VNet-till-VNet-anslutning mellan Azure Stack Hub-instanser med Fortinet FortiGate NVA

  • Artikel

I den här artikeln ska du ansluta ett virtuellt nätverk i en Azure Stack Hub till ett VNET i en annan Azure Stack Hub med hjälp av Fortinet FortiGate NVA, en virtuell nätverksinstallation.

Den här artikeln tar upp den aktuella Azure Stack Hub-begränsningen, som gör att klientorganisationer endast kan konfigurera en VPN-anslutning i två miljöer. Användarna får lära sig hur de konfigurerar en anpassad gateway på en virtuell Linux-dator som tillåter flera VPN-anslutningar i olika Azure Stack Hub. Proceduren i den här artikeln distribuerar två virtuella nätverk med en FortiGate NVA i varje VNET: en distribution per Azure Stack Hub-miljö. Den beskriver också de ändringar som krävs för att konfigurera en IPSec VPN mellan de två virtuella nätverken. Stegen i den här artikeln bör upprepas för varje VNET i varje Azure Stack Hub.

Förutsättningar

  • Åtkomst till ett Azure Stack Hub-integrerat system med tillgänglig kapacitet för att distribuera nödvändiga beräknings-, nätverks- och resurskrav som behövs för den här lösningen.

    Kommentar

    De här instruktionerna fungerar inte med ett Azure Stack Development Kit (ASDK) på grund av nätverksbegränsningarna i ASDK. Mer information finns i KRAV och överväganden för ASDK.

  • En virtuell nätverksinstallationslösning (NVA) som laddats ned och publicerats till Azure Stack Hub Marketplace. En NVA styr flödet av nätverkstrafik från ett perimeternätverk till andra nätverk eller undernät. Den här proceduren använder lösningen Fortinet FortiGate Next-Generation Firewall Single VM.

  • Minst två tillgängliga FortiGate-licensfiler för att aktivera FortiGate NVA. Information om hur du hämtar dessa licenser finns i artikeln Fortinet-dokumentbiblioteket om att registrera och ladda ned din licens.

    Den här proceduren använder distributionen single FortiGate-VM. Du hittar steg för hur du ansluter FortiGate NVA till det virtuella Azure Stack Hub-nätverket i ditt lokala nätverk.

    Mer information om hur du distribuerar FortiGate-lösningen i en aktiv-passiv (HA) -konfiguration finns i artikeln Fortinet Document Library HA for FortiGate-VM på Azure.

Distributionsparametrar

I följande tabell sammanfattas de parametrar som används i dessa distributioner som referens:

Distribution ett: Forti1

FortiGate-instansnamn Forti1
BYOL-licens/version 6.0.3
Administrativt användarnamn för FortiGate fortiadmin
Namnet på resursgruppen forti1-rg1
Virtuellt nätverksnamn forti1vnet1
VNET-adressutrymme 172.16.0.0/16*
Namn på offentligt VNET-undernät forti1-PublicFacingSubnet
Prefix för offentliga VNET-adresser 172.16.0.0/24*
Inuti VNET-undernätets namn forti1-InsideSubnet
Inuti VNET-undernätsprefixet 172.16.1.0/24*
VM-storlek för FortiGate NVA Standard F2s_v2
Namn på offentlig IP-adress forti1-publicip1
Offentlig IP-adresstyp Statisk

Distribution två: Forti2

FortiGate-instansnamn Forti2
BYOL-licens/version 6.0.3
Administrativt användarnamn för FortiGate fortiadmin
Namnet på resursgruppen forti2-rg1
Virtuellt nätverksnamn forti2vnet1
VNET-adressutrymme 172.17.0.0/16*
Namn på offentligt VNET-undernät forti2-PublicFacingSubnet
Prefix för offentliga VNET-adresser 172.17.0.0/24*
Inuti VNET-undernätets namn Forti2-InsideSubnet
Inuti VNET-undernätsprefixet 172.17.1.0/24*
VM-storlek för FortiGate NVA Standard F2s_v2
Namn på offentlig IP-adress Forti2-publicip1
Offentlig IP-adresstyp Statisk

Kommentar

* Välj en annan uppsättning adressutrymmen och undernätsprefix om ovanstående överlappar på något sätt med den lokala nätverksmiljön, inklusive VIP-poolen för antingen Azure Stack Hub. Se också till att adressintervallen inte överlappar varandra.**

Distribuera FortiGate NGFW Marketplace-objekt

Upprepa de här stegen för båda Azure Stack Hub-miljöerna.

  1. Öppna Azure Stack Hub-användarportalen. Se till att använda autentiseringsuppgifter som har minst deltagarbehörighet till en prenumeration.

  2. Välj Skapa en resurs och sök FortiGateefter .

    Skärmbilden visar en enda rad med resultat från sökningen efter

  3. Välj FortiGate NGFW och välj Skapa.

  4. Slutför grunderna med hjälp av parametrarna från tabellen Distributionsparametrar .

    Formuläret bör innehålla följande information:

    Textrutorna (till exempel Instansnamn och BYOL-licens) i dialogrutan Grundläggande har fyllts i med värden från distributionstabellen.

  5. Välj OK.

  6. Ange information om virtuellt nätverk, undernät och VM-storlek från distributionsparametrarna.

    Om du vill använda olika namn och intervall bör du se till att inte använda parametrar som står i konflikt med de andra VNET- och FortiGate-resurserna i den andra Azure Stack Hub-miljön. Detta gäller särskilt när du ställer in VNET IP-intervall och undernätsintervall inom det virtuella nätverket. Kontrollera att de inte överlappar IP-intervallen för det andra virtuella nätverk som du skapar.

  7. Välj OK.

  8. Konfigurera den offentliga IP-adress som ska användas för FortiGate NVA:

    Textrutan

  9. Välj OK och sedan Välj OK.

  10. Välj Skapa.

Distributionen tar cirka 10 minuter. Nu kan du upprepa stegen för att skapa den andra FortiGate NVA- och VNET-distributionen i den andra Azure Stack Hub-miljön.

Konfigurera vägar (UDR) för varje VNET

Utför dessa steg för båda distributionerna, forti1-rg1 och forti2-rg1.

  1. Gå till resursgruppen forti1-rg1 i Azure Stack Hub-portalen.

    Det här är en skärmbild av listan över resurser i resursgruppen forti1-rg1.

  2. Välj resursen "forti1-forti1-InsideSubnet-routes-xxxx".

  3. Välj Vägar under Inställningar.

    Skärmbilden visar det markerade objektet Vägar i Inställningar.

  4. Ta bort vägen till Internet .

    Skärmbilden visar den markerade vägen till Internet. Det finns en borttagningsknapp.

  5. Välj Ja.

  6. Markera Lägga till.

  7. Namnge routen to-forti1 eller to-forti2. Använd ditt IP-intervall om du använder ett annat IP-intervall.

  8. Skriv:

    • forti1: 172.17.0.0/16
    • forti2: 172.16.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

  9. Välj Virtuell installation för typen Nästa hopp.

    • forti1: 172.16.1.4
    • forti2: 172.17.0.4

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

    Dialogrutan Redigera väg för to-forti2 innehåller textrutor med värden.

  10. Välj Spara.

Upprepa stegen för varje InsideSubnet-väg för varje resursgrupp.

Aktivera FortiGate NVA:erna och Konfigurera en IPSec VPN-anslutning på varje NVA

Du behöver en giltig licensfil från Fortinet för att aktivera varje FortiGate NVA. NVA:erna fungerar inte förrän du har aktiverat varje NVA. Mer information om hur du hämtar en licensfil och steg för att aktivera NVA finns i artikeln Fortinet Document Library ( Fortinet-dokumentbibliotek) om att registrera och ladda ned din licens.

Två licensfiler måste hämtas – en för varje NVA.

Skapa en IPSec VPN mellan de två NVA:erna

När de virtuella nätverksinstallationerna har aktiverats följer du de här stegen för att skapa en IPSec VPN mellan de två NVA:erna.

Följ stegen nedan för både forti1 NVA och forti2 NVA:

  1. Hämta den tilldelade offentliga IP-adressen genom att gå till översiktssidan för den virtuella fortiX-datorn:

    Översiktssidan forti1 visar resursgruppen, status och så vidare.

  2. Kopiera den tilldelade IP-adressen, öppna en webbläsare och klistra in adressen i adressfältet. Webbläsaren kan varna dig om att säkerhetscertifikatet inte är betrott. Fortsätt ändå.

  3. Ange det administrativa användarnamnet och lösenordet för FortiGate som du angav under distributionen.

    Skärmbilden är av inloggningsskärmen, som har en inloggningsknapp och textrutor för användarnamn och lösenord.

  4. Välj System>Inbyggd programvara.

  5. Välj rutan som visar den senaste inbyggda programvaran, FortiOS v6.2.0 build0866till exempel .

    Skärmbilden för den inbyggda programvaran FortiOS v6.2.0 build0866 har en länk till viktig information och två knappar:

  6. Välj Säkerhetskopieringskonfiguration och uppgradering och Fortsätt när du uppmanas att göra det.

  7. NVA uppdaterar sin inbyggda programvara till den senaste versionen och omstarter. Processen tar ungefär fem minuter. Logga tillbaka till FortiGate-webbkonsolen.

  8. Klicka på GUIDEN VPN>IPSec.

  9. Ange ett namn för VPN, till exempel conn1 i guiden Skapa VPN.

  10. Välj Den här webbplatsen ligger bakom NAT.

    Skärmbilden av guiden för att skapa VPN visar att den är i det första steget, VPN-installationsprogrammet. Följande värden har valts:

  11. Välj Nästa.

  12. Ange fjärr-IP-adressen för den lokala VPN-enhet som du ska ansluta till.

  13. Välj port1 som utgående gränssnitt.

  14. Välj I förväg delad nyckel och ange (och registrera) en i förväg delad nyckel.

    Kommentar

    Du behöver den här nyckeln för att konfigurera anslutningen på den lokala VPN-enheten, dvs. de måste matcha exakt.

    Skärmbilden av guiden för att skapa VPN visar att den är i det andra steget, Autentisering och de valda värdena är markerade.

  15. Välj Nästa.

  16. Välj port2 för det lokala gränssnittet.

  17. Ange det lokala undernätsintervallet:

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

  18. Ange lämpliga fjärrundernät som representerar det lokala nätverket, som du ansluter till via den lokala VPN-enheten.

    • forti1: 172.16.0.0/16
    • forti2: 172.17.0.0/16

    Använd ditt IP-intervall om du använder ett annat IP-intervall.

    Skärmbilden av guiden för att skapa VPN visar att den finns i det tredje steget, Princip och routning, som visar de valda och angivna värdena.

  19. Välj Skapa

  20. Välj Nätverksgränssnitt>.

    Gränssnittslistan visar två gränssnitt: port1, som har konfigurerats, och port2, vilket inte har gjort det. Det finns knappar för att skapa, redigera och ta bort gränssnitt.

  21. Dubbelklicka på port2.

  22. Välj LAN i rolllistan och DHCP för adresseringsläget.

  23. Välj OK.

Upprepa stegen för den andra NVA:n.

Ta upp alla fas 2-väljare

När ovanstående har slutförts för båda NVA:erna:

  1. På forti2 FortiGate-webbkonsolen väljer du övervaka >IPsec Monitor.

    Övervakaren för VPN-anslutningskoppling1 visas. Den visas som ned, liksom motsvarande fas 2-väljare.

  2. Markera conn1 och välj select the Bring Up All Phase 2 Selectors (Ta upp>alla fas 2-väljare).

    Både övervakaren och fas 2-väljaren visas som upp.

Testa och verifiera anslutningen

Nu bör du kunna dirigera mellan varje VNET via FortiGate NVA:er. Om du vill verifiera anslutningen skapar du en virtuell Azure Stack Hub-dator i varje VNET:s InsideSubnet. Du kan skapa en virtuell Azure Stack Hub-dator via portalen, Azure CLI eller PowerShell. När du skapar de virtuella datorerna:

  • De virtuella Azure Stack Hub-datorerna placeras i InsideSubnet för varje virtuellt nätverk.

  • Du tillämpar inga NSG:er på den virtuella datorn när du skapar den (d.v.s. ta bort den NSG som läggs till som standard om du skapar den virtuella datorn från portalen.

  • Se till att brandväggsreglerna för den virtuella datorn tillåter den kommunikation som du ska använda för att testa anslutningen. I testsyfte rekommenderar vi att du inaktiverar brandväggen helt i operativsystemet om det alls är möjligt.

Nästa steg

Skillnader och överväganden för Azure Stack Hub-nätverk
Erbjuda en nätverkslösning i Azure Stack Hub med Fortinet FortiGate