【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。
实验要求与环境
OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。
OldMei集团上海分公司、北京分公司需要实时访问深圳总部的域服务器和ERP服务器,除此之外,上海分公司和北京分公司也有互相访问的需求。
解决方案:上海分公司、北京分公司和深圳总部都部署FortiGate防火墙,三地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。VPN以Hub-and-Spoke模式创建,上海分公司和北京分公司均拨号到深圳总部,以完成域服务器和ERP服务器的访问,另外根据访问需求,动态创建上海分公司和北京分公司的互访隧道。
实验目标:上海分公司和北京分公司均可访问深圳总部,并且两个分公司可以互访问。
实验前的准备工作
前期一直是两台防火墙互相访问,现在需要再加入一台防火墙,实现三方互访。
① 现在的实现环境有三台FortiWiFi 60E防火墙,分别代表深圳、上海、北京,还有一台FortiWiFi 60D防火墙,用来模拟互联网。总实验成本四千元左右。
② 根据规划,北京的内网为172.16.20.0/24,无线为192.168.20.0/24,服务器为10.10.20.0/24,还配置了宽带为100.64.100.0/24,具体配置方法就不介绍了。
③ 宽带接wan1接口,另一头接模拟互联网的FortiWiFi 60D的internal 5号口。这里配置上网的默认网关。
④ 还需要配置一条internal接口走wan1接口上网的策略。北京防火墙准备工作就完成了。
⑤ 还需要登录模拟互联网的FortiWiFi 60D,5号口配置IP地址为北京wan1接口的网关IP。
⑥ 最后就是建立一条internal5号口访问wan1接口的策略,注意NAT不要启用。这样北京防火墙internal接口就可以访问深圳总部防火墙wan1接口了。
配置深圳总部防火墙
准备工作都完成了,下面我们开始配置深圳防火墙。前提是前面所做实验都已经删除干净了。
① 登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
② 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色默认【Hub】,点击【下一步】。
③ 流入接口选择拨入的wan1接口,输入自定义的预共享密钥,点击【下一步】。
④ 防火墙需要给隧道配置IP,默认是10.10.1.0网段,好在我们在做规划的时候整个内网就避开了这个网段。如果有冲突可以修改,点击【下一步】。
⑤ 如果内网没有动态路由的话,本地AS保持默认的【65400】,选择要访问的本地接口,自动出现本地子网,可以选择多个接口和子网。Spoke隧道IP,有多少个分支,配置多少个,点击【下一步】。
⑥ 配置完成,可以看到会创建接口、地址、双向访问策略,以及BGP路由。点击【完成】。
⑦ VPN创建完成,和其它地方不同的是,这里多出两个密钥。密钥可以复制,在配置分支机构防火墙会用到。点击【显示隧道列表】。
⑧ 可以看到已经创建了一条IPsec隧道,选择隧道,点击【编辑】。
⑨ 在阶段2的下方,多了一个【Hub&Spoke拓扑结构】,点击其中一条隧道的【查看】。
⑩ 出现配置密钥,点击复制按钮,这个密钥有什么用?等一下就知道了。
配置北京分公司防火墙
深圳总部防火墙配置完成,下一步就是配置北京分公司防火墙了。
① 无线连接北京分公司防火墙的SSID,这样就可以登录北京分公司防火墙了。现在知道用FortiWiFi 60E做实验的好处了吧。
② 首先用命令测试一下北京的wan1口可以访问深圳的wan1口。远程访问没有问题。
③ 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
④ 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色选择【Spoke】,粘贴密钥,点击【应用】,这里的密钥就是深圳总部配置VPN时生成的,一个分支一个密钥。注意,这里一定要点【应用】,不要直接点【下一步】。只有应用生成了,后面才能正常配置。
⑤ 远程IP地址会自动填上内容,这是密钥带来的。选择流出接口,输入和深圳总部完全相同的预共享密钥,点击【下一步】。
⑥ 隧道IP也是由密钥带过来的,保持默认,点击【下一步】。
⑦ 本地AS与深圳总部保持一致,默认即可,选择本地接口,自动弹出本地子网。点【下一步】。
⑧ 配置完成,会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。
⑨ 不出意外的话,VPN创建成功。点击【显示隧道列表】。
⑩ IPsec隧道创建成功,并且已经连通了。
⑪ 选择菜单【仪表板】-【网络】,点击【路由】,可以看到走隧道的有静态、直接和BGP三种路由。
⑫ 从北京分公司防火墙的内网Internal接口,可以访问深圳总部防火墙的DMZ接口下的服务器,IPsec隧道是OK的。
配置上海分公司防火墙
深圳总部和北京分公司防火墙配置完成,最后就是配置上海分公司防火墙了。
① 无线连接上海分公司防火墙的SSID,这样就可以登录上海分公司防火墙了。
② 先用命令测试一下上海的wan1口可以访问深圳的wan1口。远程访问没有问题。
③ 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。
④ 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色选择【Spoke】,密钥是深圳总部配置VPN时生成的,一个分支一个密钥。复制过来,点击【应用】。注意,一定要点【应用】,不要直接点【下一步】。只有应用成功了,后面才能正常配置。
⑤ 远程IP地址会自动填上内容,这是密钥带来的。选择流出接口,输入和深圳总部完全相同的预共享密钥,点击【下一步】。
⑥ 隧道IP也是由密钥带过来的,保持默认,点击【下一步】。
⑦ 本地AS与深圳总部保持一致,默认即可,选择本地接口,自动弹出本地子网。点【下一步】。
⑧ 配置完成,会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。
⑨ 不出意外的话,VPN创建成功。点击【显示隧道列表】。
⑩ IPsec隧道创建成功,并且已经连通了。
⑪ 选择菜单【仪表板】-【网络】,点击【路由】,可以看到走隧道的有静态、直接和BGP三种路由。如果细心的人就会发现,这里BGP路由多了一条,访问IP是172.16.20.0/24,也走隧道。
⑫ 从上海分公司防火墙的内网Internal接口,可以访问深圳总部防火墙的DMZ接口下的服务器,IPsec隧道是OK的。除此之外,还可以访问北京分公司防火墙内网internal接口。也就是说,即上海即可以访问深圳,也可以访问北京。
验证效果
上海是可以访问深圳和北京了。那其它两地是否能访问上海呢?
① 登录深圳总部防火墙,查看路由,可以看到有172.16.20.0和172.16.30.0网段走隧道出去。
② 从深圳总部防火墙DMZ接口,可以成功访问北京和上海的internal接口。
③ 再登录北京分公司防火墙查看路由,在原来的基础上也多了一条BGP动态路由。
④ 北京防火墙internal接口,也可以成功的访问上海的internal接口。这样就实现了三方互访了。