IPSec VPN 冗余 IPSec VPN
FortiGate-300 安装和配置指南
195
请见 第 190 页 “ 添加一个加密策略” 。
6 按照如下顺序排列策略:
·向外加密策略
·向内加密策略
·默认的非加密策略 (内部 _ 全部 -> 外部 _ 全部)
冗余 IPSec VPN
为了保证一个 IPSec VPN 通道的连续有效,您可以配置本地 FortiGate 设备和远程
VPN 端点(远程网关)之间的多重连接。使用了冗余配置后,如果一个连接失败了,
FortiGate 设备将使用其他连接建 立通道。
配置由每个 VPN 端点拥有的到互联网的连接数量决定。例如,如果本地 VPN 端点有
两个到互联网的连接,那么它可以提供两个到远程 VPN 端点的冗余连接。
单独一个 VPN 端点最多可以配置三个冗余连接。
VPN 连接双方不需要具有相同的互联网连接数。例如,在两个 VPN 端点之间,一个
可以有多个到互联网的连接,而另一个可以只有一个到互联网的连接。当然,使用不
对称的配置的情况下,VPN 的一端的冗余级别和另一端不同。
配置冗余 IPSec VPN
在配置 VPN 之前,确保两个 FortiGate 设备都有到互联网的多重连接。对于 每个设
备,首先添加多个 (两个或更多)外部接口。然后将每个接口分配到一个外部区域。
最后,为每个接口添加到互联网的路由。
使用对称的设置配置两个 FortiGate 设备到互联网的连接。例如,如果远程
FortiGate 设备有两个外部接口并被分组到同一区域内,那么本地的 FortiGate 设备应
当也有两个在同一区域内的外部接口。
类似地,如果远程 FortiGate 设备有两个外部接口并且在不同的区域中,那么本地
FortiGate 设备应当也有两个在不同区域中的外部接口。
如果所有的外部接口都分组在同一区域内,配置将比接口在不同区域内简单。然
而,处于安全角度考虑,或者其他原因,可能无法这样配置。
当您定义完了两个 FortiGate 设备到互联网的连接后,您可以开始配置 VPN 通道。
向内 NAT 如果需要,选择向内 NAT。
向外 NAT 如果需要,选择向外的 NAT。
注意:为了允许 VPN 辐条访问其他网络,例如互联网,默认的非加密策略是必须的。
注意:IPSec 冗余只能应用于有静态 IP 地址和使用预置密钥或数字证书彼此认证的 VPN 端点。
它不能应用于使用动态分配 IP 地址 (拨号用户)的 VPN 端点。它也不能应用于使用手工密钥的
VPN 端点。