Hub-and-spoke IPSec VPN 配置实例
2012-12-24 15:01:23 来源：评论：0 点击：

1，IPSEC VPN应用越来越广泛，下面配置实例是针对单总部多分支机构的实际应用按照本文的配置，可以实现通过最少的VPN隧道数量达到最大的VPN连通性的要求，网络拓扑结构如下：如上图所示，总部防火墙机Hub防火墙...

1，IPSEC VPN应用越来越广泛，下面配置实例是针对单总部多分支机构的实际应用

按照本文的配置，可以实现通过最少的VPN隧道数量达到最大的VPN连通性的要求，网络拓扑结构如下：

如上图所示，总部防火墙机Hub防火墙名称是FortiGate_1，它的外网口IP地址是：172.16.10.1，总部的内网有2个不同的部门子网分别是财务子网（Finance Network），地址是：192.168.12.0/24；人力资源子网（HR Network），地址是：192.168.22.0/24；
有2个分支机构，其中一个分支机构防火墙名称叫Spoke_1，它的外网口IP地址是：172.16.20.1，内网地址是：192.168.33.0/24；另一个分支机构防火墙名称叫Spoke_2，它的外网口IP地址是：172.16.30.1，内网地址是：192.168.44.0/24。
按照本文配置，最终我们可以通过2种不同的VPN方案使用总共2条VPN实现3地4个保护子网的互相访问的需求。

2，基于策略的 VPN (通道模式)

通常IPSEC VPN网关所实现的的模式都是基于保护和被保护子网的也就是介于VPN策略的模式，也叫做基于策略的VPN模式，具体配置说明如下详细描述。

2．1 配置FortiGate_1

2．1．1 配置IPSEC VPN阶段一

登陆FortiGate_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：Spoke_1
远程网关：静态IP地址
IP地址：172.16.20.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，去掉“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了，具体配置如下图所示：

用同样的方法配置另一条VPN到Spoke_2，如下：

2．1．2 配置IPSEC VPN阶段二

登陆FortiGate_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：FG1toSP1_Tunnel
阶段1：Spoke_1
其余配置使用默认设置就可以了

用同样的方法配置另一条VPN到Spoke_2，如下：

2．1．3 配置防火墙加密规则

2．1．3．1 定义防火墙地址

进入到防火墙-----地址，分别定义本地保护子网地址和远程保护子网地址，具体如下：
选择新建，四个地址，
名称：Finance_Network；类型：类型：子网/IP地址范围；子网/IP地址范围：192.168.12.0/24
名称：HR_Network；类型：类型：子网/IP地址范围；子网/IP地址范围：192.168.22.0/24
名称：Site_1；类型：类型：子网/IP地址范围；子网/IP地址范围：192.168.33.0/24
名称：Site_2；类型：类型：子网/IP地址范围；子网/IP地址范围：192.168.44.0/24

2．1．3．2 定义2条分别到2个分支机构的防火墙策略

规则一：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Finance_Network，HR_Network
目的接口：选择防火墙的外网口，如wan1
目的地址：Site_1
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：Spoke_1

规则二：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Finance_Network，HR_Network
目的接口：选择防火墙的外网口，如wan1
目的地址：Site_2
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：Spoke_2

2．1．4 配置VPN集中器

进入到虚拟专网----IPSEC----集中器，新建一个集中器：
名称：Hub_1
可用通道：从左侧可用通道中选择Spoke_1，Spoke_2

2．2 配置Spoke_1

2．2．1配置IPSEC VPN阶段一

登陆Spoke_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：FortiGate_1
远程网关：静态IP地址
IP地址：172.16.10.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，去掉“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了。

2．2．2配置IPSEC VPN阶段二

登陆Spoke_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：SP1toFG1_Tunnel
阶段1：FortiGate_1
其余配置使用默认设置就可以了

2．2．3配置防火墙加密规则

2．2．3．1定义防火墙地址

2．2．3．2定义2条防火墙策略，一条到总部，一条到另一个分支机构

规则一：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_1
目的接口：选择防火墙的外网口，如wan1
目的地址：Finance_Network，HR_Network
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：FortiGate_1
规则二：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_1
目的接口：选择防火墙的外网口，如wan1
目的地址：Site_2
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：FortiGate_1

2．3 配置Spoke_2

2．3．1配置IPSEC VPN阶段一

登陆Spoke_2的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：FortiGate_1
远程网关：静态IP地址
IP地址：172.16.10.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，去掉“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了。

2．3．2配置IPSEC VPN阶段二

登陆Spoke_2的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：SP2toFG1_Tunnel
阶段1：FortiGate_1
其余配置使用默认设置就可以了

2．3．3配置防火墙加密规则

2．3．3．1定义防火墙地址

2．3．3．2定义2条防火墙策略，一条到总部，一条到另一个分支机构

规则一：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_2
目的接口：选择防火墙的外网口，如wan1
目的地址：Finance_Network，HR_Network
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：FortiGate_1
规则二：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_2
目的接口：选择防火墙的外网口，如wan1
目的地址：Site_1
时间表和服务请按照需求选择
模式：IPSEC
VPN通道：FortiGate_1

3，基于路由的 VPN (接口模式)

相同的网络结构相同的需求，FortiGate可以用一种更加简洁明了的方法来实现，就是使用特有的基于路由的VPN模式，又叫做接口模式的IPSEC VPN，具体配置如下详细说明。

3．1 配置FortiGate_1

3．1．1配置IPSEC VPN阶段一

登陆FortiGate_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：Spoke_1
远程网关：静态IP地址
IP地址：172.16.20.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，勾上“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了，具体配置如下图所示：

用同样的方法配置另一条VPN到Spoke_2，如下：

3．1．2配置IPSEC VPN阶段二

登陆FortiGate_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：FG1toSP1_Tunnel
阶段1：Spoke_1
其余配置使用默认设置就可以了

用同样的方法配置另一条VPN到Spoke_2，如下：

这时候进入到：防火墙系统管理----网络-----接口wan1下面发现防火墙虚拟了2个名字分别为Spoke_1、Spoke_2的VPN接口出来，这时候实际上对于接口Spoke_1、Spoke_2所具有的功能和操作方式在我们的防火墙里面基本上是完全一致的，只不过防火墙会自动加，解密进出 VPN虚拟接口的数据，如下图所示：

3．1．3配置防火墙区

可以进入防火墙Web管理页面，系统管理----网络----区，新建一个区：
名称：VPN
屏蔽本区域内的流量：不要勾（因为我们的目的是要让总部防火墙可以中转Spoke_1，Spoke_2之间的VPN流量）
接口成员：Spoke_1，Spoke_2
具体如下图所示：

3．1．4配置防火墙加密规则

3．1．4．1定义防火墙地址

3．1．4．2定义4条分别到2个分支机构的防火墙策略

由于虚拟了VPN接口，所以定义相关的VPN规则和定义普通的防火墙规则变成是一样的。由于防火墙规则定义都是单向的，所以如果我们需要象通道模式那样允许双向的VPN流量的话我们需要定义2条进出到VPN虚拟接口的策略，具体2条策略如下：

3．2 配置Spoke_1

3．2．1配置IPSEC VPN阶段一

登陆Spoke_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：FortiGate_1
远程网关：静态IP地址
IP地址：172.16.10.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，勾上“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了。

3．2．2配置IPSEC VPN阶段二

登陆Spoke_1的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：SP1toFG1_Tunnel
阶段1：FortiGate_1
其余配置使用默认设置就可以了
这时候进入到：防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个VPN接口FortiGate_1，捆绑在wan1下面。

3．2．3配置防火墙加密规则

3．2．3．1定义防火墙地址

3．2．3．2定义2条防火墙策略，一条进，一条出

规则一：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_1
目的接口：选择防火墙的虚拟VPN接口，是：FortiGate_1
目的地址：Finance_Network，HR_Network，Site_2
时间表和服务请按照需求选择
模式：ACCEPT
规则二：源接口：选择防火墙的虚拟VPN接口，是：FortiGate_1
源地址：Finance_Network，HR_Network，Site_2
目的接口：选则财务所连接的防火墙接口名称，如internal
目的地址：Site_1
时间表和服务请按照需求选择
模式：ACCEPT

3．3配置Spoke_2

3．3．1配置IPSEC VPN阶段一

登陆Spoke_2的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段一，
名称：FortiGate_1
远程网关：静态IP地址
IP地址：172.16.10.1
本地接口：wan1
模式：主模式
认证方式：预共享密钥
预共享密钥：123456
点开高级选项，勾上“启动IPSEC接口模式”前面的勾，其他配置使用默认设置就可以了。

3．3．2配置IPSEC VPN阶段二

登陆Spoke_2的Web界面，进入虚拟专网----IPSEC----自动交换密钥（IKE），新建阶段二，
名称：SP2toFG1_Tunnel
阶段1：FortiGate_1
其余配置使用默认设置就可以了
这时候进入到：防火墙系统管理----网络-----接口wan1下面同样会发现防火墙虚拟了一个VPN接口FortiGate_1，捆绑在wan1下面。

3．3．3配置防火墙加密规则

3．3．3．1定义防火墙地址

3．3．3．2定义2条防火墙策略，一条进，一条出

规则一：源接口：选则财务所连接的防火墙接口名称，如Internal
源地址：Site_2
目的接口：选择防火墙的虚拟VPN接口，是：FortiGate_1
目的地址：Finance_Network，HR_Network，Site_1
时间表和服务请按照需求选择
模式：ACCEPT
规则二：源接口：选择防火墙的虚拟VPN接口，是：FortiGate_1
源地址：Finance_Network，HR_Network，Site_1
目的接口：选则财务所连接的防火墙接口名称，如internal
目的地址：Site_2
时间表和服务请按照需求选择
模式：ACCEPT

相关热词搜索：

上一篇：如何配置SSL VPN
下一篇：子网重叠IPSec VPN配置方法（通道模式）

分享到：

Hub-and-spoke IPSec VPN 配置实例 2012-12-24 15:01:23 来源： 评论：0 点击：