemie w sieci lokalnej. Instrukcje dotyczące tworzenia maszyny wirtualnej można wykonać w przewodniku Szybki start: tworzenie maszyny wirtualnej serwera z systemem Windows za pomocą portalu usługi Azure Stack Hub.

  2. Podczas tworzenia maszyny wirtualnej usługi Azure Stack Hub i przygotowywania systemu lokalnego sprawdź:

  • Maszyna wirtualna usługi Azure Stack Hub jest umieszczana w podsieci InsideSubnet sieci wirtualnej.

  • System lokalny jest umieszczany w sieci lokalnej w zdefiniowanym zakresie adresów IP zgodnie z definicją w konfiguracji protokołu IPSec. Upewnij się również, że lokalny adres IP interfejsu sieci VPN jest dostarczany do systemu lokalnego jako trasa, która może dotrzeć do sieci wirtualnej usługi Azure Stack Hub, na przykład 172.16.0.0/16.

  • Nie należy stosować żadnych sieciowych grup zabezpieczeń do maszyny wirtualnej usługi Azure Stack Hub podczas tworzenia. Może być konieczne usunięcie sieciowej grupy zabezpieczeń, która zostanie dodana domyślnie, jeśli zostanie utworzona maszyna wirtualna z portalu.

  • Upewnij się, że system operacyjny systemu operacyjnego lokalnego i systemu operacyjnego maszyny wirtualnej usługi Azure Stack Hub nie mają reguł zapory systemu operacyjnego, które uniemożliwiłyby komunikację, która będzie używana do testowania łączności. W celach testowych zaleca się całkowite wyłączenie zapory w systemie operacyjnym obu systemów.

Następne kroki

Różnice i zagadnienia dotyczące sieci usługi Azure Stack Hub
Oferowanie rozwiązania sieciowego w usłudze Azure Stack Hub za pomocą rozwiązania FortiGate fortinet