Fortinet防火墙与Cisco Router间建立Site-to-Site IPSec VPN

基本拓扑及编址如下:

topology

我使用的是UNetLab中的FortiGate-VM64虚拟机,思科路由器均为IOU L3-ADVENTERPRISEK9-M-15.5-2T.bin

基本配置:

R1:

enable
configure terminal
hostname R1
interface e0/0
ip address 10.0.0.100 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 10.0.0.1

 

R2:

enable
configure terminal
hostname R2
interface e0/0
ip address 12.0.0.2 255.255.255.0
no shutdown
interface e0/1
ip address 11.0.0.1 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 12.0.0.1

 

R3:

enable
configure terminal
hostname R3
interface e0/0
ip address 11.0.0.100 255.255.255.0
no shutdown
ip route 0.0.0.0 0.0.0.0 11.0.0.1

 

FortiGate:

fortigate-interface

 

VPN配置:

R2:

ip access-list extended vpnflow    //感兴趣流配置
permit ip 11.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255

crypto isakmp policy 10      //IKE保护策略:预共享密钥认证,DES加解密,SHA散列,DH组为2
authentication pre-share
group 2
crypto isakmp key Cisc0123 address 12.0.0.1                   //IKE预共享密钥
crypto ipsec transform-set ts esp-des esp-sha-hmac        //IPSec转换集
mode tunnel
crypto map cisco 10 ipsec-isakmp         //设置Crypto map
set peer 12.0.0.1             //对端IP
set transform-set ts               //转换集
set pfs group5            //完美前向保护为Group5
match address vpnflow          //匹配感兴趣流

interface e0/0          //调用Crypto Map
crypto map cisco

FortiGate配置:

1、以Custom VPN Tunnel方式创建一条VPN条目,命名为cisco,点击Next

2、在网络配置部分,输入对方加密点IP地址12.0.0.2,并且选择抵达该加密点所使用的接口为port2

fortigate-vpn-network

 

3、在IKE认证方面,选择预共享密钥认证,并输入预共享密钥Cisc0123  并且检查使用的是IKEv1的主模式

fortigate-vpn-ikeauth

 

4、第一阶段IKE策略方面,选择DES加解密SHA1散列,并选择DH  Group2以匹配在Cisco路由器上的配置

fortigate-vpn-ikephase1

 

5、第二阶段IPSec策略方面,首先设定一个名称(飞塔要求必须设置名称)并且设定感兴趣流,本地网段为10.0.0.0/24,对方网段为11.0.0.0/24,并且选择IPSec保护策略为以DES加解密,以SHA1做散列算法。完成后点击OK保存。

fortigate-vpn-ipsec

 

6、在接口处创建一个新的Zone,并将创建的VPN隧道划入该Zone

fortigate-zone

 

7、在访问策略中,我粗略的做了一下,放行了通过VPN隧道传入的所有流量,也就是放行刚刚创建的VPN Zone的所有流量

fortigate-policy

 

8、配置路由策略,设定待加密的流量穿越隧道。Destination IP填入目的地网段,Device处选择刚刚创建的VPN隧道。

fortigate-route

完成!

 

 

测试:

1、身后网络方面,通过Cisco端内部网络ping 飞塔端内部网络,发现可以ping通。

cisco-ping2、Cisco Router加密点方面,查看IKE SA、IPSec SA及加解密数据情况。
cisco-isakmp-sa

cisco-ipsec-sa

cisco-crypto-engine

 

3、飞塔防火墙方面,在IPsec Monitor中查看当前建立的VPN隧道为UP状态

fortigate-monitor

发表评论

电子邮件地址不会被公开。 必填项已用*标注