VNet para conectividade VNet com Fortigate

Este artigo descreve como criar uma ligação entre duas redes virtuais no mesmo ambiente. Quando configurar as ligações, aprende como funcionam as portas VPN no Azure Stack Hub. Ligação dois VNETs dentro do mesmo ambiente Azure Stack Hub usando Fortinet FortiGate. Este procedimento implementa dois VNETs com um FortiGate NVA, um aparelho virtual de rede, em cada VNET cada um dentro de um grupo de recursos separado. Também detalha as alterações necessárias para a criação de uma VPN IPSec entre os dois VNETs. Repita os passos deste artigo para cada implantação VNET.

Pré-requisitos

  • Acesso a um sistema com capacidade disponível para implementar os requisitos de computação, rede e recursos necessários para esta solução.

  • Uma solução de aparelho virtual de rede (NVA) descarregada e publicada no Azure Stack Hub Marketplace. Um NVA controla o fluxo de tráfego de rede de uma rede de perímetro para outras redes ou sub-redes. Este procedimento utiliza a Solução VM única de firewall fortinet Fortinet FortiGate de próxima geração.

  • Pelo menos dois ficheiros de licença FortiGate disponíveis para ativar o FortiGate NVA. Informações sobre como obter estas licenças, consulte o artigo da Biblioteca de Documentos Fortinet Registando e descarregando a sua licença.

    Este procedimento utiliza a implantação fortiGate-VM única. Pode encontrar etapas sobre como ligar o FortiGate NVA ao Azure Stack Hub VNET na sua rede no local.

    Para obter mais informações sobre como implementar a solução FortiGate numa configuração activa-passiva (HA), consulte os detalhes no artigo da Biblioteca de Documentos Fortinet HA para FortiGate-VM em Azure.

Parâmetros de implantação

O quadro que se segue resume os parâmetros utilizados nestas implementações para referência:

Implantação um: Forti1

Nome da instância de FortiGate Forti1
Licença/versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti1-rg1
Nome da rede virtual forti1vnet1
Espaço de endereço VNET 172.16.0.0/16*
Nome da sub-rede VNET pública forti1-PublicFacingSubnet
Prefixo de endereço VNET público 172.16.0.0/24*
Dentro do nome da sub-rede VNET forti1-InsideSubnet
Prefixo de sub-rede VNET 172.16.1.0/24*
Tamanho VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público forti1-publicip1
Tipo de endereço IP público Estático

Implantação dois: Forti2

Nome da instância de FortiGate Forti2
Licença/versão BYOL 6.0.3
Nome de utilizador administrativo FortiGate fortiadmin
Nome do Grupo de recursos forti2-rg1
Nome da rede virtual forti2vnet1
Espaço de endereço VNET 172.17.0.0/16*
Nome da sub-rede VNET pública forti2-PublicFacingSubnet
Prefixo de endereço VNET público 172.17.0.0/24*
Dentro do nome da sub-rede VNET Forti2-InsideSubnet
Prefixo de sub-rede VNET 172.17.1.0/24*
Tamanho VM do FortiGate NVA F2s_v2 padrão
Nome do endereço IP público Forti2-publicip1
Tipo de endereço IP público Estático

Nota

* Escolha um conjunto diferente de espaços de endereços e prefixos de sub-rede se o acima se sobrepor de alguma forma com o ambiente de rede no local, incluindo o Pool VIP de qualquer um dos Azure Stack Hub. Certifique-se também de que os intervalos de endereços não se sobrepõem entre si.

Implementar o FortiGate NGFW

  1. Abra o portal de utilizadores Azure Stack Hub.

  2. Selecione Criar um recurso e procurar .

    The search results list shows FortiGate NGFW - Single VM Deployment.

  3. Selecione o FortiGate NGFW e selecione Criar.

  4. Preencha as Bases utilizando os parâmetros da tabela de parâmetros de implantação.

    The Basics screen has values from the deployment parameters selected and entered in list and text boxes.

  5. Selecione OK.

  6. Forneça os detalhes da rede Virtual, Subnetas e Tamanho VM utilizando a tabela de parâmetros de implementação.

    Aviso

    Se a rede no local se sobrepor ao intervalo 172.16.0.0/16 IP, tem de selecionar e configurar uma gama de rede e sub-redes diferentes. Se desejar utilizar nomes e intervalos diferentes dos da tabela de parâmetros de implantação, utilize parâmetros que não entram em conflito com a rede no local. Tome cuidado ao definir a gama IP VNET e as gamas de sub-redes dentro do VNET. Não pretende que o intervalo se sobreponha às gamas IP existentes na sua rede no local.

  7. Selecione OK.

  8. Configure o IP público para a NVA Fortigate:

    The IP Assignment dialog box shows the value forti1-publicip1 for

  9. Selecione OK. Por fim, selecione OK.

  10. Selecione Criar.

A colocação levará cerca de 10 minutos.

Configure rotas (UDRs) para cada VNET

Execute estes passos para ambas as implementações, forti1-rg1 e forti2-rg1.

  1. Abra o portal de utilizadores Azure Stack Hub.

  2. Selecione grupos de recursos. Digite forti1-rg1 o filtro e clique duas vezes no grupo de recursos forti1-rg1.

    Ten resources are listed for the forti1-rg1 resource group.

  3. Selecione o recurso forti1-forti1-InsideSubnet-routes-xxxx.

  4. Selecione Rotas em Definições.

    The Routes button is selected in the Settings dialog box.

  5. Elimine a Rota para a Internet.

    The to-Internet Route is the only route listed, and it is selected. There is a delete button.

  6. Selecione Yes (Sim).

  7. Selecione Adicionar para adicionar uma nova rota.

  8. Diga o nome da to-onprem rota.

  9. Introduza a gama de rede IP que define a gama de rede da rede no local à qual a VPN se ligará.

  10. Selecione o aparelho virtual para o próximo tipo de lúpulo e . Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

    The Add route dialog box shows the four values that have been selected and entered in the text boxes.

  11. Selecione Guardar.

Necessitará de um ficheiro de licença válido da Fortinet para ativar cada NVA fortiGate. Os NVAs não funcionarão até que tenha ativado cada NVA. Para obter mais informações sobre como obter um ficheiro de licença e passos para ativar o NVA, consulte o artigo da Biblioteca de Documentos Fortinet Registando e baixando a sua licença.

Dois ficheiros de licença terão de ser adquiridos - um para cada NVA.

Criar uma VPN IPSec entre os dois NVAs

Uma vez ativados os NVAs, siga estes passos para criar uma VPN IPSec entre as duas NVAs.

Seguindo os passos abaixo para o forti1 NVA e forti2 NVA:

  1. Obtenha o endereço IP público atribuído navegando na página geral do FortiX VM:

    The forti1 virtual machine Overview page show values for forti1, such as the

  2. Copie o endereço IP atribuído, abra um browser e cole o endereço na barra de endereços. O seu navegador poderá avisá-lo de que o certificado de segurança não é de confiança. Continue de qualquer forma.

  3. Introduza o nome de utilizador administrativo fortiGate e a palavra-passe que forneceu durante a implementação.

    The login dialog box has user and password text boxes, and a Login button.

  4. Selecione Firmware de sistema.

  5. Selecione a caixa que mostra o firmware mais recente, por exemplo, FortiOS v6.2.0 build0866 .

    The Firmware dialog box has the firmware identifier

  6. Selecione Backup config e upgradeContinue.

  7. A NVA atualiza o seu firmware para as mais recentes construções e reboots. O processo leva cerca de cinco minutos. Volte a entrar na consola web FortiGate.

  8. Clique no VPNIPSec Wizard.

  9. Introduza um nome para a VPN, por exemplo, conn1 no conn1.

  10. Selecione Este site está por trás do NAT.

    The screenshot of the VPN Creation Wizard shows it to be on the first step, VPN Setup. The following values are selected:

  11. Selecione Seguinte.

  12. Introduza o endereço IP remoto do dispositivo VPN no local ao qual se vai ligar.

  13. Selecione a porta1 como interface de saída.

  14. Selecione Chave Pré-partilhada e introduza (e grave) uma chave pré-partilhada.

    Nota

    Você precisará desta chave para configurar a ligação no dispositivo VPN no local, ou seja, eles devem corresponder exatamente.

    The screenshot of the VPN Creation Wizard shows it to be on the second step, Authentication, and the selected values are highlighted.

  15. Selecione Seguinte.

  16. Selecione a porta2 para a Interface Local.

  17. Insira a gama de sub-redes local:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

  18. Introduza os subnetas remotos apropriados que representam a rede no local, à qual irá ligar através do dispositivo VPN no local.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Utilize o seu alcance IP se estiver a utilizar um intervalo de IP diferente.

    The screenshot of the VPN Creation Wizard shows it to be on the third step, Policy & Routing. It shows the selected and entered values.

  19. Selecione Criar

  20. Selecione Interfaces deRede .

    The interface list shows two interfaces: port1, which has been configured, and port2, which hasn't. There are buttons to create, edit, and delete interfaces.

  21. Porta de duplo clique2.

  22. Escolha LAN na lista de funções e DHCP para o modo de endereço.

  23. Selecione OK.

Repita os passos para a outra NVA.

Trazer todos os seletores da fase 2

Uma vez que o acima foi concluído para ambos os NVAs:

  1. Na consola forti2 FortiGate, selecione para MonitorIPsec Monitor.

    The monitor for VPN connection conn1 is listed. It is shown as being down, as is the corresponding Phase 2 Selector.

  2. Realce conn1 e selecione os Seletores conn1All Phase >>.

    The monitor and Phase 2 Selector are both shown as up.

Testar e validar a conectividade

Deverá agora ser capaz de fazer a rota entre cada VNET através dos NVAs fortiGate. Para validar a ligação, crie um Azure Stack Hub VM em cada Subscrição de Cada Subscrição do Interior. A criação de um Azure Stack Hub VM pode ser feita através do portal, Azure CLI ou PowerShell. Ao criar os VMs:

  • Os VMs do Hub Azure Stack são colocados no InsideSubnet de cada VNET.

  • Não aplica quaisquer NSGs ao VM após a criação (isto é, remova o NSG que é adicionado por padrão se criar o VM a partir do portal.

  • Certifique-se de que as regras de firewall VMS permitem a comunicação que vai utilizar para testar a conectividade. Para efeitos de teste, recomenda-se desativar completamente a firewall dentro do sistema operativo, se possível.

Passos seguintes

Diferenças e considerações para a rede Azure Stack Hub
Oferecer uma solução de rede no Azure Stack Hub com Fortinet FortiGate