实验篇(7.2) 14. 站对站安全隧道 - 多条隧道负载均衡(上)(FortiGate-IPsec) ❀ 远程访问

news2024/12/24 0:25:07

  【简介】IPsec VPN虽然价廉物美,但是由运营商原因,经常会出访问慢、不稳定甚至断开的情况,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证正常访问。


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

  OldMei集团上海分公司为ADSL拨号宽带,IP经常会变,又需要访问指定网站,另外由于上海分公司规模比较小,没有专业管理人员,深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙,由深圳总部管理员进行安全管理和上网分配。另外要求上海分公司能长期安全稳定的访问深圳服务器。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带,IP经常会变,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接。另外,所有流量都通过隧道到达深圳总部防火墙,通过深圳总部防火墙wan2接口上网。上海分公司在现有单条宽带的情况下再增加一条宽带,这样可以创建两条IPsec VPN,进行负载均衡。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过两条VPN隧道访问深圳服务器,以及走深圳总部防火墙wan2接口上网。

  增加一条宽带

  由于上海分公司只配置了一条宽带,现在我们需要再增加一条。

  ① 上海防火墙wan2接口接入一条网线,另头接入模拟互联网的FortiWiFi 60D 3号接口。

  ② 编辑wan2接口。

  ③ 寻址模式选择【手动】,输入宽带IP和子网掩码,这里IP设置和wan1接口IP相似,启用https和ping协议,点击【确认】。

  ④ 然后是配置宽带的网关,选择菜单【网络】-【静态路由】,点击新建。

  ⑤ 和第一条宽带默认网关设置不同的地方是,这里要将优先级设置为大于1的数字。这是因为如果两条默认静态路由的管理距离和优先级完全相同,就会产生冲突,结果是部分可以上网,部分不能上网。

   ⑥ 接口和路由都配置好后,就要创建上网策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ⑦ 创建internal接口走wan2接口上网策略,默认启用NAT。

  ⑧ 同样方法创建无线走wan2接口上网策略。接口、路由、策略就全部创建好了。

  ⑨ 现在切换到模拟互联网的FortiWiFi 60D。

  ⑩ 选择菜单【网络】-【接口】,选择internal3,点击【编辑】。

  ⑪ 输入第二条宽带的网关IP,启用https、ping协议。点击【确认】。

  ⑫ 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

  ⑬ 创建一条internal3接口允许访问wan1接口的策略,NAT不启用。这样第二条宽带也就能远程访问深圳防火墙wan1接口了。所有关于第二宽带的配置全部完成了。

  验证新增加的宽带

  在继续实验前,我们还需要验证新增的宽带是否能远程访问深圳防火墙。

  ① 登录上海防火墙,由于我们前面创建的IPsec隧道原因,所有流量都走隧道了,因此我们需要先断开IPsec隧道。选择菜单【仪表板】-【网络】,选择隧道后点击【断开】-【Entire Tunnel】。

  ② 但是隧道在短暂的断开好又自动重新连接了,看过我前面文章的就知道,只要还有数据访问,防火墙会自动发起连接。

  ③ 这隧道一直断不开要怎么办呢?选择菜单【策略&对象】-【防火墙策略】,找到关于IPsec隧道的策略,点击右键,弹出菜单选择【设置状态】-【禁用】。

  ④ 同样步骤将所有IPsec隧道策略都禁用。

  ⑤ IPsec隧道总算是断开了。

  ⑥ 选择菜单【仪表板】-【网络】,点击【路由】,这次可以看到两条宽带的默认路由,为了区分,子项目栏增加了优先级。相同的情景也在深圳总部防火墙出现过。

  ⑦ 为了强制走wan2上网,需要用到策略路由。默认策略路由是不启用的。选择菜单【系统管理】-【可见功能】,启用【高级路由】,点击确认。

  ⑧ 刷新窗口,菜单有了变化,选择【网络】-【策略路由】,点击【新建】。

  ⑨ 由于只是测试第二条宽带是否能上网,因此只创建一条internal接口强制走wan2口的策略路由。

  ⑩ 笔记本电脑关闭所有无线,网卡接上海防火墙internal接口,自动获取IP。可以直接ping通深圳防火墙的wan1口IP,查看路由,网关是100.64.20.254,走的是第二条宽带。上网测试成功。

  ⑪ 为了不影响后面的实验。这里还是将新建的策略路由禁用了。

  创建第二条IPsec VPN

  前期准备工作完成,就可以开始用第二条宽带创建IPsec VPN了。

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入隧道名称,注意不要重复。模板类型默认【站到站】,NAT配置还是选择【这个站点在NAT后端】。点击【下一步】。

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流出接口这次选择第二条宽带的wan2接口,输入预共享密钥,和深圳防火墙保持一致。点击【下一步】。

  ④ 和第一条宽带一样,本地接口选择internal和无线两个接口,本地子网也自动加上去了。Internet访问选择【使用远程】,远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。 

  ⑤ 向导会创建许多内容,点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 由于没有访问需求,这次向导创建好隧道后,状态为【不活跃】。

  ⑧ 选择菜单【仪表板】-【网络】,点击【IPsec】,选择新建隧道,点击【启用】-【阶段2选择器:SH2-SZ】。新建隧道的阶段1已经是连通状态了。

  ⑨ 第二条隧道连通成功。

  ⑩ 笔记本电脑网卡可以通过新建隧道访问深圳防火墙后的域服务器,也可以通过深圳防火墙wan2接口上网了。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/649349.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

友盟分享之新浪微博站(签名apk下载)

适用环境: 1 单独集成新浪微博分享 2 友盟分享新浪微博 集成步骤: 1 注册新浪微博开发者账号 新浪微博开放平台-首页 2 选择要接入的应用类型 根据官网提示输入对应资料,进行申请 4 创建应用的时候,Android需要输入签名&#x…

NFC无源电子墨水屏

NFC电子纸造就无源可视 电子墨水标签 NFCE-paper For NFC Batteryless E-ink Tag 产品参数 产品型号 PN29_S 尺寸(mm) 95*46.4*5.4mm 显示技术 电子墨水屏 显示区域(mm) 29(H) * 66.9(V) 分辨率(像素) 296*128 像素尺寸(mm) 0.227*0.226 显示颜色 黑/白 视…

摩尔定律放缓后,AMD应如何引领自适应的风潮?

编者按:自适应计算如何为核心市场带来动力?近日,在AMD“自适应和嵌入式产品技术日”活动日上,AMD 全球副总裁唐晓蕾表示,创新是驱动发展的引擎,百行百业的数字化与智能化转型离不开创新输送的源源不断的强劲…

【监控】Zabbix:企业级开源监控解决方案

文章目录 一、zabbix的基本概述二、zabbix的构成三、zabbix的监控对象四、zabbix的常用术语五、zabbix的工作流程六、zabbix进程详解七、zabbix的监控框架7.1 三种架构模式的架构图如下:7.2 每个模块的工作职责: 八、zabbix源码安装及部署一、服务端安装…

电子工程师,一起来聊聊PCB板上的Mark点吧

在PCB设计中,电子工程师需要注意很多方面,新手工程师经常会忽略Mark点,但资深工程师们却对Mark点又爱又恨,甚至不得不花时间耗费在Mark点上,为什么Mark点如此重要?该如何设计Mark点? 一、Mark点…

Linux基础IO - 文件系统 | 软硬链接

之前的文章中我们与文件有关的内容谈论的都是被打开的文件,那么如果文件没有被打开呢?这样文件就一定不再内存中,只能在磁盘外设中存储,本文中我们就来讲述磁盘中文件的相关知识。 磁盘的物理存储结构 一个磁盘由多个盘片叠加而…

如何撰写高效且实用的Prompt

很多人说GPT并没有什么让人惊艳的地方,但实际上,他们并没有发挥好它的潜能。在很多情况下,他们往往没有使用恰当的prompt。一个恰到好处的prompt就如同魔法师在施展魔法时所需要吟唱的咒语,只有那些正确无误的咒语,才能…

Zstack实习-基础知识总结归纳-持续更新

什么是虚拟化? 虚拟化技术是一种将物理计算资源,如服务器、存储和网络等,转化成虚拟的逻辑资源的技术。通过虚拟化技术,可以将多个独立的操作系统运行在同一台物理计算机上,实现资源的共享,提高硬件的利用率…

商业智能之“道、法、器”——企业级BI能力构建指南

一个企业级BI项目看似简单,但实际建设难度却远超想象。如何从0到1搭建BI项目,有没有详细的实施步骤,有没有合适的BI工具推荐,这是很多企业在上BI系统前心中的疑问。因此,本文会详细探讨企业BI能力构建,到底…

【业务功能篇26】 ROW_NUMBER() 排名函数 给表单数据增加序列号

业务场景: 当业务在进行月报报表制作时,会有些模块是需要填充当前月的top问题单,那么这些问题单,在第一列就要给标记序列号从1开始的序号,所以这个序号是根据业务选择的问题单后,在根据当前问题单记录进行的…

BSN全球技术创新发展峰会在武汉举办,“延安链”正式发布

原标题:《第二届BSN全球技术创新发展峰会在武汉成功举行》 6月9日,由湖北省人民政府指导,湖北省发展改革委、国家信息中心联合主办,中国移动、中国电信、中国联通、武汉市江汉区人民政府、区块链服务网络(BSN&#xf…

Linux或Windows上实现端口映射

关注“云计算就该这么学”微信公众号,搜索“001”,即可获取氪肝整理的154页Linux学习笔记。 通常服务器会有许多块网卡,因此也可能会连接到不同的网络,在隔离的网络中,某些服务可能会需要进行通信,此时服务…

I.MX6ULL_Linux_驱动篇(38) 中断驱动

不管是裸机实验还是 Linux 下的驱动实验,中断都是频繁使用的功能,在裸机中使用中断我们需要做一大堆的工作,比如配置寄存器,使能 IRQ 等等。 Linux 内核提供了完善的中断框架,我们只需要申请中断,然后注册中…

Linux进程信号 | 信号保存

阻塞信号 信号其他相关常见概念 实际执行信号的处理动作称为信号递达(Delivery)信号从产生到递达之间的状态,称为信号未决(Pending)。进程可以选择阻塞 (Block )某个信号。被阻塞的信号产生时将保持在未决状态,直到进程解除对此信号的阻塞,才执行递达的动作.注意,阻塞和忽略是…

A Survey of Large Language Models

本文是LLM系列的第一篇文章,针对《A Survey of Large Language Models》的翻译。 大语言模型综述 摘要1 引言2 概述2.1 LLM的背景2.2 GPT系列模型 的技术演化 3 LLMs的资源3.1 公开可用的模型检查点或APIs3.2 常用的语料库3.3 库资源 4 预训练4.1 数据收集4.1.1 数…

图的企业应用-A*算法自动寻路

引言 MC想必大家都玩过,但鸡哥利用A*自动寻路算法来找箱子 箱子里有鸡你太美唱片,和准备好的篮球 当然在这是游戏中找到的宝箱 还得原石x5等一大堆的养成物品 ???等等 ,原神 玩家露出鸡脚了吧! 不应该是 有鸡你太美唱片,还有一条鱼并且给梅里猫的名叫荔枝的? 这…

【MyBatis学习】Spring Boot(SSM)单元测试,不用打包就可以测试我们的项目了,判断程序是否满足需求变得如此简单 ? ? ?

前言: 大家好,我是良辰丫,在上一篇文章中我们学习了MyBatis简单的查询操作,今天来介绍一下Spring Boot(SSM)的一种单元测试,有人可能会感到疑惑,框架里面还有这玩意?什么东东呀,框架里面是没有这的,但是我们简单的学习一下单元测试,可以帮助我们自己测试代码,学习单元测试可以…

SEO留痕霸屏技术原理实现分析

留痕效果 通常是查询某个关键词,出现大量搜索结果网页霸屏,而且都会引导到其他平台或者网站进行浏览和查看。留痕网站和指向网站或平台无关联。 示例图片: 原理分析 首先通过内容和链接很容易明白,本质上就是一个搜索页面&…

OpenAI API升级:新GPT-3.5 Turbo和GPT-4助力AIGC应用大放异彩

theme: orange 前言 北京时间2023年6月13日,OpenAI宣布对其领先的生成型AI模型GPT-3.5 Turbo和GPT-4进行一系列更新,以提高工作场所的人工智能能力。这些改进包括引入全新的函数调用功能、增强的可引导性、GPT-3.5 Turbo的扩展上下文,以及修订…

数值分析第九章节 用Python实现常微分方程初值问题的数值解法

参考书籍:数值分析 第五版 李庆杨 王能超 易大义编 第9章 常微分方程初值问题的数值解法 文章声明:如有发现错误,欢迎批评指正 文章目录 欧拉法后退的欧拉方法梯形方法改进欧拉公式补充龙格—库塔方法线性多步法阿当姆斯显示与隐式公式 9.1引…