使用 Fortigate 的 VNet 對 VNet 連線
本文說明如何在相同環境中建立兩個虛擬網路之間的連線。 當您設定連線時,您會瞭解 Azure Stack Hub 中的 VPN 閘道如何運作。 使用 Fortinet FortiGate 在相同的 Azure Stack Hub 環境中聯機兩個 VNET。 此程式會在個別資源群組中的每個 VNET 中,部署兩個 VNET 與 FortiGate NVA,一個網路虛擬設備。 它也會詳細說明設定兩個 VNET 之間的IPSec VPN 所需的變更。 針對每個 VNET 部署重複本文中的步驟。
必要條件
存取具有可用容量的系統,以部署此解決方案所需的計算、網路和資源需求。
已下載併發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 會控制從周邊網路流向其他網路或子網的網路流量。 此程式會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。
至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 有關如何取得這些授權的資訊,請參閱 Fortinet 文件庫一文 註冊和下載您的授權。
此程式會使用 Single FortiGate-VM 部署。 您可以找到如何將 FortiGate NVA 連線到內部部署網路中 Azure Stack Hub VNET 的步驟。
如需如何在主動-被動式 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Azure 上的 FortiNet 文檔庫文章 HA for FortiGate-VM。
部署參數
下表摘要說明這些部署中使用的參數以供參考:
部署一:Forti1
FortiGate 實例名稱 | Forti1 |
---|---|
BYOL 授權/版本 | 6.0.3 |
FortiGate 系統管理用戶名稱 | fortiadmin |
資源群組名稱 | forti1-rg1 |
虛擬網路名稱 | forti1vnet1 |
VNET 位址空間 | 172.16.0.0/16* |
公用 VNET 子網名稱 | forti1-PublicFacingSubnet |
公用 VNET 位址前綴 | 172.16.0.0/24* |
在 VNET 子網名稱內 | forti1-InsideSubnet |
在 VNET 子網前置詞內 | 172.16.1.0/24* |
FortiGate NVA 的 VM 大小 | 標準F2s_v2 |
公用 IP 位址名稱 | forti1-publicip1 |
公用IP位址類型 | 靜態 |
部署二:Forti2
FortiGate 實例名稱 | Forti2 |
---|---|
BYOL 授權/版本 | 6.0.3 |
FortiGate 系統管理用戶名稱 | fortiadmin |
資源群組名稱 | forti2-rg1 |
虛擬網路名稱 | forti2vnet1 |
VNET 位址空間 | 172.17.0.0/16* |
公用 VNET 子網名稱 | forti2-PublicFacingSubnet |
公用 VNET 位址前綴 | 172.17.0.0/24* |
在 VNET 子網名稱內 | Forti2-InsideSubnet |
在 VNET 子網前置詞內 | 172.17.1.0/24* |
FortiGate NVA 的 VM 大小 | 標準F2s_v2 |
公用 IP 位址名稱 | Forti2-publicip1 |
公用IP位址類型 | 靜態 |
注意
* 如果上述與內部部署網路環境重疊,請選擇不同的位址空間和子網前置詞集,包括 Azure Stack Hub 的 VIP 集區。 也請確定位址範圍不會彼此重疊。
部署 FortiGate NGFW
開啟 Azure Stack Hub 使用者入口網站。
選取 [建立資源 ],然後搜尋
FortiGate
。選取 [FortiGate NGFW ],然後選取 [ 建立]。
使用部署參數數據表中的參數來完成基本概念。
選取 [確定]。
使用 部署參數數據表提供虛擬網路、子網和 VM 大小詳細數據 。
警告
如果內部部署網路與IP範圍
172.16.0.0/16
重疊,您必須選取並設定不同的網路範圍和子網。 如果您想要使用與部署參數數據表中不同的名稱和範圍,請使用不會與內部部署網路衝突的參數。 在 VNET 內設定 VNET IP 範圍和子網範圍時,請小心。 您不希望此範圍與內部部署網路中存在的IP範圍重疊。選取 [確定]。
設定 Fortigate NVA 的公用 IP:
選取 [確定]。 然後選取 [ 確定]。
選取 建立。
部署大約需要 10 分鐘的時間。
設定每個 VNET 的路由 (UDR)
針對兩個部署、forti1-rg1 和 forti2-rg1 執行這些步驟。
開啟 Azure Stack Hub 使用者入口網站。
選取 [資源群組]。 輸入
forti1-rg1
篩選條件,然後按兩下 forti1-rg1 資源群組。選取 forti1-forti1-InsideSubnet-routes-xxxx 資源。
選取 [設定] 下的 [路由]。
刪除至因特網路由。
選取 [是]。
選取 [新增 ] 以新增路由。
將路由
to-onprem
命名為 。輸入IP網路範圍,定義VPN將連線的內部部署網路網路範圍。
選取 [下一個躍點類型] 和
172.16.1.4
的 [虛擬設備]。 如果您使用不同的IP範圍,請使用您的IP範圍。選取儲存。
您需要來自 Fortinet 的有效授權檔,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 才會運作。 如需如何取得授權檔案和啟用 NVA 步驟的詳細資訊,請參閱 Fortinet 文檔庫一文 註冊和下載您的授權。
需要取得兩個授權檔案 - 每個 NVA 各一個。
建立兩個 NVA 之間的IPSec VPN
啟用 NVA 之後,請遵循下列步驟,在兩個 NVA 之間建立 IPSec VPN。
針對 forti1 NVA 和 forti2 NVA,請遵循下列步驟:
流覽至 fortiX VM 概觀頁面,以取得指派的公用 IP 位址:
複製指派的IP位址、開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 無論如何,繼續。
輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。
選取 [系統>韌體]。
選取顯示最新韌體的方塊,例如
FortiOS v6.2.0 build0866
。選取 [備份設定] 並升級>[繼續]。
NVA 會將其韌體更新為最新的組建並重新啟動。 此程式大約需要五分鐘的時間。 登入 FortiGate Web 控制台。
按兩下 [VPN>IPSec 精靈]。
例如
conn1
,在 [VPN 建立精靈] 中輸入 VPN 的名稱。選取 [此網站位於 NAT 後方]。
選取 [下一步]。
輸入您要連線的內部部署 VPN 裝置遠端 IP 位址。
選取 port1 作為 [傳出介面]。
選取 [預先共用金鑰 ],然後輸入 [和記錄] 預先共用密鑰。
注意
您將需要此金鑰,才能在內部部署 VPN 裝置上設定連線,也就是說,它們必須完全相符。
選取 [下一步]。
選取 [本機介面] 的 [埠2]。
輸入本機子網範圍:
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
如果您使用不同的IP範圍,請使用您的IP範圍。
輸入代表內部部署網路的適當遠端子網,您將透過內部部署 VPN 裝置連線到該網路。
- forti1: 172.16.0.0/16
- forti2: 172.17.0.0/16
如果您使用不同的IP範圍,請使用您的IP範圍。
選取 [建立]
選取 [網络介面>]。
按兩下 port2。
在 [角色] 清單中選擇 [LAN] 和 [DHCP] 作為 [尋址模式]。
選取 [確定]。
重複其他 NVA 的步驟。
啟動所有階段 2 選取器
上述兩個 NVA 都完成之後:
在 forti2 FortiGate Web 控制臺上,選取 [監視>IPsec 監視器]。
反白顯示
conn1
並選取 [顯示>所有階段 2 選取器]。
測試及驗證連線能力
您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間路由傳送。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:
Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet 上。
當您從入口網站建立 VM 時,您 不會 將任何 NSG 套用至 VM(也就是說,移除預設新增的 NSG。
請確定 VMS 防火牆規則可讓您用來測試連線的通訊。 為了進行測試,建議您盡可能完全在OS內停用防火牆。
下一步
Azure Stack Hub 網路的差異和考慮
使用 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案