Fortigate ile sanal ağdan sanal ağa bağlantı
Bu makalede, aynı ortamdaki iki sanal ağ arasında nasıl bağlantı oluşturulacağı açıklanır. Bağlantıları ayarlarken Azure Stack Hub'daki VPN ağ geçitlerinin nasıl çalıştığını öğrenirsiniz. Fortinet FortiGate kullanarak aynı Azure Stack Hub ortamında iki VNET bağlayın. Bu yordam, her biri ayrı bir kaynak grubu içindeki her sanal ağa bir ağ sanal gereci olan FortiGate NVA ile iki sanal ağ dağıtır. Ayrıca, iki sanal ağ arasında IPSec VPN'i ayarlamak için gereken değişiklikler de ayrıntılı olarak açıklanması gerekir. Bu makaledeki adımları her sanal ağ dağıtımı için yineleyin.
Önkoşullar
Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip bir sisteme erişim.
Azure Stack Hub Marketi'ne indirilen ve yayımlanan bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.
FortiGate NVA'sını etkinleştirmek için en az iki kullanılabilir FortiGate lisans dosyası. Bu lisansları alma hakkında bilgi için Fortinet Belge Kitaplığı'nda lisansınızı kaydetme ve indirme makalesine bakın.
Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.
FortiGate çözümünü active-passive (HA) kurulumunda dağıtma hakkında daha fazla bilgi için Azure'da FortiGate-VM için FortiNet Belge Kitaplığı makalesindeki ayrıntılara bakın.
Dağıtım parametreleri
Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir:
Dağıtım bir: Forti1
FortiGate Örneği Adı | Forti1 |
---|---|
KLG Lisansı/Sürümü | 6.0.3 |
FortiGate yönetim kullanıcı adı | fortiadmin |
Kaynak Grubu adı | forti1-rg1 |
Sanal ağın adı | forti1vnet1 |
Sanal Ağ Adres Alanı | 172.16.0.0/16* |
Genel sanal ağ alt ağ adı | forti1-PublicFacingSubnet |
Genel sanal ağ adres ön eki | 172.16.0.0/24* |
İç sanal ağ alt ağı adı | forti1-InsideSubnet |
VNET alt ağı ön eki içinde | 172.16.1.0/24* |
FortiGate NVA'nın VM Boyutu | Standart F2s_v2 |
Genel IP adresi adı | forti1-publicip1 |
Genel IP adresi türü | Statik |
Dağıtım iki: Forti2
FortiGate Örneği Adı | Forti2 |
---|---|
KLG Lisansı/Sürümü | 6.0.3 |
FortiGate yönetim kullanıcı adı | fortiadmin |
Kaynak Grubu adı | forti2-rg1 |
Sanal ağın adı | forti2vnet1 |
Sanal Ağ Adres Alanı | 172.17.0.0/16* |
Genel sanal ağ alt ağ adı | forti2-PublicFacingSubnet |
Genel sanal ağ adres ön eki | 172.17.0.0/24* |
İç sanal ağ alt ağı adı | Forti2-InsideSubnet |
VNET alt ağı ön eki içinde | 172.17.1.0/24* |
FortiGate NVA'nın VM Boyutu | Standart F2s_v2 |
Genel IP adresi adı | Forti2-publicip1 |
Genel IP adresi türü | Statik |
Not
* Yukarıdakiler Azure Stack Hub'ın VIP Havuzu dahil olmak üzere şirket içi ağ ortamıyla herhangi bir şekilde çakışıyorsa farklı bir adres alanları ve alt ağ ön ekleri kümesi seçin. Ayrıca adres aralıklarının birbiriyle çakışmadığından emin olun.
FortiGate NGFW'yi dağıtma
Azure Stack Hub kullanıcı portalını açın.
Kaynak oluştur'u seçin ve için
FortiGate
arama yapın.FortiGate NGFW'yi ve ardından Oluştur'u seçin.
Dağıtım parametreleri tablosundaki parametreleri kullanarak Temelbilgileri tamamlayın.
Tamam’ı seçin.
Dağıtım parametreleri tablosunu kullanarak Sanal ağ, Alt Ağlar ve VM Boyutu ayrıntılarını sağlayın.
Uyarı
Şirket içi ağ IP aralığıyla
172.16.0.0/16
çakışıyorsa, farklı bir ağ aralığı ve alt ağ seçip ayarlamanız gerekir. Dağıtım parametreleri tablosundakilerden farklı adlar ve aralıklar kullanmak istiyorsanız, şirket içi ağ ile çakışmayacak parametreleri kullanın. VNET IP aralığını ve sanal ağ içindeki alt ağ aralıklarını ayarlarken dikkatli olun. Aralığın şirket içi ağınızda bulunan IP aralıklarıyla çakışmasını istemezsiniz.Tamam’ı seçin.
Fortigate NVA için Genel IP'yi yapılandırın:
Tamam’ı seçin. Sonrasında Tamam’ı seçin.
Oluştur’u seçin.
Dağıtım yaklaşık 10 dakika sürer.
Her sanal ağ için yolları (UDR) yapılandırma
Forti1-rg1 ve forti2-rg1 dağıtımları için bu adımları gerçekleştirin.
Azure Stack Hub kullanıcı portalını açın.
Kaynak grupları’nı seçin. Filtreyi yazın
forti1-rg1
ve forti1-rg1 kaynak grubuna çift tıklayın.forti1-forti1-InsideSubnet-routes-xxxx kaynağını seçin.
Ayarlar'ın altında Rotalar'ı seçin.
İnternet Yolu'nı silin.
Evet’i seçin.
Yeni bir yol eklemek için Ekle'yi seçin.
Yolu olarak adlandırın
to-onprem
.VPN'nin bağlanacağı şirket içi ağın ağ aralığını tanımlayan IP ağ aralığını girin.
Sonraki atlama türü ve
172.16.1.4
için Sanal gereç'i seçin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.Kaydet’i seçin.
Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma hakkında daha fazla bilgi ve NVA'yı etkinleştirme adımları için Fortinet Belge Kitaplığı makalesine bakın . Lisansınızı kaydetme ve indirme.
Her NVA için bir tane olmak üzere iki lisans dosyasının alınması gerekir.
İki NVA arasında IPSec VPN'i oluşturma
NVA'lar etkinleştirildikten sonra, iki NVA arasında bir IPSec VPN'i oluşturmak için bu adımları izleyin.
Forti1 NVA ve forti2 NVA için aşağıdaki adımları izleyin:
FortiX VM genel bakış sayfasına giderek atanan Genel IP adresini alın:
Atanan IP adresini kopyalayın, bir tarayıcı açın ve adresi adres çubuğuna yapıştırın. Tarayıcınız sizi güvenlik sertifikasına güvenilmediği konusunda uyarabilir. Yine de devam edin.
Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.
SistemÜretici Yazılımı'ı> seçin.
En son üretici yazılımını gösteren kutuyu seçin, örneğin,
FortiOS v6.2.0 build0866
.Yedekleme yapılandırması ve yükseltme>Devam'ı seçin.
NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.
VPN>IPSec Sihirbazı'nı tıklatın.
ÖRNEĞIN
conn1
, VPN Oluşturma Sihirbazı'na VPN için bir ad girin.Bu site NAT'nin arkasında'ı seçin.
İleri’yi seçin.
Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.
Giden Arabirimi olarak bağlantı noktası1'i seçin.
Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).
Not
Şirket içi VPN cihazında bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.
İleri’yi seçin.
Yerel Arabirim için bağlantı noktası2'yi seçin.
Yerel alt ağ aralığını girin:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
Şirket içi VPN cihazı aracılığıyla bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.
Oluştur’u seçin
Ağ>Arabirimleri'ni seçin.
Bağlantı noktası2'ye çift tıklayın.
Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.
Tamam’ı seçin.
Diğer NVA için adımları yineleyin.
Tüm 2. Aşama Seçicilerini Getir
Yukarıdakiler her iki NVA için de tamamlandıktan sonra:
forti2 FortiGate web konsolundaIPsec İzleyicisiniİzle'yi> seçin.
Tüm Aşama 2 Seçicilerini> Vurgulayın
conn1
ve seçin.
Bağlantıyı test etme ve doğrulama
Artık FortiGate NVA'ları aracılığıyla her sanal ağ arasında yönlendirme yapabilmeniz gerekir. Bağlantıyı doğrulamak için her sanal ağın InsideSubnet'inde bir Azure Stack Hub VM oluşturun. Azure Stack Hub VM oluşturma işlemi portal, Azure CLI veya PowerShell aracılığıyla gerçekleştirilebilir. VM'leri oluştururken:
Azure Stack Hub VM'leri her sanal ağın InsideSubnet'ine yerleştirilir.
Oluşturma sırasında VM'ye NSG uygulamazsınız (Başka bir ifadeyle, vm'yi portaldan oluşturursanız varsayılan olarak eklenen NSG'yi kaldırın.
VMS güvenlik duvarı kurallarının bağlantıyı test etmek için kullanacağınız iletişime izin verin. Test amacıyla, mümkünse güvenlik duvarının işletim sistemi içinde tamamen devre dışı bırakılması önerilir.
Sonraki adımlar
Azure Stack Hub ağıyla ilgili farklılıklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin