Udostępnij za pośrednictwem

Łączność między sieciami wirtualnymi za pomocą narzędzia Fortigate

  • Artykuł

W tym artykule opisano sposób tworzenia połączenia między dwiema sieciami wirtualnymi w tym samym środowisku. Podczas konfigurowania połączeń dowiesz się, jak działają bramy sieci VPN w usłudze Azure Stack Hub. Połącz dwie sieci wirtualne w tym samym środowisku usługi Azure Stack Hub przy użyciu funkcji Fortinet FortiGate. Ta procedura umożliwia wdrożenie dwóch sieci wirtualnych z wirtualnym urządzeniem sieciowym FortiGate w każdej sieci wirtualnej w oddzielnej grupie zasobów. Zawiera on również szczegółowe informacje o zmianach wymaganych do skonfigurowania sieci VPN protokołu IPSec między dwiema sieciami wirtualnymi. Powtórz kroki opisane w tym artykule dla każdego wdrożenia sieci wirtualnej.

Wymagania wstępne

  • Dostęp do systemu z dostępną pojemnością w celu wdrożenia wymaganych wymagań dotyczących zasobów obliczeniowych, sieciowych i zasobów wymaganych w tym rozwiązaniu.

  • Rozwiązanie wirtualnego urządzenia sieciowego (WUS) pobrane i opublikowane w witrynie Azure Stack Hub Marketplace. Urządzenie WUS steruje przepływem ruchu sieciowego z sieci obwodowej do innych sieci lub podsieci. Ta procedura korzysta z rozwiązania Fortinet FortiGate z pojedynczą maszyną wirtualną zapory nowej generacji.

  • Co najmniej dwa dostępne pliki licencji FortiGate w celu aktywowania urządzenia WUS fortiGate. Informacje na temat sposobu uzyskiwania tych licencji można znaleźć w artykule Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

    Ta procedura używa wdrożenia single FortiGate-VM. Kroki dotyczące łączenia urządzenia WUS FortiGate z siecią wirtualną usługi Azure Stack Hub można znaleźć w sieci lokalnej.

    Aby uzyskać więcej informacji na temat wdrażania rozwiązania FortiGate w konfiguracji aktywne-pasywne (HA), zobacz szczegółowe informacje w artykule Fortinet Document Library (Wysoka dostępność dla maszyny wirtualnej FortiGate-VM na platformie Azure).

Parametry wdrożenia

Poniższa tabela zawiera podsumowanie parametrów używanych w tych wdrożeniach do celów referencyjnych:

Wdrożenie jedno: Forti1

Nazwa wystąpienia FortiGate Forti1
Licencja/wersja BYOL 6.0.3
FortiGate nazwa użytkownika administracyjnego fortiadmin
Nazwa grupy zasobów forti1-rg1
Nazwa sieci wirtualnej forti1vnet1
Przestrzeń adresowa sieci wirtualnej 172.16.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti1-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.16.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej forti1-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.16.1.0/24*
Rozmiar maszyny wirtualnej fortiGate WUS F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP forti1-publicip1
Typ publicznego adresu IP Static

Wdrożenie dwa: Forti2

Nazwa wystąpienia FortiGate Forti2
Licencja/wersja BYOL 6.0.3
FortiGate nazwa użytkownika administracyjnego fortiadmin
Nazwa grupy zasobów forti2-rg1
Nazwa sieci wirtualnej forti2vnet1
Przestrzeń adresowa sieci wirtualnej 172.17.0.0/16*
Nazwa podsieci publicznej sieci wirtualnej forti2-PublicFacingSubnet
Prefiks publicznego adresu sieci wirtualnej 172.17.0.0/24*
Wewnątrz nazwy podsieci sieci wirtualnej Forti2-InsideSubnet
Wewnątrz prefiksu podsieci sieci wirtualnej 172.17.1.0/24*
Rozmiar maszyny wirtualnej fortiGate WUS F2s_v2 w warstwie Standardowa
Nazwa publicznego adresu IP Forti2-publicip1
Typ publicznego adresu IP Static

Uwaga

* Wybierz inny zestaw przestrzeni adresowych i prefiksów podsieci, jeśli powyższe nakładają się w jakikolwiek sposób ze środowiskiem sieci lokalnej, w tym pulą adresów VIP dowolnego centrum usługi Azure Stack Hub. Upewnij się również, że zakresy adresów nie nakładają się na siebie.

Wdrażanie elementu FortiGate NGFW

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Utwórz zasób i wyszukaj ciąg FortiGate.

    Na liście wyników wyszukiwania jest wyświetlana opcja FortiGate NGFW — pojedyncze wdrożenie maszyny wirtualnej.

  3. Wybierz pozycję FortiGate NGFW i wybierz pozycję Utwórz.

  4. Wypełnij podstawowe informacje, korzystając z parametrów z tabeli Parametry wdrożenia.

    Ekran Podstawowe zawiera wartości z wybranych parametrów wdrożenia i wprowadzonych na liście i polach tekstowych.

  5. Wybierz przycisk OK.

  6. Podaj szczegóły dotyczące sieci wirtualnej, podsieci i rozmiaru maszyny wirtualnej przy użyciu tabeli Parametry wdrożenia.

    Ostrzeżenie

    Jeśli sieć lokalna nakłada się na zakres 172.16.0.0/16adresów IP, należy wybrać i skonfigurować inny zakres sieci i podsieci. Jeśli chcesz użyć różnych nazw i zakresów niż te w tabeli Parametry wdrożenia, użyj parametrów, które nie będą powodować konfliktu z siecią lokalną. Należy zachować ostrożność podczas ustawiania zakresu adresów IP i podsieci sieci wirtualnej w sieci wirtualnej. Nie chcesz, aby zakres nakładał się na zakresy adresów IP, które istnieją w sieci lokalnej.

  7. Wybierz przycisk OK.

  8. Skonfiguruj publiczny adres IP dla urządzenia WUS fortigate:

    W oknie dialogowym Przypisywanie adresu IP jest wyświetlana wartość forti1-publicip1 dla

  9. Wybierz przycisk OK. Wybierz przycisk OK.

  10. Wybierz pozycję Utwórz.

Wdrożenie potrwa około 10 minut.

Konfigurowanie tras (UDR) dla każdej sieci wirtualnej

Wykonaj te kroki dla obu wdrożeń, forti1-rg1 i forti2-rg1.

  1. Otwórz portal użytkowników usługi Azure Stack Hub.

  2. Wybierz pozycję Grupy zasobów. Wpisz forti1-rg1 filtr i kliknij dwukrotnie grupę zasobów forti1-rg1.

    Dziesięć zasobów znajduje się na liście dla grupy zasobów forti1-rg1.

  3. Wybierz zasób forti1-forti1-InsideSubnet-routes-xxxx.

  4. Wybierz pozycję Trasy w obszarze Ustawienia.

    Przycisk Trasy jest zaznaczony w oknie dialogowym Ustawienia.

  5. Usuń trasę z Internetem.

    Trasa do Internetu jest jedyną trasą na liście i jest zaznaczona. Istnieje przycisk usuwania.

  6. Wybierz opcję Tak.

  7. Wybierz pozycję Dodaj , aby dodać nową trasę.

  8. Nadaj trasie to-onpremnazwę .

  9. Wprowadź zakres sieci IP, który definiuje zakres sieci lokalnej, z którą będzie się łączyć sieć VPN.

  10. Wybierz pozycję Urządzenie wirtualne dla typu następnego przeskoku i 172.16.1.4. Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    W oknie dialogowym Dodawanie trasy są wyświetlane cztery wartości, które zostały wybrane i wprowadzone w polach tekstowych.

  11. Wybierz pozycję Zapisz.

Aby aktywować każde urządzenie WUS fortiGate, potrzebny będzie prawidłowy plik licencji z witryny Fortinet. Urządzenia WUS nie będą działać do momentu aktywowania każdego urządzenia WUS. Aby uzyskać więcej informacji na temat pobierania pliku licencji i kroków aktywowania urządzenia WUS, zobacz artykuł Fortinet Document Library Registering and downloading your license (Rejestrowanie i pobieranie licencji).

Należy uzyskać dwa pliki licencji — jeden dla każdego urządzenia WUS.

Tworzenie sieci VPN protokołu IPSec między dwoma urządzeniami WUS

Po aktywowaniu urządzeń WUS wykonaj następujące kroki, aby utworzyć sieć VPN PROTOKOŁU IPSec między dwoma urządzeniami WUS.

Wykonaj poniższe kroki dla urządzenia WUS forti1 i forti2 NVA:

  1. Uzyskaj przypisany publiczny adres IP, przechodząc do strony przeglądu maszyny wirtualnej fortiX:

    Na stronie Przegląd maszyny wirtualnej forti1 są wyświetlane wartości forti1, takie jak

  2. Skopiuj przypisany adres IP, otwórz przeglądarkę i wklej adres na pasku adresu. Przeglądarka może wyświetlić ostrzeżenie, że certyfikat zabezpieczeń nie jest zaufany. Kontynuuj mimo to.

  3. Wprowadź nazwę użytkownika administracyjnego fortiGate i hasło podane podczas wdrażania.

    Okno dialogowe logowania zawiera pola tekstowe użytkownika i hasła oraz przycisk Zaloguj.

  4. Wybierz pozycję Oprogramowanie układowe systemu>.

  5. Wybierz pole z wyświetlonym najnowszym oprogramowaniem układowym, na przykład FortiOS v6.2.0 build0866.

    Okno dialogowe Oprogramowanie układowe zawiera identyfikator oprogramowania układowego

  6. Wybierz pozycję Konfiguracja kopii zapasowej i uaktualnij pozycję>Kontynuuj.

  7. Urządzenie WUS aktualizuje oprogramowanie układowe do najnowszej kompilacji i ponownego uruchamiania. Proces trwa około pięciu minut. Zaloguj się ponownie do konsoli sieci Web FortiGate.

  8. Kliknij pozycję Kreator protokołu IPSec sieci VPN>.

  9. Wprowadź nazwę sieci VPN, na przykład conn1 w Kreatorze tworzenia sieci VPN.

  10. Wybierz pozycję Ta witryna znajduje się za translatorem adresów sieciowych.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w pierwszym kroku Konfiguracja sieci VPN. Wybrano następujące wartości:

  11. Wybierz Dalej.

  12. Wprowadź zdalny adres IP lokalnego urządzenia sieci VPN, z którym chcesz nawiązać połączenie.

  13. Wybierz port1 jako interfejs wychodzący.

  14. Wybierz pozycję Klucz wstępny i wprowadź (i rekord) klucz wstępny.

    Uwaga

    Ten klucz będzie potrzebny do skonfigurowania połączenia na lokalnym urządzeniu sieci VPN, czyli musi być dokładnie zgodny.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w drugim kroku, Uwierzytelnianie, a wybrane wartości są wyróżnione.

  15. Wybierz Dalej.

  16. Wybierz port2 dla interfejsu lokalnego.

  17. Wprowadź zakres podsieci lokalnej:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

  18. Wprowadź odpowiednie podsieci zdalne reprezentujące sieć lokalną, z którą połączysz się za pośrednictwem lokalnego urządzenia sieci VPN.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Użyj zakresu adresów IP, jeśli używasz innego zakresu adresów IP.

    Zrzut ekranu Kreatora tworzenia sieci VPN pokazuje, że jest on w trzecim kroku, Zasady i routing. Zostanie wyświetlona wybrana i wprowadzona wartość.

  19. Wybierz pozycję Utwórz

  20. Wybierz pozycję Interfejsy sieciowe>.

    Lista interfejsów zawiera dwa interfejsy: port1, który został skonfigurowany, i port2, który nie został skonfigurowany. Istnieją przyciski do tworzenia, edytowania i usuwania interfejsów.

  21. Kliknij dwukrotnie port2.

  22. Wybierz pozycję LAN na liście Role (Rola) i DHCP (DHCP) dla trybu adresowania.

  23. Wybierz przycisk OK.

Powtórz kroki dla innego urządzenia WUS.

Podnieś wszystkie selektory fazy 2

Po zakończeniu powyższych czynności dla obu urządzeń WUS:

  1. W konsoli sieci Web forti2 FortiGate wybierz pozycję Monitor>IPsec.

    Zostanie wyświetlony monitor połączenia sieci VPN conn1. Jest on wyświetlany jako wyłączony, podobnie jak odpowiedni selektor fazy 2.

  2. Wyróżnij conn1 i wybierz selektory ">Przynieś wszystkie fazy 2".

    Monitor i Selektor fazy 2 są wyświetlane jako w górę.

Testowanie i weryfikowanie łączności

Teraz powinno być możliwe kierowanie między poszczególnymi sieciami wirtualnymi za pośrednictwem urządzeń WUS FortiGate. Aby zweryfikować połączenie, utwórz maszynę wirtualną usługi Azure Stack Hub w podsieci InsideSubnet każdej sieci wirtualnej. Tworzenie maszyny wirtualnej usługi Azure Stack Hub można wykonać za pośrednictwem portalu, interfejsu wiersza polecenia platformy Azure lub programu PowerShell. Podczas tworzenia maszyn wirtualnych:

  • Maszyny wirtualne usługi Azure Stack Hub są umieszczane w podsieci InsideSubnet każdej sieci wirtualnej.

  • Nie stosujesz żadnych sieciowych grup zabezpieczeń do maszyny wirtualnej podczas tworzenia (oznacza to, że usuwaj sieciową grupę zabezpieczeń dodaną domyślnie, jeśli tworzysz maszynę wirtualną z portalu.

  • Upewnij się, że reguły zapory usługi VMS zezwalają na komunikację używaną do testowania łączności. W celach testowych zaleca się całkowite wyłączenie zapory w systemie operacyjnym, jeśli jest to możliwe.

Następne kroki

Różnice i zagadnienia dotyczące sieci w usłudze Azure Stack Hub
Oferowanie rozwiązania sieciowego w usłudze Azure Stack Hub za pomocą rozwiązania Fortinet FortiGate