1,IPSEC VPN应用越来越广泛,下面配置实例是针对单总部多分支机构的实际应用
按照本文的配置,可以实现通过最少的VPN隧道数量达到最大的VPN连通性的要求,网络拓扑结构如下:
如上图所示,总部防火墙机Hub防火墙名称是FortiGate_1,它的外网口IP地址是:172.16.10.1,总部的内网有2个不同的部门子网分别是财务子网(Finance Network),地址是:192.168.12.0/24;人力资源子网(HR Network),地址是:192.168.22.0/24;
有2个分支机构,其中一个分支机构防火墙名称叫Spoke_1,它的外网口IP地址是:172.16.20.1,内网地址是:192.168.33.0/24;另一个分支机构防火墙名称叫Spoke_2,它的外网口IP地址是:172.16.30.1,内网地址是:192.168.44.0/24。
按照本文配置,最终我们可以通过2种不同的VPN方案使用总共2条VPN实现3地4个保护子网的互相访问的需求。
2,基于策略的 VPN (通道模式)
通常IPSEC VPN网关所实现的的模式都是基于保护和被保护子网的也就是介于VPN策略的模式,也叫做基于策略的VPN模式,具体配置说明如下详细描述。
2.1 配置FortiGate_1
2.1.1 配置IPSEC VPN阶段一
登陆FortiGate_1的Web界面,进入虚拟专网----IPSEC----自动交换密钥(IKE),新建阶段一,
名称:Spoke_1
远程网关:静态IP地址
IP地址:172.16.20.1
本地接口:wan1
模式:主模式
认证方式:预共享密钥
预共享密钥:123456
点开高级选项,去掉“启动IPSEC接口模式”前面的勾,其他配置使用默认设置就可以了,具体配置如下图所示:
用同样的方法配置另一条VPN到Spoke_2,如下: