Fortinet FortiGate NVA ile Azure Stack Hub örnekleri arasında sanal ağdan sanal ağa bağlantı

  • Makale

Bu makalede, bir ağ sanal gereci olan Fortinet FortiGate NVA'yı kullanarak bir Azure Stack Hub'daki sanal ağı başka bir Azure Stack Hub'daki sanal ağa bağlayacaksınız.

Bu makalede, kiracıların iki ortamda yalnızca bir VPN bağlantısı kurmasına olanak tanıyan geçerli Azure Stack Hub sınırlaması ele alınıyor. Kullanıcılar, farklı Azure Stack Hub'da birden çok VPN bağlantısına izin verecek bir Linux sanal makinesinde özel ağ geçidi ayarlamayı öğrenecektir. Bu makaledeki yordam, her sanal ağda fortiGate NVA içeren iki sanal ağ dağıtır: Azure Stack Hub ortamı başına bir dağıtım. Ayrıca, iki sanal ağ arasında IPSec VPN'i ayarlamak için gereken değişiklikler de ayrıntılı olarak açıklanması gerekir. Bu makaledeki adımlar her Azure Stack Hub'daki her sanal ağ için yinelenmelidir.

Önkoşullar

  • Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip Azure Stack Hub tümleşik sistemlerine erişim.

    Not

    Bu yönergeler, ASDK'deki ağ sınırlamaları nedeniyle Azure Stack Geliştirme Seti (ASDK) ile çalışmaz. Daha fazla bilgi için bkz . ASDK gereksinimleri ve dikkat edilmesi gerekenler.

  • Azure Stack Hub Marketi'ne indirilen ve yayımlanan bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.

  • FortiGate NVA'sını etkinleştirmek için en az iki kullanılabilir FortiGate lisans dosyası. Bu lisansları alma hakkında bilgi için Fortinet Belge Kitaplığı'nda lisansınızı kaydetme ve indirme makalesine bakın.

    Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.

    FortiGate çözümünün etkin-pasif (HA) kurulumunda nasıl dağıtılacağı hakkında daha fazla bilgi için Bkz. Azure'da FortiGate-VM için Fortinet Belge Kitaplığı makalesi.

Dağıtım parametreleri

Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir:

Dağıtım bir: Forti1

FortiGate Örneği Adı Forti1
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti1-rg1
Sanal ağın adı forti1vnet1
Sanal Ağ Adres Alanı 172.16.0.0/16*
Genel sanal ağ alt ağ adı forti1-PublicFacingSubnet
Genel sanal ağ adres ön eki 172.16.0.0/24*
İç sanal ağ alt ağı adı forti1-InsideSubnet
VNET alt ağı ön eki içinde 172.16.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı forti1-publicip1
Genel IP adresi türü Statik

Dağıtım iki: Forti2

FortiGate Örneği Adı Forti2
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti2-rg1
Sanal ağın adı forti2vnet1
Sanal Ağ Adres Alanı 172.17.0.0/16*
Genel sanal ağ alt ağ adı forti2-PublicFacingSubnet
Genel sanal ağ adres ön eki 172.17.0.0/24*
İç sanal ağ alt ağı adı Forti2-InsideSubnet
VNET alt ağı ön eki içinde 172.17.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı Forti2-publicip1
Genel IP adresi türü Statik

Not

* Yukarıdakiler Azure Stack Hub'ın VIP Havuzu dahil olmak üzere şirket içi ağ ortamıyla herhangi bir şekilde çakışıyorsa farklı bir adres alanları ve alt ağ ön ekleri kümesi seçin. Ayrıca adres aralıklarının birbiriyle çakışmadığından emin olun.**

FortiGate NGFW Market Öğelerini Dağıtma

Bu adımları her iki Azure Stack Hub ortamı için de yineleyin.

  1. Azure Stack Hub kullanıcı portalını açın. Abonelikte en az Katkıda Bulunan haklarına sahip kimlik bilgilerini kullandığınızdan emin olun.

  2. Kaynak oluştur'u seçin ve için FortiGatearama yapın.

    Ekran görüntüsü,

  3. FortiGate NGFW'yi ve ardından Oluştur'u seçin.

  4. Dağıtım parametreleri tablosundaki parametreleri kullanarak TemelBilgileri tamamlayın.

    Formunuz aşağıdaki bilgileri içermelidir:

    Temel Bilgiler iletişim kutusunun metin kutuları (Örnek Adı ve KLG Lisansı gibi) Dağıtım Tablosu'ndaki değerlerle doldurulmuş.

  5. Tamam’ı seçin.

  6. Dağıtım parametrelerinden sanal ağ, alt ağlar ve VM boyutu ayrıntılarını sağlayın.

    Farklı adlar ve aralıklar kullanmak istiyorsanız, diğer Azure Stack Hub ortamındaki diğer VNET ve FortiGate kaynaklarıyla çakışacak parametreleri kullanmamaya dikkat edin. Bu durum özellikle sanal ağ içinde sanal ağ IP aralığını ve alt ağ aralıklarını ayarlarken geçerlidir. Bunların oluşturduğunuz diğer sanal ağın IP aralıklarıyla çakışmadığını denetleyin.

  7. Tamam’ı seçin.

  8. FortiGate NVA için kullanılacak genel IP'yi yapılandırın:

    IP Ataması iletişim kutusunun

  9. Tamam'ı ve ardından Tamam'ı seçin.

  10. Oluştur’u seçin.

Dağıtım yaklaşık 10 dakika sürer. Artık diğer Azure Stack Hub ortamında diğer FortiGate NVA ve VNET dağıtımını oluşturmak için adımları yineleyebilirsiniz.

Her sanal ağ için yolları (UDR) yapılandırma

Forti1-rg1 ve forti2-rg1 dağıtımları için bu adımları gerçekleştirin.

  1. Azure Stack Hub portalında forti1-rg1 Kaynak Grubu'na gidin.

    Bu, forti1-rg1 kaynak grubundaki kaynakların listesinin ekran görüntüsüdür.

  2. 'forti1-forti1-InsideSubnet-routes-xxxx' kaynağında öğesini seçin.

  3. Ayarlar'ın altında Yollar'ı seçin.

    Ekran görüntüsünde Ayarlar'ın vurgulanan Rotalar öğesi gösterilir.

  4. İnternet Yolu'nı silin.

    Ekran görüntüsünde vurgulanan İnternet yolu gösterilir. Sil düğmesi vardır.

  5. Evet’i seçin.

  6. Add (Ekle) seçeneğini belirleyin.

  7. Routeto-forti1 veya to-forti2adını verin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  8. Şunları girin:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  9. Sonraki atlama türü için Sanal gereç'i seçin.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    to-forti2 için Yolu düzenle iletişim kutusunda değer içeren metin kutuları vardır.

  10. Kaydet’i seçin.

Her bir kaynak grubu için her InsideSubnet yolu için adımları yineleyin.

Her NVA'da FortiGate NVA'larını etkinleştirme ve IPSec VPN bağlantısı yapılandırma

Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar siz her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma ve NVA'yı etkinleştirme adımları hakkında daha fazla bilgi için, Fortinet Belge Kitaplığı'nın Lisansınızı kaydetme ve indirme makalesine bakın.

Her NVA için bir tane olmak üzere iki lisans dosyasının alınması gerekir.

İki NVA arasında IPSec VPN'i oluşturma

NVA'lar etkinleştirildikten sonra, iki NVA arasında bir IPSec VPN'i oluşturmak için bu adımları izleyin.

Hem forti1 NVA hem de forti2 NVA için aşağıdaki adımları izleyin:

  1. fortiX VM Genel Bakış sayfasına giderek atanan Genel IP adresini alın:

    forti1 genel bakış sayfasında kaynak grubu, durum vb. gösterilir.

  2. Atanan IP adresini kopyalayın, bir tarayıcı açın ve adresi adres çubuğuna yapıştırın. Tarayıcınız sizi güvenlik sertifikasına güvenilmediği konusunda uyarabilir. Yine de devam edin.

  3. Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.

    Ekran görüntüsü, kullanıcı adı ve parola için oturum açma düğmesinin ve metin kutularının bulunduğu oturum açma ekranının ekran görüntüsüdür.

  4. SistemÜretici Yazılımı'ı> seçin.

  5. En son üretici yazılımının gösterildiği kutuyu seçin, örneğin. FortiOS v6.2.0 build0866

  6. Yedekleme yapılandırması ve yükseltme'yi seçin ve istendiğinde Devam Et'i seçin.

  7. NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.

  8. VPN>IPSec Sihirbazı'nı tıklatın.

  9. ÖRNEĞIN conn1 , VPN Oluşturma Sihirbazı'na VPN için bir ad girin.

  10. Bu site NAT'nin arkasında'ı seçin.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, ilk adım olan VPN Kurulumu'nda olduğunu gösterir. Şu değerler seçilidir: Şablon Türü için

  11. İleri’yi seçin.

  12. Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.

  13. Giden Arabirimi olarak bağlantı noktası1'i seçin.

  14. Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).

    Not

    Şirket içi VPN cihazındaki bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, bunun ikinci adım olan Kimlik Doğrulaması'nda olduğunu gösterir ve seçilen değerler vurgulanır.

  15. İleri’yi seçin.

  16. Yerel Arabirim için bağlantı noktası2'yi seçin.

  17. Yerel alt ağ aralığını girin:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  18. Şirket içi VPN cihazı üzerinden bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, seçilen ve girilen değerleri gösteren üçüncü adım olan İlke & Yönlendirme'de olduğunu gösterir.

  19. Oluştur’u seçin

  20. >Arabirimleri'ni seçin.

    Arabirim listesinde iki arabirim gösterilir: yapılandırılmış olan bağlantı noktası1 ve yapılandırılmamış olan bağlantı noktası2. Arabirim oluşturma, düzenleme ve silme düğmeleri vardır.

  21. Bağlantı noktası2'ye çift tıklayın.

  22. Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.

  23. Tamam’ı seçin.

Diğer NVA için adımları yineleyin.

Tüm Aşama 2 Seçicilerini Getir

Yukarıdakiler her iki NVA için de tamamlandıktan sonra:

  1. forti2 FortiGate web konsolundaIPsecİzleyici'yi> seçin.

    VPN bağlantısı conn1 izleyicisi listelenir. İlgili 2. Aşama Seçicisi gibi aşağı olarak gösterilir.

  2. Tüm Aşama 2 SeçicileriGetir'i> vurgulayın conn1 ve seçin.

    İzleyici ve 2. Aşama Seçicisi'nin her ikisi de yukarı olarak gösterilir.

Bağlantıyı test etme ve doğrulama

Artık FortiGate NVA'ları aracılığıyla her sanal ağ arasında yönlendirme yapabilmeniz gerekir. Bağlantıyı doğrulamak için her sanal ağın InsideSubnet'inde bir Azure Stack Hub VM oluşturun. Azure Stack Hub VM oluşturma işlemi portal, Azure CLI veya PowerShell aracılığıyla gerçekleştirilebilir. VM'leri oluştururken:

  • Azure Stack Hub VM'leri her sanal ağın InsideSubnet'ine yerleştirilir.

  • Oluşturulduktan sonra VM'ye herhangi bir NSG uygulamazsınız (Başka bir ifadeyle, VM'yi portaldan oluştururken varsayılan olarak eklenen NSG'yi kaldırın.

  • VM güvenlik duvarı kurallarının bağlantıyı test etmek için kullanacağınız iletişime izin olduğundan emin olun. Test amacıyla, mümkünse güvenlik duvarının işletim sistemi içinde tamamen devre dışı bırakılması önerilir.

Sonraki adımlar

Azure Stack Hub ağıyla ilgili farklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma