Tìm kiếm

Cấu hình VPN FortiGate Firewall 60D

Cấu hình VPN FortiGate Firewall 60D

Tác giả CCNACCNP, T.Tư 22, 2019, 01:34:46 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Tư 22, 2019, 01:34:46 CHIỀU
Cấu hình VPN FortiGate Firewall 60D


Bài viết này minh họa cách định cấu hình hai đường hầm IPSec VPN từ tường lửa FortiGate 60D thành hai ZEN: đường hầm chính từ tường lửa FortiGate 60D đến ZEN trong một trung tâm dữ liệu và đường hầm dự phòng từ cùng một tường lửa đến ZEN trong trung tâm dữ liệu khác . Trong ví dụ này, các đồng nghiệp đang sử dụng khóa chia sẻ trước để xác thực. DPD được kích hoạt để tường lửa có thể phát hiện nếu một VPN ngoại tuyến và chuyển lưu lượng truy cập Internet sang VPN dự phòng.

Ví dụ này sử dụng địa chỉ IP riêng vì nó đã được thử nghiệm trong môi trường thí nghiệm.

Các đường hầm IPSec của Zscaler hỗ trợ giới hạn 200 Mbps cho mỗi địa chỉ IP nguồn công cộng. Nếu tổ chức của bạn muốn chuyển tiếp hơn 200 Mbps lưu lượng, Zscaler khuyên bạn nên định cấu hình thêm các đường hầm IPSec VPN với các địa chỉ IP nguồn công cộng khác nhau. Ví dụ: nếu tổ chức của bạn chuyển tiếp 400 Mbps lưu lượng, bạn có thể định cấu hình hai đường hầm VPN chính và hai đường hầm VPN dự phòng. Nếu tổ chức của bạn chuyển tiếp 600 Mbps lưu lượng, bạn có thể định cấu hình ba đường hầm VPN chính và ba đường hầm VPN dự phòng.

Điều kiện tiên quyết

Trước khi bạn bắt đầu định cấu hình dịch vụ Zscaler và tường lửa, hãy đảm bảo rằng bạn gửi cho Zscaler thông tin sau:

  • Địa chỉ IP của giao diện đường hầm trên tường lửa.
  • PSK.

Ngoài ra, đảm bảo rằng bạn có địa chỉ IP của ZEN.

Cấu hình Dịch vụ Zscaler

Thực hiện như sau để định cấu hình dịch vụ Zscaler:

  • Thêm thông tin xác thực VPN vào Cổng thông tin quản trị
  • Liên kết thông tin xác thực VPN với một vị trí

Cấu hình tường lửa FortiGate 60D

Phần này mô tả cách định cấu hình hai giao diện đường hầm VPN IPsec trên tường lửa FortiGate 60D chạy phiên bản 5.2.1. Tham khảo tài liệu của Fortinet để biết thêm thông tin về giao diện người dùng.

Hình dưới đây cho thấy các thiết lập phòng lab.


Văn phòng công ty gửi lưu lượng truy cập của mình thông qua giao diện nội bộ trong mạng nội bộ. Nó gửi lưu lượng truy cập cho bất kỳ mạng bên ngoài thông qua giao diện bên ngoài, wan1.

1. Xác định các tham số VPN cho đường hầm VPN chính.

Chuyển đến VPN> IPsec> Đường hầm và nhấp vào Tạo mới.


Nhập tên cho đường hầm, đó là Zscaler trong ví dụ này và chọn Đường hầm VPN tùy chỉnh làm mẫu. 


Cấu hình đường hầm chính như thể hiện trong các hình dưới đây.


2. Cấu hình đường hầm thứ cấp như được mô tả trong các bước trước. Sau khi cả hai đường hầm được định cấu hình, bạn có thể truy cập VPN> IPsec> Đường hầm để xem chúng.


3. Xác định các chính sách IPv4 để cho phép truy cập vào các đường hầm được cấu hình mới.

Chuyển đến Chính sách và Đối tượng> Chính sách> IPv4 và nhấp vào Tạo mới.


Tạo quy tắc chính sách mới để cho phép đường hầm chính Zscaler truy cập vào giao diện bên ngoài Fortigate (wan1). Trong ví dụ này, chúng tôi đang chuyển tiếp tất cả lưu lượng truy cập đến dịch vụ. Hình dưới đây cho thấy các cài đặt cần thiết.


Nếu bạn muốn chỉ chuyển tiếp lưu lượng https và https đến dịch vụ Zscaler, thì hãy chọn chúng trong trường Dịch vụ.

Tạo quy tắc chính sách mới để cho phép truy cập mạng nội bộ vào đường hầm chính Zscaler. Hình dưới đây cho thấy các cài đặt cần thiết.


4. Cấu hình các quy tắc chính sách tương tự cho đường hầm dự phòng. Khi tất cả bốn chính sách được xác định, bạn có thể đi tới Chính sách và Đối tượng> Chính sách> IPv4 để xem chúng.


5. Xác minh rằng cả hai đường hầm đều hoạt động bằng cách vào VPN> Monitor> IPsec Monitor.


6. Thiết lập các tuyến tĩnh cho các đường hầm chính và dự phòng và định cấu hình chúng với cùng mức độ ưu tiên và khoảng cách như tuyến đường mặc định.

Chuyển đến Bộ định tuyến> Tĩnh> Định tuyến tĩnh và nhấp vào Tạo mới.


Xác định tuyến đường hầm chính như trong hình dưới đây. Đảm bảo rằng đường hầm này có khoảng cách bằng nhau và giá trị ưu tiên lớn hơn so với tuyến đường mặc định. Một đường hầm có giá trị ưu tiên lớn hơn có mức độ ưu tiên thấp hơn. PBR sẽ ghi đè cài đặt ưu tiên đó. Vì có hai đường hầm, giá trị ưu tiên của đường hầm chính phải có mức ưu tiên thấp hơn đường hầm thứ cấp.


Xác định tuyến đường hầm thứ cấp như trong hình dưới đây.


Chuyển đến Bộ định tuyến> Monitor> Monitor định tuyến và xác minh bảng định tuyến.


Ở giai đoạn này, tuyến mặc định có mức ưu tiên cao nhất theo sau là đường hầm chính Zscaler và sau đó là đường hầm phụ.

7. Xác định lộ trình chính sách cho mỗi đường hầm. Trong ví dụ này, chúng tôi đang chuyển tiếp tất cả lưu lượng truy cập đến Zscaler.

  • Chuyển đến Bộ định tuyến> Tĩnh> Định tuyến chính sách.
  • Xác định đường hầm chính như trong hình dưới đây.


Nếu bạn chỉ chuyển tiếp lưu lượng https và httpsS đến dịch vụ Zscaler, hãy làm như sau:

Chọn cổng 80 làm cổng đích và xác định quy tắc cho các đường hầm chính và phụ.
Xác định các quy tắc tương tự xác định cổng 443 là cổng đích.

8. Xử lý sự cố.

Đi tới VPN> Màn hình> IPsec Monitor và xác minh rằng lưu lượng đang chảy qua đường hầm chính.


Bộ xử lý mạng (NP) của một số thiết bị Fortinet không hỗ trợ giảm tải lưu lượng truy cập VPN giai đoạn một, dẫn đến hiệu suất đường hầm VPN giảm không thể chấp nhận được. Để biết thêm thông tin, hãy xem thêm liên kết sau đây:   Đăng nhập để xem liên kết

Để biết thêm mẹo khắc phục sự cố, vui lòng truy cập trang khắc phục sự cố của Sổ tay FortinOS FortiOS tại đây:   Đăng nhập để xem liên kết[/b]
Tạo trang in
Lên đầu trang Trang1
User actions

Cấu hình VPN FortiGate Firewall 60D