共用方式為


Azure Stack Hub 實例與 Fortinet FortiGate NVA 之間的 VNet 對 VNet 連線

在本文中,您將使用 Fortinet Fortinet FortiGate NVA,將一個 Azure Stack Hub 中的 VNET 連線至另一個 Azure Stack Hub 中的 VNET,這是網路虛擬設備。

本文說明目前的 Azure Stack Hub 限制,這可讓租使用者只跨兩個環境設定一個 VPN 連線。 使用者將會瞭解如何在Linux虛擬機上設定自定義閘道,以允許跨不同 Azure Stack Hub 的多個 VPN 連線。 本文中的程式會在每個 VNET 中部署兩個具有 FortiGate NVA 的 VNET:每個 Azure Stack Hub 環境的一個部署。 它也會詳細說明設定兩個 VNET 之間的IPSec VPN 所需的變更。 本文中的步驟應該針對每個 Azure Stack Hub 中的每個 VNET 重複執行。

必要條件

  • 存取具有可用容量的 Azure Stack Hub 整合系統,以部署此解決方案所需的計算、網路和資源需求。

    注意

    這些指示不適用於 Azure Stack 開發工具套件 (ASDK),因為 ASDK 中的網路限制。 如需詳細資訊,請參閱 ASDK 需求和考慮

  • 已下載併發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 會控制從周邊網路流向其他網路或子網的網路流量。 此程式會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。

  • 至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 有關如何取得這些授權的資訊,請參閱 Fortinet 文件庫一文 註冊和下載您的授權

    此程式會使用 Single FortiGate-VM 部署。 您可以找到如何將 FortiGate NVA 連線到內部部署網路中 Azure Stack Hub VNET 的步驟。

    如需如何在主動-被動式 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Azure 上的 FortiGate-VM FortiGate-VM 的 Fortinet 文檔庫文章 HA。

部署參數

下表摘要說明這些部署中使用的參數以供參考:

部署一:Forti1

FortiGate 實例名稱 Forti1
BYOL 授權/版本 6.0.3
FortiGate 系統管理用戶名稱 fortiadmin
資源群組名稱 forti1-rg1
虛擬網路名稱 forti1vnet1
VNET 位址空間 172.16.0.0/16*
公用 VNET 子網名稱 forti1-PublicFacingSubnet
公用 VNET 位址前綴 172.16.0.0/24*
在 VNET 子網名稱內 forti1-InsideSubnet
在 VNET 子網前置詞內 172.16.1.0/24*
FortiGate NVA 的 VM 大小 標準F2s_v2
公用 IP 位址名稱 forti1-publicip1
公用IP位址類型 靜態

部署二:Forti2

FortiGate 實例名稱 Forti2
BYOL 授權/版本 6.0.3
FortiGate 系統管理用戶名稱 fortiadmin
資源群組名稱 forti2-rg1
虛擬網路名稱 forti2vnet1
VNET 位址空間 172.17.0.0/16*
公用 VNET 子網名稱 forti2-PublicFacingSubnet
公用 VNET 位址前綴 172.17.0.0/24*
在 VNET 子網名稱內 Forti2-InsideSubnet
在 VNET 子網前置詞內 172.17.1.0/24*
FortiGate NVA 的 VM 大小 標準F2s_v2
公用 IP 位址名稱 Forti2-publicip1
公用IP位址類型 靜態

注意

* 如果上述與內部部署網路環境重疊,請選擇不同的位址空間和子網前置詞集,包括 Azure Stack Hub 的 VIP 集區。 也請確定位址範圍不會彼此重疊。**

部署 FortiGate NGFW Marketplace 專案

針對這兩個 Azure Stack Hub 環境重複這些步驟。

  1. 開啟 Azure Stack Hub 使用者入口網站。 請務必使用至少具有訂用帳戶參與者許可權的認證。

  2. 選取 [建立資源 ],然後搜尋 FortiGate

    此螢幕快照顯示搜尋 「fortigate」 的單行結果。找到的專案名稱為 “FortiGate NGFW - 單一 VM 部署 (BYOL)”。

  3. 選取 FortiGate NGFW,然後選取 [建立]。

  4. 使用部署參數數據表中的參數完成基本概念。

    您的表單應該包含下列資訊:

    [基本數據] 對話框的文字框(例如實例名稱和 BYOL 授權)已填入 [部署數據表] 的值。

  5. 選取 [確定]。

  6. 從部署參數提供虛擬網路、子網和 VM 大小詳細 數據

    如果您想要使用不同的名稱和範圍,請小心不要使用與其他 Azure Stack Hub 環境中其他 VNET 和 FortiGate 資源衝突的參數。 在 VNET 內設定 VNET IP 範圍和子網範圍時,這特別如此。 檢查它們不會與您建立的其他 VNET 的 IP 範圍重疊。

  7. 選取 [確定]。

  8. 設定將用於 FortiGate NVA 的公用 IP:

    [IP 指派] 對話方塊的 [公用 IP 位址名稱] 文字框會顯示 “forti1-publicip1” 的值(來自 [部署數據表]。

  9. 選取 [ 確定 ],然後選取 [ 確定]。

  10. 選取 建立

部署大約需要 10 分鐘的時間。 您現在可以重複步驟,在其他 Azure Stack Hub 環境中建立其他 FortiGate NVA 和 VNET 部署。

設定每個 VNET 的路由 (UDR)

針對兩個部署、forti1-rg1 和 forti2-rg1 執行這些步驟。

  1. 流覽至 Azure Stack Hub 入口網站中的 forti1-rg1 資源群組。

    這是 forti1-rg1 資源群組中資源清單的螢幕快照。

  2. 選取 'forti1-forti1-InsideSubnet-routes-xxxx' 資源。

  3. 選取 [設定] 下的 [路由]。

    此螢幕快照顯示 [設定] 中醒目提示的 [路由] 專案。

  4. 刪除至因特網路由。

    此螢幕快照顯示醒目提示的因特網路由。有一個刪除按鈕。

  5. 選取 [是]

  6. 選取 [新增]。

  7. 將 Route to-forti1to-forti2命名為 。 如果您使用不同的IP範圍,請使用您的IP範圍。

  8. 輸入:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    如果您使用不同的IP範圍,請使用您的IP範圍。

  9. 選取 [下一個躍點類型] 的 [虛擬設備]。

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    如果您使用不同的IP範圍,請使用您的IP範圍。

    to-forti2 的 [編輯路由] 對話框具有具有值的文字框。「位址前置詞」是 172.17.0.0/16、「下一個躍點類型」是「虛擬設備」,而「下一個躍點位址」則為 172.16.1.4。

  10. 選取儲存

針對每個資源群組重複每個 InsideSubnet 路由的步驟。

啟用 FortiGate NVA,並在每個 NVA 上設定 IPSec VPN 連線

您必須從 Fortinet 取得有效的授權檔,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 才會運作。 如需如何取得授權檔案和啟用 NVA 步驟的詳細資訊,請參閱 Fortinet 文檔庫一文 註冊和下載您的授權

需要取得兩個授權檔案 - 每個 NVA 各一個。

建立兩個 NVA 之間的IPSec VPN

啟用 NVA 之後,請遵循下列步驟,在兩個 NVA 之間建立 IPSec VPN。

針對 forti1 NVA 和 forti2 NVA,請遵循下列步驟:

  1. 流覽至 fortiX VM 概觀頁面,以取得指派的公用 IP 位址:

    forti1 概觀頁面會顯示資源群組、狀態等等。

  2. 複製指派的IP位址、開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 無論如何,繼續。

  3. 輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。

    螢幕快照是登入畫面,其中包含 [登入] 按鈕和使用者名稱和密碼的文字框。

  4. 選取 [系統>韌體]。

  5. 選取顯示最新韌體的方塊,例如 FortiOS v6.2.0 build0866

    “FortiOS v6.2.0 build0866” 韌體螢幕快照具有版本信息的連結,以及兩個按鈕:「備份設定和升級」和「升級」。

  6. 出現提示時,選取 [備份組態和升級 ],然後選取 [繼續]。

  7. NVA 會將其韌體更新為最新的組建並重新啟動。 此程式大約需要五分鐘的時間。 登入 FortiGate Web 控制台。

  8. 按兩下 [VPN>IPSec 精靈]。

  9. 例如conn1,在 [VPN 建立精靈] 中輸入 VPN 的名稱。

  10. 選取 [此網站位於 NAT 後方]。

    [VPN 建立精靈] 的螢幕快照會顯示在 VPN 設定的第一個步驟中。已選取下列值:[範本類型]、[FortiGate] 的 [站對站]、[遠端裝置類型] 的 [FortiGate],以及 [此月臺位於 NAT 後方],用於 NAT 組態。

  11. 選取 [下一步]。

  12. 輸入您要連線的內部部署 VPN 裝置遠端 IP 位址。

  13. 選取 port1 作為 [傳出介面]。

  14. 選取 [預先共用金鑰 ],然後輸入 [和記錄] 預先共用密鑰。

    注意

    您將需要此金鑰,才能在內部部署 VPN 裝置上設定連線,也就是說,它們必須完全相符

    [VPN 建立精靈] 的螢幕快照顯示它位於第二個步驟[驗證],並醒目提示選取的值。

  15. 選取 [下一步]。

  16. 選取 [本機介面] 的 [埠2]。

  17. 輸入本機子網範圍:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    如果您使用不同的IP範圍,請使用您的IP範圍。

  18. 輸入代表內部部署網路的適當遠端子網,您將透過內部部署 VPN 裝置連線到該網路。

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    如果您使用不同的IP範圍,請使用您的IP範圍。

    VPN 建立精靈的螢幕快照顯示它位於第三個步驟[原則與路由],其中顯示選取和輸入的值。

  19. 選取 [建立]

  20. 選取 [網络介面>]。

    介面清單會顯示兩個介面:已設定的 port1,以及尚未設定的 port2。有按鈕可建立、編輯和刪除介面。

  21. 按兩下 port2

  22. 在 [角色] 清單中選擇 [LAN] 和 [DHCP] 作為 [尋址模式]。

  23. 選取 [確定]。

重複其他 NVA 的步驟。

啟動所有階段 2 選取器

上述兩個 NVA 都完成之後:

  1. 在 forti2 FortiGate Web 控制臺上,選取 [監視>IPsec 監視器]。

    列出 VPN 連線 conn1 的監視器。它顯示為關閉,與對應的階段 2 選取器一樣。

  2. 反白顯示conn1並選取 [顯示>所有階段 2 選取器]。

    監視器和階段 2 選取器都會顯示為 up。

測試及驗證連線能力

您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間路由傳送。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:

  • Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet

  • 您不會在建立時將任何 NSG 套用至 VM(也就是說,從入口網站建立 VM 時,移除預設新增的 NSG。

  • 確定 VM 防火牆規則允許您將用來測試連線的通訊。 為了進行測試,建議您盡可能完全在OS內停用防火牆。

下一步

Azure Stack Hub 網路的差異和考慮
使用 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案