Conectividade da VNet à VNet com o Fortigate
Este artigo descreve como criar uma ligação entre duas redes virtuais no mesmo ambiente. Ao configurar as ligações, irá aprender como funcionam os gateways de VPN no Azure Stack Hub. Ligue duas VNETs no mesmo ambiente do Azure Stack Hub com Fortinet FortiGate. Este procedimento implementa duas VNETs com uma NVA FortiGate, uma aplicação virtual de rede, em cada VNET cada uma num grupo de recursos separado. Também detalha as alterações necessárias para configurar uma VPN IPSec entre as duas VNETs. Repita os passos neste artigo para cada implementação de VNET.
Pré-requisitos
Acesso a um sistema com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.
Uma solução de aplicação virtual de rede (NVA) transferida e publicada no Marketplace do Azure Stack Hub. Uma NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução de VM Única de Firewall de Próxima Geração fortinet FortiGate.
Pelo menos dois ficheiros de licença FortiGate disponíveis para ativar a NVA FortiGate. Informações sobre como obter estas licenças, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.
Este procedimento utiliza a implementação FortiGate-VM Única. Pode encontrar passos sobre como ligar a NVA FortiGate à VNET do Azure Stack Hub na sua rede no local.
Para obter mais informações sobre como implementar a solução FortiGate numa configuração ativa-passiva (HA), veja os detalhes no artigo DA Biblioteca de Documentos da Fortinet para FortiGate-VM no Azure.
Parâmetros de implementação
A tabela seguinte resume os parâmetros que são utilizados nestas implementações para referência:
Implementação um: Forti1
Nome da Instância FortiGate | Forti1 |
---|---|
Licença/Versão BYOL | 6.0.3 |
Nome de utilizador administrativo FortiGate | fortiadmin |
Nome do Grupo de recursos | forti1-rg1 |
Nome da rede virtual | forti1vnet1 |
Espaço de Endereços da VNET | 172.16.0.0/16* |
Nome da sub-rede da VNET Pública | forti1-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.16.0.0/24* |
Nome da sub-rede da VNET interna | forti1-InsideSubnet |
Prefixo de sub-rede da VNET interior | 172.16.1.0/24* |
Tamanho da VM da NVA FortiGate | F2s_v2 Padrão |
Nome do endereço IP público | forti1-publicip1 |
Tipo de endereço IP público | Estático |
Implementação dois: Forti2
Nome da Instância FortiGate | Forti2 |
---|---|
Licença/Versão BYOL | 6.0.3 |
Nome de utilizador administrativo FortiGate | fortiadmin |
Nome do Grupo de recursos | forti2-rg1 |
Nome da rede virtual | forti2vnet1 |
Espaço de Endereços da VNET | 172.17.0.0/16* |
Nome da sub-rede da VNET Pública | forti2-PublicFacingSubnet |
Prefixo de endereço VNET público | 172.17.0.0/24* |
Nome da sub-rede da VNET interna | Forti2-InsideSubnet |
Prefixo de sub-rede da VNET interior | 172.17.1.0/24* |
Tamanho da VM da NVA FortiGate | F2s_v2 Padrão |
Nome do endereço IP público | Forti2-publicip1 |
Tipo de endereço IP público | Estático |
Nota
* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma ao ambiente de rede no local, incluindo o Conjunto VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.
Implementar o NGFW FortiGate
Abra o portal de utilizadores do Azure Stack Hub.
Selecione Criar um recurso e procure
FortiGate
.Selecione o NGFW FortiGate e selecione Criar.
Conclua as Noções Básicas com os parâmetros da tabela Parâmetros de implementação .
Selecione OK.
Forneça os detalhes de Rede virtual, Sub-redes e Tamanho da VM com a tabela Parâmetros de implementação .
Aviso
Se a rede no local se sobrepor ao intervalo
172.16.0.0/16
de IP, tem de selecionar e configurar um intervalo de rede e sub-redes diferentes. Se quiser utilizar diferentes nomes e intervalos do que os da tabela Parâmetros de implementação , utilize parâmetros que não entrarão em conflito com a rede no local. Tenha cuidado ao definir o intervalo de IP da VNET e os intervalos de sub-rede na VNET. Não quer que o intervalo se sobreponha aos intervalos de IP existentes na sua rede no local.Selecione OK.
Configure o IP Público para a NVA fortigate:
Selecione OK. Por fim, selecione OK.
Selecione Criar.
A implementação demorará cerca de 10 minutos.
Configurar rotas (UDRs) para cada VNET
Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.
Abra o portal de utilizador do Azure Stack Hub.
Selecione Grupos de recursos. Escreva
forti1-rg1
o filtro e faça duplo clique no grupo de recursos forti1-rg1.Selecione o recurso forti1-forti1-InsideSubnet-routes-xxxx .
Selecione Rotas em Definições.
Elimine a Rota para a Internet .
Selecione Yes (Sim).
Selecione Adicionar para adicionar uma nova rota.
Atribua um nome à rota
to-onprem
.Introduza o intervalo de rede IP que define o intervalo de rede da rede no local ao qual a VPN se irá ligar.
Selecione Aplicação virtual para Tipo de salto seguinte e
172.16.1.4
. Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.Selecione Guardar.
Precisará de um ficheiro de licença válido da Fortinet para ativar cada NVA fortiGate. As NVAs não funcionarão até que tenha ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e os passos para ativar a NVA, consulte o artigo Biblioteca de Documentos da Fortinet Registar e transferir a sua licença.
Dois ficheiros de licença terão de ser adquiridos: um para cada NVA.
Criar uma VPN IPSec entre as duas NVAs
Depois de ativar as NVAs, siga estes passos para criar uma VPN IPSec entre as duas NVAs.
Siga os passos abaixo para a NVA forti1 e forti2:
Obtenha o endereço IP Público atribuído ao navegar para a página de descrição geral da VM fortiX:
Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereço. O browser pode avisá-lo de que o certificado de segurança não é fidedigno. Continue mesmo assim.
Introduza o nome de utilizador administrativo e a palavra-passe administrativos do FortiGate que indicou durante a implementação.
SelecioneFirmware do Sistema>.
Selecione a caixa que mostra o firmware mais recente, por exemplo,
FortiOS v6.2.0 build0866
.Selecione Configuração da cópia de segurança e atualizar>Continuar.
A NVA atualiza o firmware para a compilação e reinícios mais recentes. O processo demora cerca de cinco minutos. Volte a iniciar sessão na consola Web FortiGate.
Clique emAssistente de IPSecde VPN>.
Introduza um nome para a VPN, por exemplo,
conn1
no Assistente de Criação de VPN.Selecione Este site está protegido por NAT.
Selecione Seguinte.
Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.
Selecione port1 como Interface de Envio.
Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.
Nota
Precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, tem de corresponder exatamente.
Selecione Seguinte.
Selecione a porta2 para a Interface Local.
Introduza o intervalo de sub-rede local:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
Introduza as Sub-redes Remotas adequadas que representam a rede no local, à qual se ligará através do dispositivo VPN no local.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Utilize o intervalo de IP se estiver a utilizar um intervalo de IP diferente.
Selecione Criar
SelecioneInterfacesde Rede>.
Faça duplo clique em porta2.
Selecione LAN na Lista de funções e DHCP para o modo de Endereçamento.
Selecione OK.
Repita os passos para a outra NVA.
Apresentar Todos os Seletores da Fase 2
Uma vez concluído o acima para ambas as NVAs:
Na consola Web forti2 FortiGate, selecione Monitorizar>Monitor IPsec.
Realce
conn1
e selecione Os Seletores de Todas>as Fases 2.
Testar e validar a conectividade
Agora, deverá conseguir encaminhar entre cada VNET através das NVAs fortiGate. Para validar a ligação, crie uma VM do Azure Stack Hub na InsideSubnet de cada VNET. A criação de uma VM do Azure Stack Hub pode ser feita através do portal, da CLI do Azure ou do PowerShell. Ao criar as VMs:
As VMs do Azure Stack Hub são colocadas na InsideSubnet de cada VNET.
Não aplica NSGs à VM após a criação (ou seja, remova o NSG que é adicionado por predefinição se criar a VM a partir do portal.
Certifique-se de que as regras de firewall do VMS permitem a comunicação que vai utilizar para testar a conectividade. Para fins de teste, recomenda-se desativar completamente a firewall no SO, se possível.
Passos seguintes
Diferenças e considerações sobre a rede do Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários