Fortigate ile sanal ağdan sanal ağa bağlantı

Bu makalede, aynı ortamdaki iki sanal ağ arasında nasıl bağlantı oluşturulacağı açıklanır. Bağlantıları ayarlarken Azure Stack Hub'daki VPN ağ geçitlerinin nasıl çalıştığını öğrenirsiniz. Fortinet FortiGate kullanarak aynı Azure Stack Hub ortamında iki VNET bağlayın. Bu yordam, her biri ayrı bir kaynak grubu içindeki her sanal ağa bir ağ sanal gereci olan FortiGate NVA ile iki sanal ağ dağıtır. Ayrıca, iki sanal ağ arasında IPSec VPN'i ayarlamak için gereken değişiklikler de ayrıntılı olarak açıklanması gerekir. Bu makaledeki adımları her sanal ağ dağıtımı için yineleyin.

Önkoşullar

  • Bu çözüm için gereken işlem, ağ ve kaynak gereksinimlerini dağıtmak için kullanılabilir kapasiteye sahip bir sisteme erişim.

  • Azure Stack Hub Marketi'ne indirilen ve yayımlanan bir ağ sanal gereci (NVA) çözümü. NVA, bir çevre ağından diğer ağlara veya alt ağlara giden ağ trafiğinin akışını denetler. Bu yordamda Fortinet FortiGate Yeni Nesil Güvenlik Duvarı Tek VM Çözümü kullanılır.

  • FortiGate NVA'sını etkinleştirmek için en az iki kullanılabilir FortiGate lisans dosyası. Bu lisansları alma hakkında bilgi için Fortinet Belge Kitaplığı'nda lisansınızı kaydetme ve indirme makalesine bakın.

    Bu yordam, Tek FortiGate-VM dağıtımını kullanır. FortiGate NVA'yı şirket içi ağınızdaki Azure Stack Hub sanal ağına bağlama adımlarını bulabilirsiniz.

    FortiGate çözümünü active-passive (HA) kurulumunda dağıtma hakkında daha fazla bilgi için Azure'da FortiGate-VM için FortiNet Belge Kitaplığı makalesindeki ayrıntılara bakın.

Dağıtım parametreleri

Aşağıdaki tabloda, başvuru için bu dağıtımlarda kullanılan parametreler özetlenmiştir:

Dağıtım bir: Forti1

FortiGate Örneği Adı Forti1
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti1-rg1
Sanal ağın adı forti1vnet1
Sanal Ağ Adres Alanı 172.16.0.0/16*
Genel sanal ağ alt ağ adı forti1-PublicFacingSubnet
Genel sanal ağ adres ön eki 172.16.0.0/24*
İç sanal ağ alt ağı adı forti1-InsideSubnet
VNET alt ağı ön eki içinde 172.16.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı forti1-publicip1
Genel IP adresi türü Statik

Dağıtım iki: Forti2

FortiGate Örneği Adı Forti2
KLG Lisansı/Sürümü 6.0.3
FortiGate yönetim kullanıcı adı fortiadmin
Kaynak Grubu adı forti2-rg1
Sanal ağın adı forti2vnet1
Sanal Ağ Adres Alanı 172.17.0.0/16*
Genel sanal ağ alt ağ adı forti2-PublicFacingSubnet
Genel sanal ağ adres ön eki 172.17.0.0/24*
İç sanal ağ alt ağı adı Forti2-InsideSubnet
VNET alt ağı ön eki içinde 172.17.1.0/24*
FortiGate NVA'nın VM Boyutu Standart F2s_v2
Genel IP adresi adı Forti2-publicip1
Genel IP adresi türü Statik

Not

* Yukarıdakiler Azure Stack Hub'ın VIP Havuzu dahil olmak üzere şirket içi ağ ortamıyla herhangi bir şekilde çakışıyorsa farklı bir adres alanları ve alt ağ ön ekleri kümesi seçin. Ayrıca adres aralıklarının birbiriyle çakışmadığından emin olun.

FortiGate NGFW'yi dağıtma

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak oluştur'u seçin ve için FortiGatearama yapın.

    Arama sonuçları listesinde FortiGate NGFW - Tek VM Dağıtımı gösterilir.

  3. FortiGate NGFW'yi ve ardından Oluştur'u seçin.

  4. Dağıtım parametreleri tablosundaki parametreleri kullanarak Temelbilgileri tamamlayın.

    Temel Bilgiler ekranında seçilen ve liste ve metin kutularına girilen dağıtım parametrelerinden değerler bulunur.

  5. Tamam’ı seçin.

  6. Dağıtım parametreleri tablosunu kullanarak Sanal ağ, Alt Ağlar ve VM Boyutu ayrıntılarını sağlayın.

    Uyarı

    Şirket içi ağ IP aralığıyla 172.16.0.0/16çakışıyorsa, farklı bir ağ aralığı ve alt ağ seçip ayarlamanız gerekir. Dağıtım parametreleri tablosundakilerden farklı adlar ve aralıklar kullanmak istiyorsanız, şirket içi ağ ile çakışmayacak parametreleri kullanın. VNET IP aralığını ve sanal ağ içindeki alt ağ aralıklarını ayarlarken dikkatli olun. Aralığın şirket içi ağınızda bulunan IP aralıklarıyla çakışmasını istemezsiniz.

  7. Tamam’ı seçin.

  8. Fortigate NVA için Genel IP'yi yapılandırın:

    IP Ataması iletişim kutusunda

  9. Tamam’ı seçin. Sonrasında Tamam’ı seçin.

  10. Oluştur’u seçin.

Dağıtım yaklaşık 10 dakika sürer.

Her sanal ağ için yolları (UDR) yapılandırma

Forti1-rg1 ve forti2-rg1 dağıtımları için bu adımları gerçekleştirin.

  1. Azure Stack Hub kullanıcı portalını açın.

  2. Kaynak grupları’nı seçin. Filtreyi yazın forti1-rg1 ve forti1-rg1 kaynak grubuna çift tıklayın.

    forti1-rg1 kaynak grubu için on kaynak listelenir.

  3. forti1-forti1-InsideSubnet-routes-xxxx kaynağını seçin.

  4. Ayarlar'ın altında Rotalar'ı seçin.

    Ayarlar iletişim kutusunda Yollar düğmesi seçilidir.

  5. İnternet Yolu'nı silin.

    İnternet Yolu listelenen tek yoldur ve seçilidir. Sil düğmesi vardır.

  6. Evet’i seçin.

  7. Yeni bir yol eklemek için Ekle'yi seçin.

  8. Yolu olarak adlandırın to-onprem.

  9. VPN'nin bağlanacağı şirket içi ağın ağ aralığını tanımlayan IP ağ aralığını girin.

  10. Sonraki atlama türü ve 172.16.1.4için Sanal gereç'i seçin. Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    Yol ekle iletişim kutusu, seçili olan ve metin kutularına girilen dört değeri gösterir.

  11. Kaydet’i seçin.

Her FortiGate NVA'sını etkinleştirmek için Fortinet'ten geçerli bir lisans dosyası gerekir. NVA'lar her NVA'yi etkinleştirene kadar çalışmaz. Lisans dosyasını alma hakkında daha fazla bilgi ve NVA'yı etkinleştirme adımları için Fortinet Belge Kitaplığı makalesine bakın . Lisansınızı kaydetme ve indirme.

Her NVA için bir tane olmak üzere iki lisans dosyasının alınması gerekir.

İki NVA arasında IPSec VPN'i oluşturma

NVA'lar etkinleştirildikten sonra, iki NVA arasında bir IPSec VPN'i oluşturmak için bu adımları izleyin.

Forti1 NVA ve forti2 NVA için aşağıdaki adımları izleyin:

  1. FortiX VM genel bakış sayfasına giderek atanan Genel IP adresini alın:

    Forti1 sanal makinesine Genel Bakış sayfasında forti1 için

  2. Atanan IP adresini kopyalayın, bir tarayıcı açın ve adresi adres çubuğuna yapıştırın. Tarayıcınız sizi güvenlik sertifikasına güvenilmediği konusunda uyarabilir. Yine de devam edin.

  3. Dağıtım sırasında sağladığınız FortiGate yönetici kullanıcı adını ve parolasını girin.

    Oturum açma iletişim kutusunda kullanıcı ve parola metin kutuları ve Oturum Aç düğmesi bulunur.

  4. SistemÜretici Yazılımı'ı> seçin.

  5. En son üretici yazılımını gösteren kutuyu seçin, örneğin, FortiOS v6.2.0 build0866.

    Üretici Yazılımı iletişim kutusunda üretici yazılımı tanımlayıcısı

  6. Yedekleme yapılandırması ve yükseltme>Devam'ı seçin.

  7. NVA, üretici yazılımını en son derlemeye güncelleştirir ve yeniden başlatır. İşlem yaklaşık beş dakika sürer. FortiGate web konsolunda yeniden oturum açın.

  8. VPN>IPSec Sihirbazı'nı tıklatın.

  9. ÖRNEĞIN conn1 , VPN Oluşturma Sihirbazı'na VPN için bir ad girin.

  10. Bu site NAT'nin arkasında'ı seçin.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, ilk adım olan VPN Kurulumu'nda olduğunu gösterir. Aşağıdaki değerler seçilidir: Şablon Türü için

  11. İleri’yi seçin.

  12. Bağlanacağınız şirket içi VPN cihazının uzak IP adresini girin.

  13. Giden Arabirimi olarak bağlantı noktası1'i seçin.

  14. Önceden Paylaşılan Anahtar'ı seçin ve önceden paylaşılan bir anahtar girin (ve kaydedin).

    Not

    Şirket içi VPN cihazında bağlantıyı ayarlamak için bu anahtara ihtiyacınız olacaktır, yani tam olarak eşleşmeleri gerekir.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, kimlik doğrulamasının ikinci adımında olduğunu gösterir ve seçili değerler vurgulanır.

  15. İleri’yi seçin.

  16. Yerel Arabirim için bağlantı noktası2'yi seçin.

  17. Yerel alt ağ aralığını girin:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

  18. Şirket içi VPN cihazı aracılığıyla bağlanacağınız şirket içi ağı temsil eden uygun Uzak Alt Ağları girin.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Farklı bir IP aralığı kullanıyorsanız IP aralığınızı kullanın.

    VPN Oluşturma Sihirbazı'nın ekran görüntüsü, üçüncü adım olan İlke & Yönlendirme'de olduğunu gösterir. Seçili ve girilen değerleri gösterir.

  19. Oluştur’u seçin

  20. >Arabirimleri'ni seçin.

    Arabirim listesi iki arabirim gösterir: yapılandırılmış olan bağlantı noktası1 ve yapılandırılmamış olan bağlantı noktası2. Arabirim oluşturma, düzenleme ve silme düğmeleri vardır.

  21. Bağlantı noktası2'ye çift tıklayın.

  22. Rol listesinde LAN'ı ve Adresleme modu için DHCP'yi seçin.

  23. Tamam’ı seçin.

Diğer NVA için adımları yineleyin.

Tüm 2. Aşama Seçicilerini Getir

Yukarıdakiler her iki NVA için de tamamlandıktan sonra:

  1. forti2 FortiGate web konsolundaIPsec İzleyicisiniİzle'yi> seçin.

    VPN bağlantısı conn1 izleyicisi listelenir. İlgili 2. Aşama Seçicisi gibi kapalı olarak gösterilir.

  2. Tüm Aşama 2 Seçicilerini> Vurgulayın conn1 ve seçin.

    Monitör ve 2. Aşama Seçicisi yukarı olarak gösterilir.

Bağlantıyı test etme ve doğrulama

Artık FortiGate NVA'ları aracılığıyla her sanal ağ arasında yönlendirme yapabilmeniz gerekir. Bağlantıyı doğrulamak için her sanal ağın InsideSubnet'inde bir Azure Stack Hub VM oluşturun. Azure Stack Hub VM oluşturma işlemi portal, Azure CLI veya PowerShell aracılığıyla gerçekleştirilebilir. VM'leri oluştururken:

  • Azure Stack Hub VM'leri her sanal ağın InsideSubnet'ine yerleştirilir.

  • Oluşturma sırasında VM'ye NSG uygulamazsınız (Başka bir ifadeyle, vm'yi portaldan oluşturursanız varsayılan olarak eklenen NSG'yi kaldırın.

  • VMS güvenlik duvarı kurallarının bağlantıyı test etmek için kullanacağınız iletişime izin verin. Test amacıyla, mümkünse güvenlik duvarının işletim sistemi içinde tamamen devre dışı bırakılması önerilir.

Sonraki adımlar

Azure Stack Hub ağıyla ilgili farklılıklar ve dikkat edilmesi gerekenler
Fortinet FortiGate ile Azure Stack Hub'da ağ çözümü sunma