【簡介】前面所有實驗基本上是由向導來完成的，只有隧道聚合實驗是手動設置的。那么遠程訪問經(jīng)常用到的走對方寬帶上網(wǎng)功能，需要怎樣手動配置呢？

? 實驗要求與環(huán)境

　　OldMei集團深圳總部防火墻現(xiàn)在有三條寬帶了，二條普通寬帶用來上網(wǎng)及連接IPsec VPN，另一條MPLS專線用來訪問指定網(wǎng)站。

　　OldMei集團上海分公司也有兩條寬帶，已經(jīng)和深圳總部防火墻建立了兩條IPsec VPN。為了充分利用兩條IPsec VPN，創(chuàng)建了隧道聚合。要求上海分公司也可以通過深圳總部MPLS專線訪問指定網(wǎng)站。

　　解決方案：對上海分公司訪問流量進行分流，普通上網(wǎng)仍然走本地寬帶，特殊訪問走聚合隧道。這個通過策略路由來實現(xiàn)。深圳總部允許隧道流量走MPLS專線。也是由策略路由來實現(xiàn)。

　　實驗目標：筆記本電腦網(wǎng)卡連接上海分公司internal接口，可以通過聚合隧道訪問深圳服務器，還可以通過深圳MPLS專線訪問指定網(wǎng)站。

??深圳總部防火墻配置

　　要想通過隧道走對端防火墻寬帶上網(wǎng)，對端必須具備三個條件。

　　① 首先是IPsec VPN隧道的階段2，有上網(wǎng)寬帶那端不能做限制。登錄深圳防火墻，選擇菜單【VPN】-【IPsec隧道】，點開聚隧道，編輯第一條隧道。

　?、?手動創(chuàng)建IPsec VPN隧道時，默認本地地址和對端地址均為0.0.0.0/0.0.0.0，這樣所有流量都可以走隧道。滿足第一個條件。

　?、?第二個條件是要有允許隧道訪問寬帶的策略。選擇菜單【策略&對象】-【防火墻策略】，點擊【新建】。

　?、?創(chuàng)建一條普通的上網(wǎng)策略，只是流入接口為隧道聚合而已，上網(wǎng)策略要啟用NAT。

　　⑤?這樣隧道聚合口即可以走DMZ接口訪問服務器，也可以走wan2接口通過MPLS專線訪問指定網(wǎng)站。第二個條件具備了。

　　⑥?第三個要具備的條件，那就是路由了。選擇菜單【儀表板】-【網(wǎng)絡】，點擊【路由】。

　?、?路由表上有三條默認路由，管理距離都為10，所以三條寬帶都可以同時使用。優(yōu)先級MPLS專線為5，數(shù)字越小越優(yōu)先，因此，正常情況下，所有流量走都優(yōu)先級為1的wan1口出去了。那么我們要讓隧道聚合流量走MPLS專線出去，要怎么辦？

　?、?這就要用到比靜態(tài)路由更優(yōu)先的策略路由了。但是默認情況下菜單上并沒有策略路由選項。

　?、?選擇菜單【系統(tǒng)管理】-【可見功能】，啟用【高級路由】后，點擊【應用】。

　?、?刷新一下界面，在靜態(tài)路由下就出現(xiàn)策略路由菜單了。選擇【策略路由】，點擊【新建】。

　　? 策略路由設置有點象配置策略，又有點象配置路由，當然還是比較好理解的，這條策略路由是說SZ-SH接口的所有IP，訪問所有內容（也就上網(wǎng)），指定走MPLS專線出去，下一跳網(wǎng)關是172.16.188.1。

　　? 大家一定要記住這一點，策略路由優(yōu)先于靜態(tài)路由，只有策略路由不匹配了，才會到靜態(tài)路由中去查找。

　　??另外在我們經(jīng)常查看的路由小視窗里，通過右上角選擇【策略路由】，也可以看到策略路由表。

??上海公司防火墻配置

　　要想通過隧道走對端防火墻寬帶上網(wǎng)，本端也同樣必須具備三個條件。?

　?、?首先是隧道階段2對端地址不能有限制。這條已經(jīng)具備。

　?、?然后是要有流量走隧道的策略，并且目標地址不能限制，這條也已經(jīng)具備。

　?、?第三個條件，就是路由了，目前只有一條指定IP走隧道的路由。缺少所有流量走隧道的路由。

　　④?我們也創(chuàng)建一條所有流量走隧道的策略路由，但是網(wǎng)關地址應該填什么呢？

　?、?我們已經(jīng)知道，策略路由是優(yōu)先于靜態(tài)路由的，這樣internal接口的所有流量都走隧道了。

??驗證效果

　　兩端都具備通行條件，我們可以進行測試了。

　　① 筆記本電腦關閉所有無線，網(wǎng)線接上海防火墻internal接口。

　　②?ping深圳防火墻DMZ接口后的域服務器，沒有ping通，創(chuàng)建隧道聚首的時候都是通的。問題出在哪里？

　　③ 用tracert查一下路由，發(fā)現(xiàn)有一個地址172.16.188.1，這是深圳防火墻MPLS專線的下一跳地址，說明流量走MPLS出去了。有人知道這是為什么嗎？對了，就是深圳防火墻的那條全部走MPLS專線的策略路由在起作用。

　　④ 解決的辦法就是在深圳防火墻再創(chuàng)建一條策略路由，訪問10.10.10.0/24網(wǎng)段時，動作為【停目策略路由】，這樣就不再走策略路由，而是回到靜態(tài)路由。

　?、?策略路由也是從上向下匹配的，鼠標按住序號，可以拖動調整上下順序，將停止策略路由拖到最上方，優(yōu)先匹配。

　?、?再次ping域服務器，這次可以通了，查看路由走向，這次沒有再走MPLS專線。

　?、?再次訪問公網(wǎng)IP，都不通，流量走wan1口，說明策略路由沒有起效果，問題的關鍵就在于隧道的網(wǎng)關地址。

　?、?為了解決這個問題，我們必須給聚合隧道配置上IP地址。登錄深圳防火墻，選擇菜單【網(wǎng)絡】-【接口】，找到IPsec聚合接口，可以看到是沒有IP地址的。點擊【編輯】。

　?、?給IPsec聚合接口配置一個不會引起沖突的IP地址。這里用1.1.1.1，對端網(wǎng)關IP用1.1.1.2。

　?、?這樣深圳防火墻的IPsec聚合接口就有IP地址了。?

　　? 同樣登錄上海防火墻，給上海防火墻的IPsec聚合接口配置IP地址。

　　? 上海防火墻的IPsec聚合接口IP設置為1.1.1.2，對端網(wǎng)關為1.1.1.1。

　　? 這樣IPsec隧道的兩端都有IP地址了。

　　? 將上海防火墻的策略路由，最下面隧道接口的網(wǎng)關地址，由0.0.0.0改為1.1.1.1，指向深圳防火墻隧道IP。點擊【應用】。

　　? 同次ping公網(wǎng)IP，這下全通了，查看路由，可以看到是經(jīng)隧道后走深圳防火墻MPLS專線上網(wǎng)的。

??優(yōu)化上網(wǎng)分流

　　雖然現(xiàn)在能走隧道上網(wǎng)，但是所有流量都走隧道，會給隧道帶來很大壓力，我們可以將部分不需要走隧道的上網(wǎng)流量（例如訪問國內網(wǎng)站），仍然走本地寬帶上網(wǎng)。

　?、??區(qū)分IP屬于哪個區(qū)域，F(xiàn)ortinet還是有辦法的。選擇菜單【策略&對象】-【地址】，點擊【新建】-【地址】。

　?、?輸入名稱，類型選擇【地理】。

　?、?輸入名稱，類型選擇【地理】。?

　　④ 顏色選擇紅色。

　　⑤?這樣就創(chuàng)建了一條地理地址對象。

　　⑥ 再次創(chuàng)建一條策略路由，目標地址為新創(chuàng)建的China地理對象，流出接口選擇本地上網(wǎng)寬帶wan1，輸入wan1的網(wǎng)關地址。?

?　　⑦ 策略路由是從上往下匹配的，我們將目標地址為China地理對象的策略路由移到最上方，移動方法是鼠標按住序號，拖動即可。這樣再次上網(wǎng)時，如果訪問的是內網(wǎng)IP，會走wan1口上網(wǎng)，其它IP則走隧道到達深圳防火墻，再經(jīng)深圳的MPLS專線上網(wǎng)。文章來源地址http://www.zghlxwxcb.cn/news/detail-488331.html

到了這里，關于實驗篇(7.2) 16. 站對站安全隧道 - 通過聚合隧道走對方上網(wǎng)（FortiGate-IPsec） ? 遠程訪問的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！