之前介紹過如何在兩台 Fortigate v7 防火牆之間建立 IPSec Site to Site VPN,但是如果是多 WAN 的環境下,其實能夠藉由多條 IPSec Site to Site VPN 來達成負載平衡與線路備援的效果,達到更穩定與更高速的的 VPN 環境,本文示範兩台 Fortigate 防火牆在多 WAN 環境下建立有負載平衡與備援的 IPSec Site to Site VPN ( 點對點 VPN )。
之前介紹的在兩台 Fortigate v7 防火牆之間建立 IPSec Site to Site VPN 的架構如下圖一,但是如過其中一個點有兩條 WAN 則可以建立如下圖二的連線,如果兩個站點間各有兩條 WAN,則可以建立下圖三或下圖四的兩種有負載平衡與備援的 IPSec Site to Site VPN,達到圖三的設定,就能確保任一點發生其中一條斷線時仍能夠確保 VPN 存活,如果是圖四的設定,則可以允許兩個點都允許任意一條 WAN 同時發生斷線,提供更加安全的 VPN 連線,本文介紹的是圖三的設定,有需要可以自行增加至圖四的架構。
建議就算是只有一條 WAN 的環境下也可以用這個方式建立,未來如果增加第二條 WAN 時,就不需要修改與移除舊的設定,只要新增進去就可以了。
對 Fortigate VPN 設定不熟悉的,可以先參考之前文章,再回來看本文:
環境:
[站點A] Fortigate 101F,韌體 v6.4.12,名稱 RE1。
[站點B] Fortigate 61F,韌體 v6.4.12,名稱 RR1。
[站點A-Step1] 先建立第一條 VPN 通道,[VPN] > [ IPSec 精靈],輸入名稱後選擇 [自訂]。
[站點A-Step2] 設定 Phase 1 (階段一) 與 Phase 2 (階段二),這部分注意要將網路區塊裡的聚合成員勾選啟用。
[站點A-Step3] 先建立第一條 VPN 聚合通道,[VPN] > [ IPSec 通道] > [+ 新增] > [IPSec 聚合],輸入名稱後選擇剛剛建立的聚合成員。
[站點A-Step4] 設定靜態路由,[網路] > [靜態路由] > [+新增],填入站點 B 的子網路資料,介面選擇剛剛建立的 VPN 聚合通道。
[站點A-Step5] 設定二條防火牆政策,要允許站點 A 至 站點 B 以及允許站點 B 至 站點 A,[政策&物件] > [防火牆政策] > [+新增],填入名稱、進入介面、離開介面;來源、目的、服務都選 ALL 就可以了。
接下來設定站點 B。
[站點B-Step1] 先建立第一條 VPN 通道,[VPN] > [ IPSec 精靈],輸入名稱後選擇 [自訂]。
[站點B-Step2] 設定 Phase 1 (階段一) 與 Phase 2 (階段二),這部分注意要將網路區塊裡的聚合成員勾選啟用。
[站點B-Step3] 先建立第一條 VPN 聚合通道,[VPN] > [ IPSec 通道] > [+ 新增] > [IPSec 聚合],輸入名稱後選擇剛剛建立的聚合成員。
IPSec 通道會顯示建立的聚合通道。
[站點B-Step4] 設定靜態路由,[網路] > [靜態路由] > [+新增],填入站點 A 的子網路資料,介面選擇剛剛建立的 VPN 聚合通道。
[站點B-Step5] 設定二條防火牆政策,要允許站點 B 至 站點 A 以及允許站點 A 至 站點 B,[政策&物件] > [防火牆政策] > [+新增],填入名稱、進入介面、離開介面;來源、目的、服務都選 ALL 就可以了。
以上建立完成無誤的話,就可以看到 IPSec 聚合狀態顯示為綠色的連線狀態了。
接下來只要在站點 A 重複 Step1 至 Step3 的步驟,以及站點 B 重複 Step1 至 Step3 的步驟,就可以將第二條 WAN 的 IPSec Site to Site VPN 通道加入 IPSec 聚合裡,設定完成後就能夠達到負載平衡與線路備援的效果。
因為 IPSec 聚合在一條線路的狀態也能運作,如果初始設定就選擇 IPSec 聚合的方式設定,未來擴充 WAN 就變得較為方便,這也是我們通常建議的方式。
請問你們有
回覆刪除Fortigate ip binding 的設定教學嗎
謝謝
請問這個方法, 有必要先建立SD-WAN嗎?
回覆刪除不需要。
刪除謝謝,那麼跟SD-WAN一起搭配是可以的嗎?
刪除就是兩端都有2條wan,想建置成圖3或圖4的架構
作線路負載備援
考慮到點跟點之間比較有一些大檔案傳輸的需求
所以希望兩邊FW都有SD-WAN流量負載平衡
大概是這樣
圖三是一定可行,我們比較常建立的是圖一跟圖三,如果圖二能建立成功,那圖四也是可以成功的。
刪除