共用方式為


使用 Fortigate 的 VNet 對 VNet 連線

本文說明如何在相同環境中建立兩個虛擬網路之間的連線。 當您設定連線時,您會瞭解 Azure Stack Hub 中的 VPN 閘道如何運作。 使用 Fortinet FortiGate 在相同的 Azure Stack Hub 環境中聯機兩個 VNET。 此程式會在個別資源群組中的每個 VNET 中,部署兩個 VNET 與 FortiGate NVA,一個網路虛擬設備。 它也會詳細說明設定兩個 VNET 之間的IPSec VPN 所需的變更。 針對每個 VNET 部署重複本文中的步驟。

必要條件

  • 存取具有可用容量的系統,以部署此解決方案所需的計算、網路和資源需求。

  • 已下載併發佈至 Azure Stack Hub Marketplace 的網路虛擬設備 (NVA) 解決方案。 NVA 會控制從周邊網路流向其他網路或子網的網路流量。 此程式會使用 Fortinet FortiGate 新一代防火牆單一 VM 解決方案。

  • 至少有兩個可用的 FortiGate 授權檔案可啟用 FortiGate NVA。 有關如何取得這些授權的資訊,請參閱 Fortinet 文件庫一文 註冊和下載您的授權

    此程式會使用 Single FortiGate-VM 部署。 您可以找到如何將 FortiGate NVA 連線到內部部署網路中 Azure Stack Hub VNET 的步驟。

    如需如何在主動-被動式 (HA) 設定中部署 FortiGate 解決方案的詳細資訊,請參閱 Azure 上的 FortiNet 文檔庫文章 HA for FortiGate-VM。

部署參數

下表摘要說明這些部署中使用的參數以供參考:

部署一:Forti1

FortiGate 實例名稱 Forti1
BYOL 授權/版本 6.0.3
FortiGate 系統管理用戶名稱 fortiadmin
資源群組名稱 forti1-rg1
虛擬網路名稱 forti1vnet1
VNET 位址空間 172.16.0.0/16*
公用 VNET 子網名稱 forti1-PublicFacingSubnet
公用 VNET 位址前綴 172.16.0.0/24*
在 VNET 子網名稱內 forti1-InsideSubnet
在 VNET 子網前置詞內 172.16.1.0/24*
FortiGate NVA 的 VM 大小 標準F2s_v2
公用 IP 位址名稱 forti1-publicip1
公用IP位址類型 靜態

部署二:Forti2

FortiGate 實例名稱 Forti2
BYOL 授權/版本 6.0.3
FortiGate 系統管理用戶名稱 fortiadmin
資源群組名稱 forti2-rg1
虛擬網路名稱 forti2vnet1
VNET 位址空間 172.17.0.0/16*
公用 VNET 子網名稱 forti2-PublicFacingSubnet
公用 VNET 位址前綴 172.17.0.0/24*
在 VNET 子網名稱內 Forti2-InsideSubnet
在 VNET 子網前置詞內 172.17.1.0/24*
FortiGate NVA 的 VM 大小 標準F2s_v2
公用 IP 位址名稱 Forti2-publicip1
公用IP位址類型 靜態

注意

* 如果上述與內部部署網路環境重疊,請選擇不同的位址空間和子網前置詞集,包括 Azure Stack Hub 的 VIP 集區。 也請確定位址範圍不會彼此重疊。

部署 FortiGate NGFW

  1. 開啟 Azure Stack Hub 使用者入口網站。

  2. 選取 [建立資源 ],然後搜尋 FortiGate

    搜尋結果清單會顯示 FortiGate NGFW - 單一 VM 部署。

  3. 選取 [FortiGate NGFW ],然後選取 [ 建立]。

  4. 使用部署參數數據表中的參數來完成基本概念。

    [基本] 畫面具有已選取並輸入清單和文本框中之部署參數的值。

  5. 選取 [確定]。

  6. 使用 部署參數數據表提供虛擬網路、子網和 VM 大小詳細數據

    警告

    如果內部部署網路與IP範圍 172.16.0.0/16重疊,您必須選取並設定不同的網路範圍和子網。 如果您想要使用與部署參數數據表中不同的名稱和範圍,請使用不會與內部部署網路衝突的參數。 在 VNET 內設定 VNET IP 範圍和子網範圍時,請小心。 您不希望此範圍與內部部署網路中存在的IP範圍重疊。

  7. 選取 [確定]。

  8. 設定 Fortigate NVA 的公用 IP:

    [IP 指派] 對話框會顯示 “Public IP 位址名稱” 的 forti1-publicip1 值,以及 [公用 IP 位址類型] 的 [靜態]。

  9. 選取 [確定]。 然後選取 [ 確定]。

  10. 選取 建立

部署大約需要 10 分鐘的時間。

設定每個 VNET 的路由 (UDR)

針對兩個部署、forti1-rg1 和 forti2-rg1 執行這些步驟。

  1. 開啟 Azure Stack Hub 使用者入口網站。

  2. 選取 [資源群組]。 輸入 forti1-rg1 篩選條件,然後按兩下 forti1-rg1 資源群組。

    forti1-rg1 資源群組會列出十個資源。

  3. 選取 forti1-forti1-InsideSubnet-routes-xxxx 資源。

  4. 選取 [設定] 下的 [路由]。

    [設定] 對話框中已選取 [路由] 按鈕。

  5. 刪除至因特網路由。

    To-Internet Route 是唯一列出的路由,而且已選取它。有一個刪除按鈕。

  6. 選取 [是]

  7. 選取 [新增 ] 以新增路由。

  8. 將路由 to-onprem命名為 。

  9. 輸入IP網路範圍,定義VPN將連線的內部部署網路網路範圍。

  10. 選取 [下一個躍點類型] 和 172.16.1.4[虛擬設備]。 如果您使用不同的IP範圍,請使用您的IP範圍。

    [新增路由] 對話框會顯示已選取並在文字框中輸入的四個值。

  11. 選取儲存

您需要來自 Fortinet 的有效授權檔,才能啟用每個 FortiGate NVA。 在您啟用每個 NVA 之前,NVA 才會運作。 如需如何取得授權檔案和啟用 NVA 步驟的詳細資訊,請參閱 Fortinet 文檔庫一文 註冊和下載您的授權

需要取得兩個授權檔案 - 每個 NVA 各一個。

建立兩個 NVA 之間的IPSec VPN

啟用 NVA 之後,請遵循下列步驟,在兩個 NVA 之間建立 IPSec VPN。

針對 forti1 NVA 和 forti2 NVA,請遵循下列步驟:

  1. 流覽至 fortiX VM 概觀頁面,以取得指派的公用 IP 位址:

    forti1 虛擬機 [概觀] 頁面會顯示 forti1 的值,例如[資源群組] 和 [狀態]。

  2. 複製指派的IP位址、開啟瀏覽器,然後將位址貼到網址列中。 您的瀏覽器可能會警告您安全性憑證不受信任。 無論如何,繼續。

  3. 輸入您在部署期間提供的 FortiGate 系統管理使用者名稱和密碼。

    [登入] 對話框具有使用者和密碼文字框,以及 [登入] 按鈕。

  4. 選取 [系統>韌體]。

  5. 選取顯示最新韌體的方塊,例如 FortiOS v6.2.0 build0866

    [韌體] 對話框具有韌體標識符 “FortiOS v6.2.0 build0866”、版本資訊的連結,以及兩個按鈕:“備份設定和升級”。

  6. 選取 [備份設定] 並升級>[繼續]。

  7. NVA 會將其韌體更新為最新的組建並重新啟動。 此程式大約需要五分鐘的時間。 登入 FortiGate Web 控制台。

  8. 按兩下 [VPN>IPSec 精靈]。

  9. 例如conn1,在 [VPN 建立精靈] 中輸入 VPN 的名稱。

  10. 選取 [此網站位於 NAT 後方]。

    [VPN 建立精靈] 的螢幕快照會顯示在 VPN 設定的第一個步驟中。已選取下列值:[範本類型]、[FortiGate] 的 [站對站]、[遠端裝置類型] 的 [FortiGate],以及 [此月臺位於 NAT 後方],用於 NAT 組態。

  11. 選取 [下一步]。

  12. 輸入您要連線的內部部署 VPN 裝置遠端 IP 位址。

  13. 選取 port1 作為 [傳出介面]。

  14. 選取 [預先共用金鑰 ],然後輸入 [和記錄] 預先共用密鑰。

    注意

    您將需要此金鑰,才能在內部部署 VPN 裝置上設定連線,也就是說,它們必須完全相符

    [VPN 建立精靈] 的螢幕快照顯示它位於第二個步驟[驗證],並醒目提示選取的值。

  15. 選取 [下一步]。

  16. 選取 [本機介面] 的 [埠2]。

  17. 輸入本機子網範圍:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    如果您使用不同的IP範圍,請使用您的IP範圍。

  18. 輸入代表內部部署網路的適當遠端子網,您將透過內部部署 VPN 裝置連線到該網路。

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    如果您使用不同的IP範圍,請使用您的IP範圍。

    VPN 建立精靈的螢幕快照顯示它位於第三個步驟[原則與路由]。它會顯示選取和輸入的值。

  19. 選取 [建立]

  20. 選取 [網络介面>]。

    介面清單會顯示兩個介面:已設定的 port1,以及尚未設定的 port2。有按鈕可建立、編輯和刪除介面。

  21. 按兩下 port2

  22. 在 [角色] 清單中選擇 [LAN] 和 [DHCP] 作為 [尋址模式]。

  23. 選取 [確定]。

重複其他 NVA 的步驟。

啟動所有階段 2 選取器

上述兩個 NVA 都完成之後:

  1. 在 forti2 FortiGate Web 控制臺上,選取 [監視>IPsec 監視器]。

    列出 VPN 連線 conn1 的監視器。它顯示為關閉,與對應的階段 2 選取器一樣。

  2. 反白顯示conn1並選取 [顯示>所有階段 2 選取器]。

    監視器和階段 2 選取器都會顯示為 up。

測試及驗證連線能力

您現在應該能夠透過 FortiGate NVA 在每個 VNET 之間路由傳送。 若要驗證連線,請在每個 VNET 的 InsideSubnet 中建立 Azure Stack Hub VM。 您可以透過入口網站、Azure CLI 或 PowerShell 來建立 Azure Stack Hub VM。 建立 VM 時:

  • Azure Stack Hub VM 會放在每個 VNET 的 InsideSubnet

  • 當您從入口網站建立 VM 時,您 不會 將任何 NSG 套用至 VM(也就是說,移除預設新增的 NSG。

  • 請確定 VMS 防火牆規則可讓您用來測試連線的通訊。 為了進行測試,建議您盡可能完全在OS內停用防火牆。

下一步

Azure Stack Hub 網路的差異和考慮
使用 Fortinet FortiGate 在 Azure Stack Hub 中提供網路解決方案