教程篇(6.4) 13. Autodiscovery IPsec ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7

本文主要是介绍教程篇(6.4) 13. Autodiscovery IPsec ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 在这节课中,你将学习关于自动发现IPsec。

 完成本课后,你应该能够达到这张幻灯片上所示的目标。

  通过在Fortinet 自动发现IPsec中演示能力,你将能够使用IBGP配置和测试自动发现IPsec,以及使用IKE实时调试来排除自动发现IPsec问题。

 在本节中,你将学习如何部署和管理自动发现IPsec。

 为什么要使用自动发现IPsec?要找到答案,你将回顾最常见的IPsec拓扑。

  点到多点的拓扑变化称为星型。正如它的名字所描述的那样,所有客户端通过一个中心轮毂连接,类似于轮辐连接到轮毂上的方式。

  在本幻灯片所示的示例中,每个客户端spoke是一个分支机构FortiGate。任何分支机构要到达另一个分支机构,它的流量必须通过中心。

  使用这种拓扑结构的一个优点是可以方便地管理VPN配置和防火墙策略。另外,对于作为分支机构的FortiGate设备,每个FortiGate只需要维护一条隧道或两个SA,对系统的要求最低。在本例中,集线器中需要4个隧道或8个安全联盟(SA)。

  使用这种拓扑结构的缺点是,通过总部(HQ)的分支机构之间的通信比使用直接连接要慢,特别是在总部物理上距离较远的情况下,就像全球公司那样。例如,如果您的公司总部在巴西,并且你的公司在日本和德国也有办事处,那么延迟可能会很大。另一个缺点是缺乏冗余。例如总部的FortiGate故障,会导致整个公司的VPN故障。还有,总部的FortiGate肯定更强大,因为它能同时处理四个隧道,或者八个SA。

 这张幻灯片展示了一个部分网格拓扑的IPsec。有两种类型的网格拓扑,部分网状和全网状。

  部分网状试图妥协,尽量减少所需的资源和延迟。如果每个位置之间不需要通信,部分网状可以是合适的。这张幻灯片显示了Spoke-1和Spoke-2以及Spoke-3和Spoke-4之间的额外连接。然而,每个FortiGate的配置仍然比集中星型更为复杂。特别是路由,可能需要大量的计划。

 这张幻灯片展示了一个全网格拓扑结构的VPN。

  全网状连接每个位置到每个其他位置。与前面的集中星型示例一样,这张幻灯片上的示例只显示了五个位置。为了实现完全的互联,每个FortiGate需要4条VPN隧道或8个SA连接到其他的FortiGate设备。这就等于每条辐条要塞又多出三条隧道。总共需要10条隧道。如果你的公司要扩展到6个地点,就需要15条隧道。7个地点需要21条隧道,以此类推。隧道数量可根据N个站点=N (N-1) / 2计算。这种拓扑导致的延迟更少,并且比集中星型需要更少的HQ带宽。它的缺点?每一个辐条都必须更强大。此外,管理和故障排除都变得更加复杂。

  因此,一般来说,如果你的公司有许多位置,集中星型将比网状拓扑更便宜,但速度更慢。网格拓扑对中心位置的压力更小,可以更容错,但也更昂贵。

 

 自动发现IPsec是在FortiOS 5.4中引入的。它结合了集中星型和全网状状拓扑的优点,因为所有spoke-to-spoke隧道都是根据需要动态创建的。当两条spoke之间建立了快捷隧道,且路由融合后,spoke-to-spoke的流量不再需要经过hub时,自动发现IPsec提供了直接连接。

 自动发现IPsec支持单个或多个hub架构

  NAT支持按需隧道

  自动发现IPsec要求使用路由协议。目前支持BGP、OSPF和RIPv2/RIPng协议。它还支持PIM和多播。

  支持IPv4和IPv6

 这张幻灯片展示了自动发现IPsec的工作原理。

  管理员在多个防火墙设备上配置IPsec VPN,形成集中星型VPN拓扑。在本例中,有两个中心。轮毂1有三个辐条。轮毂2有两个辐条。也有一个VPN连接两个Hub。

  动态隧道之间的辐条是创建的需求。假设一个在波士顿的用户向伦敦发送流量。最初,波士顿和伦敦之间的直接隧道还没有谈判。因此,从波士顿到伦敦的第一个数据包通过Hub1和Hub2路由。当Hub1收到这些数据包时,它知道由于auto-discovery-sender启用设置,所有到伦敦的vpn中都启用了ADVPN。因此,Hub1向波士顿发送一条IKE消息,通知它可以尝试协商到伦敦的直接连接。在收到此IKE消息后,波士顿创建一个特定于FortiOS的IKE信息消息,其中包含其公共IP地址、其本地子网、所需的目标子网(伦敦子网)和自动生成的PSK(也可以使用数字证书身份验证)。此IKE消息通过Hub1和Hub2发送到伦敦。当伦敦收到来自波士顿的IKE消息时,存储PSK,并回复另一条包含伦敦公网IP地址的IKE信息消息。当应答到达波士顿后,两端对等体开始协商动态隧道。协商成功,因为伦敦正在等待来自波士顿公共IP地址的连接尝试。你将在接下来的几张幻灯片中更详细地探讨这个问题。

 现在,你将检查当按需隧道正在协商时交换的IKE消息:

  1. Spoke-1后面的客户端为Spoke-2网络上的设备产生流量。

  2. Spoke-1接收包,加密它,并将它发送到Hub。

  3. Hub从Spoke-1接收到数据包,并将其转发给Spoke-2。

  4. Spoke-2接收报文,解密后转发给目的设备。

  5. Hub知道从Spoke-1到Spoke-2可能有一个更直接的隧道选项可用。Hub向Spoke-1发送快捷提供消息。

  6. Spoke-1通过发送一个快捷查询到集线器来确认快捷提供。

  7. Hub将快捷查询消息转发给Spoke-2。

  8. Spoke-2确认快捷查询,并向Hub发送快捷回复。

  9. Hub将快捷应答转发给Spoke-1。

  10. Spoke-1和Spoke-2发起隧道IKE协商。

 如前所述,ADVPN要求使用动态路由协议。在下一张幻灯片中,你将学习如何使用IBGP配置ADVPN。

  例如,你将使用由一个hub和两个辐条组成的IBGP拓扑。所有设备都在AS65100中。

 这张幻灯片显示了Hub中的以下ADVPN配置:

  ●  禁用set add-route,以确保动态路由用于学习辐条的受保护子网。

  ●  设置tunnel-search为nexthop,以确保通过报文匹配的路由的下一跳来决定将报文发送到哪个隧道。

  ●  关闭set net-device,以确保FortiGate不会创建动态接口。

  ●  如果你想要ADVPN,你必须启用set auto-discovery-sender。该设置表明,当IPsec流量通过集线器时,它应该向流量的发起者发送一个快捷提议,以表明它可以建立一个更直接的连接(快捷方式)。

  ●  IPsec虚拟接口配置叠加IP地址。这是在IPsec上拥有动态路由协议的要求。

  ●  所有hub-and-spoke参与者的覆盖ip都在同一个子网中。

  ●  对于remote-ip,你可以使用覆盖子网中未使用的IP。你将需要根据集线器和辐条的数量添加适当的子网。

  ●  对于阶段2配置,确保快速模式设置为all (0.0.0.0/0.0.0.0)

  ●  设置一个防火墙策略,允许从辐条到集线器、从集线器到辐条、以及辐条之间的流量通过集线器。

 这张幻灯片显示了一个spoke中的ADVPN配置:

  ●  使用auto-discovery-receiver命令启用ADVPN。使用此命令表示此IPsec隧道希望加入自动发现VPN(即接收快捷提议)。

  ●  为IPsec虚拟接口配置接口IP地址、对端IP地址和子网。

 这张幻灯片显示了集线器中的IBGP配置:

  ●  配置BGP邻居组。所有辐条都是它的一部分。

  ●  创建一个包含所有辐条的前缀的邻居范围。这样,你就不需要将每个spoke单独定义为一个邻居。

  ●  如果将IBGP用于ADVPN,则必须将集线器配置为路由反射器。因此,从一个spoke学习到的路由被转发到其他spoke。

  ●  在集线器后面添加要在BGP上发布的本地网络。

 这张幻灯片显示了其中一条辐条上的IBGP配置:

  ●  配置hub作为BGP邻居

  ●  定义将在BGP上发布的内部网络

 如果你使用VPN管理器在FortiManager上配置ADVPN,请记住以下内容:

  ●  设置保护网络为all

  ●  在阶段1中使用脚本启动ADVPN

  ●  在Hub上禁用Add Route选项

  ●  使用脚本在辐条上启用net-device

  ●  配置IPsec虚拟接口的IP地址

  ●  配置动态路由。如果您正在使用IBGP,请使用脚本在集线器上启用路由反射器。

  ●  重要的是要知道,在使用FortiManager VPN控制台创建阶段1时,阶段1名称是用下划线和零创建的(phase1name_0)。例如,名为VPN的阶段1将被创建为VPN_0。

 Portected Subnet的配置在All VPN Communities下。

 对于ADVPN,关闭集线器的VPN网关配置下的“Add Route”开关。

  防止集线器基于IKE协商添加路由。为此,ADVPN使用了动态路由协议。

 在轮毂和辐条之间的隧道出现后,你可以运行命令,在这张幻灯片上显示,在辐条上验证路由更新正在发生:

  这张幻灯片显示Spoke-1通过BGP学习到hub和Spoke-2网络的路由。辐条-2目前可通过集线器访问。

 调试IKE时可以指定多个IP地址。这在调试ADVPN快捷方式和spoke-to-spoke ADVPN协商问题时非常有用。

 如果在ADVPN隧道的协商过程中执行IKE实时调试命令,可以看到所有快捷方式的交换。这张幻灯片展示了实时调试的输出示例。你可以看到Spoke-1因为从Spoke-1到Spoke-2的数据流量而从集线器收到一个OFFER。

  Spoke-1发送一个shortcut-query给Spoke-2, Hub接收到这个shortcut-query并转发给Spoke-2。

 在本幻灯片所示的示例中,Spoke-2接收快捷查询并发送快捷回复到Spoke-1。

  Hub接收快捷应答并转发给Spoke-1。

 Finally, Spoke-1 receives the reply message and initiates a shortcut negotiation directly with Spoke-2, and the dynamic tunnel interface is created.

  最后,Spoke-1收到应答消息,直接与Spoke-2发起快捷方式协商,建立动态tunnel接口。

 get ipsec tunnel list命令用来验证哪些按需隧道是up的。需要注意的是,按需隧道一直保持活动状态,直到它们的SA被手动刷新或超时。

 这张幻灯片显示了按需隧道启动后的路由表。

  可以确认Spoke-2的网络可以通过按需隧道H2S_0_0直接访问。

 这张幻灯片展示了你在这节课中所学到的目标。

  通过掌握本课所涵盖的目标,你了解了ADVPN。

这篇关于教程篇(6.4) 13. Autodiscovery IPsec ❀ 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/273866

相关文章

Maven的使用和配置国内源的保姆级教程

《Maven的使用和配置国内源的保姆级教程》Maven是⼀个项目管理工具,基于POM(ProjectObjectModel,项目对象模型)的概念,Maven可以通过一小段描述信息来管理项目的构建,报告... 目录1. 什么是Maven?2.创建⼀个Maven项目3.Maven 核心功能4.使用Maven H

IDEA自动生成注释模板的配置教程

《IDEA自动生成注释模板的配置教程》本文介绍了如何在IntelliJIDEA中配置类和方法的注释模板,包括自动生成项目名称、包名、日期和时间等内容,以及如何定制参数和返回值的注释格式,需要的朋友可以... 目录项目场景配置方法类注释模板定义类开头的注释步骤类注释效果方法注释模板定义方法开头的注释步骤方法注

Python虚拟环境终极(含PyCharm的使用教程)

《Python虚拟环境终极(含PyCharm的使用教程)》:本文主要介绍Python虚拟环境终极(含PyCharm的使用教程),具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录一、为什么需要虚拟环境?二、虚拟环境创建方式对比三、命令行创建虚拟环境(venv)3.1 基础命令3

使用Node.js制作图片上传服务的详细教程

《使用Node.js制作图片上传服务的详细教程》在现代Web应用开发中,图片上传是一项常见且重要的功能,借助Node.js强大的生态系统,我们可以轻松搭建高效的图片上传服务,本文将深入探讨如何使用No... 目录准备工作搭建 Express 服务器配置 multer 进行图片上传处理图片上传请求完整代码示例

python连接本地SQL server详细图文教程

《python连接本地SQLserver详细图文教程》在数据分析领域,经常需要从数据库中获取数据进行分析和处理,下面:本文主要介绍python连接本地SQLserver的相关资料,文中通过代码... 目录一.设置本地账号1.新建用户2.开启双重验证3,开启TCP/IP本地服务二js.python连接实例1.

Python 安装和配置flask, flask_cors的图文教程

《Python安装和配置flask,flask_cors的图文教程》:本文主要介绍Python安装和配置flask,flask_cors的图文教程,本文通过图文并茂的形式给大家介绍的非常详细,... 目录一.python安装:二,配置环境变量,三:检查Python安装和环境变量,四:安装flask和flas

Spring Security基于数据库的ABAC属性权限模型实战开发教程

《SpringSecurity基于数据库的ABAC属性权限模型实战开发教程》:本文主要介绍SpringSecurity基于数据库的ABAC属性权限模型实战开发教程,本文给大家介绍的非常详细,对大... 目录1. 前言2. 权限决策依据RBACABAC综合对比3. 数据库表结构说明4. 实战开始5. MyBA

Ubuntu中远程连接Mysql数据库的详细图文教程

《Ubuntu中远程连接Mysql数据库的详细图文教程》Ubuntu是一个以桌面应用为主的Linux发行版操作系统,这篇文章主要为大家详细介绍了Ubuntu中远程连接Mysql数据库的详细图文教程,有... 目录1、版本2、检查有没有mysql2.1 查询是否安装了Mysql包2.2 查看Mysql版本2.

Elasticsearch 在 Java 中的使用教程

《Elasticsearch在Java中的使用教程》Elasticsearch是一个分布式搜索和分析引擎,基于ApacheLucene构建,能够实现实时数据的存储、搜索、和分析,它广泛应用于全文... 目录1. Elasticsearch 简介2. 环境准备2.1 安装 Elasticsearch2.2 J

Linux系统中卸载与安装JDK的详细教程

《Linux系统中卸载与安装JDK的详细教程》本文详细介绍了如何在Linux系统中通过Xshell和Xftp工具连接与传输文件,然后进行JDK的安装与卸载,安装步骤包括连接Linux、传输JDK安装包... 目录1、卸载1.1 linux删除自带的JDK1.2 Linux上卸载自己安装的JDK2、安装2.1