基本拓扑及编址如下:
我使用的是UNetLab中的FortiGate-VM64虚拟机,思科路由器均为IOU L3-ADVENTERPRISEK9-M-15.5-2T.bin
基本配置:
R1: enable configure terminal hostname R1 interface e0/0 ip address 10.0.0.100 255.255.255.0 no shutdown ip route 0.0.0.0 0.0.0.0 10.0.0.1 R2: enable configure terminal hostname R2 interface e0/0 ip address 12.0.0.2 255.255.255.0 no shutdown interface e0/1 ip address 11.0.0.1 255.255.255.0 no shutdown ip route 0.0.0.0 0.0.0.0 12.0.0.1 R3: enable configure terminal hostname R3 interface e0/0 ip address 11.0.0.100 255.255.255.0 no shutdown ip route 0.0.0.0 0.0.0.0 11.0.0.1
FortiGate:
VPN配置:
R2: ip access-list extended vpnflow //感兴趣流配置 permit ip 11.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255 crypto isakmp policy 10 //IKE保护策略:预共享密钥认证,DES加解密,SHA散列,DH组为2 authentication pre-share group 2 crypto isakmp key Cisc0123 address 12.0.0.1 //IKE预共享密钥 crypto ipsec transform-set ts esp-des esp-sha-hmac //IPSec转换集 mode tunnel crypto map cisco 10 ipsec-isakmp //设置Crypto map set peer 12.0.0.1 //对端IP set transform-set ts //转换集 set pfs group5 //完美前向保护为Group5 match address vpnflow //匹配感兴趣流 interface e0/0 //调用Crypto Map crypto map cisco
FortiGate配置:
1、以Custom VPN Tunnel方式创建一条VPN条目,命名为cisco,点击Next
2、在网络配置部分,输入对方加密点IP地址12.0.0.2,并且选择抵达该加密点所使用的接口为port2
3、在IKE认证方面,选择预共享密钥认证,并输入预共享密钥Cisc0123 并且检查使用的是IKEv1的主模式
4、第一阶段IKE策略方面,选择DES加解密SHA1散列,并选择DH Group2以匹配在Cisco路由器上的配置
5、第二阶段IPSec策略方面,首先设定一个名称(飞塔要求必须设置名称)并且设定感兴趣流,本地网段为10.0.0.0/24,对方网段为11.0.0.0/24,并且选择IPSec保护策略为以DES加解密,以SHA1做散列算法。完成后点击OK保存。
6、在接口处创建一个新的Zone,并将创建的VPN隧道划入该Zone
7、在访问策略中,我粗略的做了一下,放行了通过VPN隧道传入的所有流量,也就是放行刚刚创建的VPN Zone的所有流量
8、配置路由策略,设定待加密的流量穿越隧道。Destination IP填入目的地网段,Device处选择刚刚创建的VPN隧道。
完成!
测试:
1、身后网络方面,通过Cisco端内部网络ping 飞塔端内部网络,发现可以ping通。
2、Cisco Router加密点方面,查看IKE SA、IPSec SA及加解密数据情况。
3、飞塔防火墙方面,在IPsec Monitor中查看当前建立的VPN隧道为UP状态
