Condividi tramite

Connettività da rete virtuale a rete virtuale con Fortigate

  • Articolo

Questo articolo descrive come creare una connessione tra due reti virtuali nello stesso ambiente. Quando si configurano le connessioni, si apprenderà come funzionano i gateway VPN nell'hub di Azure Stack. Connettere due reti virtuali all'interno dello stesso ambiente dell'hub di Azure Stack usando Fortinet FortiGate. Questa procedura distribuisce due reti virtuali con un'appliance virtuale di rete FortiGate, un'appliance virtuale di rete, in ogni rete virtuale in ogni rete virtuale all'interno di un gruppo di risorse separato. Vengono inoltre illustrate in dettaglio le modifiche necessarie per configurare una VPN IPSec tra le due reti virtuali. Ripetere i passaggi descritti in questo articolo per ogni distribuzione di rete virtuale.

Prerequisiti

  • Accesso a un sistema con capacità disponibile per distribuire i requisiti di calcolo, rete e risorse necessari per questa soluzione.

  • Una soluzione appliance virtuale di rete (NVA) scaricata e pubblicata nel Marketplace dell'hub di Azure Stack. Un'appliance virtuale di rete controlla il flusso del traffico di rete da una rete perimetrale ad altre reti o subnet. Questa procedura usa la soluzione Firewall single vm di nuova generazione Fortinet Fortigate.

  • Almeno due file di licenza FortiGate disponibili per attivare l'appliance virtuale di rete FortiGate. Informazioni su come ottenere queste licenze, vedere l'articolo Sulla registrazione e sul download della licenza in Fortinet Document Library.

    Questa procedura usa la distribuzione single FortiGate-VM. È possibile trovare la procedura per connettere l'appliance virtuale di rete FortiGate alla rete virtuale dell'hub di Azure Stack a nella rete locale.

    Per altre informazioni su come distribuire la soluzione FortiGate in una configurazione attiva-passiva (HA), vedere i dettagli nell'articolo Della raccolta documenti fortinet per FortiGate-VM in Azure.

Parametri di distribuzione

La tabella seguente riepiloga i parametri usati in queste distribuzioni per riferimento:

Distribuzione 1: Forti1

FortiGate Instance Name Forti1
Licenza BYOL/Versione 6.0.3
Nome utente amministratore FortiGate fortiadmin
Nome del gruppo di risorse forti1-rg1
Nome della rete virtuale forti1vnet1
Spazio indirizzi della rete virtuale 172.16.0.0/16*
Nome della subnet della rete virtuale pubblica forti1-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.16.0.0/24*
All'interno del nome della subnet della rete virtuale forti1-InsideSubnet
All'interno del prefisso della subnet della rete virtuale 172.16.1.0/24*
Dimensioni della macchina virtuale di FortiGate NVA Standard F2s_v2
Nome indirizzo IP pubblico forti1-publicip1
Tipo di indirizzo IP pubblico Statico

Distribuzione 2: Forti2

FortiGate Instance Name Forti2
Licenza BYOL/Versione 6.0.3
Nome utente amministratore FortiGate fortiadmin
Nome del gruppo di risorse forti2-rg1
Nome della rete virtuale forti2vnet1
Spazio indirizzi della rete virtuale 172.17.0.0/16*
Nome della subnet della rete virtuale pubblica forti2-PublicFacingSubnet
Prefisso dell'indirizzo della rete virtuale pubblica 172.17.0.0/24*
All'interno del nome della subnet della rete virtuale Forti2-InsideSubnet
All'interno del prefisso della subnet della rete virtuale 172.17.1.0/24*
Dimensioni della macchina virtuale di FortiGate NVA Standard F2s_v2
Nome indirizzo IP pubblico Forti2-publicip1
Tipo di indirizzo IP pubblico Statico

Nota

* Scegliere un set diverso di spazi indirizzi e prefissi di subnet se l'esempio precedente si sovrappone in qualsiasi modo all'ambiente di rete locale, incluso il pool VIP di uno degli hub di Azure Stack. Assicurarsi anche che gli intervalli di indirizzi non si sovrappongano tra loro.

Distribuire fortiGate NGFW

  1. Aprire il portale utenti dell'hub di Azure Stack.

  2. Selezionare Crea una risorsa e cercare FortiGate.

    L'elenco dei risultati della ricerca mostra FortiGate NGFW - Distribuzione di macchine virtuali singole.

  3. Selezionare FortiGate NGFW e selezionare Crea.

  4. Completare le nozioni di base usando i parametri della tabella Parametri di distribuzione.

    Nella schermata Informazioni di base sono presenti valori dei parametri di distribuzione selezionati e immessi nelle caselle di testo e elenco.

  5. Seleziona OK.

  6. Specificare i dettagli della rete virtuale, delle subnet e delle dimensioni della macchina virtuale usando la tabella Parametri di distribuzione.

    Avviso

    Se la rete locale si sovrappone all'intervallo 172.16.0.0/16IP , è necessario selezionare e configurare un intervallo di rete e subnet diversi. Se si desidera utilizzare nomi e intervalli diversi da quelli nella tabella Parametri di distribuzione, usare i parametri che non saranno in conflitto con la rete locale. Prestare attenzione quando si impostano l'intervallo IP della rete virtuale e gli intervalli di subnet all'interno della rete virtuale. Non si vuole che l'intervallo si sovrapponga agli intervalli IP presenti nella rete locale.

  7. Seleziona OK.

  8. Configurare l'indirizzo IP pubblico per l'appliance virtuale di rete Fortigate:

    La finestra di dialogo Assegnazione IP mostra il valore forti1-publicip1 per

  9. Seleziona OK. Quindi selezionare OK.

  10. Seleziona Crea.

La distribuzione richiederà circa 10 minuti.

Configurare route (route definite dall'utente) per ogni rete virtuale

Eseguire questi passaggi per entrambe le distribuzioni, forti1-rg1 e forti2-rg1.

  1. Aprire il portale utenti dell'hub di Azure Stack.

  2. Selezionare Gruppi di risorse. Digitare forti1-rg1 il filtro e fare doppio clic sul gruppo di risorse forti1-rg1.

    Dieci risorse sono elencate per il gruppo di risorse forti1-rg1.

  3. Selezionare la risorsa forti1-forti1-InsideSubnet-routes-xxxx .

  4. Selezionare Route in Impostazioni.

    Il pulsante Route è selezionato nella finestra di dialogo Impostazioni.

  5. Eliminare la route da Internet a Internet.

    La route da a Internet è l'unica route elencata ed è selezionata. È presente un pulsante di eliminazione.

  6. Selezionare .

  7. Selezionare Aggiungi per aggiungere una nuova route.

  8. Denominare la route to-onprem.

  9. Immettere l'intervallo di rete IP che definisce l'intervallo di rete della rete locale a cui si connetterà la VPN.

  10. Selezionare Appliance virtuale per Tipo hop successivo e 172.16.1.4. Usare l'intervallo IP se si usa un intervallo IP diverso.

    La finestra di dialogo Aggiungi route mostra i quattro valori selezionati e immessi nelle caselle di testo.

  11. Seleziona Salva.

È necessario un file di licenza valido da Fortinet per attivare ogni appliance virtuale di rete FortiGate. Le appliance virtuali di rete non funzioneranno finché non è stata attivata ogni appliance virtuale di rete. Per altre informazioni su come ottenere un file di licenza e i passaggi per attivare l'appliance virtuale di rete, vedere l'articolo Raccolta documenti fortinet Registrazione e download della licenza.

Sarà necessario acquisire due file di licenza: uno per ogni appliance virtuale di rete.

Creare una VPN IPSec tra le due appliance virtuali di rete

Dopo aver attivato le appliance virtuali di rete, seguire questa procedura per creare una VPN IPSec tra le due appliance virtuali di rete.

Seguendo questa procedura sia per l'appliance virtuale di rete forti1 che per forti2 appliance virtuali di rete:

  1. Ottenere l'indirizzo IP pubblico assegnato passando alla pagina di panoramica di fortiX VM:

    La pagina panoramica della macchina virtuale forti1 mostra i valori per forti1, ad esempio

  2. Copiare l'indirizzo IP assegnato, aprire un browser e incollare l'indirizzo nella barra degli indirizzi. Il browser potrebbe avvisare che il certificato di sicurezza non è attendibile. Continuare comunque.

  3. Immettere il nome utente e la password amministrativi di FortiGate specificati durante la distribuzione.

    Nella finestra di dialogo di accesso sono presenti caselle di testo utente e password e un pulsante Di accesso.

  4. Selezionare Firmware di sistema>.

  5. Selezionare la casella che mostra il firmware più recente, FortiOS v6.2.0 build0866ad esempio .

    La finestra di dialogo Firmware contiene l'identificatore del firmware

  6. Selezionare Configurazione di backup e aggiornamento>Continua.

  7. L'appliance virtuale di rete aggiorna il firmware alla build e ai riavvii più recenti. Il processo richiede circa cinque minuti. Accedere di nuovo alla console Web fortiGate.

  8. Fare clic su Procedura guidata IPSec VPN>.

  9. Immettere un nome per la VPN, ad esempio, conn1 nella Creazione guidata VPN.

  10. Selezionare Questo sito si trova dietro NAT.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del primo passaggio, configurazione VPN. Sono selezionati i valori seguenti:

  11. Selezionare Avanti.

  12. Immettere l'indirizzo IP remoto del dispositivo VPN locale a cui ci si connette.

  13. Selezionare port1 come interfaccia in uscita.

  14. Selezionare Chiave precondizionato e immettere (e registrare) una chiave precondi shared.

    Nota

    Questa chiave sarà necessaria per configurare la connessione nel dispositivo VPN locale, ovvero devono corrispondere esattamente.

    Lo screenshot della Creazione guidata VPN mostra che si trovano nel secondo passaggio, Autenticazione e i valori selezionati sono evidenziati.

  15. Selezionare Avanti.

  16. Selezionare port2 per l'interfaccia locale.

  17. Immettere l'intervallo di subnet locale:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

  18. Immettere le subnet remote appropriate che rappresentano la rete locale a cui ci si connette tramite il dispositivo VPN locale.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Usare l'intervallo IP se si usa un intervallo IP diverso.

    Lo screenshot della Creazione guidata VPN mostra che si tratta del terzo passaggio, Policy & Routing. Mostra i valori selezionati e immessi.

  19. Selezionare Crea.

  20. Selezionare Interfacce di rete>.

    L'elenco di interfacce mostra due interfacce: port1, configurate e port2, che non lo sono. Sono disponibili pulsanti per creare, modificare ed eliminare interfacce.

  21. Fare doppio clic su porta2.

  22. Scegliere LAN nell'elenco Ruoli e DHCP per la modalità indirizzamento.

  23. Seleziona OK.

Ripetere i passaggi per l'altra appliance virtuale di rete.

Visualizzare tutti i selettori della fase 2

Una volta completata la procedura precedente per entrambe le appliance virtuali di rete:

  1. Nella console Web forti2 FortiGate selezionare Monitoraggio>IPsec.

    Viene elencato il monitoraggio per la connessione VPN conn1. Viene visualizzato come inattivo, come è il selettore della fase 2 corrispondente.

  2. Evidenziare conn1 e selezionare i selettori Visualizza>tutto fase 2.

    Il monitor e il selettore fase 2 vengono entrambi visualizzati come in alto.

Testare e convalidare la connettività

A questo punto dovrebbe essere possibile instradare tra ogni rete virtuale tramite le appliance virtuali di rete FortiGate. Per convalidare la connessione, creare una macchina virtuale dell'hub di Azure Stack in ogni rete virtuale InsideSubnet. La creazione di una macchina virtuale dell'hub di Azure Stack può essere eseguita tramite il portale, l'interfaccia della riga di comando di Azure o PowerShell. Quando si creano le macchine virtuali:

  • Le macchine virtuali dell'hub di Azure Stack vengono posizionate nella rete InternaSubnet di ogni rete virtuale.

  • Non si applicano gruppi di sicurezza di rete alla macchina virtuale al momento della creazione, ovvero rimuovere il gruppo di sicurezza di rete che viene aggiunto per impostazione predefinita se si crea la macchina virtuale dal portale.

  • Assicurarsi che le regole del firewall del set di scalabilità di macchine virtuali consentano la comunicazione che si intende usare per testare la connettività. A scopo di test, è consigliabile disabilitare completamente il firewall all'interno del sistema operativo, se possibile.

Passaggi successivi

Differenze e considerazioni per la rete dell'hub di Azure Stack
Offrire una soluzione di rete nell'hub di Azure Stack con Fortinet FortiGate