Fortigate Hubandspoke IPSec VPN 配置实例Word下载.docx
- 文档编号:398135
- 上传时间:2023-04-28
- 格式:DOCX
- 页数:16
- 大小:299.43KB
Fortigate Hubandspoke IPSec VPN 配置实例Word下载.docx
《Fortigate Hubandspoke IPSec VPN 配置实例Word下载.docx》由会员分享,可在线阅读,更多相关《Fortigate Hubandspoke IPSec VPN 配置实例Word下载.docx(16页珍藏版)》请在冰点文库上搜索。
192.168.44.0/24。
按照本文配置,最终我们可以通过2种不同的VPN方案使用总共2条VPN实现3地4个保护子网的互相访问的需求。
2,基于策略的VPN(通道模式)
通常IPSECVPN网关所实现的的模式都是基于保护和被保护子网的也就是介于VPN策略的模式,也叫做基于策略的VPN模式,具体配置说明如下详细描述。
2.1配置FortiGate_1
2.1.1配置IPSECVPN阶段一
登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:
Spoke_1
远程网关:
静态IP地址
IP地址:
172.16.20.1
本地接口:
wan1
模式:
主模式
认证方式:
预共享密钥
预共享密钥:
123456
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:
(点击放大)
用同样的方法配置另一条VPN到Spoke_2,如下:
2.1.2配置IPSECVPN阶段二
登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
FG1toSP1_Tunnel
阶段1:
其余配置使用默认设置就可以了
2.1.3配置防火墙加密规则
2.1.3.1定义防火墙地址
进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
Finance_Network;
类型:
子网/IP地址范围;
子网/IP地址范围:
192.168.12.0/24
HR_Network;
192.168.22.0/24
Site_1;
192.168.33.0/24
Site_2;
192.168.44.0/24
2.1.3.2定义2条分别到2个分支机构的防火墙策略
规则一:
源接口:
选则财务所连接的防火墙接口名称,如Internal
源地址:
Finance_Network,HR_Network
目的接口:
选择防火墙的外网口,如wan1
目的地址:
Site_1
时间表和服务请按照需求选择
IPSEC
VPN通道:
规则二:
Site_2
Spoke_2
2.1.4配置VPN集中器
进入到虚拟专网----IPSEC----集中器,新建一个集中器:
Hub_1
可用通道:
从左侧可用通道中选择Spoke_1,Spoke_2
2.2配置Spoke_1
2.2.1配置IPSECVPN阶段一
登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
FortiGate_1
172.16.10.1
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。
2.2.2配置IPSECVPN阶段二
登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
SP1toFG1_Tunnel
2.2.3配置防火墙加密规则
2.2.3.1定义防火墙地址
2.2.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构
2.3配置Spoke_2
2.3.1配置IPSECVPN阶段一
登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
2.3.2配置IPSECVPN阶段二
登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
SP2toFG1_Tunnel
2.3.3配置防火墙加密规则
2.3.3.1定义防火墙地址
2.3.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构
3,基于路由的VPN(接口模式)
相同的网络结构相同的需求,FortiGate可以用一种更加简洁明了的方法来实现,就是使用特有的基于路由的VPN模式,又叫做接口模式的IPSECVPN,具体配置如下详细说明。
3.1配置FortiGate_1
3.1.1配置IPSECVPN阶段一
点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:
3.1.2配置IPSECVPN阶段二
这时候进入到:
防火墙系统管理----网络-----接口wan1下面发现防火墙虚拟了2个名字分别为Spoke_1、Spoke_2的VPN接口出来,这时候实际上对于接口Spoke_1、Spoke_2所具有的功能和操作方式在我们的防火墙里面基本上是完全一致的,只不过防火墙会自动加,解密进出VPN虚拟接口的数据,如下图所示:
3.1.3配置防火墙区
可以进入防火墙Web管理页面,系统管理----网络----区,新建一个区:
VPN
屏蔽本区域内的流量:
不要勾(因为我们的目的是要让总部防火墙可以中转Spoke_1,Spoke_2之间的VPN流量)
接口成员:
Spoke_1,Spoke_2
具体如下图所示:
3.1.4配置防火墙加密规则
3.1.4.1定义防火墙地址
3.1.4.2定义4条分别到2个分支机构的防火墙策略
由于虚拟了VPN接口,所以定义相关的VPN规则和定义普通的防火墙规则变成是一样的。
由于防火墙规则定义都是单向的,所以如果我们需要象通道模式那样允许双向的VPN流量的话我们需要定义2条进出到VPN虚拟接口的策略,具体2条策略如下:
3.2配置Spoke_1
3.2.1配置IPSECVPN阶段一
点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。
3.2.2配置IPSECVPN阶段二
其余配置使用默认设置就可以了
防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个VPN接口FortiGate_1,捆绑在wan1下面。
3.2.3配置防火墙加密规则
3.2.3.1定义防火墙地址
3.2.3.2定义2条防火墙策略,一条进,一条出
选择防火墙的虚拟VPN接口,是:
Finance_Network,HR_Network,Site_2
ACCEPT
选则财务所连接的防火墙接口名称,如internal
3.3配置Spoke_2
3.3.1配置IPSECVPN阶段一
3.3.2配置IPSECVPN阶段二
3.3.3配置防火墙加密规则
3.3.3.1定义防火墙地址
3.3.3.2定义2条防火墙策略,一条进,一条出
Finance_Network,HR_Network,Site_1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Fortigate Hubandspoke IPSec VPN 配置实例 配置 实例