实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

news2024/11/18 8:26:28

  【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。


  实验要求与环境

  OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。

  OldMei集团上海分公司、北京分公司需要实时访问深圳总部的域服务器和ERP服务器,除此之外,上海分公司和北京分公司也有互相访问的需求。

  解决方案:上海分公司、北京分公司和深圳总部都部署FortiGate防火墙,三地防火墙通过宽带创建VPN连接,由于VPN是加密隧道,可以保证数据通过互联网传输时的安全。VPN以Hub-and-Spoke模式创建,上海分公司和北京分公司均拨号到深圳总部,以完成域服务器和ERP服务器的访问,另外根据访问需求,动态创建上海分公司和北京分公司的互访隧道。

  实验目标:上海分公司和北京分公司均可访问深圳总部,并且两个分公司可以互访问。

  实验前的准备工作

  前期一直是两台防火墙互相访问,现在需要再加入一台防火墙,实现三方互访。

  ① 现在的实现环境有三台FortiWiFi 60E防火墙,分别代表深圳、上海、北京,还有一台FortiWiFi 60D防火墙,用来模拟互联网。总实验成本四千元左右。

  ② 根据规划,北京的内网为172.16.20.0/24,无线为192.168.20.0/24,服务器为10.10.20.0/24,还配置了宽带为100.64.100.0/24,具体配置方法就不介绍了。

  ③ 宽带接wan1接口,另一头接模拟互联网的FortiWiFi 60D的internal 5号口。这里配置上网的默认网关。

  ④ 还需要配置一条internal接口走wan1接口上网的策略。北京防火墙准备工作就完成了。

  ⑤ 还需要登录模拟互联网的FortiWiFi 60D,5号口配置IP地址为北京wan1接口的网关IP。

  ⑥ 最后就是建立一条internal5号口访问wan1接口的策略,注意NAT不要启用。这样北京防火墙internal接口就可以访问深圳总部防火墙wan1接口了。

  配置深圳总部防火墙

  准备工作都完成了,下面我们开始配置深圳防火墙。前提是前面所做实验都已经删除干净了。

  ① 登录深圳总部防火墙,选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ② 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色默认【Hub】,点击【下一步】。

  ③ 流入接口选择拨入的wan1接口,输入自定义的预共享密钥,点击【下一步】。

  ④ 防火墙需要给隧道配置IP,默认是10.10.1.0网段,好在我们在做规划的时候整个内网就避开了这个网段。如果有冲突可以修改,点击【下一步】。

  ⑤ 如果内网没有动态路由的话,本地AS保持默认的【65400】,选择要访问的本地接口,自动出现本地子网,可以选择多个接口和子网。Spoke隧道IP,有多少个分支,配置多少个,点击【下一步】。

  ⑥ 配置完成,可以看到会创建接口、地址、双向访问策略,以及BGP路由。点击【完成】。

  ⑦ VPN创建完成,和其它地方不同的是,这里多出两个密钥。密钥可以复制,在配置分支机构防火墙会用到。点击【显示隧道列表】。

  ⑧ 可以看到已经创建了一条IPsec隧道,选择隧道,点击【编辑】。

  ⑨ 在阶段2的下方,多了一个【Hub&Spoke拓扑结构】,点击其中一条隧道的【查看】。

  ⑩ 出现配置密钥,点击复制按钮,这个密钥有什么用?等一下就知道了。

  配置北京分公司防火墙

  深圳总部防火墙配置完成,下一步就是配置北京分公司防火墙了。

  ① 无线连接北京分公司防火墙的SSID,这样就可以登录北京分公司防火墙了。现在知道用FortiWiFi 60E做实验的好处了吧。

  ② 首先用命令测试一下北京的wan1口可以访问深圳的wan1口。远程访问没有问题。

  ③ 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。

  ④ 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色选择【Spoke】,粘贴密钥,点击【应用】,这里的密钥就是深圳总部配置VPN时生成的,一个分支一个密钥。注意,这里一定要点【应用】,不要直接点【下一步】。只有应用生成了,后面才能正常配置。

   ⑤ 远程IP地址会自动填上内容,这是密钥带来的。选择流出接口,输入和深圳总部完全相同的预共享密钥,点击【下一步】。

  ⑥ 隧道IP也是由密钥带过来的,保持默认,点击【下一步】。

  ⑦ 本地AS与深圳总部保持一致,默认即可,选择本地接口,自动弹出本地子网。点【下一步】。 

  ⑧ 配置完成,会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。

  ⑨ 不出意外的话,VPN创建成功。点击【显示隧道列表】。

  ⑩ IPsec隧道创建成功,并且已经连通了。

  ⑪ 选择菜单【仪表板】-【网络】,点击【路由】,可以看到走隧道的有静态、直接和BGP三种路由。

  ⑫ 从北京分公司防火墙的内网Internal接口,可以访问深圳总部防火墙的DMZ接口下的服务器,IPsec隧道是OK的。 

  配置上海分公司防火墙

  深圳总部和北京分公司防火墙配置完成,最后就是配置上海分公司防火墙了。

  ① 无线连接上海分公司防火墙的SSID,这样就可以登录上海分公司防火墙了。

  ② 先用命令测试一下上海的wan1口可以访问深圳的wan1口。远程访问没有问题。

  ③ 选择菜单【VPN】-【IPsec隧道】,点击【新建】-【IPsec隧道】。 

  ④ 输入自定义名称,模板类型选择【Hub-and-Spoke】,角色选择【Spoke】,密钥是深圳总部配置VPN时生成的,一个分支一个密钥。复制过来,点击【应用】。注意,一定要点【应用】,不要直接点【下一步】。只有应用成功了,后面才能正常配置。

  ⑤ 远程IP地址会自动填上内容,这是密钥带来的。选择流出接口,输入和深圳总部完全相同的预共享密钥,点击【下一步】。 

  ⑥ 隧道IP也是由密钥带过来的,保持默认,点击【下一步】。

  ⑦ 本地AS与深圳总部保持一致,默认即可,选择本地接口,自动弹出本地子网。点【下一步】。

  ⑧ 配置完成,会自动创建接口、地址组、来回策略以及BGP路由。点击【完成】。 

  ⑨ 不出意外的话,VPN创建成功。点击【显示隧道列表】。

  ⑩ IPsec隧道创建成功,并且已经连通了。

  ⑪ 选择菜单【仪表板】-【网络】,点击【路由】,可以看到走隧道的有静态、直接和BGP三种路由。如果细心的人就会发现,这里BGP路由多了一条,访问IP是172.16.20.0/24,也走隧道。

  ⑫ 从上海分公司防火墙的内网Internal接口,可以访问深圳总部防火墙的DMZ接口下的服务器,IPsec隧道是OK的。除此之外,还可以访问北京分公司防火墙内网internal接口。也就是说,即上海即可以访问深圳,也可以访问北京。

  验证效果

  上海是可以访问深圳和北京了。那其它两地是否能访问上海呢?

  ① 登录深圳总部防火墙,查看路由,可以看到有172.16.20.0和172.16.30.0网段走隧道出去。

  ② 从深圳总部防火墙DMZ接口,可以成功访问北京和上海的internal接口。

  ③ 再登录北京分公司防火墙查看路由,在原来的基础上也多了一条BGP动态路由。

   ④ 北京防火墙internal接口,也可以成功的访问上海的internal接口。这样就实现了三方互访了。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/687354.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C# 线程基础 二

目录 八、前台线程和后台线程 九、线程参数的传递 十、线程中的 lock 关键字 十一、Monitor类锁定 结束 八、前台线程和后台线程 默认情况下,显式创建的线程是前台线程,通过手动的设置 Thread 类的属性 IsBackground true 来指示当前线程为一个后…

让GPT-3、ChatGPT、GPT-4一起做脑筋急转弯,GPT-4一骑绝尘!

作者 | python 一个烙饼煎一面一分钟,两个烙饼煎两面几分钟? 让你来回答,是不是一不小心就掉到沟里了?如果让大语言模型来做这种脑筋急转弯会怎样呢?研究发现,模型越大,回答就越可能掉到沟里&a…

VScode连接远程服务器

VScode连接远程服务器 文章目录 VScode连接远程服务器下载扩展通过扩展连接服务器在输入框中输入usernameip进行连接通过已保存的配置信息进行连接 连接成功之后访问服务器文件访问文件 下载扩展 下载以下三个扩展 Remote-SSH Remote - SSH: Editing Configuration Files R…

Docker Network 基础

一、是什么 Docker网络是Docker容器之间和容器与外部网络之间的通信和连接的一种机制。在Docker中,每个容器都可以有自己的网络栈,包括网络接口、IP地址和网络配置。Docker网络提供了一种灵活且可定制的方式,使得容器之间可以相互通信&#x…

【单元测试】Junit 4(二)--eclipse配置Junit+Junit基础注解

目录 1.0 前言 1.1 配置Junit 4 1.1.1 安装包 1.1.2 创建Junit项目 1.2 Junit 4 注解 1.2.1 测试用例相关的注解 1.2.1.1 Before 1.2.1.2 After 1.2.1.3 BeforeClass 1.2.1.4 AfterClass 1.2.1.5 Test 1.2.1.6 Ignore 1.2.1.7 示例 1.2.2 打包测试Suite相关的注解…

JAVA工程打包

目录 一、工程代码和第三方依赖包分开 二、工程代码和第三方依赖包打入同一个jar包 1、工程的class文件和依赖的第三方jar包所包含的class文件打进同一个jar包中。部署时,直接部署该jar包即可。 2、如果是springboot工程,可以将工程的class文件和依赖…

iOS多语言解决方案全面指南

本文以及相关工具和代码旨在为已上线的iOS项目提供一种快速支持多语言的解决方案。由于文案显示是通过hook实现的,因此对App的性能有一定影响;除了特殊场景的文案显示需要手动支持外,其他任务均已实现自动化。 本文中的部分脚本代码基于 Chat…

OpenShift 4 - 可观测性之用 Network Observability Operator 对网络流量进行监控观测(视频)

《OpenShift / RHEL / DevSecOps 汇总目录》 说明:本文已经在支持 OpenShift 4.12 Loki Operator 5.7.2 Network observability 1.2.0 的环境中验证 文章目录 Network Observability 相关组件和架构安装 Network Observaility 功能安装 Operator配置对象存储配置 …

Scrapy的基本使用

目录 Scrapy是什么 安装 使用 获取更多页面信息 写入数据库 图片下载 文件下载 更改文件名称以及路径 更改图片名称以及路径 循环获取页面信息时,item的数据重复或者对不上 下载文件时获取文件流直接上传到某个地方 Scrapy是什么 Scrapy 是一个基于 Pyth…

园区自然人代开果真那么好?可以解决成本票缺失吗?

园区自然人代开果真那么好?可以解决成本票缺失吗? 《税筹顾问》专注于园区招商、企业税务筹划,合理合规助力企业节税! 自然人代开也就是指个人跟公司发生业务往来的时候,公司要求个人开具发票,进行入账&am…

open-mmlab/mmocr 环境搭建、推理和训练入门教程【一】

文章目录 博文基础信息Linux 搭建 open-mmlab/mmocr 运行环境准备数据集准备必要的预训练模型推理训练测试可视化输出 📙 预祝各位 前途似锦、可摘星辰 博文基础信息 https://mmocr.readthedocs.io/zh_CN/dev-1.x/get_started/quick_run.html显卡,11G 1…

【Pytorch】梯度裁剪——torch.nn.utils.clip_grad_norm_的原理及计算过程

文章目录 一、torch.nn.utils.clip_grad_norm_二、计算过程三、确定max_norm 众所周知,梯度裁剪是为了防止梯度爆炸。在训练FCOS算法时,因为训练过程出现了损失为NaN的情况,在github issue有很多都是这种训练过程出现loss为NaN,作…

RISCV Reader笔记_3 RISCV汇编

RISC-V 汇编语言 函数调用的步骤在计算机组成与设计中也有过涉及: 指定寄存器存入参数;跳转到函数开始位置(jal);在callee中按需保存寄存器;执行函数;恢复保存的寄存器;把返回值存入…

使用传统图像处理算法+机器学习进行shadow detection

前言 阴影是图像中常见的现象,它们对于场景理解和分析非常重要。由于阴影区域通常比较暗淡,而且与周围物体区别较大,因此在图像处理和计算机视觉领域中,阴影检测是一个重要的研究方向。传统的阴影检测算法通常基于阈值或边缘检测…

深入理解 kernel panic 的流程

我们在项目开发过程中,很多时候会出现由于某种原因经常会导致手机系统死机重启的情况(重启分Android重启跟kernel重启,而我们这里只讨论kernel重启也就是 kernel panic 的情况),死机重启基本算是影响最严重的系统问题了…

180_Power BI 新卡片图计算组与同环比应用

180_Power BI 新卡片图计算组与同环比应用 一、背景 在 2023 年 6 月,Power BI 更新了新的视觉对象:Card(new) 。 当前还需要在预览功能中将其打开。 我们在实际的应用中将新卡片图做了一些应用,先来看看具体效果。 Power BI 公共 web 效果…

安全区域内活动UWB标签,高精度UWB定位监测,室内厘米级测距应用

随着人们对于室内安全和定位需求的增加,相应的技术应运而生,超宽带(UWB)标签定位技术应用于室内定位领域,并获得了快速的发展和应用。 UWB技术是一种基于极窄脉冲的无线技术,它的主要特点是无载波&#xf…

软件测试技能,JMeter压力测试教程,setUp线程组批量登录(九)

前言 前面一篇已经实现了在 setUp 线程组实现单个用户先登录后提取token给其它线程组使用,在压测的时候,单个用户登录很显然不能满足我们的压测需求 我们在压测接口的时候,需批量获取多个用户登录后返回的token值,那么在setUp 线…

RabbitMQ消息队列高级特性

文章目录 1.消息的可靠投递2.ConSumer ACK消费者确认接收消息3.消费者限流4.TTL过期时间5.死信队列6.延迟队列7.日志与监控8.消息追踪 1.消息的可靠投递 在线上生产环境中,RabbitMQ可能会产生消息丢失或者是投递失败的一个场景,RabbitMQ为了避免这种场景…

Redis慢查询分析

慢查询分析 谓慢查询日志就是系统在命令执行前后计算每条命令的执行时间,当超过预设阀值,就将这条命令的相关信息(例如:发生时间,耗时,命令的详细信息)记录下来。 执行一条命令分为如下4个部分…