Udostępnij za pośrednictwem

Konfigurowanie bramy sieci VPN dla usługi Azure Stack Hub przy użyciu urządzenia FortiGate NVA

  • Artykuł

W tym artykule opisano sposób tworzenia połączenia sieci VPN z usługą Azure Stack Hub. Brama sieci VPN to typ bramy sieci wirtualnej, która wysyła zaszyfrowany ruch między siecią wirtualną w usłudze Azure Stack Hub i zdalną bramą sieci VPN. Poniższa procedura umożliwia wdrożenie jednej sieci wirtualnej z wirtualnym urządzeniem sieciowym FortiGate WUS w ramach grupy zasobów. Zawiera on również kroki konfigurowania sieci VPN protokołu IPSec w urządzeniu WUS fortiGate.

Wymagania wstępne

  • Dostęp do zintegrowanych systemów usługi Azure Stack Hub z dostępną pojemnością w celu wdrożenia wymaganych wymagań dotyczących zasobów obliczeniowych, sieciowych i zasobów potrzebnych dla tego rozwiązania.

    Uwaga

    Te instrukcje nie będą działać z zestawem Azure Stack Development Kit (ASDK) ze względu na limity sieci w zestawie ASDK. Aby uzyskać więcej informacji, zobacz Wymagania i zagadnienia dotyczące zestawu ASDK.

  • Dostęp do urządzenia sieci VPN w sieci lokalnej, który hostuje zintegrowany system usługi Azure Stack Hub. Urządzenie musi utworzyć tunel IPSec, który spełnia parametry opisane w parametrach wdrażania.

  • Rozwiązanie wirtualnego urządzenia sieciowego (WUS) dostępne w witrynie Azure Stack Hub Marketplace. Urządzenie WUS steruje przepływem ruchu sieciowego z sieci obwodowej do innych sieci lub podsieci. Ta procedura korzysta z rozwiązania Fortinet FortiGate z pojedynczą maszyną wirtualną zapory nowej generacji.

    Uwaga

    Jeśli nie masz maszyny wirtualnej Fortinet FortiGate-VM for Azure BYOL i FortiGate NGFW — pojedyncze wdrożenie maszyny wirtualnej (BYOL) dostępne w witrynie Azure Stack Hub Marketplace, skontaktuj się z operatorem chmury.

  • Aby aktywować urządzenie WUS fortiGate, musisz mieć co najmniej jeden dostępny plik licencji FortiGate. Informacje na temat uzyskiwania tych licencji można znaleźć w artykule Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

    Ta procedura używa wdrożenia single FortiGate-VM. Kroki dotyczące łączenia urządzenia WUS FortiGate z siecią wirtualną usługi Azure Stack Hub można znaleźć w sieci lokalnej.

    Aby uzyskać więcej informacji na temat wdrażania rozwiązania FortiGate w konfiguracji aktywne-pasywne (HA), zobacz szczegółowe informacje w artykule Fortinet Document Library (Wysoka dostępność dla maszyny wirtualnej FortiGate-VM na platformie Azure).

Parametry wdrożenia

Poniższa tabela zawiera podsumowanie parametrów używanych w tych wdrożeniach do celów referencyjnych.

Parametr Wartość
Nazwa wystąpienia FortiGate forti1
Licencja/wersja BYOL 6.0.3
FortiGate nazwa użytkownika administracyjnego fortiadmin
Nazwa grupy zasobów forti1-rg1
Nazwa sieci wirtualnej forti1vnet1
Przestrzeń adresowa sieci wirtualnej 172.16.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti1-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.16.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej forti1-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.16.1.0/24*
Rozmiar maszyny wirtualnej fortiGate WUS F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP forti1-publicip1
Typ publicznego adresu IP Static

Uwaga

* Wybierz inną przestrzeń adresową i prefiksy podsieci, jeśli 172.16.0.0/16 nakładają się na siebie sieć lokalną lub pulę adresów VIP usługi Azure Stack Hub.

Wdrażanie elementów witryny Marketplace FortiGate NGFW

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Utwórz zasób i wyszukaj ciąg FortiGate.

    Na liście wyników wyszukiwania jest wyświetlana opcja FortiGate NGFW — pojedyncze wdrożenie maszyny wirtualnej.

  3. Wybierz pozycję FortiGate NGFW i wybierz pozycję Utwórz.

  4. Ukończ podstawowe informacje przy użyciu parametrów z tabeli Parametry wdrożenia.

    Ekran Podstawowe zawiera wartości z tabeli parametrów wdrożenia wprowadzonych na liście i polach tekstowych.

  5. Wybierz przycisk OK.

  6. Podaj szczegóły dotyczące sieci wirtualnej, podsieci i rozmiaru maszyny wirtualnej przy użyciu tabeli Parametry wdrożenia.

    Ostrzeżenie

    Jeśli sieć lokalna nakłada się na zakres 172.16.0.0/16adresów IP, należy wybrać i skonfigurować inny zakres sieci i podsieci. Jeśli chcesz użyć różnych nazw i zakresów niż te w tabeli Parametry wdrożenia, użyj parametrów, które nie będą powodować konfliktu z siecią lokalną. Należy zachować ostrożność podczas ustawiania zakresu adresów IP i podsieci sieci wirtualnej w sieci wirtualnej. Nie chcesz, aby zakres nakładał się na zakresy adresów IP, które istnieją w sieci lokalnej.

  7. Wybierz przycisk OK.

  8. Skonfiguruj publiczny adres IP dla urządzenia WUS fortiGate:

    W oknie dialogowym Przypisywanie adresu IP jest wyświetlana wartość forti1-publicip1 dla

  9. Wybierz przycisk OK. Wybierz przycisk OK.

  10. Wybierz pozycję Utwórz.

    Wdrożenie potrwa około 10 minut.

Konfigurowanie tras (UDR) dla sieci wirtualnej

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Grupy zasobów. Wpisz forti1-rg1 filtr i kliknij dwukrotnie grupę zasobów forti1-rg1.

    Dziesięć zasobów znajduje się na liście dla grupy zasobów forti1-rg1.

  3. Wybierz zasób "forti1-forti1-InsideSubnet-routes-xxxx".

  4. Wybierz pozycję Trasy w obszarze Ustawienia.

    Przycisk Trasy jest zaznaczony w oknie dialogowym Ustawienia.

  5. Usuń trasę z Internetem.

    Trasa do Internetu jest jedyną trasą na liście i jest zaznaczona. Istnieje przycisk usuwania.

  6. Wybierz opcję Tak.

  7. Wybierz pozycję Dodaj , aby dodać nową trasę.

  8. Nadaj trasie to-onpremnazwę .

  9. Wprowadź zakres sieci IP, który definiuje zakres sieci lokalnej, z którą będzie się łączyć sieć VPN.

  10. Wybierz pozycję Urządzenie wirtualne dla typu następnego przeskoku i 172.16.1.4. Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    W oknie dialogowym Dodawanie trasy są wyświetlane cztery wartości wprowadzone w polach tekstowych.

  11. Wybierz pozycję Zapisz.

Aktywowanie urządzenia WUS fortiGate

Aktywuj urządzenie WUS fortiGate i skonfiguruj połączenie sieci VPN IPSec na każdym urządzeniu WUS.

Aby aktywować każde urządzenie WUS fortiGate, będzie wymagać ważnego pliku licencji z fortinet. Urządzenia WUS nie będą działać do momentu aktywowania każdego urządzenia WUS. Aby uzyskać więcej informacji na temat pobierania pliku licencji i kroków aktywowania urządzenia WUS, zobacz artykuł Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

Po aktywowaniu urządzeń WUS utwórz tunel VPN IPSec na urządzeniu WUS.

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Grupy zasobów. Wprowadź forti1 w filtrze i kliknij dwukrotnie grupę zasobów forti1.

  3. Kliknij dwukrotnie maszynę wirtualną forti1 na liście typów zasobów w bloku grupy zasobów.

    Na stronie Przegląd maszyny wirtualnej forti1 są wyświetlane wartości forti1, takie jak

  4. Skopiuj przypisany adres IP, otwórz przeglądarkę i wklej adres IP na pasku adresu. Witryna może wyzwolić ostrzeżenie, że certyfikat zabezpieczeń nie jest zaufany. Kontynuuj mimo to.

  5. Wprowadź nazwę użytkownika administracyjnego fortiGate i hasło podane podczas wdrażania.

    Okno dialogowe logowania zawiera pola tekstowe użytkownika i hasła oraz przycisk Zaloguj.

  6. Wybierz pozycję Oprogramowanie układowe systemu>.

  7. Wybierz pole z wyświetlonym najnowszym oprogramowaniem układowym, na przykład FortiOS v6.2.0 build0866.

    W oknie dialogowym Oprogramowanie układowe jest identyfikator oprogramowania układowego

  8. Wybierz pozycję Konfiguracja kopii zapasowej i uaktualnij pozycję>Kontynuuj.

  9. Urządzenie WUS aktualizuje oprogramowanie układowe do najnowszej kompilacji i ponownego uruchamiania. Proces trwa około pięciu minut. Zaloguj się ponownie do konsoli sieci Web FortiGate.

  10. Kliknij pozycję Kreator protokołu IPSec sieci VPN>.

  11. Wprowadź nazwę sieci VPN, na przykład conn1 w Kreatorze tworzenia sieci VPN.

  12. Wybierz pozycję Ta witryna znajduje się za translatorem adresów sieciowych.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w pierwszym kroku Konfiguracja sieci VPN. Wybrano następujące wartości:

  13. Wybierz Dalej.

  14. Wprowadź zdalny adres IP lokalnego urządzenia sieci VPN, z którym chcesz nawiązać połączenie.

  15. Wybierz port1 jako interfejs wychodzący.

  16. Wybierz pozycję Klucz wstępny i wprowadź (i rekord) klucz wstępny.

    Uwaga

    Ten klucz będzie potrzebny do skonfigurowania połączenia na lokalnym urządzeniu sieci VPN, czyli musi być dokładnie zgodny.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w drugim kroku, Uwierzytelnianie, a wybrane wartości są wyróżnione.

  17. Wybierz Dalej.

  18. Wybierz port2 dla interfejsu lokalnego.

  19. Wprowadź zakres podsieci lokalnej:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  20. Wprowadź odpowiednie podsieci zdalne reprezentujące sieć lokalną, z którą połączysz się za pośrednictwem lokalnego urządzenia sieci VPN.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w trzecim kroku, Zasady i routing. Zostanie wyświetlona wybrana i wprowadzona wartość.

  21. Wybierz pozycję Utwórz

  22. Wybierz pozycję Interfejsy sieciowe>.

    Lista interfejsów zawiera dwa interfejsy: port1, który został skonfigurowany, i port2, który nie został skonfigurowany. Istnieją przyciski do tworzenia, edytowania i usuwania interfejsów.

  23. Kliknij dwukrotnie port2.

  24. Wybierz pozycję LAN na liście Role (Rola) i DHCP (DHCP) dla trybu adresowania.

  25. Wybierz przycisk OK.

Konfigurowanie lokalnej sieci VPN

Aby utworzyć tunel VPN IPSec, należy skonfigurować lokalne urządzenie sieci VPN. Poniższa tabela zawiera parametry potrzebne do skonfigurowania lokalnego urządzenia sieci VPN. Aby uzyskać informacje na temat konfigurowania lokalnego urządzenia sieci VPN, zapoznaj się z dokumentacją urządzenia.

Parametr Wartość
Adres IP bramy zdalnej Publiczny adres IP przypisany do forti1 — zobacz Aktywowanie wirtualnego urządzenia WUS fortiGate.
Zdalna sieć IP 172.16.0.0/16 (jeśli używasz zakresu adresów IP w tych instrukcjach dla sieci wirtualnej).
Auth. Method = Preshared key (PSK) Z kroku 16.
Wersja IKE 1
Tryb IKE Main (ochrona identyfikatorów)
Algorytmy propozycji fazy 1 AES128-SHA256, AES256-SHA256, AES128-SHA1, AES256-SHA1
Grupy Diffie-Hellman 14, 5

Tworzenie tunelu sieci VPN

Po odpowiednim skonfigurowaniu lokalnego urządzenia sieci VPN można teraz ustanowić tunel VPN.

Z urządzenia WUS fortiGate:

  1. W konsoli sieci Web forti1 FortiGate przejdź do pozycji Monitorowanie monitora> IPsec.

    Zostanie wyświetlony monitor połączenia sieci VPN conn1. Jest on wyświetlany jako wyłączony, podobnie jak odpowiedni selektor fazy 2.

  2. Wyróżnij conn1 i wybierz selektory Przynieś>wszystkie fazy 2.

    Monitor i Selektor fazy 2 są wyświetlane jako w górę.

Testowanie i weryfikowanie łączności

Trasę między siecią wirtualną a siecią lokalną można kierować za pośrednictwem lokalnego urządzenia sieci VPN.

Aby zweryfikować połączenie:

  1. Utwórz maszynę wirtualną w sieciach wirtualnych usługi Azure Stack Hub i systemie w sieci lokalnej. Postępuj zgodnie z instrukcjami dotyczącymi tworzenia maszyny wirtualnej w przewodniku Szybki start: tworzenie maszyny wirtualnej z systemem Windows server przy użyciu portalu usługi Azure Stack Hub.

  2. Podczas tworzenia maszyny wirtualnej usługi Azure Stack Hub i przygotowywania systemu lokalnego sprawdź:

  • Maszyna wirtualna usługi Azure Stack Hub jest umieszczana w podsieci InsideSubnet sieci wirtualnej.

  • System lokalny jest umieszczany w sieci lokalnej w zdefiniowanym zakresie adresów IP zgodnie z definicją w konfiguracji protokołu IPSec. Upewnij się również, że adres IP lokalnego interfejsu sieci VPN jest udostępniany systemowi lokalnemu jako trasa, która może dotrzeć do sieci wirtualnej usługi Azure Stack Hub, na przykład 172.16.0.0/16.

  • Nie należy stosować żadnych sieciowych grup zabezpieczeń do maszyny wirtualnej usługi Azure Stack Hub podczas tworzenia. Może być konieczne usunięcie sieciowej grupy zabezpieczeń, która zostanie dodana domyślnie, jeśli zostanie utworzona maszyna wirtualna z portalu.

  • Upewnij się, że system operacyjny systemu operacyjnego lokalnego i system operacyjny maszyny wirtualnej usługi Azure Stack Hub nie mają reguł zapory systemu operacyjnego, które uniemożliwiłyby komunikację, której będziesz używać do testowania łączności. W celach testowych zaleca się całkowite wyłączenie zapory w systemie operacyjnym obu systemów.

Następne kroki

Różnice i zagadnienia dotyczące sieci w usłudze Azure Stack Hub
Oferowanie rozwiązania sieciowego w usłudze Azure Stack Hub za pomocą rozwiązania Fortinet FortiGate