Hub-and-spoke IPSec ××× 配置

1,IPSEC ×××应用越来越广泛,下面配置实例是针对单总部多分支机构的实际应用

按照本文的配置,可以实现通过最少的×××隧道数量达到最大的×××连通性的要求,网络拓扑结构如下:

如上图所示,总部防火墙机Hub防火墙名称是FortiGate_1,它的外网口IP地址是:172.16.10.1,总部的内网有2个不同的部门子网分别是财务子网(Finance Network),地址是:192.168.12.0/24;人力资源子网(HR Network),地址是:192.168.22.0/24;
有2个分支机构,其中一个分支机构防火墙名称叫Spoke_1,它的外网口IP地址是:172.16.20.1,内网地址是:192.168.33.0/24;另一个分支机构防火墙名称叫Spoke_2,它的外网口IP地址是:172.16.30.1,内网地址是:192.168.44.0/24。
按照本文配置,最终我们可以通过2种不同的×××方案使用总共2条×××实现3地4个保护子网的互相访问的需求。

2,基于策略的 ××× (通道模式)

通常IPSEC ×××网关所实现的的模式都是基于保护和被保护子网的也就是介于×××策略的模式,也叫做基于策略的×××模式,具体配置说明如下详细描述。

2.1 配置FortiGate_1

2.1.1 配置IPSEC ×××阶段一

登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:Spoke_1
远程网关:静态IP地址
IP地址:172.16.20.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:
(点击放大)

用同样的方法配置另一条×××到Spoke_2,如下:
(点击放大)

2.1.2 配置IPSEC ×××阶段二

登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:FG1toSP1_Tunnel
阶段1:Spoke_1
其余配置使用默认设置就可以了
(点击放大)

用同样的方法配置另一条×××到Spoke_2,如下:
(点击放大)

2.1.3 配置防火墙加密规则

2.1.3.1 定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

2.1.3.2 定义2条分别到2个分支机构的防火墙策略

规则一:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Finance_Network,HR_Network
目的接口:选择防火墙的外网口,如wan1
目的地址:Site_1
时间表和服务请按照需求选择
模式:IPSEC
×××通道:Spoke_1
(点击放大)

规则二:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Finance_Network,HR_Network
目的接口:选择防火墙的外网口,如wan1
目的地址:Site_2
时间表和服务请按照需求选择
模式:IPSEC
×××通道:Spoke_2
(点击放大)

2.1.4 配置×××集中器

进入到虚拟专网----IPSEC----集中器,新建一个集中器:
名称:Hub_1
可用通道:从左侧可用通道中选择Spoke_1,Spoke_2
(点击放大)

2.2 配置Spoke_1

2.2.1配置IPSEC ×××阶段一

登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:FortiGate_1
远程网关:静态IP地址
IP地址:172.16.10.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。

2.2.2配置IPSEC ×××阶段二

登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:SP1toFG1_Tunnel
阶段1:FortiGate_1
其余配置使用默认设置就可以了

2.2.3配置防火墙加密规则

2.2.3.1定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

2.2.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构

规则一:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_1
目的接口:选择防火墙的外网口,如wan1
目的地址:Finance_Network,HR_Network
时间表和服务请按照需求选择
模式:IPSEC
×××通道:FortiGate_1
规则二:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_1
目的接口:选择防火墙的外网口,如wan1
目的地址:Site_2
时间表和服务请按照需求选择
模式:IPSEC
×××通道:FortiGate_1

2.3 配置Spoke_2

2.3.1配置IPSEC ×××阶段一

登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:FortiGate_1
远程网关:静态IP地址
IP地址:172.16.10.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。

2.3.2配置IPSEC ×××阶段二

登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:SP2toFG1_Tunnel
阶段1:FortiGate_1
其余配置使用默认设置就可以了

2.3.3配置防火墙加密规则

2.3.3.1定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

2.3.3.2定义2条防火墙策略,一条到总部,一条到另一个分支机构

规则一:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_2
目的接口:选择防火墙的外网口,如wan1
目的地址:Finance_Network,HR_Network
时间表和服务请按照需求选择
模式:IPSEC
×××通道:FortiGate_1
规则二:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_2
目的接口:选择防火墙的外网口,如wan1
目的地址:Site_1
时间表和服务请按照需求选择
模式:IPSEC
×××通道:FortiGate_1

3,基于路由的 ××× (接口模式)

相同的网络结构相同的需求,FortiGate可以用一种更加简洁明了的方法来实现,就是使用特有的基于路由的×××模式,又叫做接口模式的IPSEC ×××,具体配置如下详细说明。

3.1 配置FortiGate_1

3.1.1配置IPSEC ×××阶段一

登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:Spoke_1
远程网关:静态IP地址
IP地址:172.16.20.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:
(点击放大)

用同样的方法配置另一条×××到Spoke_2,如下:
(点击放大)

3.1.2配置IPSEC ×××阶段二

登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:FG1toSP1_Tunnel
阶段1:Spoke_1
其余配置使用默认设置就可以了
(点击放大)

用同样的方法配置另一条×××到Spoke_2,如下:
(点击放大)

这时候进入到:防火墙系统管理----网络-----接口wan1下面发现防火墙虚拟了2个名字分别为Spoke_1、Spoke_2的×××接口出来,这时候实际上对于接口Spoke_1、Spoke_2所具有的功能和操作方式在我们的防火墙里面基本上是完全一致的,只不过防火墙会自动加,解密进出×××虚拟接口的数据,如下图所示:
(点击放大)

3.1.3配置防火墙区

可以进入防火墙Web管理页面,系统管理----网络----区,新建一个区:
名称:×××
屏蔽本区域内的流量:不要勾(因为我们的目的是要让总部防火墙可以中转Spoke_1,Spoke_2之间的×××流量)
接口成员:Spoke_1,Spoke_2
具体如下图所示:
(点击放大)

3.1.4配置防火墙加密规则

3.1.4.1定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

3.1.4.2定义4条分别到2个分支机构的防火墙策略

由于虚拟了×××接口,所以定义相关的×××规则和定义普通的防火墙规则变成是一样的。由于防火墙规则定义都是单向的,所以如果我们需要象通道模式那样允许双向的×××流量的话我们需要定义2条进出到×××虚拟接口的策略,具体2条策略如下:
(点击放大)

3.2 配置Spoke_1

3.2.1配置IPSEC ×××阶段一

登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:FortiGate_1
远程网关:静态IP地址
IP地址:172.16.10.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。

3.2.2配置IPSEC ×××阶段二

登陆Spoke_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:SP1toFG1_Tunnel
阶段1:FortiGate_1
其余配置使用默认设置就可以了
这时候进入到:防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个×××接口FortiGate_1,捆绑在wan1下面。

3.2.3配置防火墙加密规则

3.2.3.1定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

3.2.3.2定义2条防火墙策略,一条进,一条出

规则一:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_1
目的接口:选择防火墙的虚拟×××接口,是:FortiGate_1
目的地址:Finance_Network,HR_Network,Site_2
时间表和服务请按照需求选择
模式:ACCEPT
规则二:源接口:选择防火墙的虚拟×××接口,是:FortiGate_1
源地址:Finance_Network,HR_Network,Site_2
目的接口:选则财务所连接的防火墙接口名称,如internal
目的地址:Site_1
时间表和服务请按照需求选择
模式:ACCEPT

3.3配置Spoke_2

3.3.1配置IPSEC ×××阶段一

登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:FortiGate_1
远程网关:静态IP地址
IP地址:172.16.10.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,勾上“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了。

3.3.2配置IPSEC ×××阶段二

登陆Spoke_2的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段二,
名称:SP2toFG1_Tunnel
阶段1:FortiGate_1
其余配置使用默认设置就可以了
这时候进入到:防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个×××接口FortiGate_1,捆绑在wan1下面。

3.3.3配置防火墙加密规则

3.3.3.1定义防火墙地址

进入到防火墙-----地址,分别定义本地保护子网地址和远程保护子网地址,具体如下:
选择新建,四个地址,
名称:Finance_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.12.0/24
名称:HR_Network;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.22.0/24
名称:Site_1;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.33.0/24
名称:Site_2;类型:类型:子网/IP地址范围;子网/IP地址范围:192.168.44.0/24

3.3.3.2定义2条防火墙策略,一条进,一条出

规则一:源接口:选则财务所连接的防火墙接口名称,如Internal
源地址:Site_2
目的接口:选择防火墙的虚拟×××接口,是:FortiGate_1
目的地址:Finance_Network,HR_Network,Site_1
时间表和服务请按照需求选择
模式:ACCEPT
规则二:源接口:选择防火墙的虚拟×××接口,是:FortiGate_1
源地址:Finance_Network,HR_Network,Site_1
目的接口:选则财务所连接的防火墙接口名称,如internal
目的地址:Site_2
时间表和服务请按照需求选择
模式:ACCEPT