实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】虽然隧道冗余可以解决连接问题,但是当大量数据访问或要求访问不能中断时,隧道冗余就力不从心了。这种情况就要用到隧道聚合。但是对宽带的要求也高了,双端都至少需要二条宽带。


  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  OldMei集团上海分公司需要实时访问深圳总部的域服务器和ERP服务器,要求安全高效,并且访问不能中断,对丢包有严格要求。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司和深圳总部均配置两条宽带,一一对应配置两条VPN,将两条VPN聚合,即使一条VPN断开,另一条会继续工作,保证远程访问不中断。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过VPN隧道访问深圳服务器,在一条宽带断开的情况下,远程访问不丢一个数据包。

  实验前的准备工作

  删除前期在上海分公司防火墙和深圳总部防火墙配置的IPsec 隧道,删除方法和过程就不再叙述。

  目前为目,上海分公司已经配置有两条宽带,深圳总部有一条宽带,一条专线,由于专线是用来访问指定网站专用的,因此需要再增加一条宽带,用来创建IPsec VPN连接。新增加的宽带,我们仍然用真实的公网IP地址来做演示。

  用网线连接深圳总部防火墙的7号口,另一端接入模拟互联网的FortiWiFi 60D的wan2口。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ① 登录深圳防火墙,选择菜单【网络】-【接口】,选择【internal】接口,点击【编辑】。从上面的接口状态示图可以看到,7号口是internal接口的一部分,我们需要先释放它。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ② 在接口成员会显示所有属于internal的接口,点击internal7接口右边的X号,就可以释放这个接。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ③ 可以看到7号口已经是一个独立的接口了,编辑该接口。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ④ 输入新增宽带的网关IP,启用https和ping协议。点击【确认】。新增加的宽带IP可以是真正可用的,因为实验不联网,所以不会有冲突和影响。 

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑤ 为了区分宽带,我们将三条宽带都输入了中文注释。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑥ 下一步是配置宽带的网关。选择菜单【网络】-【静态路由】,点击【新建】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑦ 接口选择7号口,输入网关地址,需要注意的是,需要修改优先级,以将宽带错开。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑧ 选择菜单【仪表板】-【网络】,点击【路由】,可以看到三条宽带的默认路由,它们的优先级不同。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑨ 登录模拟互联网的FortiWiFi 60D,选择菜单【网络】-【接口】,编辑wan2接口。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑩ 输入新增宽带的网关,启用https、ping协议。点击【确认】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑪ 选择菜单【策略&对象】-【IPv4策略】,编辑3号口到wan1的策略。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑫ 我们不再需要二对一的访问了,现在要的是一对一的互访。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑬ 经过一番增加和修改,我们形成了上海和深圳两端各两条宽带允许互相访问的局面。

  配置深圳防火墙

  准备工作都完成了,下面我们开始配置深圳防火墙。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ① 登录深圳防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ② 输入自定义名称,模板类型选择【自定义】,点击【下一步】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ③ 接口选择第一条宽带的wan1口,对端网关IP地址填写对应的上海防火墙的wan1接口IP。点击高级前面的+号。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ④ 隧道聚合成员选择【启用】,输入自定义的预共享密钥,两端需要保持一致。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑤ 阶段2的本地地址和对端地址默认都没有做限制,其它都保持默认设置,点击【确认】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑥ 由于有两条宽带可以创建IPsec VPN,因此再次点击【新建】-【IPsec隧道】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑦ 输入第二条隧道的名称,模板类型选择【自定义】,点击【下一步】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑧ 这次接口选择7号口,对端网关IP地址填写的是上海防火墙wan2接口IP地址。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑨ 同样启用隧道取合成员,输入预共享密钥。点击【确认】,第二条隧道就创建好了。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑩ 两条隧道都创建好了,一下步就是创建聚合隧道了。点击【新建】-【IPsec聚合隧道】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑪ 聚合算法有四种,默认是【基于权重的轮询】,选择两条隧道,默认权重都是1,可以根据实际情况进行调整。例如第一条宽带上网多一些,那么第二条隧道的权重就可以设置大一些。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑫ 经过聚合后,统一对聚合接口进行操作,简化了很多。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑬ 前面我们用向导创建IPsec VPN的时候了解到,除了要有隧道外,还需要有路由和两条来回策略。现在我们创建一条表态路由,接口为隧道聚合口,目标地址为上海防火墙internal接口网段。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑭ 路由创建后好,就需要创建来回访问的策略了。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑮ 创建一条隧道访问DMZ接口策略,不要启用NAT。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑯ 再创建一条反向的访问策略。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑰ 当你创建了隧道、路由以及两条来回策略后,IPsec隧道的配置就完成了。

  配置上海防火墙

  我们需要把在深圳防火墙所做的操作,再到上海防火墙上来一遍,只做小小的改动。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

   ① 登录上海防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ② 输入自定义名称,模板类型选择【自定义】,点击【下一步】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ③ 接口选择第一条宽带的wan1口,对端网关IP地址填写对应的深圳防火墙的wan1接口IP。点击高级前面的+号。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ④ 隧道聚合成员选择【启用】,输入自定义的预共享密钥,两端需要保持一致。其它保持默认,点击【确定】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑤ 再用同样的办法创建另一条隧道。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑥ 输入第二条隧道的名称,模式类型选择【自定义】,点击【下一步】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑦ 这次接口选择wan2,输入对端7号宽带接口IP。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑧ 同样启动隧道聚合成员,输入预共享密钥。点击【确认】。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

   ⑨ 两条隧道都创建好了,就可以创建聚合隧道了。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑩ 一共有四种算法,有什么不同?大家做实验去了解吧。这里就不讲了,讲了怕你映象不深。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑪ 聚合隧道就创建好了,下一步做什么?对的,创建路由。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑫ 该路由的使用就是,访问10.10.10.0网段时走聚合隧道出去。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑬ 扩展一下思路,如果我们上网流量也要走隧道出去,那么怎么办?创建一条策略路由,目标地址为all,流出接口为聚合隧道就好了。。。。很简单吧?

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑭ 创建访问策略,这里源地址和目标地址都用的是all,这样如果走隧道上网,也就不用修改了。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑮ 访问策略是双向的。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑯ 当隧道、路由和访问策略都创建好的,配置就完成了。

  验证效果

  这次是手动创建,没有使用向导,能不能成功呢?

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ① 我们从上海防火墙发起连接。选择菜单【仪表板】-【网络】,点击【IPsec】,选择聚合隧道里的一条隧道,点击【启用】-【阶段2选择器:SH1-SZ】。小技巧,隧道能不能起来,看阶段1的状态,阶段1显示绿色向上箭头,那十有八九没问题。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

   ② 启动第一条隧道后,再启动第二条隧道。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ③ 两条隧道都启动了。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ④ 笔记本现在是关闭所有无线,有线接入上海防火墙internal接口的状态,长ping域服务器IP是通的,表示隧道是通的。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑤ 我们试着断开一条隧道。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑥ 我们试着断开一条隧道。

实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

  ⑦ 仅仅丢了一个包,就走另一条隧道了。这还是测试设备较底端,要是在机架式设备,一个包都不会掉。

【实验总结】

  经过上篇文章和这篇文章的实验,我们看到了二对一和二对二的区别。很多人解决VPN访问慢的方法,就是本地加一条宽带,以为本地两条宽带了,和对方建了两条VPN就会快很多。实际上对方只有一条宽带,你就是建十个VPN,那条宽带速度也不会变。

  只有两端都有两条宽带,才可以建立起两条不同的隧道,隧道聚合功能很好的帮我们解决了多条隧道相同路由和策略的问题。

  扩展思考:如果每端的二条宽带与对方两条宽带各自建立IPsec隧道,理论上一共可以创建四条隧道,那么这四条隧道建立聚合,和一对一的两条隧道建立聚合相比,效果更好?还是效果更差?文章来源地址https://www.toymoban.com/news/detail-499852.html


到了这里,关于实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

    【简介】前面实验已经知道,FortiClient客户端拨号到远端防火墙,包括上网流量等所有流量都可以通过隧道到达远端防火墙,并从对方宽带上网。那么两台防火墙之间连接的安全隧道,可以实现这个功能吗?   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(33)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(57)
  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(46)
  • 实验篇(7.2) 09. 通过安全隧道走对方宽带上网 (FortiClient-IPsec) ❀ 远程访问

    【简介】要想所有的流量都走安全隧道,就需要禁用隧道分割。这样上网流量也会通过隧道到达远端防火墙,再通过远端防火墙的宽带接口去到互联网。我们来看看FortiClient客户端用IPsec VPN是如何实现的。    实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(37)
  • 实验篇(7.2) 08. 通过安全隧道访问内网服务器 (FortiClient-IPsec) ❀ 远程访问

    【简介】通过对SSL VPN与IPsec VPN的对比,我们知道SSL VPN是基于应用层的VPN,而IPsec VPN是基于网络层的VPN,IPsec VPN对所有的IP应用均透明。我们看看怎么用FortiClient实现IPsec VPN远程访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。

    2024年02月16日
    浏览(39)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(46)
  • es1.7.2 按照_type先聚合,再按照时间二次聚合

    参考:gpt

    2024年02月13日
    浏览(36)
  • 网络安全内网渗透之DNS隧道实验--dnscat2直连模式

    目录 一、DNS隧道攻击原理 二、DNS隧道工具 (一)安装dnscat2服务端 (二)启动服务器端 (三)在目标机器上安装客户端 (四)反弹shell         在进行DNS查询时,如果查询的域名不在DNS服务器本机的缓存中,就会访问互联网进行查询,然后返回结果。入股哦在互联网上

    2024年02月06日
    浏览(51)
  • 【burpsuite安全练兵场-客户端15】基于DOM的漏洞-7个实验(全)

       博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书,华为云、

    2024年02月02日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包