×

GRE over IPsec 之总部静态固定 IP 与分部 PPPoE 动态 IP 部署 Hub_and_Spoke Fortigate防火墙

hqy hqy 发表于2024-12-18 23:04:35 浏览6 评论0

抢沙发发表评论

一、拓扑图

在这里插入图片描述
FW1作为Master设备与FW3建立IPSec隧道,FW2作为备份设备。

二、底层配置

R1:
接口IP地址、OSPF配置

sysname R1#interface GigabitEthernet0/0/0 ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet0/0/1 ip address 10.1.121.1 255.255.255.0#interface GigabitEthernet0/0/2 ip address 10.1.131.1 255.255.255.0#ospf 1
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255#

FW1:
接口配置IP地址、划分安全区域,配置OSPF并下放默认路由,
配置HRP,FW1为主设备,追踪下行接口状态
配置安全策略,放行USG本省发起的流量
配置静态路由

sysname FW1#hrp enablehrp interface GigabitEthernet1/0/1 remote 10.0.0.13
hrp track interface GigabitEthernet1/0/2#interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.1.12 255.255.255.0#interface GigabitEthernet1/0/1 ip address 10.0.0.12 255.255.255.0
 service-manage ping permit#interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.121.12 255.255.255.0#firewall zone trust add interface GigabitEthernet1/0/2#firewall zone untrust add interface GigabitEthernet1/0/0#firewall zone dmz add interface GigabitEthernet1/0/1#ospf 1
 default-route-advertise
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255#ip route-static 0.0.0.0 0.0.0.0 155.1.1.2#security-policy
 rule name local->any
  source-zone local
  action permit#

FW2:
接口配置IP地址、划分安全区域,配置OSPF并下放默认路由,
配置HRP,FW2为备设备
配置安全策略,放行USG本省发起的流量
配置静态路由

sysname FW2#
 hrp enable
 hrp standby-device
 hrp interface GigabitEthernet1/0/1 remote 10.0.0.12#interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.1.13 255.255.255.0#interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.0.0.13 255.255.255.0
 service-manage ping permit#interface GigabitEthernet1/0/2
 undo shutdown
 ip address 10.1.131.13 255.255.255.0#firewall zone dmz add interface GigabitEthernet1/0/1#ospf 1
 default-route-advertise
 area 0.0.0.0
  network 10.1.0.0 0.0.255.255#ip route-static 0.0.0.0 0.0.0.0 155.1.1.2#security-policy
 rule name local->any
  source-zone local
  action permit#

R2:

sysname R2#interface GigabitEthernet0/0/0 ip address 155.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1 ip address 155.1.2.2 255.255.255.0#

FW3:

sysname FW3#interface GigabitEthernet1/0/0
 undo shutdown
 ip address 155.1.2.14 255.255.255.0
 ipsec policy POL1#interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.1.2.14 255.255.255.0#firewall zone trust add interface GigabitEthernet1/0/1#firewall zone untrust add interface GigabitEthernet1/0/0#ip route-static 0.0.0.0 0.0.0.0 155.1.2.2#security-policy
 rule name local->any
  source-zone local
  action permit#

在这里插入图片描述
在这里插入图片描述

查看HRP状态

在这里插入图片描述
如果配置未同步,可以手动同步配置

hrp sync config

在这里插入图片描述

查看OSPF邻居状态及路由

在这里插入图片描述
在这里插入图片描述

三、配置VRRP

FW1作为Master,FW2作为Backup
FW1:

interface GigabitEthernet1/0/0
 vrrp vrid 1 virtual-ip 155.1.1.254 active #

FW2:

interface GigabitEthernet1/0/0
 vrrp vrid 1 virtual-ip 155.1.1.254 standby#

查看VRRP主备状态

在这里插入图片描述
在这里插入图片描述

四、配置IPSec VPN

注意FW1、FW2使用VRRP虚拟地址建立VPN,FW1为主,FW为备
在FW1上配置,会同步配置到FW2
FW1:

acl number 3000
 rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255#ipsec proposal PRO1
 esp authentication-algorithm sha1
 esp encryption-algorithm 3des#ike proposal 10
 encryption-algorithm 3des
 dh group2
 authentication-algorithm sha1
 authentication-method pre-share#ike peer FW3
 pre-shared-key huawei@123
 ike-proposal 10
 dpd type periodic
 remote-address 155.1.2.14#ipsec policy POL1 10 isakmp
 security acl 3000
 ike-peer FW3
 proposal PRO1
 tunnel local 155.1.1.254#interface GigabitEthernet1/0/0
 ipsec policy POL1 master#

FW3:

acl number 3000
 rule 5 permit ip source 10.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255#ipsec proposal PRO1
 esp authentication-algorithm sha1
 esp encryption-algorithm 3des#ike proposal 10
 encryption-algorithm 3des
 dh group2
 authentication-algorithm sha1
 authentication-method pre-share#ike peer Hub
 pre-shared-key huawei@123
 ike-proposal 10
 dpd type periodic
 remote-address 155.1.1.254#ipsec policy POL1 10 isakmp
 security acl 3000
 ike-peer Hub
 proposal PRO1#interface GigabitEthernet1/0/0
 ipsec policy POL1 
#

五、配置安全策略

放行IKE协商流量、ESP流量
放行主机互访的流量
FW1的安全策略会同步到FW2

FW1、FW3:

security-policy
 rule name vpn
  source-zone untrust
  destination-zone local
  service esp  service protocol udp destination-port 500
  action permit
 rule name in->out
  source-zone trust
  destination-zone untrust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit
 rule name out->in
  source-zone untrust
  destination-zone trust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit#

测试PC互访

在这里插入图片描述
在这里插入图片描述

查看IKE SA

在这里插入图片描述
此时FW1为VPN的主设备

查看IPSec SA

在这里插入图片描述

模拟故障

模拟下行链路故障

去掉FW1与R1的连线
在这里插入图片描述

PC1长pingPC2,故障期间丢失几个包后,流量恢复
在这里插入图片描述

查看HRP状态,FW2已成为主设备
在这里插入图片描述

查看IKE SA,FW1为VPN的备设备,FW2成为主设备,流量走FW2
在这里插入图片描述
在这里插入图片描述

开启防火墙的icmp超时发送,trace路径,可以看出此时流量走FW2设备

icmp ttl-exceeded send

在这里插入图片描述
在这里插入图片描述

上行链路故障也可以正常切换,与上面情况相似,此处不再赘述。
在这里插入图片描述

故障恢复后,HRP抢占延迟默认为60s。


打赏

本文链接:https://www.kinber.cn/post/4237.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客