【简介】Hub-and-Spoke：各分支机构利用VPN设备与总部VPN设备建立VPN通道后，除了可以和总部进行通讯，还可以利用总部VPN设备互相进行数据交换，而各VPN分支机构不需要进行VPN的隧道连接。

---

  实验要求与环境

　　OldMei集团深圳总部部署了域服务器和ERP服务器，用来对集团总部进行管理。

　　OldMei集团上海分公司、北京分公司需要实时访问深圳总部的域服务器和ERP服务器，除此之外，上海分公司和北京分公司也有互相访问的需求。

　　解决方案：上海分公司、北京分公司和深圳总部都部署FortiGate防火墙，三地防火墙通过宽带创建VPN连接，由于VPN是加密隧道，可以保证数据通过互联网传输时的安全。VPN以Hub-and-Spoke模式创建，上海分公司和北京分公司均拨号到深圳总部，以完成域服务器和ERP服务器的访问，另外根据访问需求，动态创建上海分公司和北京分公司的互访隧道。

　　实验目标：上海分公司和北京分公司均可访问深圳总部，并且两个分公司可以互访问。

  实验前的准备工作

　　前期一直是两台防火墙互相访问，现在需要再加入一台防火墙，实现三方互访。

　　① 现在的实现环境有三台FortiWiFi 60E防火墙，分别代表深圳、上海、北京，还有一台FortiWiFi 60D防火墙，用来模拟互联网。总实验成本四千元左右。

　　② 根据规划，北京的内网为172.16.20.0/24，无线为192.168.20.0/24，服务器为10.10.20.0/24，还配置了宽带为100.64.100.0/24，具体配置方法就不介绍了。

　　③ 宽带接wan1接口，另一头接模拟互联网的FortiWiFi 60D的internal 5号口。这里配置上网的默认网关。

　　④ 还需要配置一条internal接口走wan1接口上网的策略。北京防火墙准备工作就完成了。

　　⑤ 还需要登录模拟互联网的FortiWiFi 60D，5号口配置IP地址为北京wan1接口的网关IP。

　　⑥ 最后就是建立一条internal5号口访问wan1接口的策略，注意NAT不要启用。这样北京防火墙internal接口就可以访问深圳总部防火墙wan1接口了。

  配置深圳总部防火墙

　　准备工作都完成了，下面我们开始配置深圳防火墙。前提是前面所做实验都已经删除干净了。

　　① 登录深圳总部防火墙，选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】。

　　② 输入自定义名称，模板类型选择【Hub-and-Spoke】，角色默认【Hub】，点击【下一步】。

　　③ 流入接口选择拨入的wan1接口，输入自定义的预共享密钥，点击【下一步】。

　　④ 防火墙需要给隧道配置IP，默认是10.10.1.0网段，好在我们在做规划的时候整个内网就避开了这个网段。如果有冲突可以修改，点击【下一步】。

　　⑤ 如果内网没有动态路由的话，本地AS保持默认的【65400】，选择要访问的本地接口，自动出现本地子网，可以选择多个接口和子网。Spoke隧道IP，有多少个分支，配置多少个，点击【下一步】。

　　⑥ 配置完成，可以看到会创建接口、地址、双向访问策略，以及BGP路由。点击【完成】。

　　⑦ VPN创建完成，和其它地方不同的是，这里多出两个密钥。密钥可以复制，在配置分支机构防火墙会用到。点击【显示隧道列表】。

　　⑧ 可以看到已经创建了一条IPsec隧道，选择隧道，点击【编辑】。

　　⑨ 在阶段2的下方，多了一个【Hub&Spoke拓扑结构】，点击其中一条隧道的【查看】。

　　⑩ 出现配置密钥，点击复制按钮，这个密钥有什么用？等一下就知道了。

  配置北京分公司防火墙

　　深圳总部防火墙配置完成，下一步就是配置北京分公司防火墙了。

　　① 无线连接北京分公司防火墙的SSID，这样就可以登录北京分公司防火墙了。现在知道用FortiWiFi 60E做实验的好处了吧。

　　② 首先用命令测试一下北京的wan1口可以访问深圳的wan1口。远程访问没有问题。

　　③ 选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】。

　　④ 输入自定义名称，模板类型选择【Hub-and-Spoke】，角色选择【Spoke】，粘贴密钥，点击【应用】，这里的密钥就是深圳总部配置VPN时生成的，一个分支一个密钥。注意，这里一定要点【应用】，不要直接点【下一步】。只有应用生成了，后面才能正常配置。

 　　⑤ 远程IP地址会自动填上内容，这是密钥带来的。选择流出接口，输入和深圳总部完全相同的预共享密钥，点击【下一步】。

　　⑥ 隧道IP也是由密钥带过来的，保持默认，点击【下一步】。

　　⑦ 本地AS与深圳总部保持一致，默认即可，选择本地接口，自动弹出本地子网。点【下一步】。 

　　⑧ 配置完成，会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。

　　⑨ 不出意外的话，VPN创建成功。点击【显示隧道列表】。

　　⑩ IPsec隧道创建成功，并且已经连通了。

　　⑪ 选择菜单【仪表板】-【网络】，点击【路由】，可以看到走隧道的有静态、直接和BGP三种路由。

　　⑫ 从北京分公司防火墙的内网Internal接口，可以访问深圳总部防火墙的DMZ接口下的服务器，IPsec隧道是OK的。 

  配置上海分公司防火墙

　　深圳总部和北京分公司防火墙配置完成，最后就是配置上海分公司防火墙了。

　　① 无线连接上海分公司防火墙的SSID，这样就可以登录上海分公司防火墙了。

　　② 先用命令测试一下上海的wan1口可以访问深圳的wan1口。远程访问没有问题。

　　③ 选择菜单【VPN】-【IPsec隧道】，点击【新建】-【IPsec隧道】。 

　　④ 输入自定义名称，模板类型选择【Hub-and-Spoke】，角色选择【Spoke】，密钥是深圳总部配置VPN时生成的，一个分支一个密钥。复制过来，点击【应用】。注意，一定要点【应用】，不要直接点【下一步】。只有应用成功了，后面才能正常配置。

　　⑤ 远程IP地址会自动填上内容，这是密钥带来的。选择流出接口，输入和深圳总部完全相同的预共享密钥，点击【下一步】。 

　　⑥ 隧道IP也是由密钥带过来的，保持默认，点击【下一步】。

　　⑦ 本地AS与深圳总部保持一致，默认即可，选择本地接口，自动弹出本地子网。点【下一步】。

　　⑧ 配置完成，会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。 

　　⑨ 不出意外的话，VPN创建成功。点击【显示隧道列表】。

　　⑩ IPsec隧道创建成功，并且已经连通了。

　　⑪ 选择菜单【仪表板】-【网络】，点击【路由】，可以看到走隧道的有静态、直接和BGP三种路由。如果细心的人就会发现，这里BGP路由多了一条，访问IP是172.16.20.0/24，也走隧道。

　　⑫ 从上海分公司防火墙的内网Internal接口，可以访问深圳总部防火墙的DMZ接口下的服务器，IPsec隧道是OK的。除此之外，还可以访问北京分公司防火墙内网internal接口。也就是说，即上海即可以访问深圳，也可以访问北京。

  验证效果

　　上海是可以访问深圳和北京了。那其它两地是否能访问上海呢？

　　① 登录深圳总部防火墙，查看路由，可以看到有172.16.20.0和172.16.30.0网段走隧道出去。

　　② 从深圳总部防火墙DMZ接口，可以成功访问北京和上海的internal接口。

　　③ 再登录北京分公司防火墙查看路由，在原来的基础上也多了一条BGP动态路由。

 　　④ 北京防火墙internal接口，也可以成功的访问上海的internal接口。这样就实现了三方互访了。

---