实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

news2024/11/15 11:02:52

  【简介】IPsec VPN虽然价廉物美,但是由运营商原因,偶尔出现不稳定情况,例如访问慢甚至断开等,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证不间断访问。


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

  OldMei集团上海分公司为ADSL拨号宽带,IP经常会变,又需要访问指定网站,另外由于上海分公司规模比较小,没有专业管理人员,深圳总部要求上海分公司所有上网流量必须经过深圳总部防火墙,由深圳总部管理员进行安全管理和上网分配。另外要求上海分公司增加一条宽带,保证不间断的访问深圳服务器。

  解决方案:上海分公司和深圳总部都部署FortiGate防火墙,两地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。上海分公司为ADSL拨号宽带,IP经常会变,因此只能由上海分公司防火墙拨号至深圳总部防火墙,单向发起连接。另外,所有流量都通过隧道到达深圳总部防火墙,通过深圳总部防火墙wan2接口上网。上海分公司在现有单条宽带的情况下再增加一条宽带,这样可以创建两条IPsec VPN,进行VPN冗余。

  实验目标:笔记本电脑网卡连接上海分公司internal接口,可以通过VPN隧道访问深圳服务器,以及走深圳总部防火墙wan2接口上网,在一条宽带断网的情况下,另一条宽带能实现同样的功能。

  增加一条宽带

  由于上海分公司只配置了一条宽带,现在我们需要再增加一条。

  ① 上海防火墙wan2接口接入一条网线,另头接入模拟互联网的FortiWiFi 60D 3号接口。

  ② 编辑wan2接口。

  ③ 寻址模式选择【手动】,输入宽带IP和子网掩码,这里IP设置和wan1接口IP相似,启用https和ping协议,点击【确认】。

  ④ 然后是配置宽带的网关,选择菜单【网络】-【静态路由】,点击新建。

  ⑤ 和第一条宽带默认网关设置不同的地方是,这里要将优先级设置为大于1的数字。这是因为如果两条默认静态路由的管理距离和优先级完全相同,就会产生冲突,结果是部分可以上网,部分不能上网。

   ⑥ 接口和路由都配置好后,就要创建上网策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

  ⑦ 创建internal接口走wan2接口上网策略,默认启用NAT。

  ⑧ 同样方法创建无线走wan2接口上网策略。接口、路由、策略就全部创建好了。

  ⑨ 现在切换到模拟互联网的FortiWiFi 60D。

  ⑩ 选择菜单【网络】-【接口】,选择internal3,点击【编辑】。

  ⑪ 输入第二条宽带的网关IP,启用https、ping协议。点击【确认】。

  ⑫ 选择菜单【策略&对象】-【IPv4策略】,点击【新建】。

  ⑬ 创建一条internal3接口允许访问wan1接口的策略,NAT不启用。这样第二条宽带也就能远程访问深圳防火墙wan1接口了。所有关于第二宽带的配置全部完成了。

  验证新增加的宽带

  在继续实验前,我们还需要验证新增的宽带是否能远程访问深圳防火墙。

  ① 登录上海防火墙,由于我们前面创建的IPsec隧道原因,所有流量都走隧道了,因此我们需要先断开IPsec隧道。选择菜单【仪表板】-【网络】,选择隧道后点击【断开】-【Entire Tunnel】。

  ② 但是隧道在短暂的断开好又自动重新连接了,看过我前面文章的就知道,只要还有数据访问,防火墙会自动发起连接。

  ③ 这隧道一直断不开要怎么办呢?选择菜单【策略&对象】-【防火墙策略】,找到关于IPsec隧道的策略,点击右键,弹出菜单选择【设置状态】-【禁用】。

  ④ 同样步骤将所有IPsec隧道策略都禁用。

  ⑤ IPsec隧道总算是断开了。

  ⑥ 选择菜单【仪表板】-【网络】,点击【路由】,这次可以看到两条宽带的默认路由,为了区分,子项目栏增加了优先级。相同的情景也在深圳总部防火墙出现过。

  ⑦ 为了强制走wan2上网,需要用到策略路由。默认策略路由是不启用的。选择菜单【系统管理】-【可见功能】,启用【高级路由】,点击确认。

  ⑧ 刷新窗口,菜单有了变化,选择【网络】-【策略路由】,点击【新建】。

  ⑨ 由于只是测试第二条宽带是否能上网,因此只创建一条internal接口强制走wan2口的策略路由。

  ⑩ 笔记本电脑关闭所有无线,网卡接上海防火墙internal接口,自动获取IP。可以直接ping通深圳防火墙的wan1口IP,查看路由,网关是100.64.20.254,走的是第二条宽带。上网测试成功。

  ⑪ 为了不影响后面的实验。这里还是将新建的策略路由禁用了。

  创建第二条IPsec VPN

  前期准备工作完成,就可以开始用第二条宽带创建IPsec VPN了。

  ① 登录上海分公司防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入隧道名称,注意不要重复。模板类型默认【站到站】,NAT配置还是选择【这个站点在NAT后端】。点击【下一步】。

  ③ 远程IP地址填写深圳总部防火墙wan1接口IP,流出接口这次选择第二条宽带的wan2接口,输入预共享密钥,和深圳防火墙保持一致。点击【下一步】。

  ④ 和第一条宽带一样,本地接口选择internal和无线两个接口,本地子网也自动加上去了。Internet访问选择【使用远程】,远端子网自动变成0.0.0.0/0。自动出现本地网关。点击【下一步】。 

  ⑤ 向导会创建许多内容,点击【完成】。

  ⑥ VPN创建完成,点击【显示隧道列表】。

  ⑦ 由于没有访问需求,这次向导创建好隧道后,状态为【不活跃】。

  ⑧ 选择菜单【仪表板】-【网络】,点击【IPsec】,选择新建隧道,点击【启用】-【阶段2选择器:SH2-SZ】。新建隧道的阶段1已经是连通状态了。

  ⑨ 第二条隧道连通成功。

  ⑩ 笔记本电脑网卡可以通过新建隧道访问深圳防火墙后的域服务器,也可以通过深圳防火墙wan2接口上网了。

 验证效果

  第二条宽带配置的VPN已经成功可用,那么再启用第一条宽带的VPN,会有什么反映呢?

  ① 重新恢复前面禁用的所有策略为启用。

  ② 再次选择菜单【仪表板】-【网格】,选择【IPsec】,你会看到第一个VPN启用,第二个VPN反而是断开状态。

  ③ 选择第二条VPN,阶段1是启动的,说明可以连接,点击【启用】-【阶段2选择器:SH2-SZ】。

  ④ 你会发现始终只有一条隧道在线,这是因为VPN模式的原因,对端是只接收,而且是动态生成返回路由。我们两条VPN拨号生成的返回路由都是完全一样的,所以始终只有一条VPN在线。并且如果第一条VPN有会话没断开的话,又会切回到第一条VPN。

  ⑤ 查看路由表,你会看到虽然有两条默认路由,但由于隧道只通了一个,所以只走一条隧道出去。

  ⑥ 那么当一条宽带断了,会出现什么情况,我们来验证一下,首先长ping一个地址,用来判断隧道的工作状态。

  ⑦ 然后我们禁用wan1接口,将这第宽带断开。

  ⑧ 在丢失16个数据包,又重新连通了。

  ⑨ 第二条隧道自动启用了。

  ⑩ 查看路由表,可以看到只有第二条隧道的默认路由了。隧道冗余成功,当然也有人会觉得第二条隧道启动前间隔时间太久,这个可以优化解决,就不在今天讨论的范围了。 


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/659195.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

线性搜索算法-数据结构和算法教程

线性搜索被定义为一种顺序搜索算法,它从一端开始,遍历列表的每个元素,直到找到所需的元素,否则搜索继续到数据集的末尾。 线性搜索算法是如何工作的? 在线性搜索算法中, 每个元素都被认为是键的潜在匹配…

回归预测 | MATLAB实现基于QPSO-LSTM、PSO-LSTM、LSTM多输入单输出回归预测

回归预测 | MATLAB实现基于QPSO-LSTM、PSO-LSTM、LSTM多输入单输出回归预测 目录 回归预测 | MATLAB实现基于QPSO-LSTM、PSO-LSTM、LSTM多输入单输出回归预测效果一览基本描述模型描述程序设计参考资料 效果一览 基本描述 1.Matlab实现QPSO-LSTM、PSO-LSTM和LSTM神经网络时间序…

事件循环(字数不足凑字)

浏览器的进程模型 何为进程? 程序运行需要有它自己专属的内存空间,可以把这块内存空间简单的理解为进程。 每个应用至少有一个进程,进程之间相互独立,即使要通信,也需要双方同意。 即使崩溃也互不影响。 何为线程&…

12. python从入门到精通——文件及目录操作

目录 基本文件操作 创建和打开文件:open()函数 关闭文件:可以不关闭文件因为有垃圾回收功能 打开文件时使用with语句:不需要自己关闭文件,可以自己关闭 写入文件内容 file.write方法 file.writelines方法:可以向文件中写入字符串列表,…

MyBatis插件开发——解析和记录输出完整的SQL语句

实现功能 自定义MyBatis插件,该插件实现当MyBatis执行SQL发生异常时输出错误原因,SQL参数以及完整的SQL语句。在日常的开发中我们可以通过mybatis配置设置是否输出SQL,但是对于正常运行的SQL全部输出出来日志量过大,所以这里实现…

使用VScode + clangd 阅读 c/c++ 源码环境搭建

使用Vscode clangd 阅读c/c源码 一、需求 在嵌入式软件开发的工作中,我们常常需要分析C/C代码,比如linux kernel 的代码,而公司的代码一般都会存放在服务器中,服务器一般是linux,且无法联网,我们只能通过…

C++智能指针-保姆级讲解带你一文搞懂智能指针(附核心代码实现+讲解)

C智能指针 1.引言1.1 为什么会出现智能指针1.2内存泄漏1.2.1 什么是内存泄漏,内存泄漏的危害1.2.2 内存泄漏分类1.2.3如何检测内存泄漏1.2.4如何避免内存泄漏 2. 智能指针的使用及原理3.常见智能指针3.1std::auto_ptr3.2std::unique_ptr3.3std::share_ptr 1.引言 1…

【雕爷学编程】Arduino动手做(116)---五向导航按键模块

37款传感器与执行器的提法,在网络上广泛流传,其实Arduino能够兼容的传感器模块肯定是不止这37种的。鉴于本人手头积累了一些传感器和执行器模块,依照实践出真知(一定要动手做)的理念,以学习和交流为目的&am…

Axure教程—环形进度条

本文将教大家如何用AXURE制作环形进度条 一、效果 预览地址:https://mmfwgo.axshare.com 二、功能 (1)、点击“开始”按钮,环形进度开始执行,“开始”按钮转换为“暂停”按钮 (2)点击“重置”按…

delphi的ARM架构支持与System.Win.WinRT库

delphi的ARM架构支持与System.Win.WinRT库 目录 delphi的ARM架构支持与System.Win.WinRT库 一、WinRT 二、delphi的System.Win.WinRT库 2.1、支持ARM芯片指令 2.2、基于WinRT技术的特点 2.3、所以使用默认库而未经转化的服务端应用并不支持ARM架构服务器 2.4、对默认库…

自学网安遇到问题了该怎么解决

自学网络安全很容易学着学着就迷茫了,找到源头问题,解决它就可以了,所以首先咱们聊聊,学习网络安全方向通常会有哪些问题,看到后面有惊喜哦 1、打基础时间太长 学基础花费很长时间,光语言都有几门&#xf…

计算机程序设计的艺术--第一卷--第一章(1)

1 BASIC CONCEPT 1.1 algorithm algorithm 是所有计算机编程的本质,我们要仔仔细细的追溯一下这个概念是怎么来的。 algorithm 这个词,非常有意思,乍一看,好像是要写 logarithm,写错了,写成了 algorithm…

QTYX量化系统实战案例分享|均线多头排列惯性突破前高-202306第五弹

前言 “实战案例分享系列”是和大家分享一些股票量化分析工具QTYX在实战中的应用案例(包括失败的案例),这样能够帮助大家更好地去理解QTYX中的功能设计,也能更好地帮助大家搭建出属于自己的量化交易系统。 关于QTYX的使用攻略可以…

Java Spark 操作 Apache Kudu

一、Apache Kudu Apache Kudu是一种列式分布式存储引擎,它的设计目标是支持快速分析和高吞吐量的数据访问,同时也能够支持低延迟、实时查询和更新操作。它被称为Hadoop生态系统的新一代存储层,能够与Apache Spark、Apache Impala、Apache Hiv…

Python3 字典与集合 | 菜鸟教程(七)

目录 一、Python3 字典 (一)字典是另一种可变容器模型,且可存储任意类型对象。 (二)字典的每个键值 key>value 对用冒号 : 分割,每个对之间用逗号(,)分割,整个字典包括在花括号 {} 中 &am…

西南交通大学智能监测 培训课程练习5

2023.06.17培训 linux的简单实用 打包、部署后端jar服务 目录 一、连接远程服务器 二、maven项目打包 2.1添加build依赖 2.2使用maven打包 三、Linux基础操作 3.1利用Xftp上传文件 3.1.1返回上一层目录 3.1.2查看文件 3.1.3进入文件 3.1.4创建文件夹 3.1.5上传文件 …

安装Apache mysql php

一.Apache网站服务 Apache起源 源于 APatchy Server,著名的开源Web服务软件 1995年时,发布Apache服务程序的1.0版本 由Apache软件基金会 (ASF) 负责维护 最新的名称为“Apache HTTP Server 安装Apache----下面两个插件是httpd2.4以后的版…

SpringBoot整合activiti7实现简单的员工请假流程

Activiti 是一个开源架构的工作流引擎&#xff0c;基于bpmn2.0 标准进行流程定义。其前身是JBPM&#xff0c;Activiti 通过嵌入到业务系统开发中进行使用。 整合springboot 引入相关依赖 <!-- 引入Activiti7 --><dependency><groupId>org.activiti</gro…

什么是2.5G和5G多千兆端口?

概要 在当前数字化时代&#xff0c;对于高速数据传输和网络连接的需求不断增长。为了满足这种需求&#xff0c;网络技术也在不断发展和进步。2.5G和5G多千兆端口是一种新型的网络连接技术&#xff0c;提供了比传统千兆以太网更高的传输速率和带宽。本文将详细介绍 的定义、工作…

[元带你学: eMMC协议详解 15] 写保护(Write Protect)详解

依JEDEC eMMC 5.1及经验辛苦整理&#xff0c;付费内容&#xff0c;禁止转载。 所在专栏 《元带你学: eMMC协议详解》 内容摘要 全文 1300字&#xff0c; 主要讲述写保护的用法&#xff0c; 写保护的类型。 Write Protect Management 为了允许主机保护数据不被擦除或覆盖写入&…