Sdílet prostřednictvím

Připojení virtuální sítě k virtuální síti pomocí Fortigate

  • Článek

Tento článek popisuje, jak vytvořit připojení mezi dvěma virtuálními sítěmi ve stejném prostředí. Při nastavování připojení se dozvíte, jak fungují brány VPN ve službě Azure Stack Hub. Připojte dva virtuální sítě v rámci stejného prostředí azure Stack Hub pomocí fortinet FortiGate. Tento postup nasadí dva virtuální sítě se síťovým virtuálním zařízením FortiGate v každé virtuální síti v rámci samostatné skupiny prostředků. Obsahuje také podrobnosti o změnách potřebných k nastavení sítě VPN PROTOKOLU IPSec mezi těmito dvěma virtuálními sítěmi. Opakujte kroky v tomto článku pro každé nasazení virtuální sítě.

Požadavky

  • Přístup k systému s dostupnou kapacitou pro nasazení požadovaných požadavků na výpočetní prostředky, síť a prostředky potřebné pro toto řešení

  • Řešení síťového virtuálního zařízení (NVA) se stáhlo a publikovalo na marketplace služby Azure Stack Hub. Síťové virtuální zařízení řídí tok síťového provozu z hraniční sítě do jiných sítí nebo podsítí. Tento postup používá řešení brány firewall fortinet FortiGate další generace s jedním virtuálním počítačem.

  • Alespoň dva dostupné soubory licencí FortiGate k aktivaci síťového virtuálního zařízení FortiGate. Informace o tom, jak tyto licence získat, najdete v článku Fortinet Document Library o registraci a stažení licence.

    Tento postup používá nasazení jednoho virtuálního počítače FortiGate-VM. Postup připojení síťového virtuálního zařízení FortiGate k virtuální síti služby Azure Stack Hub ve vaší místní síti najdete v postupu.

    Další informace o nasazení řešení FortiGate v nastavení aktivní-pasivní (HA) najdete v podrobnostech v článku Knihovna dokumentů Fortinet ha for fortiGate-VM v Azure.

Parametry nasazení

Následující tabulka shrnuje parametry, které se používají v těchto nasazeních pro referenci:

Nasazení 1: Forti1

Název instance FortiGate Forti1
Licence nebo verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti1-rg1
Název virtuální sítě forti1vnet1
Adresní prostor virtuální sítě 172.16.0.0/16*
Název veřejné podsítě virtuální sítě forti1-PublicFacingSubnet
Předpona veřejné adresy virtuální sítě 172.16.0.0/24*
Název podsítě virtuální sítě forti1-InsideSubnet
Předpona podsítě virtuální sítě 172.16.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy forti1-publicip1
Typ veřejné IP adresy staticky.

Nasazení 2: Forti2

Název instance FortiGate Forti2
Licence nebo verze BYOL 6.0.3
Uživatelské jméno správce FortiGate fortiadmin
Název skupiny prostředků forti2-rg1
Název virtuální sítě forti2vnet1
Adresní prostor virtuální sítě 172.17.0.0/16*
Název veřejné podsítě virtuální sítě forti2-PublicFacingSubnet
Předpona veřejné adresy virtuální sítě 172.17.0.0/24*
Název podsítě virtuální sítě Forti2-InsideSubnet
Předpona podsítě virtuální sítě 172.17.1.0/24*
Velikost virtuálního počítače pro síťové virtuální zařízení FortiGate Standardní F2s_v2
Název veřejné IP adresy Forti2-publicip1
Typ veřejné IP adresy staticky.

Poznámka:

* Zvolte jinou sadu adresních prostorů a předpon podsítě, pokud se výše uvedené předpony překrývají jakýmkoli způsobem s místním síťovým prostředím, včetně fondu virtuálních IP adres služby Azure Stack Hub. Ujistěte se také, že se rozsahy adres navzájem nepřekrývají.

Nasazení NGFW fortiGate

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Vytvořit prostředek a vyhledejte FortiGate.

    Seznam výsledků hledání zobrazuje FortiGate NGFW – Nasazení jednoho virtuálního počítače.

  3. Vyberte fortiGate NGFW a vyberte Vytvořit.

  4. Dokončete základy pomocí parametrů z tabulky Parametry nasazení.

    Obrazovka Základy obsahuje hodnoty z vybraných parametrů nasazení a zadaných v seznamu a textových polích.

  5. Vyberte OK.

  6. Zadejte podrobnosti o velikosti virtuální sítě, podsítí a velikosti virtuálního počítače pomocí tabulky Parametrů nasazení.

    Upozorňující

    Pokud se místní síť překrývají s rozsahem 172.16.0.0/16IP adres, musíte vybrat a nastavit jiný rozsah sítě a podsítě. Pokud chcete použít jiné názvy a rozsahy než ty v tabulce parametrů nasazení, použijte parametry, které nebudou v konfliktu s místní sítí. Při nastavování rozsahu IP adres virtuální sítě a rozsahů podsítí v rámci virtuální sítě buďte obezřetní. Nechcete, aby se rozsah překrýval s rozsahy IP adres, které existují ve vaší místní síti.

  7. Vyberte OK.

  8. Nakonfigurujte veřejnou IP adresu pro síťové virtuální zařízení Fortigate:

    V dialogovém okně Přiřazení IP se zobrazí hodnota forti1-publicip1 pro

  9. Vyberte OK. A pak vyberte OK.

  10. Vyberte Vytvořit.

Nasazení bude trvat přibližně 10 minut.

Konfigurace tras (tras definovaných uživatelem) pro každou virtuální síť

Proveďte tyto kroky pro obě nasazení, forti1-rg1 a forti2-rg1.

  1. Otevřete uživatelský portál služby Azure Stack Hub.

  2. Vyberte Skupiny prostředků. Zadejte forti1-rg1 filtr a poklikejte na skupinu prostředků forti1-rg1.

    Pro skupinu prostředků forti1-rg1 jsou uvedené deset prostředků.

  3. Vyberte prostředek forti1-forti1-InsideSubnet-routes-xxxx.

  4. V části Nastavení vyberte Trasy.

    Tlačítko Trasy je vybráno v dialogovém okně Nastavení.

  5. Odstraňte trasu k internetu .

    Trasa k internetu je jediná uvedená trasa a je vybraná. Tlačítko pro odstranění je k dispozici.

  6. Vyberte Ano.

  7. Pokud chcete přidat novou trasu, vyberte Přidat .

  8. Pojmenujte trasu to-onprem.

  9. Zadejte rozsah sítě IP, který definuje rozsah sítě místní sítě, ke které se vpn připojí.

  10. Vyberte Virtuální zařízení pro typ dalšího segmentu směrování a 172.16.1.4. Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

    Dialogové okno Přidat trasu zobrazuje čtyři hodnoty, které byly vybrány a zadány do textových polí.

  11. Zvolte Uložit.

K aktivaci každého síťového virtuálního zařízení FortiGate budete potřebovat platný licenční soubor z fortinetu. Síťová virtuální zařízení nebudou fungovat, dokud neaktivujete každé síťové virtuální zařízení. Další informace o tom, jak získat licenční soubor a postup aktivace síťového virtuálního zařízení, najdete v článku Knihovna dokumentů Fortinet Registrace a stažení licence.

Je potřeba získat dva licenční soubory – jeden pro každé síťové virtuální zařízení.

Vytvoření sítě IPSec VPN mezi dvěma síťovými virtuálními zařízeními

Po aktivaci síťových virtuálních zařízení vytvořte pomocí těchto kroků síť VPN IPSec mezi dvěma síťovými virtuálními zařízeními.

Postupujte podle následujících kroků pro síťové virtuální zařízení forti1 i pro síťové virtuální zařízení forti2:

  1. Získejte přiřazenou veřejnou IP adresu tak, že přejdete na stránku přehledu virtuálního počítače fortiX:

    Na stránce Přehled virtuálního počítače forti1 se zobrazují hodnoty forti1, například Skupina prostředků a Stav.

  2. Zkopírujte přiřazenou IP adresu, otevřete prohlížeč a vložte ji do adresního řádku. Váš prohlížeč vás může upozornit, že certifikát zabezpečení není důvěryhodný. Přesto pokračujte.

  3. Zadejte uživatelské jméno a heslo správce FortiGate, které jste zadali během nasazení.

    Dialogové okno pro přihlášení obsahuje textová pole pro uživatele a heslo a tlačítko Pro přihlášení.

  4. Vyberte Systémový>firmware.

  5. Zaškrtněte políčko s nejnovějším firmwarem, FortiOS v6.2.0 build0866například .

    Dialogové okno Firmware obsahuje identifikátor firmwaru FortiOS v6.2.0 build0866, odkaz na poznámky k verzi a dvě tlačítka: Konfigurace a upgrade zálohování a Upgrade.

  6. Vyberte Konfiguraci zálohování a pokračujte upgradem>.

  7. Síťové virtuální zařízení aktualizuje svůj firmware na nejnovější build a restartuje. Proces trvá asi pět minut. Přihlaste se zpět do webové konzoly FortiGate.

  8. Klikněte na Průvodce protokolem VPN>IPSec.

  9. Zadejte název sítě VPN, například conn1 v Průvodci vytvořením sítě VPN.

  10. Vyberte Tento web je za překladem adres (NAT).

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je v prvním kroku nastavení sítě VPN. Jsou vybrány následující hodnoty:

  11. Vyberte Další.

  12. Zadejte vzdálenou IP adresu místního zařízení VPN, ke kterému se chcete připojit.

  13. Jako odchozí rozhraní vyberte port1.

  14. Vyberte Předsdílený klíč a zadejte (a zaznamenejte) předsdílený klíč.

    Poznámka:

    Tento klíč budete potřebovat k nastavení připojení na místním zařízení VPN, to znamená, že musí přesně odpovídat.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je ve druhém kroku, ověřování a vybraných hodnotách.

  15. Vyberte Další.

  16. Vyberte port 2 pro místní rozhraní.

  17. Zadejte rozsah místní podsítě:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

  18. Zadejte příslušné vzdálené podsítě, které představují místní síť, ke které se připojíte přes místní zařízení VPN.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Rozsah IP adres použijte, pokud používáte jiný rozsah IP adres.

    Snímek obrazovky Průvodce vytvořením sítě VPN ukazuje, že je ve třetím kroku zásady a směrování. Zobrazuje vybrané a zadané hodnoty.

  19. Vyberte příkaz Vytvořit.

  20. Vyberte síťová>rozhraní.

    V seznamu rozhraní jsou dvě rozhraní: port1, který je nakonfigurovaný, a port2, který nemá. Rozhraní můžete vytvářet, upravovat a odstraňovat pomocí tlačítek.

  21. Poklikejte na port2.

  22. V seznamu rolí zvolte síť LAN a protokol DHCP pro režim adresování.

  23. Vyberte OK.

Opakujte kroky pro druhé síťové virtuální zařízení.

Vyvolání všech selektorů fáze 2

Po dokončení výše uvedeného postupu pro obě síťová virtuální zařízení:

  1. Ve webové konzole forti2 FortiGate vyberte monitor >IPsec Monitor.

    Zobrazí se monitorování připojení VPN conn1. Zobrazuje se jako down, stejně jako odpovídající selektor fáze 2.

  2. Zvýrazněte a vyberte selektory Zvýraznit conn1>všechny fáze 2.

    Výběr monitoru i fáze 2 se zobrazí jako nahoře.

Testování a ověření připojení

Teď byste měli být schopni směrovat mezi jednotlivými virtuálními sítěmi přes síťová virtuální zařízení FortiGate. Pokud chcete připojení ověřit, vytvořte virtuální počítač Azure Stack Hubu v rámci uvnitř podsítě každé virtuální sítě. Vytvoření virtuálního počítače služby Azure Stack Hub je možné provést prostřednictvím portálu, Azure CLI nebo PowerShellu. Při vytváření virtuálních počítačů:

  • Virtuální počítače azure Stack Hubu se umístí do podsítě uvnitř každé virtuální sítě.

  • Při vytváření virtuálních počítačů nepoužijete žádné skupiny zabezpečení sítě (to znamená, že odeberete skupinu zabezpečení sítě, která se ve výchozím nastavení přidá, pokud virtuální počítač vytvoříte z portálu.

  • Ujistěte se, že pravidla brány firewall virtuálních počítačů umožňují komunikaci, kterou použijete k otestování připojení. Pro účely testování se doporučuje bránu firewall úplně zakázat v operačním systému, pokud je to vůbec možné.

Další kroky

Rozdíly a důležité informace o sítích služby Azure Stack Hub
Nabídka síťového řešení ve službě Azure Stack Hub pomocí Fortinet FortiGate