实验篇(7.2) 10. 扩充物理实验环境 ❀ 远程访问

　　【简介】本着先简后难原则，我们前面所做的实验，均为客户端远程访问防火墙，现在我们需要实现防火墙和防火墙之间的访问。在现有的实验环境中，加再入一台防火墙。让我们看看需要怎样操作。

---

  网络拓扑

　　企业之间最常见的远程互相访问，就是IPsec VPN了。

　　OldMei集团总部位于深圳，北京、上海、广州各有一家分公司，总部和三家分公司均有业务服务器需要互相访问，办公网络含有线及无线，要求四地互访不出现IP地址冲突。

　　【深圳总部】

        服务器IP网段：10.10.10.0/24

        内网网段：172.16.10.0/24

        无线网段：192.168.10.0/24

　　【北京分公司】

        服务器IP网段：10.10.20.0/24

        内网网段：172.16.20.0/24

        无线网段：192.168.20.0/24

　　【上海分公司】

        服务器IP网段：10.10.30.0/24

        内网网段：172.16.30.0/24

        无线网段：192.168.30.0/24

　　【广州分公司】

        服务器IP网段：10.10.40.0/24

        内网网段：172.16.40.0/24

        无线网段：192.168.40.0/24

　　这里我们假定目前只有上海分公司需要和深圳总部互相访问，根据网络地址规划，制定了上述网络拓朴。

  登录与基础设置

　　这里我们新增加一台FortiWiFi 60E防火墙，用来模拟上海分公司防火墙。

　　① 前面有介绍过，之所以用FortiWiFi 60E做实验，一是因为只有60E是最低端、最具性价比的支持FortiOS 7.2的防火墙，二是无线WiFi可以方便在各个防火墙之间快速切换。

　　② 笔记本电脑打开无线，找到SSID为fortinet，点击【连接】，这个是FortiWiFi 60E的默认无线信息，WiFi密码为fortinet。

　　③ 连接到无线后，就可以用默认IP地址https://192.168.1.99登录防火墙了。默认帐号为admin，密码为空，不用输入，点击【Login】。

　　④ FortiOS 7.2不允许有空密码存在，所以第一次启动后就要求更改密码，这里为了实验方便，统一密码设置为admin。

　　⑤ 再次输入帐号和密码，点击【Login】。

　　⑥ 首次登录防火墙，我们都需要做一些配置，以符合我们的运行环境。选择菜单【System】-【Setting】，先设置一个主机名称，以区分不同的设备。时间区域选择中国，如果时间区域不正确，那么以后在查询日志时会有很大的麻烦。

　　⑦ 在学习配置防火墙时，我们会思考很久，防火墙默认在没有操作的5分钟后，会自动退出，再次访问又需要登录，因此我们将空闲时间由5分钟改成30分钟，这样就不会频频退出登录了。语言选择简单中文。

  拆分接口

　　为了方便使用，FortiWiFi 60E的内网接口和无线是合并在一起的。

　　① 登录FortiWifi 60E后，选择菜单【网络】-【接口】，你会看到有一个软件交换接口LAN，是由internal接口和无线SSID组成，共用一个192.168.1.99 IP。但是在我们的规划中，internal网段为172.16.30.0，无线网段为192.168.30.0，因此需要将这个软件交换接口LAN删除，释放出internal接口和无线SSID。

　　② 但是由于这个软件交换接口有使用，因为删除按钮是灰色的。要想删除，必须先删除关联。点击接口最右边关联项数字3。

　　③ 选择关联项，点击【删除】，同样步骤，将所有关联项删除。

　　④ 当软件交换接口LAN的关联项数字为0时，就可以删除这个接口了。

　　⑤ 删除是删除了，但是无线没有办法再连接防火墙强了，这是因为无线分出来后，没有IP地址了。那怎么办？

　　⑥ 没有关系，防火墙的DMZ接口也可以登录，DMZ接口默认IP是1010.10.1。笔记本电脑网卡接防火墙DMZ接口，网卡IP改为10.10.10.100。

　　⑦ 通过防火墙的DMZ接口，可以登录防火墙。

  配置宽带

　　下面我们要配置宽带和网关。

　　① 选择菜单【网络】-【接口】，选择wan1接口，点击【编辑】。

　　② 输入宽带IP地址，协议启用https，可以从这个接口登录防火墙。

　　③ 选择菜单【网络】-【静态路由】，点击【新建】。

　　④ 接口选择wan1，输入网关地址，点击【确认】，这样宽带接口和网关就设置好了。

   配置接口与策略

　　宽带和网关设置好的，就可以配置接口和上网策略了。

　　① 选择配置internal接口，选择菜单【网络】-【接口】，选择internal，点击【编辑】。

　　② 输入规划的地址172.16.30.1，注意后面的掩码不要输入成255.255.255.255了。启用https和ping协议，方便测试及登录防火墙。

　　③ 为了避免每次换接口都手动修改IP，这里可以启用DHCP服务器。可以手动指定上网用的DNS。

　　④ 下面配置无线，选择菜单【无线&交换机控制器】，选择默认的SSID，点击【编辑】。

　　⑤ 和internal接口一样，输入规划的IP地址，启用https和ping协议。

　　⑥ 也一样启用DHCP服务器，手动指定DNS。

　　⑦ 不同的是还需要修改SSID名称，可以用中文，修改密码，为方便实验，无线密码统一设置为12345678，点击【确认】。

　　⑧ 最后要做的就是配置上网策略了，选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　⑨ 首先我们创建internal接口的上网策略。

　　⑩ 然后我们创建无线的上网策略。

　　⑪ 如果有必要，还可以创建服务器的上网策略。由于上海分公司没有服务器，所以就不创建了。

　　⑫ 虽然没有服务器，但是有规划，所以还是需要修改DMZ接口的IP。

　　⑬ 将DMZ接口IP修改为规则的10.10.30.1，这样所有的配置就全部完成了。

  验证

　　由于前期实验环境中，FortiWiFi 60D充当互联网，允许100.64.10.254访问218.253.83.145，因此我们将上海防火墙Wan1口和充当互联网的FortiWiF60D的1号口连接，笔记本电脑网卡接入上海防火墙的1号口，这样整个理物就连通了。

　　① 无线选择【OldMei-上海】。

　　② 无线获取的IP地址是我们规划的地址。

　　③ 由于无线设置时启用了https协议，因此可以通过192.168.30.1登录上海防火墙。点击右上角命令图标。

　　④ 防火墙上可以ping通wan1口、网关以及远程防火墙wan1口。

　　⑤ 关闭笔记本无线，网卡获得了规划的IP地址。

　　⑥ 在命令下ping防火墙wan1接口、网关及远程防火墙wan1接口IP，都可以通。

　　整个实验环境扩充完成。我们后面可以做更多的防火墙与防火墙互访的实验了。

---