目录 简介... 3 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over IPsec VPN)... 3 拓扑场景分析... 5 详细配置过程... 6 总部 (Center)FGT 设备的 Gre over IPsec 详细配置... 6 总部 (Center) 网络基础配置...

Transcription

1 GRE over IPsec 之总部静态固定 IP 与分部 PPPoE 动态 IP 部署 Hub_and_Spoke 版本 1.1 时间 2015 年 12 月 支持的版本 FortiGate v5.0.x 5.2.x 作者 状态 反馈 刘康明 已审核

2 目录 简介... 3 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over IPsec VPN)... 3 拓扑场景分析... 5 详细配置过程... 6 总部 (Center)FGT 设备的 Gre over IPsec 详细配置... 6 总部 (Center) 网络基础配置... 6 总部 (Center) GRE Tunnel 的配置... 6 总部 (Center) IPsec VPN 的配置... 7 总部 (Center) 路由配置 总部 (Center) 策略配置 分部 (Side-1)FGT 设备的 Gre over IPsec 详细配置 分部 (Side-1) 网络基础配置 分部 (Side-1) IPsec VPN 的配置 分部 (Side-1) GRE Tunnel 的配置 分部 (Side-1) 路由配置 分部 (Side-1) 策略配置 分部 (Side-2)Cisco_RT 设备的 Gre over IPsec 详细配置 分部 (Side-2) 网络基础配置 分部 (Side-2) GRE Tunnel 的配置 分部 (Side-2) IPsec VPN 的配置 分部 (Side-2) 路由配置 Hub-and-Spoke 的 GRE over IPsec 状态检查及业务测试 总部 (Center-VPN FGT)GRE over IPsec 状态检查 分部 (Side-1 FGT)GRE over IPsec 状态检查 分部 (Side-2 Cisco Router)GRE over IPsec 状态检查 Hub-and-Spoke 业务测试 附 :Hub-and-Spoke 上运行 OSPF 的配置 Fortinet 公司第 2 页 / 共 34 页

3 简介 本文主要讨论在总部使用静态 IP 而多个分部使用动态 IP 的场景下的部署 Hub-and-Spoke 模式的 GRE over IPsec, 从而实现总部和分部之间的全互联 GRE over IPsec 有一定的复杂性, 在使用过程中很容易出现理解偏差或配置错误, 此篇文档介绍了 FGT 与 FGT 以及 FGT 与 Cisco 设备之间建立 GRE over IPsec 的具体过程, 其中穿插着一些配置的分析, 可对其原理理解及具体配置有一定的帮助 Key word:ipsec VPN GRE GRE over IPsec ESP Hub and Spoke DPD NAT-T OSPF FGT Firmware Version: v5.2.4,build688 (GA) Cisco Router IOS Version: C3640-JK903S0-M,Version 12.4(16a) 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over IPsec VPN) 逻辑拓扑结构 : IPsec tunnel interface Side-1 loopback 1 GRE overipsec Tunnel Side-1 FGT SPOKE-1 Center-VPN Center FGT HUB GRE over IPsec Tunnel Side-2 Side-2 Cisco Router SPOKE-2 首先 :IPsec Tunnel UP 然后 :GRE Tunnel UP 业务处理 : 业务数据查询路由进入 GRE Tunnel,GRE Tunnel 封装外层 IP, 再次查询路由后进入 IPsec Tunnel, 加密传输到对端, 回复报文亦遵循相同的处理机制, 业务访问的全部过程被 GRE over IPsec 隧道安全验证加密处理 loopback 1 Fortinet 公司第 3 页 / 共 34 页

4 实际测试环境拓扑 : gre1 ip /32 IPsec tunnel interface /32 gre1 ip /32 gre2 ip /32 loopback /32 Side-1 Port 分部内网 IP 网关 :112.1 Side-1 FGT SPOKE-1 Port15 IP: Center-VPN Center FGT HUB 总部服务器 IP 网关 :111.1 Side-2 F0/ GRE Tunnel 的规划 : Center loopback / gre Side-2 Cisco Router SPOKE-2 loopback /32 gre2 ip /24 Side-1 FGT IPsec 隧道接口 /32 分部电脑 IP F1/0 网关 :113.1 Center loopback / gre2 IPsec VPN 配置注意事项 : 响应方 (Center)IPsec 配置建议 : 1. 不指定对端 IP 地址 ( 拨号用户 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流由对方指定 IPsec Phase 2 Selectors: / > / 路由配置 : dst /24 via gre1 dst /24 via gre2 Cisco Router loopback /32 发起方 (Side-1)IPsec 配置建议 : 发起方 IPsec 配置建议 : 1. 指定对端 IP 地址 ( 静态 IP 地址 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流 > Auto-negotiate enable IPsec Phase 2 Selectors: > 路由配置 : dst /16 via gre1 发起方 (Side-2)IPsec 配置建议 : 1. 指定对端 IP 地址 ( 静态 IP 地址 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流 > 与总部相匹配的 Phase 1/2 Proposal IPsec Phase 2 Selectors: > 路由配置 : dst /16 via gre2 Fortinet 公司第 4 页 / 共 34 页

5 拓扑场景分析 总部使用静态固定 IP, 分部采用 PPPOE 动态 IP 或静态固定 IP, 此时 IPsec 发起方公网地址不固定情况下需要进行 GRE over IPSec VPN 部署 : 1 响应方( 总部 Center) 地址固定, 如 , 多个发起方 ( 分支 Side) 使用动态接入互联网方式, 如 PPPoE 拨号, 这种方式中, 发起方每次拨号地址有可能不一致, 所以在响应方中无法使用指定对端 IP 地址方式限制对端身份 ; 2.GRE VPN 的建立由于无法指定准确的对端公网 IP, 因此需要借用 loopback 地址来建立 GRE Tunnel 针对 FGT 建立 GRE 的原则是这样 : a ) 如果 FGT( 如总部 Center) 建立了动态拨号 IPsec VPN, 则必须使用 loopback 地址 ( ) 来建立 GRE b ) 如果 FGT( 如分部 Side-1) 建立了静态 IP 方式的 IPsec VPN, 则可借用 IPsec Tunnel 接口, 直接配置上 IP( ) 用于建立 GRE 隧道 c ) 对于分部是非 FGT 设备, 且是动态 IP 的情况, 比如 Cisco 设备, 则必须使用 loopback 地址 ( ) 来对接 GRE 隧道 简单的可以理解为 : 在这类组网中, 总部 FGT 需要使用 loopback 接口建立 GRE 隧道, 分部 FGT 直接使用 IPsec tunnel 接口建立 GRE 隧道, 非 FGT 设备请选择 loopback 地址来建立 GRE 隧道 3 发起方则必须要指定响应方 IP, 否则无法发起协商, 双方可以使用预共享密钥方式对身份进行确认及保护 ; 4 兴趣流的指定是比较有意思的事情, 发起方 ( 分支 Side) 是必须要配置兴趣流的, 那么响应方呢? 响应方 ( 总部 Center) 没有配置, 而是采用由发起方指定的方式, 即在协商过程中, 响应方得知发起方的兴趣流是 /32 到 /32(GRE 隧道封装后的流量 ), 会自动为该响应方生成反向兴趣流 /32 到 /32(GRE 隧道封装后的流量 ), 并自动下发去往 /24 的路由下一跳为 IPsec Tunnel_x, 那么为什么要这么指定呢? 原因是 IPsec 发起方地址是动态的, 响应方无法及时提前获知发起方 IP 地址, 同时也无法获知对应的感兴趣数据流 ; Fortinet 公司第 5 页 / 共 34 页

6 详细配置过程 总部 (Center)FGT 设备的 Gre over IPsec 详细配置 总部 (Center) 网络基础配置 首先需配置上述拓扑所示的内外网接口 IP 地址以及缺省路由等基础配置, 具体信息请参照 拓扑图, 以下只列出 loopback 地址创建过程, 其余基础配置的具体步骤忽略 接口 IP 以及缺省路由配置结果 : 配置 Loopback 地址 config system interface edit "loopback1" set vdom "root" set ip set allowaccess ping set type loopback 总部 (Center) GRE Tunnel 的配置 GRE1 配置 : Fortinet 公司第 6 页 / 共 34 页

7 config system gre-tunnel edit "gre1" set interface "loopback1" set remote-gw set local-gw 指定接口 loopback1 ---Dst IP ---Src IP config system interface edit "gre1" set ip 本地 gre1 隧道接口 IP set allowaccess ping --- 放通 gre1 接口 ping, 以便测试 set remote-ip gre1 隧道对端 IP(Side-1 gre1ip) set interface "loopback1" GRE2 配置 : config system gre-tunnel edit "gre2" set interface "loopback1" --- 指定接口 loopback1 set remote-gw Dst IP set local-gw Src IP config system interface edit "gre2" set ip 本地 gre1 隧道接口 IP set allowaccess ping --- 放通 gre1 接口 ping, 以便测试 set remote-ip gre1 隧道对端 IP(Cisco Router gre2 IP) set interface "loopback1" 注意 :GRE 的配置只支持命令 总部 (Center) IPsec VPN 的配置 a ) IPsec 第一阶段配置 选择非模板的 IPsec VPN 配置,VPN-->IPsec-->Tunnels ->VPN Setup-->Custom VPN Tunnel(No Template) Fortinet 公司第 7 页 / 共 34 页

8 第一阶段配置对的应命令行 : config vpn ipsec phase1-interface edit "Center-VPN" set type dynamic ( 指定动态拨号 VPN 方式 ) set interface "port15" ( 指定公网接口 ) set mode aggressive ( 野蛮模式 ) set psksecret xxxxxx(encryption) ( 配置 PSK) Fortinet 公司第 8 页 / 共 34 页

9 注意 : 总部响应端的 IPsec 阶段 1 name 不能超过 16 个字符, 动态生成的 IPSec 接口为 :phase1name_0 phase1name_1,2...,_10..._100, 比如生成第 100 个动态接口, 其名字 phase1name_100, 这样 多出来 4 个字符, 容易超过接口名称 16 个字符的限制 b ) IPsec 第二阶段配置 第二阶段配置对的应命令行 : config vpn ipsec phase2-interface edit "Center-VPN" set phase1name "Center-VPN" ( 调用第一阶段即可, 感兴趣数据流不用填写 ) Fortinet 公司第 9 页 / 共 34 页

10 总部 (Center) 路由配置 a ) 需要配置分部的业务网段去往相应的 gre 隧道接口 Side-1 业务网段 /24 下一跳指向 gre1 Side-2 业务网段 /24 下一跳指向 gre2 路由对应命令行配置 : config router static edit 2 set dst set device "gre1" edit 3 set dst set device "gre2" --- 去往 Side-1 业务网段的路由 --- 去往 Side-2 业务网段的路由 b ) Center-VPN 与分部 Side-1 将会自动协商并生成反向兴趣流 /32 到 /32, 同时自动下发去往 /32 的路由下一跳为 IPsec Tunnel_x 同理总部 Center-VPN 还会与分部 Side-2 自动协商并生成反向感兴趣流 /32 到 /32, 同时自动下发去往 /32 的路由下一跳为 IPsec Tunnel_x 因此针对感兴趣数据流的路由其实并需要填写, 总部 FGT 会自动生成 Fortinet 公司第 10 页 / 共 34 页

11 总部 (Center) 策略配置 策略配置的原则是放通总部业务数据到分部业务数据之间的访问, 数据的走向依次将经过内部接口 (Port16_Internal_Port) gre 隧道接口 (GRE-Zone) IPsec VPN 隧道接口 (Center-VPN), 因此策略需要依次进行配置并放通 a ) 在配置策略之前, 先创建一个 GRE Tunnel 的区域, 名叫 GRE-Zone, 将与分部所建立的 gre 接口全部加入到 GRE-Zone 里, 同时不屏蔽区域内的流量, 这样可简化策略的配置, 避免策略配置过于复杂 : Fortinet 公司第 11 页 / 共 34 页

12 b ) 放通内部网络 Port16(Internal_Port) 到 GRE-Zone 到的流量 : c ) 放通 GRE-Zone 到内部网络 Port16(Internal_Port) 的流量 : d ) 放通 GRE-Zone 到 IPsec 隧道 Center-VPN 的流量 : e ) 放通 IPsec 隧道 Center-VPN 到 GRE-Zone 的流量 : Fortinet 公司第 12 页 / 共 34 页

13 f ) 放通 Center-VPN_X 之间, 即 Side-1 和 Side-2 分部之间的互访流量 : 策略对应命令行 : config firewall policy edit 1 set srcintf "Center-VPN" set dstintf "GRE-Zone" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 2 set srcintf "GRE-Zone" set dstintf "Center-VPN" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 3 set srcintf "GRE-Zone" set dstintf "port16" Fortinet 公司第 13 页 / 共 34 页

14 set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 4 set srcintf "port16" set dstintf "GRE-Zone" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 5 set srcintf "Center-VPN" set dstintf "Center-VPN" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" 至此总部 (Center)Gre over IPsec VPN 的配置全部配置完成 分部 (Side-1)FGT 设备的 Gre over IPsec 详细配置 分部 (Side-1) 网络基础配置 配置上述拓扑所示的 Side-1 内外网 IP 地址以及缺省路由等基础配置, 具体请参照拓扑图, 具 体配置过程忽略 外网接口可启用 DHCP/PPPOE 模拟动态接口, 具体配置步骤忽略, 基础配置结果如下,: Fortinet 公司第 14 页 / 共 34 页

15 分部 (Side-1) IPsec VPN 的配置 a ) IPsec 第一阶段配置 选择非模板的 IPsec VPN 配置,VPN-->IPsec-->Tunnels ->VPN Setup-->Custom VPN Tunnel(No Template) Fortinet 公司第 15 页 / 共 34 页

16 第一阶段配置对的应命令行 (Side-1 的 Proposal 配置与 Center 的 Proposal 配置需一致 ): config vpn ipsec phase1-interface edit "Side-1" set remote-gw ( 指定静态 IP VPN 方式 ) set interface "port15" ( 指定公网接口 ) set mode aggressive ( 野蛮模式 ) set psksecret xxxxxx (ENC) ( 配置 PSK) b ) IPsec 第二阶段配置第二阶段的感兴趣数据流, 分部的 IPsec VPN 第二阶段必须填写, 总部自动协商并下发反向的感兴趣数据流, 在 Gre over IPsec 的组网中, 感兴趣数据流为 Gre 隧道封装之后的数据流, 即 gre 隧道公网 IP 地址对, 也就是从分部的 gre 公网 IP 到总部的 gre 公网 IP 通过上述分析得出,Phase 2 Selectors : / > /32 第二阶段配置具体对应的配置如下 : Fortinet 公司第 16 页 / 共 34 页

17 第二阶段配置对的命令行 : config vpn ipsec phase2-interface edit "Side-1" set phase1name "Side-1" set keepalive enable set auto-negotiate enable ( 开启自动协商 ) set src-subnet ( 感兴趣数据流 gre Src ip) set dst-subnet ( 感兴趣数据流 gre Dst ip) 分部 (Side-1) GRE Tunnel 的配置 a ) 给用于建立 gre tunnel 的 IPsec vpn 隧道接口配置上 IP, 分部的 FG 可不使用 loopback 接口来建立 gre 隧道, 直接使用 IPsec tunnel 接口即可, 配置更加简单 Fortinet 公司第 17 页 / 共 34 页

18 对应命令行配置 : config system interface edit "Side-1" set ip set allowaccess ping set remote-ip b )gre 隧道配置 config system gre-tunnel edit "gre1" set interface "Side-1" --- 指定接口 IPsec 隧道接口 Side-1 set remote-gw Dst IP set local-gw Src IP config system interface edit "gre1" set ip 本地 gre1 隧道接口 IP set allowaccess ping --- 放通 gre1 接口 ping, 以便测试 set remote-ip gre1 隧道对端 IP (Center gre1ip) set interface "Side-1" 注意 :GRE 的配置只支持命令 Fortinet 公司第 18 页 / 共 34 页

19 分部 (Side-1) 路由配置 a ) 需要配置 Center 已经 Side-2 的业务网段去往 gre 隧道接口, 可将路由进行汇总处理 Center/Side-1 业务网段 /16 下一跳指向 gre1 路由对应命令行配置 : config router static edit 5 set dst set device "gre1" --- 去往 Center 和 Side-2 业务网段的汇总路由 分部 (Side-1) 策略配置 策略配置的原则是放通分部 (Side-1) 业务数据到总部 (Center) 以及其他分部 ( 如 Side-2) 业务数据之间的访问, 数据的走向依次将经过内部接口 (Port16 Internal_Port) gre1 隧 道接口 IPsec VPN 隧道接口 (Side-1), 因此策略需要依次进行配置并放通 a ) 放通内部网络 Port16(Internal_Port) 到 gre1 的流量 : b ) 放通 gre1 到内部网络 Port16(Internal_Port) 的流量 : Fortinet 公司第 19 页 / 共 34 页

20 c ) 放通 gre1 到 IPsec 隧道 Side-1 的流量 : d ) 放通 IPsec 隧道 Side-1 到 gre1 的流量 : 策略对应命令行 : config firewall policy edit 1 set srcintf "Side-1" set dstintf "gre1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 2 set srcintf "gre1" Fortinet 公司第 20 页 / 共 34 页

21 set dstintf "Side-1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 3 set srcintf "gre1" set dstintf "port16" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 4 set srcintf "port16" set dstintf "gre1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" 至此分部 (Side-1)Gre over IPsec VPN 的配置全部配置完成 分部 (Side-2)Cisco_RT 设备的 Gre over IPsec 详细配置 分部 (Side-2) 网络基础配置 a ) Side-2(Cisco Router Spoke-2) 配置接口 IP 以及路由 : interface FastEthernet0/0 ip address Internet Port ip nat outside! interface FastEthernet1/0 ip address Internal Port ip nat inside Fortinet 公司第 21 页 / 共 34 页

22 ip route ! --- 上 Inernet 的默认路由 b ) 配置 IPsec VPN 感兴趣数据流的 ACL: access-list 101 permit ip host host IPsec VPN 感兴趣数据流 ACL access-list 102 deny ip host host access-list 102 permit ip any any ---Snat ACL 需要排除掉 IPsec VPN 的数据,Cisco 先 NAT 再 IPsec NAT 配置 :ip nat inside source list 102 interface FastEthernet0/0 overload 分部 (Side-2) GRE Tunnel 的配置 interface Loopback1! ip address 用于建立 Gre 的 loopback interface Tunnel2 ip address tunnel source Loopback1 tunnel destination gre 隧道 IP ---gre 外层 Src IP ---gre 外层 Dst IP 分部 (Side-2) IPsec VPN 的配置 a ) 配置 IPSEC 第一阶段 : crypto isakmp policy Phase 1 Proposal encr 3des hash sha authentication pre-share group 5 crypto isakmp nat keepalive DPD! crypto isakmp peer address set aggressive-mode password xxxxxx --- 配置 IPsec VPN 第一阶段为野蛮模式 ---Pre-share Key set aggressive-mode client-point ipv4-address 发送 IP ID b ) 配置 IPSEC 第二阶段 : crypto ipsec transform-set Side-2-transform esp-3des esp-sha-hmac! ---Phase 2 Proposal crypto map Side-2 10 ipsec-isakmp set peer set security-association lifetime seconds Phase 2 lifetime Fortinet 公司第 22 页 / 共 34 页

23 set transform-set Side-2-transform set pfs group5 ---PFS DH 5 match address 调用感兴趣数据流 c ) 接口下调用 IPsec crypto map: interface FastEthernet0/0 ip address crypto map Side 调用 IPsec Crypto Map 分部 (Side-2) 路由配置 ip route Tunnel2 --- 配置去往 Center 与其他 Side 的业务网段路由下一跳指向 GRE Tunnel 接口, 这样业务数据就会被 GRE 隧道封装, 然后查询缺省路由送到 FastEthernet0/0 的时候再匹配 IPsec crypto map, 于是进行 IPsec VPN ESP 验证并加密处理, 将数据发送到总部的 Center-VPN, 从而实现 Gre over IPsec 注意 :gre 的外层 Dst IP 是 , 因此一定要保证去往 的路由会被送到 FastEthernet0/0, 否则 IPsec VPN 无法匹配到 GRE 的流量, 此处为缺省路由查询到 via F0/ , 有时候为了避免不必要的问题可以添加明细的静态路由 dst via F0/0 比如在使用 GRE Tunnel 运行 OSFP 等劢态路由协议的时候, 切记不要把 loopback 地址发布出去, 这样会导致学习到 的 ospf 路由 via 指向了 gre tunnel, 而非缺省路由指向 FastEthernet0/0, 如此结果会引起 GRE 中断, 随之 OSPF 中断, 路由消失, 然后 GRE UP, 然后 OSPF UP, 然后 GRE 再次中断,OSPF 中断... 如此循环中断 /UP, 业务会异常 而添加明细的 /32 Via F0/0 静态路由可以避免以上问题, 因为静态路由的管理距离比 OSPF 要小, 静态路由会被优选 以上情况针对使用 Cisco/HUAWEI/H3C 等设备的时, 而飞塔防火墙由于会固定的存在去往 GRE Dst IP 的静态路由, 因此不存在以上风险 至此分部 (Side-2)Gre over IPsec VPN 的配置全部配置完成 Hub-and-Spoke 的 GRE over IPsec 状态检查及业务测试 总部 (Center-VPN FGT)GRE over IPsec 状态检查 总部 (Center-VPN)IPsec VPN 状态 : FGT1KC # diagnose vpn ike status connection: 2/21 IKE SA: created 2/26 established 2/23 times 0/95/300 ms IPsec SA: created 2/45 established 2/44 times 0/98/1330 ms Fortinet 公司第 23 页 / 共 34 页

24 总部 (Center-VPN) 路由表 : FGT1KC # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 -IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 C /32 is directly connected, loopback1 S /32 [15/0] is directly connected, Center-VPN_0 S /32 [15/0] is directly connected, Center-VPN_1 C /32 is directly connected, gre1 C /32 is directly connected, gre1 C /32 is directly connected, gre2 C /32 is directly connected, gre2 C /24 is directly connected, mgmt1 C /24 is directly connected, port16 S /24 [10/0] via , gre1 S /24 [10/0] via , gre2 C /24 is directly connected, port15 分部 (Side-1 FGT)GRE over IPsec 状态检查 分部 (Side-1)IPsec VPN 状态 : FG200B # diagnose vpn ike status connection: 1/1850 IKE SA: created 1/1852 established 1/14 times 0/2572/18000 ms IPsec SA: created 635/1862 established 1/25 times 0/1321/18000 ms Fortinet 公司第 24 页 / 共 34 页

25 分部 (Side-1) 路由表 : FG200B # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2-IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 C C C C S C C C /32 is directly connected, Side /32 is directly connected, Side /32 is directly connected, gre /32 is directly connected, gre /16 [10/0] via , gre /24 is directly connected, switch /24 is directly connected, port /24 is directly connected, port15 分部 (Side-2 Cisco Router)GRE over IPsec 状态检查 分部 (Side-2)IPsec VPN 状态 : R1#show crypto isakmp sa dst src state conn-id slot status QM_IDLE 1 0 ACTIVE R1#show crypto ipsec sa interface: FastEthernet0/0 Crypto map tag: Side-2, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) Fortinet 公司第 25 页 / 共 34 页

26 current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 7958, #pkts encrypt: 7958, #pkts digest: 7958 #pkts decaps: 7927, #pkts decrypt: 7927, #pkts verify: 7927 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #s errors 5, #recv errors 2 local crypto pt.: , remote crypto pt.: path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 0x3B9AE699( ) inbound esp sas: spi: 0x76FD4FBC( ) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } conn id: 2003, flow_id: SW:3, crypto map: Side-2 sa timing: remaining key lifetime (k/sec): ( /40605) IV size: 8 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x3B9AE699( ) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } conn id: 2004, flow_id: SW:4, crypto map: Side-2 sa timing: remaining key lifetime (k/sec): ( /40605) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: 分部 (Side-2) 路由表 : R1#show ip route Fortinet 公司第 26 页 / 共 34 页

27 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is to network /32 is subnetted, 1 subnets C is directly connected, Loopback /24 is subnetted, 1 subnets C is directly connected, Tunnel2 C /24 is directly connected, FastEthernet0/0 C /24 is directly connected, FastEthernet1/0 S* /0 [1/0] via S /16 is directly connected, Tunnel2 Hub-and-Spoke 业务测试 业务测试情况 : 总部 (Center-VPN FGT) 业务测试 : 分部 (Side-1 FGT) 业务测试 : Fortinet 公司第 27 页 / 共 34 页

28 分部 (Side-2 Cisco Router) 业务测试 ( 通过 GNS3 模拟思科 Router 与 VPCS): 在总部 debug flow 业务流量数据, 观察 IPsec VPN 在总部 (Center-VPN) 访问分部 (Side-1) 的业 务数据在 FGT 上的处理过程 : FGT1KC # diagnose debug flow filter addr FGT1KC # diagnose debug flow filter proto 1 FGT1KC # diagnose debug flow show console enable FGT1KC # diagnose debug flow show function-name enable FGT1KC # diagnose debug flow trace start 5 FGT1KC # diagnose debug enable 总部 (Center-VPN) ping 分部 1(Side-1) Fortinet 公司第 28 页 / 共 34 页

29 ICMP request 过程 : FGT1KC # id=20085 trace_id=77 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :8) from port16. code=8, type=0, id=512, seq=35218." id=20085 trace_id=77 func=init_ip_session_common line=4569 msg="allocate a new session-0022f5ba" id=20085 trace_id=77 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via gre1" --- 总部 FGT 查询路由下一跳为 gre1 id=20085 trace_id=77 func=fw_forward_handler line=671 msg="allowed by Policy-4:" id=20085 trace_id=77 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-center-vpn_0" --- 封装 GRE 后, 数据进入 Center-VPN_0 id=20085 trace_id=77 func=ipsec_output_finish line=232 msg="s to via intf-port15" id=20085 trace_id=77 func=esp_output4 line=897 msg="encrypting, and s to with source " --- 加密并送 port15 转发出去 ICMP replay 过程 : id=20085 trace_id=78 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :0) from gre1. code=0, type=0, id=512, seq=35218." id=20085 trace_id=78 func=resolve_ip_tuple_fast line=4479 msg="find an existing session, id-0022f5ba, reply direction" id=20085 trace_id=78 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via port16" 在总部 debug flow 业务流量数据, 观察 IPsec VPN 在分部 (Side-1) 访问分部 (Side-2) 的业务数据在 FGT 上的处理过程 : FGT1KC # diagnose debug flow filter addr FGT1KC # diagnose debug flow filter proto 1 FGT1KC # diagnose debug flow show console enable FGT1KC # diagnose debug flow show function-name enable FGT1KC # diagnose debug flow trace start 5 FGT1KC # diagnose debug enable 分部 1(Side-1) ping 分部 2(Side-2) ICMP request 过程 : FGT1KC # id=20085 trace_id=81 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :8) from gre1. code=8, type=0, id=512, seq=27350." id=20085 trace_id=81 func=init_ip_session_common line=4569 msg="allocate a new session-0022f927" id=20085 trace_id=81 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via gre2" --- 总部 FGT 查询路由下一跳为 gre2 id=20085 trace_id=81 func=fw_forward_handler line=671 msg="allowed by Policy-0:" id=20085 trace_id=81 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec Fortinet 公司第 29 页 / 共 34 页

30 interface-center-vpn_1" --- 封装 GRE 后, 数据进入 Center-VPN_1 id=20085 trace_id=81 func=ipsec_output_finish line=232 msg="s to via intf-port15" id=20085 trace_id=81 func=esp_output4 line=897 msg="encrypting, and s to with source " --- 加密并送 port15 转发出去 ICMP replay 过程 : id=20085 trace_id=82 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :0) from gre2. code=0, type=0, id=512, seq=27350." id=20085 trace_id=82 func=resolve_ip_tuple_fast line=4479 msg="find an existing session, id-0022f927, reply direction" id=20085 trace_id=82 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via gre1" --- 总部 FGT 查询回程路由下一跳为 gre1 id=20085 trace_id=82 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-center-vpn_0" --- 封装 GRE 后, 数据进入 Center-VPN_0 id=20085 trace_id=82 func=ipsec_output_finish line=232 msg="s to via intf-port15" id=20085 trace_id=82 func=esp_output4 line=897 msg="encrypting, and s to with source " --- 加密并送 port15 转发出去 附 :Hub-and-Spoke 上运行 OSPF 的配置 GRE over IPsec 运行 OSPF 打通全网的路由, 此时去往业务网段的路由不需要再手动填写静 态路由, 直接可通过 OSPF 动态学习,OSPF 使能 GRE Tunnel 接口用于建立 OSPF 邻接关系, 同时只发布所需的业务网段路由, 其余的路由不要引入 OSPF 总部 (Center-FGT)OSPF 配置 : config router ospf set router-id config area edit config ospf-interface edit "gre1" set interface "gre1" set ip edit "gre2" set interface "gre2" set ip edit "port16" set interface "port16" Fortinet 公司第 30 页 / 共 34 页

31 set ip config network edit 1 set prefix edit 2 set prefix edit 3 set prefix 分部 (Side-1 FGT)OSPF 配置 : config router ospf set router-id config area edit config ospf-interface edit "gre1" set interface "gre1" set ip edit "port16" set interface "port16" set ip config network edit 1 set prefix edit 2 set prefix 分部 (Side-2 Cisco Router)OSPF 配置 : Fortinet 公司第 31 页 / 共 34 页

32 router ospf 10 router-id network area 0 network area 0 总部 (Center-FGT) 路由表 : FGT1KC # get router info routing-table ospf O /24 [110/11211] via , gre2, 00:08:24 O /24 [110/110] via , gre1, 00:10:26 O /24 [110/101] via , gre2, 00:08:24 FGT1KC # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 C /32 is directly connected, loopback1 S /32 [15/0] is directly connected, Center-VPN_0 S /32 [15/0] is directly connected, Center-VPN_1 C /32 is directly connected, gre1 C /32 is directly connected, gre1 O /24 [110/11211] via , gre2, 00:09:59 C /32 is directly connected, gre2 C /32 is directly connected, gre2 C /24 is directly connected, mgmt1 C /24 is directly connected, port16 O /24 [110/110] via , gre1, 00:12:01 O /24 [110/101] via , gre2, 00:09:59 C /24 is directly connected, port15 分部 (Side-1 FGT) 路由表 : FG200B # get router info routing-table ospf O /24 [110/11311] via , gre1, 00:09:00 O /32 [110/100] via , gre1, 00:10:52 O /32 [110/200] via , gre1, 00:10:52 O /24 [110/110] via , gre1, 00:10:52 O /24 [110/201] via , gre1, 00:09:00 FG200B # get router info routing-table all Fortinet 公司第 32 页 / 共 34 页

33 Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 C /32 is directly connected, Side-1 C /32 is directly connected, Side-1 C /32 is directly connected, gre1 C /32 is directly connected, gre1 O /24 [110/11311] via , gre1, 00:10:04 O /32 [110/100] via , gre1, 00:11:56 O /32 [110/200] via , gre1, 00:11:56 C /24 is directly connected, switch O /24 [110/110] via , gre1, 00:11:56 C /24 is directly connected, port16 O /24 [110/201] via , gre1, 00:10:04 C /24 is directly connected, port15 分部 (Side-1 Cisco Router) 路由表 : R1#show ip route ospf /8 is variably subnetted, 2 subnets, 2 masks O /32 [110/11111] via , 00:48:28, Tunnel1 O /24 [110/11121] via , 00:48:28, Tunnel /32 is subnetted, 2 subnets O [110/11211] via , 00:48:28, Tunnel1 O [110/11111] via , 00:48:28, Tunnel1 O /24 [110/11221] via , 00:48:28, Tunnel1 R1#show ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is to network /32 is subnetted, 1 subnets Fortinet 公司第 33 页 / 共 34 页

34 C is directly connected, Loopback1 C /24 is directly connected, FastEthernet0/ /8 is variably subnetted, 2 subnets, 2 masks C /24 is directly connected, Tunnel1 O /32 [110/11111] via , 00:46:11, Tunnel1 O /24 [110/11121] via , 00:46:11, Tunnel1 C /24 is directly connected, FastEthernet0/ /32 is subnetted, 2 subnets O [110/11211] via , 00:46:11, Tunnel1 O [110/11111] via , 00:46:11, Tunnel1 C /24 is directly connected, FastEthernet1/0 O /24 [110/11221] via , 00:46:11, Tunnel1 S* /0 [1/0] via 参考文档资料 : FortiOS Handbook - IPsec VPN for FortiOS ypeid=dt_productdocumentation_1_1&dialogid= &stateid=0%200% Fortinet 公司第 34 页 / 共 34 页