使用 Fortigate 的 VNet 對 VNet 連線能力
本文說明如何在相同環境中的兩個虛擬網路之間建立連線。 在您設定連線時,您會了解 VPN 閘道在 Azure Stack Hub 中的運作方式。 使用 Fortinet FortiGate 連接相同 Azure Stack Hub 環境中的兩個 VNET。 此程序會在個別的資源群組內的每個 VNET 中,部署兩個具有 FortiGate NVA (網路虛擬設備) 的 VNET。 此外也會詳細說明在這兩個 VNET 之間設定 IPSec VPN 所需的變更。 請重複執行本文中的步驟,以進行每個 VNET 部署。
必要條件
能夠存取有足夠容量可部署此解決方案所需的計算、網路和資源的系統。
已下載並發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 可控制從周邊網路到其他網路或子網路的網路流量。 此程序會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。
至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 如需如何取得這些授權的相關資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權。
此程序會使用單一 FortiGate-VM 部署。 您可以找到在內部部署網路中將 FortiGate NVA 連線至 Azure Stack Hub VNET 的步驟。
如需如何在主動-被動 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Fortinet 文件庫文章 FortiGate-VM 在 Azure 上的 HA 中的詳細資料。
部署參數
下表摘錄了在這些部署中使用的參數以供參考:
部署一:Forti1
| FortiGate 執行個體名稱 | Forti1 |
|---|---|
| BYOL 授權/版本 | 6.0.3 |
| FortiGate 系統管理使用者名稱 | fortiadmin |
| 資源群組名稱 | forti1-rg1 |
| 虛擬網路名稱 | forti1vnet1 |
| VNET 位址空間 | 172.16.0.0/16* |
| 公用 VNET 子網路名稱 | forti1-PublicFacingSubnet |
| 公用 VNET 位址首碼 | 172.16.0.0/24* |
| 內部 VNET 子網路名稱 | forti1-InsideSubnet |
| 內部 VNET 子網路首碼 | 172.16.1.0/24* |
| FortiGate NVA 的 VM 大小 | 標準 F2s_v2 |
| 公用 IP 位址名稱 | forti1-publicip1 |
| 公用 IP 位址類型 | 靜態 |
部署二:Forti2
| FortiGate 執行個體名稱 | Forti2 |
|---|---|
| BYOL 授權/版本 | 6.0.3 |
| FortiGate 系統管理使用者名稱 | fortiadmin |
| 資源群組名稱 | forti2-rg1 |
| 虛擬網路名稱 | forti2vnet1 |
| VNET 位址空間 | 172.17.0.0/16* |
| 公用 VNET 子網路名稱 | forti2-PublicFacingSubnet |
| 公用 VNET 位址首碼 | 172.17.0.0/24* |
| 內部 VNET 子網路名稱 | Forti2-InsideSubnet |
| 內部 VNET 子網路首碼 | 172.17.1.0/24* |
| FortiGate NVA 的 VM 大小 | 標準 F2s_v2 |
| 公用 IP 位址名稱 | Forti2-publicip1 |
| 公用 IP 位址類型 | 靜態 |
注意
* 如果上述項目與內部部署網路環境有任何重疊的情況 (包括任一 Azure Stack Hub 的 VIP 集區),請選擇一組不同的位址空間和子網路首碼。 同時請確定位址範圍未彼此重疊。
部署 FortiGate NGFW
開啟 Azure Stack Hub 使用者入口網站。
選取 [建立資源],然後搜尋 。
選取 [FortiGate NGFW],然後選取 [建立]。
使用部署參數 表格中的參數完成 [基本]。
![[基本] 畫面具有已選取部署參數的值,並在清單和文本框中輸入。](media/azure-stack-network-howto-vnet-to-onprem/image7a.png?view=azs-2008)
選取 [確定]。
使用部署參數表格提供虛擬網路、子網路和 VM 大小的詳細資料。
警告
如果內部部署網路與 IP 範圍
172.16.0.0/16重疊,您必須選取並設定不同的網路範圍和子網路。 如果您想要使用與部署參數表格中不同的名稱和範圍,請使用不會與內部部署網路衝突的參數。 在 VNET 中設定 VNET IP 範圍和子網路範圍時,請多加留意。 範圍不應與內部部署網路中存在的 IP 範圍重疊。選取 [確定]。
設定 Fortigate NVA 的公用 IP:
![[IP 指派] 對話框會顯示 “Public IP address name” 和 [公用 IP 位址類型] 的 [靜態] 值 forti1-publicip1。](media/azure-stack-network-howto-vnet-to-onprem/image8a.png?view=azs-2008)
選取 [確定]。 然後選取 [確定]。
選取 [建立]。
完成部署大約需要 10 分鐘。
設定每個 VNET 的路由 (UDR)
請為 forti1-rg1 和 forti2-rg1 這兩個部署執行下列步驟。
開啟 Azure Stack Hub 使用者入口網站。
選取 [資源群組]。 在篩選條件中輸入
forti1-rg1,然後按兩下 forti1-rg1 資源群組。
選取 forti1-forti1-InsideSubnet-routes-xxxx 資源。
在 [設定] 底下,選取 [路由]。
![[設定] 對話框中已選取 [路由] 按鈕。](media/azure-stack-network-howto-vnet-to-onprem/image10a.png?view=azs-2008)
刪除 to-Internet 路由。
選取 [是] 。
選取 [新增] 以新增路由。
將路由命名為
to-onprem。輸入 IP 網路範圍,以定義 VPN 所將連接的內部部署網路的網路範圍。
針對 [下一個躍點類型] 和 ,選取 [虛擬設備]。 如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
![[新增路由] 對話框會顯示已選取並在文字框中輸入的四個值。](media/azure-stack-network-howto-vnet-to-onprem/image12a.png?view=azs-2008)
選取 [儲存]。
您將需要 Fortinet 提供的有效授權檔案,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 將無法運作。 如需如何取得授權檔案和 NVA 啟用步驟的詳細資訊,請參閱 Fortinet 文件庫文章:註冊和下載您的授權。
必須取得兩個授權檔案 – 每個 NVA 一個。
在兩個 NVA 之間建立 IPSec VPN
啟用 NVA 之後,請依照下列步驟建立兩個 NVA 之間的 IPSec VPN。
對 forti1 NVA 和 forti2 NVA 執行下列步驟:
瀏覽至 fortiX VM 的概觀頁面,以取得指派的公用 IP 位址:
![forti1 虛擬機 [概觀] 頁面會顯示 forti1 的值,例如[資源群組] 和 [狀態]。](media/azure-stack-network-howto-vnet-to-vnet/image13a.png?view=azs-2008)
複製指派的 IP 位址,開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 請繼續作業。
輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。
![登入對話框具有用戶和密碼文字框,以及 [登入] 按鈕。](media/azure-stack-network-howto-vnet-to-vnet/image14a.png?view=azs-2008)
選取 [系統][韌體]。
選取顯示最新韌體的方塊,例如
FortiOS v6.2.0 build0866。![[韌體] 對話框具有韌體標識符 “FortiOS v6.2.0 build0866”、版本信息的連結,以及兩個按鈕:「備份組態和升級」和[升級]。](media/azure-stack-network-howto-vnet-to-vnet/image15a.png?view=azs-2008)
選取 [備份組態並升級][繼續]。
NVA 會將其韌體更新為最新組建,然後重新開機。 此程序大約需要五分鐘的時間。 重新登入 FortiGate Web 主控台。
按一下 [VPN][IPSec 精靈]。
在 [VPN 建立精靈]
conn1中輸入 VPN 的名稱,例如conn1。選取 [此網站位於 NAT 後方]。
![VPN 建立精靈的螢幕快照會顯示在 VPN 設定的第一個步驟中。選取下列值:[範本類型]、[FortiGate] 為 [遠端裝置類型] 選取 [站對站],而 [此月臺位於 NAT 後方],用於 NAT 組態。](media/azure-stack-network-howto-vnet-to-vnet/image16a.png?view=azs-2008)
選取 [下一步] 。
輸入您要連線的內部部署 VPN 裝置的遠端 IP 位址。
選取 [port1] 作為 [連出介面]。
選取 [預先共用金鑰],然後輸入 (並記錄) 預先共用金鑰。
注意
您將需要以此金鑰來設定內部部署 VPN 裝置上的連線,也就是說,金鑰必須完全相符。
![[VPN 建立精靈] 的螢幕快照會顯示在第二個步驟[驗證],並醒目提示選取的值。](media/azure-stack-network-howto-vnet-to-vnet/image17a.png?view=azs-2008)
選取 [下一步] 。
針對 [本機介面],選取 [port2]。
輸入本機子網路範圍:
- forti1:172.16.0.0/16
- forti2:172.17.0.0/16
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
輸入代表內部部署網路的適當遠端子網路,您將透過內部部署 VPN 裝置連線至此網路。
- forti1:172.16.0.0/16
- forti2:172.17.0.0/16
如果您使用的是不同的 IP 範圍,請使用您的 IP 範圍。
![[VPN 建立精靈] 的螢幕快照會顯示在 [原則 & 路由] 第三個步驟中。它會顯示選取和輸入的值。](media/azure-stack-network-howto-vnet-to-vnet/image18a.png?view=azs-2008)
選取 [建立]
選取 [網路][介面]。
按兩下 [port2]。
在 [角色] 清單中選擇 [LAN],並選擇 [DHCP] 作為 [定址模式]。
選取 [確定]。
對其他 NVA 重複前述步驟。
啟動所有的階段 2 選取器
對兩個 NVA 都完成前述步驟後:
在 forti2 FortiGate Web 主控台上,選取 [監視][IPsec 監視器]。
將
conn1醒目提示,然後選取 [啟動]>[所有的階段 2 選取器]。
測試並驗證連線能力
您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間進行路由。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:
Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet 上。
在建立 VM 時,您不應將任何 NSG 套用至 VM (也就是說,如果您從入口網站建立 VM,請移除依預設新增的 NSG)。
確定 VM 防火牆規則允許您要用來測試連線的通訊。 基於測試目的,建議您在作業系統中完全停用防火牆 (如果可能的話)。
後續步驟
Azure Stack Hub 網路服務的差異與注意事項
以 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應