目录简介... 3 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN)... 3 拓扑一场景分析... 4 拓扑一场景详细配置过程... 5 基础配置... 5 总部 (Center)IPsec VPN 的配置... 5 分部 (Side-1)IPsec VPN 的配置

Size: px

Start display at page:

Download "目录简介... 3 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN)... 3 拓扑一场景分析... 4 拓扑一场景详细配置过程... 5 基础配置... 5 总部 (Center)IPsec VPN 的配置... 5 分部 (Side-1)IPsec VPN 的配置"

员庄
5 years ago
Views:

1 IPsec VPN 之总部静态固定 IP 与分部 PPPoE 动态 IP 部署 Hub_and_Spoke 版本 1.1 时间 2015 年 12 月支持的版本 FortiGate v5.0.x 5.2.x 作者状态反馈刘康明已审核

2 目录简介... 3 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN)... 3 拓扑一场景分析... 4 拓扑一场景详细配置过程... 5 基础配置... 5 总部 (Center)IPsec VPN 的配置... 5 分部 (Side-1)IPsec VPN 的配置... 9 IPsec VPN 状态检查以及业务测试拓扑二 ( 总部静态 IP & 分部动态 IP Hub-and-Spoke) 拓扑二场景分析拓扑二详细配置过程总部 (Center) 设备及分部 (Side-1) 设备配置微调分部 (Side-2)Cisco Router IPsec VPN 配置 IPsec VPN 状态检查以及业务测试 Fortinet 公司第 2 页 / 共 23 页

3 简介本文主要讨论 IPsec VPN 在总部使用静态 IP 而分部使用动态 IP 的场景下的部署方式, 以及扩展开来介绍此类组网模式下的 Hub-and-Spoke 部署以及配置此类组网在实际应用中使用较多, 而很多技术人员对总部和分部 IPsec 究竟如何部署存在着不少的困惑, 故此输入这篇文档进行答疑解惑 Key word:ipsec VPN IKE Aggressive Mode ESP Tunnel Mode Hub and Spoke DPD NAT-T FGT Firmware Version:v5.2.4,build688 (GA) Cisco Router IOS Version: C3640-JK903S0-M,Version 12.4(16a) 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN) Center 总部静态固定 IP Internet Port Port15 IP: 分部 DHCP/PPPOE 动态 IP Internet Port Port15 IP: Side-1 Internal Port Port16 IP: /24 IPsec_VPN_Tunnel Internal Port Port16 IP: /24 总部服务器 IP 网关 :111.1 分部电脑 IP 网关 :112.1 响应方 IPsec 配置建议 : 1. 不指定对端 IP 地址 ( 拨号用户 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流由对方指定发起方 IPsec 配置建议 : 1. 指定对端 IP 地址 ( 静态 IP 地址 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流 /24à /24 7.Auto-negotiate Fortinet 公司第 3 页 / 共 23 页

4 拓扑一场景分析总部使用静态固定 IP, 分部采用 PPPOE 动态 IP, 此时 IPsec 发起方公网地址不固定情况下需要进行 IPSec VPN 部署, 上述拓扑图中应用场景在 IPsec VPN 的部署中很常见 : 1 响应方( 总部 Center) 地址固定, 如 ; 2 多个发起方( 分支 Side) 使用动态接入互联网方式, 如 PPPoE 拨号, 这种方式中, 发起方每次拨号地址有可能不一致, 所以在响应方中无法使用指定对端 IP 地址方式限制对端身份 ; 3 发起方则必须要指定响应方 IP, 否则无法发起协商 ; 4 双方可以使用预共享密钥方式对身份进行确认及保护; 5 兴趣流的指定是比较有意思的事情, 发起方 ( 分支 Side) 是必须要配置兴趣流的, 图中只举了一个发起方配置兴趣流的示例, 那么响应方呢? 响应方没有配置, 而是采用由发起方指定的方式, 即在协商过程中, 响应方得知发起方的兴趣流是 /24 到 /24, 会自动为该响应方生成反向兴趣流 /24 到 /24, 并自动下发去往 /24 的路由下一跳为 IPsec Tunnel_x, 那么为什么要这么指定呢? a) 发起方地址是动态的, 响应方无法及时提前获知发起方地址, 因此无法指定发起方的 IP 地址 ; b) 由于响应方的兴趣流也是与发起方相关的, 而响应方中发起方的身份标识是 IP 地址, 因此响应方无法提前为发起方指定兴趣流 ; c) 替代方法就是响应方在协商过程中, 动态地识别发起方, 并接受发起方的兴趣流 ; d) 这种方式还能给响应方的配置工作带来简化, 不需要为每个发起方制定 IPSec 策略 Fortinet 公司第 4 页 / 共 23 页

VPN 配置,VPN-->IPsec-->Tunnels ->VPN Setup-->Custom VPN

5 拓扑一场景详细配置过程基础配置拓扑所示的 IP 地址以及路由等基础信息, 请参照拓扑图, 具体配置步骤忽略总部 (Center)IPsec VPN 的配置 a ) IPsec 第一阶段配置选择非模板的 IPsec VPN 配置,VPN-->IPsec-->Tunnels ->VPN Setup-->Custom VPN Tunnel(No Template) Fortinet 公司第 5 页 / 共 23 页

第一阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置 ): config vpn ipsec phase1-interface edit "Center-VPN" set type dynamic ( 指定动态拨号 VPN 方式 ) set interface "port15" ( 指定公网接口 ) set mode aggressive ( 野蛮模式 ) set

6 第一阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置 ): config vpn ipsec phase1-interface edit "Center-VPN" set type dynamic ( 指定动态拨号 VPN 方式 ) set interface "port15" ( 指定公网接口 ) set mode aggressive ( 野蛮模式 ) set psksecret xxxxxx(encryption) ( 配置 PSK) 注意 : 总部响应端的 IPsec 阶段 1 name 不能超过 16 个字符, 动态生成的 IPSec 接口为 :phase1name_0 phase1name_1,2...,_10..._100, 比如生成第 100 个动态接口, 其名字 phase1name_100, 这样多出来 4 个字符, 容易超过接口名称 16 个字符的限制 b ) IPsec 第二阶段配置 Fortinet 公司第 6 页 / 共 23 页

7 第二阶段配置对的应命令行 ( 其实配置非常简单, 基本上遵循默认配置 ): config vpn ipsec phase2-interface edit "Center-VPN" set phase1name "Center-VPN" ( 调用第一阶段即可, 感兴趣数据流不用填写 ) next end c ) 策略配置放通 Center-VPN 到内部网络 Port16(Internal_Port) 的流量, 即分部访问总部的 VPN 流 Fortinet 公司第 7 页 / 共 23 页

"ALL" edit 2 set srcintf "port16" set dstintf "Center-VPN" set srcaddr "all" set dstaddr "all" set action accept set schedule

8 量策略 : 放通内部网络 Port16(Internal_Port) 到 Center-VPN 的流量, 即总部访问分部的 VPN 流量策略 : 策略对应命令行 : config firewall policy edit 1 set srcintf "Center-VPN" set dstintf "port16" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" edit 2 set srcintf "port16" set dstintf "Center-VPN" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" d ) 路由配置无需路由配置,Center-VPN 将会自动协商并生成反向兴趣流 /24 到 Fortinet 公司第 8 页 / 共 23 页

->VPN Setup-->Custom VPN Tunnel(No Template) 第一阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置, 比如 Proposal 的配置, 此处截图忽略, 和 Center 的 Proposal

9 /24, 同时自动下发去往 /24 的路由下一跳为 IPsec Tunnel_x 分部 (Side-1)IPsec VPN 的配置 a ) IPsec 第一阶段配置选择非模板的 IPsec VPN 配置,VPN-->IPsec-->Tunnels ->VPN Setup-->Custom VPN Tunnel(No Template) 第一阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置, 比如 Proposal 的配置, 此处截图忽略, 和 Center 的 Proposal 一样使用默认配置 ): config vpn ipsec phase1-interface edit "Side-1" set remote-gw ( 指定静态 IP VPN 方式 ) set interface "port15" ( 指定公网接口 ) set mode aggressive ( 野蛮模式 ) set psksecret xxxxxx (ENC) ( 配置 PSK) Fortinet 公司第 9 页 / 共 23 页

第二阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置 ): config vpn ipsec phase2-interface edit "Side-1" set phase1name "Side-1" set keepalive enable set auto-negotiate enable ( 开启自动协商 ) set src-subnet 192.168.112.

10 第二阶段配置对的应命令行 ( 其实配置非常简单, 大部分遵循默认配置 ): config vpn ipsec phase2-interface edit "Side-1" set phase1name "Side-1" set keepalive enable set auto-negotiate enable ( 开启自动协商 ) set src-subnet ( 感兴趣数据流 Src) set dst-subnet ( 感兴趣数据流 Dst) next end c ) 策略配置放通 Side-1 到内部网络 Port16(Internal_Port) 的流量, 即总部访问分部的 VPN 流量策略 : Fortinet 公司第 10 页 / 共 23 页

"ALL" next edit 2 set srcintf "port16" set dstintf "Side-1" set srcaddr "all" set dstaddr "all" set action accept set

11 放通内部网络 Port16(Internal_Port) 到 Side-1 的流量, 即分部访问总部的 VPN 流量策略 : 策略对应命令行 : config firewall policy edit 1 set srcintf "Side-1" set dstintf "port16" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next edit 2 set srcintf "port16" set dstintf "Side-1" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next d ) 路由配置将去往总部 Center 的服务器网段路由指向 IPsec Tunnel 口 Side-1 Fortinet 公司第 11 页 / 共 23 页

路由对应命令行 : config router static edit 2 set dst 192.168.111.0 255.

12 路由对应命令行 : config router static edit 2 set dst set device "Side-1" next end 至此 IPsec VPN 的配置全部配置完成 IPsec VPN 状态检查以及业务测试总部 (Center-VPN) 查看 IPsec VPN 状态, 虚拟专网监视器 ---IPsec 监视器 : FGT1KC # diagnose vpn ike status connection: 1/15 IKE SA: created 1/18 established 1/16 times 0/97/300 ms IPsec SA: created 1/27 established 1/27 times 0/125/1330 ms Center-VPN( 总部 ) 路由表 : FGT1KC # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 Fortinet 公司第 12 页 / 共 23 页

C 192.168.90.0/24 is directly connected, mgmt1 C 192.168.111.0/24 is directly connected, port16 S 192.168.112.0/24 [15/0] is directly connected, Center-VPN_0( 自动下发路由 ) C 202.106.1.0/24 is directly

13 C /24 is directly connected, mgmt1 C /24 is directly connected, port16 S /24 [15/0] is directly connected, Center-VPN_0( 自动下发路由 ) C /24 is directly connected, port15 总部业务测试情况 : 分部 (Side-1) 查看 IPsec VPN 状态, 虚拟专网监视器 ---IPsec 监视器 : FG200B # diagnose vpn ike status connection: 1/19 IKE SA: created 1/20 established 1/10 times 0/1202/6000 ms IPsec SA: created 8/23 established 1/14 times 0/858/6000 ms Side-1( 分部 ) 路由表 : FG200B # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 Fortinet 公司第 13 页 / 共 23 页

C 192.168.90.0/24 is directly connected, switch S 192.168.111.0/24 [15/0] is directly connected,side-1( 手动配置去总部路由 ) C 192.168.112.0/24 is directly connected, port16 C 202.106.2.0/24 is directly connected, port15 分部业务测试情况 : 在总部 debug flow 业务流量数据, 观察 IPsec VPN 业务流量在 FGT 上面的处理过程 : FGT1KC3912800033 # diagnose debug flow filter addr 192.

14 C /24 is directly connected, switch S /24 [15/0] is directly connected,side-1( 手动配置去总部路由 ) C /24 is directly connected, port16 C /24 is directly connected, port15 分部业务测试情况 : 在总部 debug flow 业务流量数据, 观察 IPsec VPN 业务流量在 FGT 上面的处理过程 : FGT1KC # diagnose debug flow filter addr FGT1KC # diagnose debug flow filter proto 1 FGT1KC # diagnose debug flow show console enable FGT1KC # diagnose debug flow show function-name enable FGT1KC # diagnose debug flow trace start 5 FGT1KC # diagnose debug enable ICMP request 过程 : FGT1KC # id=20085 trace_id=42 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :8) from port16. code=8, type=0, id=512, seq=46103." id=20085 trace_id=42 func=init_ip_session_common line=4569 msg="allocate a new session-000dc6a4" id=20085 trace_id=42 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via Center-VPN_0" --- 总部 FGT 查询路由下一跳为 Center-VPN_0 id=20085 trace_id=42 func=fw_forward_handler line=671 msg="allowed by Policy-3:" id=20085 trace_id=42 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-center-vpn_0" --- 数据进入 Center-VPN_0 id=20085 trace_id=42 func=ipsec_output_finish line=232 msg="send to via Fortinet 公司第 14 页 / 共 23 页

intf-port15" id=20085 trace_id=42 func=esp_output4 line=897 msg="encrypting, and send to 202.106.2.1 with source 202.106.1.1" --- 加密并送 port15 转发出去 ICMP replay 过程 : id=20085 trace_id=43 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, 192.

" id=20085 trace_id=43 func=resolve_ip_tuple_fast line=4479 msg="find an existing session, id-000dc6a4, reply direction" id=20085 trace_id=43 func=vf_ip4_route_input line=1596 msg="find a route:

15 intf-port15" id=20085 trace_id=42 func=esp_output4 line=897 msg="encrypting, and send to with source " --- 加密并送 port15 转发出去 ICMP replay 过程 : id=20085 trace_id=43 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :0) from Center-VPN_0. code=0, type=0, id=512, seq=46103." id=20085 trace_id=43 func=resolve_ip_tuple_fast line=4479 msg="find an existing session, id-000dc6a4, reply direction" id=20085 trace_id=43 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via port16" 拓扑二 ( 总部静态 IP & 分部动态 IP Hub-and-Spoke) Side-1 FGT SPOKE-1 分部内网 IP 网关 : 发起方 (Side-1)IPsec 配置建议 : 1. 指定对端 IP 地址 ( 静态 IP 地址 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流 /24à /16 7.Auto-negotiate Center FGT HUB 总部静态固定 IP Internet Port Port15 IP: 分部外网分部 Internet Port F0/0 IP: Internal Port Port16 IP: /24 总部服务器 IP 网关 :111.1 IPsec_VPN_Tunnel Side-2 Cisco Router SPOKE-2 F1/ 分部电脑 IP 网关 :113.1 响应方 (Center)IPsec 配置建议 : 1. 不指定对端 IP 地址 ( 拨号用户 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流由对方指定发起方 (Side-2)IPsec 配置建议 : 1. 指定对端 IP 地址 ( 静态 IP 地址 ) 2.IKE Aggressive Mode 3.NAT-T && DPD 4. 统一预共享密钥 5. 隧道模式 6. 感兴趣流 /24à /16 7. 与总部相匹配的 Phase 1/2 Proposal Fortinet 公司第 15 页 / 共 23 页

只在原有基础之上新增了 Side-2, 而此时总部 Center 和 Side-1 的配置只需要少量微调即可分部 (Side-1) 配置调整 : a ) 将 Side-1 的感兴趣数据流 192.168.112.0/24 -->192.168.111.

16 拓扑二场景分析在 Side-1 的基础之上新增 Side-2 组成一个简单的 Hub-Spoke 方式的 IPsec VPN 组网, 实现 Center 与 Side-1 Side-2 Side-x 之前的流量互通总部使用统一的 IPsec VPN 配置模板, 新增的分部可以使用静态 IP 或者 PPPOE 方式的动态 IP 的接入 Internet, 均可以 IPsec VPN 融入此 Hub-Spoke 组网中拓扑二详细配置过程总部 (Center) 设备及分部 (Side-1) 设备配置微调拓扑二根据拓扑一而来, 只在原有基础之上新增了 Side-2, 而此时总部 Center 和 Side-1 的配置只需要少量微调即可分部 (Side-1) 配置调整 : a ) 将 Side-1 的感兴趣数据流 /24 --> /24 调整为 : /24--> /16 b ) 同时修改相应的路由 : config router static edit 4 set dst Fortinet 公司第 16 页 / 共 23 页

set device "Side-1" next end 这样调整的目的为了让 Side-1 可以访问 Side-2, 同时方便各个 Side 之间通过 IPsec VPN 进行业务互访总部 (Center) 配置调整 : 新增策略允许分部之间的 IPsec VPN 业务数据相互通信 : config firewall policy edit 4 set srcintf

17 set device "Side-1" next end 这样调整的目的为了让 Side-1 可以访问 Side-2, 同时方便各个 Side 之间通过 IPsec VPN 进行业务互访总部 (Center) 配置调整 : 新增策略允许分部之间的 IPsec VPN 业务数据相互通信 : config firewall policy edit 4 set srcintf "Center-VPN" set dstintf "Center-VPN" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next end 其实如果理解了文档上个章节所讲述的内容, 到现在为止你会发现实际上此类方式的 Hub-Spoke IPsec VPN, 就是分部之间的 VPN 设备调整几条路由和策略的事情, 把路由和策略打通了, 全网的业务就都可通过 HUB 进行 IPsec VPN 互通了分部 (Side-2)Cisco Router IPsec VPN 配置 a ) Side-2 配置接口 IP 以及路由 : interface FastEthernet0/0 ip address ip nat outside! interface FastEthernet1/0 ip address ip nat inside ip route Internet Port ---Internal Port ---Default Route Fortinet 公司第 17 页 / 共 23 页

18 b ) 配置 IPsec VPN 感兴趣数据流的 ACL: access-list 101 permit ip IPsec VPN 感兴趣数据流 ACL access-list 102 deny ip access-list 102 permit ip any any ---Snat ACL 需要排除掉 IPsec VPN 的数据,Cisco 先 NAT 再 IPsec NAT 配置 :ip nat inside source list 102 interface FastEthernet1/0 overload c ) 配置 IPSEC 第一阶段 : crypto isakmp policy Phase 1 Proposal encr 3des hash sha authentication pre-share group 5 crypto isakmp nat keepalive DPD! crypto isakmp peer address set aggressive-mode password xxxxxx --- 配置 IPsec VPN 第一阶段为野蛮模式 ---Pre-share Key set aggressive-mode client-endpoint ipv4-address 接受 any peer! d ) 配置 IPSEC 第二阶段 : crypto ipsec transform-set Side-2-transform esp-3des esp-sha-hmac! ---Phase 2 Proposal crypto map Side-2 10 ipsec-isakmp set peer set security-association lifetime seconds Phase 2 lifetime set transform-set Side-2-transform set pfs group5 ---PFS DH 5 match address 调用感兴趣数据流 e ) 接口下调用 IPsec crypto map: interface FastEthernet0/0 crypto map Side-2 IPsec VPN 状态检查以及业务测试思科上查看 IPsec 状态 : R1#show crypto isakmp sa dst src state conn-id slot status QM_IDLE 1 0 ACTIVE Fortinet 公司第 18 页 / 共 23 页

19 R1#show crypto ipsec sa interface: FastEthernet0/0 Crypto map tag: Side-2, local addr protected vrf: (none) local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 778, #pkts encrypt: 778, #pkts digest: 778 #pkts decaps: 732, #pkts decrypt: 732, #pkts verify: 732 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 41, #recv errors 2 local crypto endpt.: , remote crypto endpt.: path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0 current outbound spi: 0x3B9AE678( ) inbound esp sas: spi: 0x8E3EEB76( ) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } conn id: 2005, flow_id: SW:5, crypto map: Side-2 sa timing: remaining key lifetime (k/sec): ( /42569) IV size: 8 bytes replay detection support: Y Status: ACTIVE outbound esp sas: spi: 0x3B9AE678( ) transform: esp-3des esp-sha-hmac, in use settings ={Tunnel, } conn id: 2002, flow_id: SW:2, crypto map: Side-2 sa timing: remaining key lifetime (k/sec): ( /42567) IV size: 8 bytes replay detection support: Y Status: ACTIVE 总部 IPsec VPN 状态 : Fortinet 公司第 19 页 / 共 23 页

FGT1KC3912800033 # diagnose vpn ike status connection: 2/16 IKE SA: created 2/19 established 2/17 times 0/102/300 ms IPsec SA: created 2/32 established 2/32 times 0/112/1330 ms Center-VPN( 总部 ) 路由表 :

20 FGT1KC # diagnose vpn ike status connection: 2/16 IKE SA: created 2/19 established 2/17 times 0/102/300 ms IPsec SA: created 2/32 established 2/32 times 0/112/1330 ms Center-VPN( 总部 ) 路由表 : FGT1KC # get router info routing-table all Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, L1-IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default S* /0 [10/0] via , port15 C C S S C /24 is directly connected, mgmt /24 is directly connected, port /24 [15/0] is directly connected, Center-VPN_ /24 [15/0] is directly connected, Center-VPN_ /24 is directly connected, port15 业务测试情况 : 总部 (Center) 业务测试 : Fortinet 公司第 20 页 / 共 23 页

21 分部 (Side-2) 业务测试 ( 通过 GNS3 模拟思科 Router 与 VPCS): 分部 (Side-1) 业务测试 : Fortinet 公司第 21 页 / 共 23 页

在总部 debug flow 业务流量数据, 观察 IPsec VPN 在 Side-1 访问 Side-2 的业务数据在 FGT 上的处理过程 : FGT1KC3912800033 # diagnose debug flow filter addr 192.168.113.

22 在总部 debug flow 业务流量数据, 观察 IPsec VPN 在 Side-1 访问 Side-2 的业务数据在 FGT 上的处理过程 : FGT1KC # diagnose debug flow filter addr FGT1KC # diagnose debug flow filter proto 1 FGT1KC # diagnose debug flow show console enable FGT1KC # diagnose debug flow show function-name enable FGT1KC # diagnose debug flow trace start 5 FGT1KC # diagnose debug enable 分部 1(Side-1) ping 分部 2(Side-2) ICMP request 过程 : FGT1KC # id=20085 trace_id=62 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :8) from Center-VPN_0. code=8, type=0, id=512, seq=16668." id=20085 trace_id=62 func=init_ip_session_common line=4569 msg="allocate a new session-000de66f" id=20085 trace_id=62 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via Center-VPN_1" --- 路由查找下一跳到 Center-VPN-1 id=20085 trace_id=62 func=fw_forward_handler line=671 msg="allowed by Policy-4:" id=20085 trace_id=62 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-center-vpn_1" id=20085 trace_id=62 func=ipsec_output_finish line=232 msg="send to via intf-port15" id=20085 trace_id=62 func=esp_output4 line=897 msg="encrypting, and send to Fortinet 公司第 22 页 / 共 23 页

23 with source " --- 加密并从 port15 发送出去 ICMP replay 过程 : id=20085 trace_id=63 func=print_pkt_detail line=4420 msg="vd-root received a packet(proto=1, :512-> :0) from Center-VPN_1. code=0, type=0, id=512, seq=16668." id=20085 trace_id=63 func=resolve_ip_tuple_fast line=4479 msg="find an existing session, id-000de66f, reply direction" id=20085 trace_id=63 func=vf_ip4_route_input line=1596 msg="find a route: flags= gw via Center-VPN_0" --- 路由查找下一跳到 Center-VPN-0 id=20085 trace_id=63 func=ipsecdev_hard_start_xmit line=121 msg="enter IPsec interface-center-vpn_0" id=20085 trace_id=63 func=ipsec_output_finish line=232 msg="send to via intf-port15" id=20085 trace_id=63 func=esp_output4 line=897 msg="encrypting, and send to with source " --- 加密并从 port15 发送出去参考文档资料 : FortiOS Hankdbook FortiGate IPsec VPN Guide for FortiOS doctypeid=dt_productdocumentation_1_1&dialogid= &stateid=0%200% Fortinet 公司第 23 页 / 共 23 页

目录简介... 3 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over IPsec VPN)... 3 拓扑场景分析... 5 详细配置过程... 6 总部 (Center)FGT 设备的 Gre over IPsec 详细配置... 6 总部 (Center) 网络基础配置...

目录简介... 3 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over IPsec VPN)... 3 拓扑场景分析... 5 详细配置过程... 6 总部 (Center)FGT 设备的 Gre over IPsec 详细配置... 6 总部 (Center) 网络基础配置... GRE over IPsec 之总部静态固定 IP 与分部 PPPoE 动态 IP 部署 Hub_and_Spoke 版本 1.1 时间 2015 年 12 月支持的版本 FortiGate v5.0.x 5.2.x 5.4.0 作者状态反馈刘康明已审核 support_cn@fortinet.com 目录简介... 3 拓扑 ( 总部静态 IP 分部动态 IP 建立 GRE over

目录 简介... 3 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN)... 3 拓扑一场景分析... 4 拓扑一场景详细配置过程... 5 基础配置... 5 总部 (Center)IPsec VPN 的配置... 5 分部 (Side-1)IPsec VPN 的配置

目录简介... 3 拓扑一 ( 总部静态 IP & 分部动态 IP 相互建立 IPsec VPN)... 3 拓扑一场景分析... 4 拓扑一场景详细配置过程... 5 基础配置... 5 总部 (Center)IPsec VPN 的配置... 5 分部 (Side-1)IPsec VPN 的配置