查看完整版本: [轉貼]Hub-and-spoke IPSec VPN 配置实例

chun 2013-12-23 22:15

[轉貼]Hub-and-spoke IPSec VPN 配置实例

<a href="http://support.fortinet.com.cn/index.php?m=content&amp;c=index&amp;a=show&amp;catid=22&amp;id=137">http://support.fortinet.com.cn/index.php?m=content&amp;c=index&amp;a=show&amp;catid=22&amp;id=137</a><div><br></div><div><h1 style="margin-bottom: 6px; padding-top: 16px; padding-bottom: 8px; font-size: 26px; line-height: 30px; font-family: 宋体, arial; text-align: center; border-bottom-width: 1px; border-bottom-style: solid; border-bottom-color: rgb(229, 229, 229); background-color: rgb(238, 238, 238);">Hub-and-spoke IPSec VPN 配置实例&nbsp;<br><span style="font-size: 12px; font-weight: normal; line-height: 20px; color: rgb(153, 153, 153);">2012-12-24 15:01:23&nbsp;&nbsp;&nbsp;来源:&nbsp;&nbsp;&nbsp;评论:<a href="http://support.fortinet.com.cn/index.php?m=content&amp;c=index&amp;a=show&amp;catid=22&amp;id=137#comment_iframe" id="comment" style="text-decoration: none; color: rgb(68, 68, 68);">0</a>&nbsp;点击:</span><span id="hits" style="font-size: 12px; font-weight: normal; line-height: 20px; color: rgb(153, 153, 153);">238</span></h1><div class="summary" style="background-color: rgb(246, 250, 253); border: 1px solid rgb(220, 221, 221); line-height: 23px; margin: 15px 0px 0px; padding: 12px 5px 6px; text-align: justify; text-indent: 2em; color: rgb(68, 68, 68); font-family: tahoma, arial, 宋体, sans-serif;">1,IPSEC VPN应用越来越广泛,下面配置实例是针对单总部多分支机构的实际应用按照本文的配置,可以实现通过最少的VPN隧道数量达到最大的VPN连通性的要求,网络拓扑结构如下:如上图所示,总部防火墙机Hub防火墙...</div><div class="content" style="color: rgb(68, 68, 68); font-family: tahoma, arial, 宋体, sans-serif; background-color: rgb(238, 238, 238);"><h1 style="margin-bottom: 6px; padding-top: 16px; padding-bottom: 8px; font-size: 26px; color: rgb(0, 0, 0); line-height: 30px; font-family: 宋体, arial; text-align: center; border-bottom-width: 1px; border-bottom-style: solid; border-bottom-color: rgb(229, 229, 229);">1,IPSEC VPN应用越来越广泛,下面配置实例是针对单总部多分支机构的实际应用</h1><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">按照本文的配置,可以实现通过最少的VPN隧道数量达到最大的VPN连通性的要求,网络拓扑结构如下:<br><img alt="1" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image002.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 553px; height: 324px;"><br>如上图所示,总部防火墙机Hub防火墙名称是FortiGate_1,它的外网口IP地址是:172.16.10.1,总部的内网有2个不同的部门子网分 别是财务子网(Finance Network),地址是:192.168.12.0/24;人力资源子网(HR Network),地址是:192.168.22.0/24;<br>有2个分支机构,其中一个分支机构防火墙名称叫Spoke_1,它的外网口IP地址是:172.16.20.1,内网地址 是:192.168.33.0/24;另一个分支机构防火墙名称叫Spoke_2,它的外网口IP地址是:172.16.30.1,内网地址 是:192.168.44.0/24。<br>按照本文配置,最终我们可以通过2种不同的VPN方案使用总共2条VPN实现3地4个保护子网的互相访问的需求。</p><h1 style="margin-bottom: 6px; padding-top: 16px; padding-bottom: 8px; font-size: 26px; color: rgb(0, 0, 0); line-height: 30px; font-family: 宋体, arial; text-align: center; border-bottom-width: 1px; border-bottom-style: solid; border-bottom-color: rgb(229, 229, 229);">2,基于策略的 VPN (通道模式)</h1><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">通常IPSEC VPN网关所实现的的模式都是基于保护和被保护子网的也就是介于VPN策略的模式,也叫做基于策略的VPN模式,具体配置说明如下详细描述。</p><h2 style="font-size: 26px;">2.1 配置FortiGate_1</h2><h3 style="font-size: 18px;">2.1.1 配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:Spoke_1<br>远程网关:静态IP地址<br>IP地址:172.16.20.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:<br><br><img alt="2" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image004.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 636px; height: 345px;"><br>用同样的方法配置另一条VPN到Spoke_2,如下:<br><br><img alt="3" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image006.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 396px;"></p><h3 style="font-size: 18px;">2.1.2 配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:FG1toSP1_Tunnel<br>阶段1:Spoke_1<br>其余配置使用默认设置就可以了<br><br><img alt="4" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image008.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 286px;"></p><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">用同样的方法配置另一条VPN到Spoke_2,如下:<br><br><img src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image010.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 309px;"></p><h3 style="font-size: 18px;">2.1.3 配置防火墙加密规则</h3><h4 style="font-size: 16px;">2.1.3.1 定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">2.1.3.2 定义2条分别到2个分支机构的防火墙策略</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">规则一:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Finance_Network,HR_Network<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Site_1<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:Spoke_1<br><br><img alt="6" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image012.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 326px;"><br>规则二:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Finance_Network,HR_Network<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Site_2<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:Spoke_2<br><br><img alt="7" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image014.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 337px;"></p><h3 style="font-size: 18px;">2.1.4 配置VPN集中器</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到虚拟专网----IPSEC----集中器,新建一个集中器:<br>名称:Hub_1<br>可用通道:从左侧可用通道中选择Spoke_1,Spoke_2<br><br><img alt="8" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image016.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 219px;"></p><h2 style="font-size: 26px;">2.2 配置Spoke_1</h2><h3 style="font-size: 18px;">2.2.1配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:FortiGate_1<br>远程网关:静态IP地址<br>IP地址:172.16.10.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。</p><h3 style="font-size: 18px;">2.2.2配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:SP1toFG1_Tunnel<br>阶段1:FortiGate_1<br>其余配置使用默认设置就可以了</p><h3 style="font-size: 18px;">2.2.3配置防火墙加密规则</h3><h4 style="font-size: 16px;">2.2.3.1定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">2.2.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">规则一:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_1<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Finance_Network,HR_Network<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:FortiGate_1<br>规则二:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_1<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Site_2<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:FortiGate_1</p><h2 style="font-size: 26px;">2.3 配置Spoke_2</h2><h3 style="font-size: 18px;">2.3.1配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:FortiGate_1<br>远程网关:静态IP地址<br>IP地址:172.16.10.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。</p><h3 style="font-size: 18px;">2.3.2配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:SP2toFG1_Tunnel<br>阶段1:FortiGate_1<br>其余配置使用默认设置就可以了</p><h3 style="font-size: 18px;">2.3.3配置防火墙加密规则</h3><h4 style="font-size: 16px;">2.3.3.1定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">2.3.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">规则一:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_2<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Finance_Network,HR_Network<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:FortiGate_1<br>规则二:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_2<br>目的接口:选择防火墙的外网口,如wan1<br>目的地址:Site_1<br>时间表和服务请按照需求选择<br>模式:IPSEC<br>VPN通道:FortiGate_1</p><h1 style="margin-bottom: 6px; padding-top: 16px; padding-bottom: 8px; font-size: 26px; color: rgb(0, 0, 0); line-height: 30px; font-family: 宋体, arial; text-align: center; border-bottom-width: 1px; border-bottom-style: solid; border-bottom-color: rgb(229, 229, 229);">3,基于路由的 VPN (接口模式)</h1><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">相同的网络结构相同的需求,FortiGate可以用一种更加简洁明了的方法来实现,就是使用特有的基于路由的VPN模式,又叫做接口模式的IPSEC VPN,具体配置如下详细说明。</p><h2 style="font-size: 26px;">3.1 配置FortiGate_1</h2><h3 style="font-size: 18px;">3.1.1配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:Spoke_1<br>远程网关:静态IP地址<br>IP地址:172.16.20.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:<br><br><img alt="9" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image018.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 365px;"><br>用同样的方法配置另一条VPN到Spoke_2,如下:<br><br><img alt="10" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image020.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 370px;"></p><h3 style="font-size: 18px;">3.1.2配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:FG1toSP1_Tunnel<br>阶段1:Spoke_1<br>其余配置使用默认设置就可以了<br><br><img alt="11" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image022.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 299px;"><br>用同样的方法配置另一条VPN到Spoke_2,如下:<br><br><img alt="12" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image024.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 292px;"><br>这时候进入到:防火墙系统管理----网络-----接口wan1下面发现防火墙虚拟了2个名字分别为Spoke_1、Spoke_2的VPN接口出来, 这时候实际上对于接口Spoke_1、Spoke_2所具有的功能和操作方式在我们的防火墙里面基本上是完全一致的,只不过防火墙会自动加,解密进出 VPN虚拟接口的数据,如下图所示:<br><br><img alt="13" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image026.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 293px;"></p><h3 style="font-size: 18px;">3.1.3配置防火墙区</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">可以进入防火墙Web管理页面,系统管理----网络----区,新建一个区:<br>名称:VPN<br>屏蔽本区域内的流量:不要勾(因为我们的目的是要让总部防火墙可以中转Spoke_1,Spoke_2之间的VPN流量)<br>接口成员:Spoke_1,Spoke_2<br>具体如下图所示:<br><br><img alt="14" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image028.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 293px;"></p><h3 style="font-size: 18px;">3.1.4配置防火墙加密规则</h3><h4 style="font-size: 16px;">3.1.4.1定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">3.1.4.2定义4条分别到2个分支机构的防火墙策略</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">由于虚拟了VPN接口,所以定义相关的VPN规则和定义普通的防火墙规则变成是一样的。由于防火墙规则定义都是单向的,所以如果我们需要象通道模式那样允许双向的VPN流量的话我们需要定义2条进出到VPN虚拟接口的策略,具体2条策略如下:<br><br><img alt="15" src="http://support.fortinet.com.cn/image/doc/09050814/doc09050814_clip_image030.jpg" width="420" style="border: none; vertical-align: middle; display: inline; width: 642px; height: 296px;"></p><h2 style="font-size: 26px;">3.2 配置Spoke_1</h2><h3 style="font-size: 18px;">3.2.1配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:FortiGate_1<br>远程网关:静态IP地址<br>IP地址:172.16.10.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。</p><h3 style="font-size: 18px;">3.2.2配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:SP1toFG1_Tunnel<br>阶段1:FortiGate_1<br>其余配置使用默认设置就可以了<br>这时候进入到:防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个VPN接口FortiGate_1,捆绑在wan1下面。</p><h3 style="font-size: 18px;">3.2.3配置防火墙加密规则</h3><h4 style="font-size: 16px;">3.2.3.1定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">3.2.3.2定义2条防火墙策略,一条进,一条出</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">规则一:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_1<br>目的接口:选择防火墙的虚拟VPN接口,是:FortiGate_1<br>目的地址:Finance_Network,HR_Network,Site_2<br>时间表和服务请按照需求选择<br>模式:ACCEPT<br>规则二:源接口:选择防火墙的虚拟VPN接口,是:FortiGate_1<br>源地址:Finance_Network,HR_Network,Site_2<br>目的接口:选则财务所连接的防火墙接口名称,如internal<br>目的地址:Site_1<br>时间表和服务请按照需求选择<br>模式:ACCEPT</p><h2 style="font-size: 26px;">3.3配置Spoke_2</h2><h3 style="font-size: 18px;">3.3.1配置IPSEC VPN阶段一</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,<br>名称:FortiGate_1<br>远程网关:静态IP地址<br>IP地址:172.16.10.1<br>本地接口:wan1<br>模式:主模式<br>认证方式:预共享密钥<br>预共享密钥:123456<br>点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。</p><h3 style="font-size: 18px;">3.3.2配置IPSEC VPN阶段二</h3><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,<br>名称:SP2toFG1_Tunnel<br>阶段1:FortiGate_1<br>其余配置使用默认设置就可以了<br>这时候进入到:防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个VPN接口FortiGate_1,捆绑在wan1下面。</p><h3 style="font-size: 18px;">3.3.3配置防火墙加密规则</h3><h4 style="font-size: 16px;">3.3.3.1定义防火墙地址</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:<br>选择新建,四个地址,<br>名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24<br>名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24<br>名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24<br>名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24</p><h4 style="font-size: 16px;">3.3.3.2定义2条防火墙策略,一条进,一条出</h4><p style="padding-top: 8px; padding-bottom: 8px; line-height: 23px; text-align: justify;">规则一:源接口:选则财务所连接的防火墙接口名称,如Internal<br>源地址:Site_2<br>目的接口:选择防火墙的虚拟VPN接口,是:FortiGate_1<br>目的地址:Finance_Network,HR_Network,Site_1<br>时间表和服务请按照需求选择<br>模式:ACCEPT<br>规则二:源接口:选择防火墙的虚拟VPN接口,是:FortiGate_1<br>源地址:Finance_Network,HR_Network,Site_1<br>目的接口:选则财务所连接的防火墙接口名称,如internal<br>目的地址:Site_2<br>时间表和服务请按照需求选择<br>模式:ACCEPT</p></div></div>
頁: [1]
查看完整版本: [轉貼]Hub-and-spoke IPSec VPN 配置实例