在上次实验中(警惕!封禁UDP 500/4500已无效?飞塔防火墙用TCP 443端口建立IPsec隧道),我们发现,在配置两端都是飞塔防火墙的IPsec VPN时,飞塔防火墙直接选择了将IKE和IPsec流量伪装成HTTPS流量以绕过防火墙,这好像也并不违反RFC规范,就是给业务管理带来了新的麻烦。
与此同时,我们还发现,飞塔防火墙现在也支持ADVPN了。要知道,华三的ADVPN使用起来体验非常不错(ADVPN:Hub-Spoke类型组网实验),支持SPOKE之间直接互联(ADVPN:Full-Mesh模型组网实验),而且能跑满家庭宽带的上行带宽,特别适合移动组网(别再被SD-WAN价格劝退!手把手教你用百元路由器搭建随车移动专线,成本仅1%),能省下一笔非常可观的网络费用。
那飞塔防火墙的ADVPN怎么样呢?我们今天来一起看一下,设备依旧选择最新版本v7.6.5 build3651的防火墙,授权就是最基础的试用授权。
还是在VPN向导页面,我们能看到有ADVPN的配置模板,名称为【使用ADVPN的中心辐射型】,也就是HUB-SPOKE组网模型。VPN连接从中央FortiGate(Hub设备)辐射到多个远程对等体(Spoke设备)。流量可以在位于HUB设备或远程对等体(Spoke)后面的专用网络之间传递。此外,可以通过ADVPN隧道进行分支到分支流量,看上去,也是支持SPOKE-SPOKE之间的直接互联的。
不过,这里也备注了,支持的远程对等体设备只有飞塔,暂不支持与其他品牌进行互通。
配置时,Hub-Spoke VPN将使用自动发现进行配置,并将BGP作为路由协议,这个好像比华三的OSPF要高级一些,能适应超大规模的设备进行组网。
配置时,需要首先设置Hub来简化分支配置。在配置了hub设备之后,系统会提供Easy Configuration key,来方便进行分支设置。
所以,第一台设备的角色我们就选择【中心】,也就是HUB设备。
配置VPN隧道的参数,跟配置IPsec VPN的一阶段一样,使用预共享密钥认证方法,选择IKEv2,来更好地支持NAT穿越。
当我们选择隧道绑定输入接口时,熟悉的提示又来了,相关接口上的管理访问权限将不再可用,因为IKE TCP和HTTPS配置为使用相同的端口,也就是说,ADVPN默认使用的也是TCP封装的IKE协商。
如果SPOKE设备只有一个,可以配置分支隧道IP为【单独】,如果需要配置多个,则需要配置为【作为范围】,并配置邻居范围前缀。
然后,确认配置,并提交。
其实,到这里,也只是配置完了IPsec VPN的基础部分,相比于华三的配置,我们发现还缺少VAM相关的配置。别急,我们查看VPN隧道,单击【修改】。
在编辑VPN隧道页面,有个Hub&Spoke拓扑结构,在BGP邻居页签,我们单击【添加Spoke】。
这里会默认带出Spoke IP、AS等相关配置,使用默认参数即可;也可以按需进行调整。
添加完成之后,我们可以看到BGP邻居列表中,多了一个邻居,并且后面有一个Easy Config密钥。
鼠标悬浮在Easy Config密钥上方,会有相关提示,单击复制Easy Config Key,就可以简化分支Spoke设备的配置了。
下面是一个Base64编码之后的Easy Config Key。
eyJodWJHYXRld2F5SXAiOiIxMC4xMi4xLjEiLCJodWJUdW5uZWxTdWJuZXQiOiIxMC4xMC4wLjEgMjU1LjI1NS4yNTUuMCIsImh1YlR1bm5lbElwIjoiMTAuMTAuMC4xIiwiaHViSWRlbnRpZmllciI6IjY1NDAwIiwiaWRlbnRpZmllciI6IjY1NDAwIiwidHVubmVsSXAiOiIxMC4xMC4wLjIiLCJpa2VWZXJzaW9uIjoiMiJ9
接下来,我们配置Spoke设备。
模板这里,还是选择【使用ADVPN的中心辐射型】。
角色这里,选择【Spoke】,并把刚才获取到的简易配置密钥粘贴进来。
配置好跟Hub设备一样的预共享密钥。
选择本端绑定到隧道的传出接口和本地接口、本地子网。
接下来,应该是在Easy Config Key中包含了Hub设备的共有IP地址和隧道IP地址,直接带出来了,无需手工配置调整。
组后,确认配置,提交即可。
眨眼之间,隧道就协商成功了。
最后,我们在两端的主机上测试一下。
互访没有问题,查看转发路径,中间经过Spoke设备、Hub设备,然后到目标主机。那转发性能如何呢?
作为只有1核CPU、2 GB运行内存的试用授权,转发性能还能达到300 Mbps以上,最高能到350 Mbps,远远超出了轻量云主机的200 Mbps带宽,可以说是非常强悍了。
在VPN隧道中,也能相对准确的展示流量数据,整体还是很不错的。
通过本次实战,飞塔ADVPN给我们留下了深刻印象:配置向导和Easy Config Key大幅降低了部署难度;而优异的转发性能则确保了网络质量。虽然其在协议互通性上可能偏向飞塔自有体系,但对于计划采用全飞塔方案的企业网络来说,这无疑是一个高效、可靠的选择。
你的网络环境中是否也有分支互联的需求?会考虑采用ADVPN方案吗?欢迎在评论区分享你的看法!
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/6187.html
