IPsec套件中最常用的两个协议是:
● IKE,负责握手、隧道维护和断开连接。默认情况下,IKE使用UDP端口500。
● ESP,确保数据完整性和加密。ESP使用IP协议编号50。
ESP协议通常存在跨运行NAT的设备的问题。原因之一是ESP不像TCP和UDP那样使用端口号来区分一个隧道和另一个隧道。为了解决这个问题,将NAT遍历(NAT-T)添加到IPsec规范中。当两端启用NAT-T时,对等体可以检测何时沿路径执行NAT。如果找到NAT,那么两个对等体都会发生以下情况:
● IKE协商切换到使用UDP端口4500。
● ESP数据包封装在UDP端口4500中。
为了创建IPsec隧道,两个设备都必须建立其安全关联(SA)和密钥,这由IKE协议提供便利。SA是将安全功能构建到IPsec的基础。SA只是用于加密和验证通过隧道的数据的算法和参数的捆绑。在正常的双向流量中,这种交换由一对SA保护:每个流量方向一个。从本质上讲,隧道的两边必须就安全规则达成一致。如果双方无法就发送数据和验证对方身份的规则达成一致,那么隧道就不会建立。SA过期了,并且在达到其生存期后需要由对等体重新协商。
IKE使用两个不同的阶段:第1阶段和第2阶段。每个阶段都协商不同的SA类型。第1阶段谈判的SA称为IKE SA,第2阶段谈判的SA称为IPsec SA。IKE SA用于设置安全通道来协商IPsec SA。IPsec SA分别用于加密和解密通过隧道发送和接收的数据。
有两个IKE版本:IKEv1和IKEv2。IKEv1是该协议的遗留知名版本。虽然仍然在设备上存在,但它已被弃用,不应用于新的部署。管理员应该迁移到IKEv2,因为它支持更多功能,并且更容易操作。例如,IKEv2专门支持网络ID功能,该功能使管理员能够在相同的本地和远程网关之间建立多个隧道,这在涉及SD-WAN和ADVPN的故障转移场景中可能需要。在本课中,你将了解有关网络ID功能和ADVPN的更多信息。
IPsec覆盖遵循星型设计。中心位于客户的中央办公室或数据中心,分支(也称为分支机构或边缘)分布在所有远程站点(分支机构、零售店、远程工作人员等)。中心充当分支的拨号IPsec服务器,并为每个底层接口提供单独的拨号服务器配置。结果是,每个拨号服务器配置都定义了一个点对多点(PTMP)覆盖。为了拥有网络中所有子网的多个替代路径,每个分支通常连接到所有覆盖。
为了获得更好的性能,建议对每个ISP的覆盖进行分组。也就是说,部署同ISP覆盖比跨ISP覆盖更好。通过在同一ISP上连接隧道,你应该获得更好的性能,因为延迟通常低于跨越多个ISP的数据包的延迟。
大多数IPsec覆盖流量是从分支到中心启动的。分支访问受中心保护的工作负载。工作负载位于中心上,或通过中心可以访问的网络上。由于大多数流量都是在分支到中心方向启动的,因此SD-WAN通常仅部署在分支上。然而,在某些情况下,流量也是在中心到分支方向启动的,这就是为什么中心一侧也可能需要SD-WAN。
动态路由协议,如BGP,用于通过覆盖交换路由信息。拓扑还显示了用于覆盖的IP子网。在ISP1底层(端口1)上建立的覆盖在10.201.1.0/24子网中分配一个地址,在ISP2底层(端口2)上建立的覆盖在10.202.1.0/24子网中分配一个地址。目标是让所有站点在所有可用的覆盖上交换其前缀,并在需要时通过SD-WAN支持ADVPN。虽然静态路由是可能的,但由于可扩展性的原因,动态路由是首选。
隧道与端口1底层相连。拨号ISP2覆盖的配置相同,但绑定接口(端口2)和模式配置地址范围(10.202.1.0/24)除外。隧道的类型设置为动态(拨号服务器)。也就是说,隧道只能从分支一侧启动。动态在中心和分支部署中效果更好,因为它减少了服务器端所需的配置量,同时它使分支具有动态IP地址或位于NAT设备后面。
IKE版本是2。IKEv2被推荐用于提高安全级别和SD-WAN,因为它对ADVPN有好处。网络设备和添加路由都被禁用。前者允许在大型部署中具有更好的性能,并且还需要将拨号IPsec隧道添加为SD-WAN成员。如果你计划使用动态路由协议通过隧道交换路由信息,则可以禁用add-route。
对于死对等检测(DPD),建议在拨号服务器(如中心)上使用按需模式。当你使用按需模式时,如果只有通过隧道的出站流量,但没有入站流量,FortiGate会发送DPD探针。由于开销减少,按需模式在中心上更方便。中心越被动,它的扩展就越好。
要将IP地址分配给分支的覆盖,请启用mode-cfg。ipv4-xxx设置也被定义为指示要使用的IP地址范围和网络掩码。第2阶段的配置很简单。网站使用动态路由交换其前缀,因此保持加密域打开更方便。这样,SD-WAN、FIB和防火墙策略决定了流量转发策略。
每个IPsec接口都分配了一个IP地址。这是覆盖的本地IP,BGP将其用作广告中的下一跳(NH)地址。
创建一个环回接口,作为分支上性能SLA中定义的目标服务器。
IPsec隧道被放置在覆盖区域。请注意,由于隧道是动态的,你必须首先在其第1阶段配置上禁用net-device。否则,FortiOS不允许你将隧道配置为SD-WAN成员。
其余的配置相当简单。但是,请注意,你可能必须为每个分支配置至少一个性能SLA和一条规则。因此,分支的数量越多,配置就越大。你可以通过使用被动监控来减少性能SLA的数量。这样,FortiGate根据通过它的用户流量来衡量覆盖的性能,因此,不需要你配置目标服务器来发送探针。你还可以通过使用路由标签而不是固定的防火墙地址对象来减少在分支上维护目标网络的管理开销。这样,如果分支上的前缀发生变化,则规则上的目标会自动更新,而无需更改配置。
对于SD-WAN,由于SD-WAN的多路径性质,ECMP是预期的。如果使用IBGP,你必须启用ibgp-multipath来支持IBGP路由的ECMP。
由于远程BGP扬声器(分支)是拨号客户端,因此可以方便地为在每个底层上建立的覆盖定义一个邻居组。这样,BGP对等总是从分支预期开始,因为分支是拨号客户端。然后,FortiGate为每个BGP对等应用邻居组中的通用设置。
在每个邻居组条目中,接口和更新源设置分别指示用于BGP数据包的源接口和源IP地址。这很重要,因为SD-WAN的多路径性质。FortiOS执行路由查找,以确定BGP数据包的传出接口。将BGP数据包绑定到接口和源地址可确保分支和中心之间没有交叉覆盖BGP对等。
请注意,在此设置中,update-source是多余的,并不是真正需要的。接口设置会自动强制源IP地址为所选接口的源IP地址。对于BGP的源IP地址与源接口不同的情况,update-source更有用。一个常见的例子是使用环回接口地址作为源IP。然而,即使冗余,为了一致性目的配置update-source设置仍然是一个好的做法。
启用route- reflector-cleint设置后,分支可以了解彼此的前缀。
上图的图表显示了BGP路由反射器的工作原理。中心作为路由反射器,反射了由speak1宣传的10.0.1.0/24前缀到speak2。中心通过两个叠加来学习前缀——T_INET_0和T_INET_1,分别使用不同的下一跳——10.201.1.1和10.202.1.1。也就是说,中心通过两个不同的路径学习前缀:一个是下一跳10.201.1.1,另一个是下一跳10.202.1.1。
然后,中心将前缀反映到speak2,而spoke2反过来执行递归查找,以确定基于下一跳用于前缀的传出接口。递归查找与叠加IP子网的静态路由匹配,这就是为什么BGP路由显示T_INET_0作为传出接口。
重要的是要强调以下几点:
● spoke2上的路由表显示第二[2],以指示10.0.1.0/24的重复路由。它们是IBGP保留下一跳的结果。重复的路由在FIB上可见,并在路由表上汇总,以提高可读性。
● 中心只反映到10.201.1.1的路径。它不反映通过10.202.1.1的路径。这是因为中心没有配置为为前缀发布附加路径(set additional-path disable)。
neighbor-range中的每个条目定义了用于每个邻居组的IP地址范围。例如,在10.201.1.0/24子网中具有IP地址的对等体被视为Spokes_INET_0邻居组的一部分。通常,这些组对应于构建在相同类型底层链路(相同的ISP或BGP)上的覆盖隧道的BGP邻居。当你激活路由反射时,邻居组有助于限制单个邻居组内的路由传播。
config network中的每个条目都指示要注入BGP表的内部网关协议(IGP)前缀,以便将其广告给对等体。IGP是指路由表中的非BGP路由,如OSPF、RIP、连接和静态。虽然上图没有显示中心路由表,但10.1.0.0/24是连接的路由,这就是为什么你配置网络条目将其广告到分支上。
隧道与端口1底层相连。除了绑定接口(端口2)和远程网关的IP地址外,ISP2覆盖的配置相同。隧道的类型设置为静态(拨号客户端),因为远程网关(中心)的IP地址是已知的。在这种情况下,地址对应于分配给中心上端口1的地址。
如果你想在SD-WAN中支持ADVPN快捷方式,则必须启用net-device。虽然禁用net-device可以提供更好的性能,但启用设置不应该是一个问题,因为分支上部署的覆盖数量通常很少。
第2阶段的配置与中心中的配置相同。加密域是开放的,可以让SD-WAN、FIB和防火墙策略决定流量转发策略。
你不必为覆盖分配IP地址。他们的IP地址是使用IKE模式配置获得的。
配置相当简单。两个覆盖被放置在overlay区域。VPN性能SLA使用ping 10.200.99.1来主动测量覆盖的运行状况和性能,这是中心上环回接口的地址。
最佳质量的SD-WAN规则配置为将ICMP流量从10.0.1.0/24引导到10.0.0.0/8。该规则使用VPN性能SLA来确定overlay区域中的最佳质量成员。
config neighbor中的每个条目定义了覆盖的BGP邻居的IP地址。例如,10.201.1.254是在ISP1上建立的中心覆盖的IP地址,10.202.1.254是在ISP2上建立的中心覆盖的IP地址。
config network中的条目指示分支将IGP前缀(10.0.1.0/24)注入BGP表,以便将其宣传给对等体。虽然上图并没有显示分支路由表,但10.0.1.0/24是一条连接的路由,这就是为什么我们配置了一个网络条目来将其广告给分支。
正如上一课所解释的,SD-WAN覆盖模板将简化配置。你只需输入特定于网络的参数,如网络IP范围,FortiManager会按照Fortinet推荐的最佳实践创建IPsec隧道模板。
使用预定义的模板,你只需定义主要参数,如上图所示。BRANCH_IPsec_Recommended和HUB_IPsec_Recommended模板将添加之前幻灯片上讨论的参数,如隧道类型或网络设备设置。稍后,你可以编辑准备好的模板以进行微调和高级设置。
请注意,你还可以使用这些模板启用ADVPN,并在中心和分支拓扑上设置相应的推荐参数。
对于中心:
● 拨号服务器的动态隧道类型
● 禁用net-device
对于分支:
● 静态隧道类型(远程端IP地址已知)
● 启用net-device
这些参数对应于本课前面讨论的IPsec覆盖隧道配置的推荐设置。
这些模板还将启用网络叠加,并为中心配置网络ID,对于分支,配置本地ID和网络ID。或者,你可以编辑模板,为两种类型的设备添加keepalives。对于中心,你需要使用VPN接口IP地址和远程IP子网设置完成模板配置。这可以使用CLI模板完成。
对于BGP,你可以配置FortiGate,通过降低keepalive和保持计时器来更快地降低死对等体。你还可以通过减少广告间隔来降低FortiGate在BGP更新之间等待的时间,从而加快路由收敛速度。同样,你可以通过减少连接计时器值来加速对等设置。否则,在连接尝试失败后,FortiGate可以等待一分钟或更长时间才能再次尝试连接,这会减慢路由收敛速度。
对于BGP来说,启用链路故障转移功能也是关键。默认情况下,如果绑定接口(在这种情况下的覆盖下降),FortiGate不会降低对等。相反,FortiGate等待保留计时器过期。如果你启用了链路故障转移,那么FortiGate会在他们使用的接口下降后立即关闭对等体,这可以加速故障转移。
对于IPsec,你可以减少DPD重试计数和重试间隔设置,以加速检测死远程网关。DPD重试计数定义了在考虑远程网关死机之前的DPD重试尝试次数。DPD重试间隔定义了FortiGate在发送DPD消息后等待的时间,然后将DPD尝试视为失败(未回答)。如果使用DPD空闲模式,DPD重试间隔还定义了FortiGate在考虑隧道空闲之前等待的空闲时间。话虽如此,在默认设置下,DPD需要80秒才能检测到死网关:20秒的空闲时间加上三条未回复的DPD消息的60秒。例如,通过将重试计数和重试间隔分别设置为2和10,FortiGate检测死网关所需的时间减少到30秒:10秒的空闲时间加上两个未回复的DPD消息的20秒。
虽然建立了连接,但由于跨ISP覆盖路径引入了额外的延迟,性能并不是最好的。要指示FortiGate更喜欢在同ISP覆盖层中保留分支到分支流量,你可以配置上图显示的策略路由。
请注意,策略路由仅为偏好。也就是说,只有当FIB包含传出覆盖的路由时,才会使用它们。否则,它们将被跳过,FortiGate根据FIB中的最佳路线转发流量。
覆盖粘性对ADVPN非常重要,因为它有助于防止分支试图在无法到达的基础上协商捷径。在本课中,你将了解有关ADVPN和覆盖粘性的更多信息。
对于SD-WAN,建议让站点学习所有可能目的地的所有可用路径,否则SD-WAN规则和成员可能会因为FIB中没有路由而被跳过。因此,允许FortiGate宣传其他路径是最佳做法,以便对等体知道所有可用的路径。你应该将中心配置为每个覆盖广告一个路径。
上图的图表显示了中心为10.0.1.0/24学习的两条路径:一条通过T_INET_0与下一跳10.201.1.1学习,另一条通过T_INET_1与下一跳10.202.1.1学习。中心被配置为发送两个额外的路径,以及反映从客户端学到的前缀。此外,分支被配置为接收邻居发送的任何其他路径。结果是,speak2现在通过两个覆盖从中心接收10.0.1.0/24的两条路径,总共接收了四条路由。由于IBGP保留了下一跳信息,那么 spoke2上的路由表数据库会显示前缀的重复路由。
要使中心发送附加路径,它必须首先识别从BGP邻居那里学到的唯一路径。中心基本上为前缀收到的每个唯一路径分配一个标识符。你指示FortiGate通过在config router bgp下启用additional-path来识别路径。你可以使用get router info bgp network命令查看标识符和路径。
接下来,中心必须选择两个或更多识别的路径,以便稍后向邻居宣传。你需要使用additional-path-select设置来控制选定的已识别路径的数量。
在中心识别所有路径并选择一些已识别的路径进行宣传后,你必须指明你希望中心宣传其他路径的邻居以及有多少。你可以使用config neighbor-group下的additional-path和adv-additional-path设置进行配置。
上图显示的中心示例配置指示FortiGate识别从邻居收到的所有路径,并选择其中两个在BGP上做广告。此外,中心FortiGate向每个邻居组的对等体进行广告(或发送)两个选定的附加路径(即所有选定的附加路径)。
在充当附加路径接收器的分支上,你必须在每个邻居条目下设置additional-path为receive附加路径,因此分支FortiGate接受中心发送的所有附加路径。
当你在IPsec覆盖上启用FEC时,发送的FortiGate会通过隧道传输称为奇偶校验数据包的其他数据包。奇偶校验数据包包含纠错数据,这些数据是根据原始数据包中包含的数据计算的。然后,接收FortiGate可以使用奇偶校验数据包来重建任何丢失的数据包,或任何带有错误的数据包。
虽然FEC增加了IPsec隧道的带宽使用量,但它也通过克服不利的WAN条件(如有损或噪声底层)来提高覆盖的可靠性。FEC对于为语音和视频服务等关键业务应用程序提供更好的用户体验很有用。
请注意,FortiOS会自动禁用受FEC约束的流量的硬件卸载,从而增加CPU使用率。
FEC的工作原理是在fec-send-timeout期间内发送的每个fec-base数据包发送一个fec-redundant奇偶校验数据包。然而,如果达到fec-send-timeout,FortiGate会发送奇偶校验数据包,无论fec-base如何。fec-send-timeout周期在FortiGate收到目的地为隧道的第一个数据包后开始。如果你应用上图显示的配置,那么FortiGate在八毫秒时间内通过隧道发送的每20个数据包通过T_INET_0发送两个奇偶校验数据包。
另请注意,你必须指明你希望FEC运行的方向。例如,如果你希望FortiGate在出口方向上发送奇偶校验数据包,那么您必须启用fec-egress。同样,如果你希望FortiGate处理远程FortiGate发送的奇偶校验数据包,那么你必须启用fec-ingress。你还必须在与要生成奇偶校验数据包的流量匹配的防火墙策略上启用fec。请注意,你不必手动禁用硬件卸载。FortiOS将在受FEC约束的会话中自动为你执行此操作。
请注意,当你启用FEC时,FortiGate将使用上图显示的特定安全有效负载索引。
上图还显示了使用示例配置进行的数据包捕获。数据包捕获显示原始数据包(ICMP回声请求到10.0.2.101)越过T_INET_0覆盖,该覆盖绑定到端口1。数据包捕获还显示另外三个ESP数据包出口端口1。虽然输出中没有显示,但第一个ESP数据包带有原始的ICMP回声请求数据包。以下两个ESP数据包是原始ICMP回声请求数据包的奇偶校验数据包。
第一个输出显示了启用FEC之前的ping统计信息。报告的数据包丢失率为27%。
第二个输出显示了管理员使用上图显示的设置在本地和远程FortiGate设备上启用FEC后的ping统计信息。数据包丢失减少到12%。
然后,管理员将隧道两端的fec-redundant设置从1增加到3。因此,数据包丢失减少到1%。
因此,你可以通过启用FEC和增加fec-redundant设置来提高噪声覆盖的质量。请记住,fec-redundant值越高,使用的带宽就越多。
数据包复制是一个SD-WAN功能,使你能够通过任何类型的最多三个额外成员发送重复的数据包,前提是目的地的最佳路由是SD-WAN成员,并且用于复制的链接有目的地的路由。与FEC中的奇偶校验数据包不同,FEC中的奇偶校验数据包不是原始数据包的精确副本,重复数据包是原始数据包的逐字记录。这样,重复的数据包可用于数据丢失保护,以及带外检查或数据包捕获。
你还可以在接收FortiGate上启用数据包重复数据删除。当你这样做时,接收的FortiGate只接受收到的数据包的第一个副本,并删除额外的副本。目标是通过指示FortiGate只转发一个副本,而不是转发所有副本并让下一跳丢弃额外的数据包,从而在接收端节省资源。
上图的示例显示了两个通过三个IPsec覆盖连接的FortiGate设备,它们是覆盖区域的成员。在分支FortiGate上,管理员配置了一个复制规则,指示FortiGate始终复制(强制复制)来自10.0.1.0/24并指向10.1.0.0/24的任何数据包,最多三个链接。在中心FortiGate上,管理员配置了一个重复规则来重复重复相同的流量。
结果是,当分支FortiGate收到与复制规则匹配的数据包时,它会将原始数据包转发给区域中的首选成员,并通过两个额外的链接转发两个额外的副本,总共三个数据包。在远程端,中心FortiGate只接受通过T_MPLS接收的数据包,因为它是第一个到达的数据包,并丢弃通过T_INET_0和T_INET_1接收的额外副本。结果是,只有一个数据包被转发到本地接口(端口5)。
分支和中心的重复规则分别表示重复和去重复的流量的5元组。在分支上,duplication-max-num设置为3。这指示FortiGate最多转发三份数据包副本,原始数据包加两份副本。此外,每个副本都通过不同的成员发送。在分支上,packet-duplication被设置为force(强制),这指示FortiGate始终复制数据包。另一种方法是将packet-dulication设置为on-demand(按需),这指示FortiGate根据传出接口的SLA状态复制数据包。在本课中,你将了解有关按需复制的更多信息。
在中心端,启用了packet-de-duplication功能,以指示FortiGate仅接受数据包的一个副本(第一个到达)并删除任何其他副本。
上图还分别显示了分支和中心上相应重复和重复数据包的嗅探器输出。在分支上,在端口5接收原始ICMP回声请求数据包,然后转发到T_INET_1。分支还转发了另外两个副本,一个转发给T_MPLS,另一个转发给T_INET_0。在中心端,所有三个数据包都被接收,但只有收到的第一个数据包(在T_MPLS接收的数据包)被接受和转发。然后,中心FortiGate创建一个以T_MPLS作为传入接口的会话,这就是为什么ICMP回声响应数据包被转发到同一接口。
当你配置按需数据包复制时,FortiGate在创建任何重复数据包之前,会考虑为路由原始数据包而选择的传出接口的质量。根据数据包的SD-WAN规则查找来选择传出接口。也就是说,数据包不必匹配用户定义的SD-WAN规则才能触发重复。强制数据包重复也是如此。
FortiGate根据配置的SLA目标的状态来确定传出接口的质量。如果接口至少满足其配置的SLA目标之一,则FortiGate认为质量是可以接受的,并且不会创建重复。如果接口不符合其任何配置的SLA目标,或者接口没有配置任何SLA目标,则FortiGate执行重复。
上图显示了在不同时间拍摄的三个覆盖的健康状况。假设T_INET_0是原始数据包的选定传出接口,那么当T_INET_0的性能是第一个输出中显示的性能时,FortiGate不会创建重复。但是,如果性能是第二个输出中显示的性能,那么FortiGate会创建重复项,因为T_INET_0不符合任何SLA目标。
上图显示了与SD-WAN规则ID 1匹配的强制数据包复制规则的示例。请注意,在使用服务设置配置SD-WAN规则ID后,在重复规则上定义流量的5元组的选项将被隐藏。这是因为匹配标准现在由SD-WAN规则定义。
上图还显示了SD-WAN规则状态。输出表明SD-WAN规则将来自任何来源的ICMP流量匹配到10.1.0.7。结果是,FortiGate只复制与SDWAN规则ID 1匹配的流量。其他流量,如SSH,没有重复。
IKE模式配置的替代方案是IPsec交换接口功能。你不是使用IKE模式自动分配地址,而是手动在分支和中心两侧分配地址,然后在隧道协商期间让IKE交换它们,以便每个网关都知道远程覆盖IP。其结果是,你可以为分支覆盖分配一个固定地址,然后可用于监控和识别目的。
上图显示了中心和分支上使用IKE交换IPsec接口IP地址所需的更改。每端的配置更改都是相同的,除了你在每侧分配不同的本地IP地址,在分支FortiGate上,你还必须定义中心IP地址。此外,在定义中心IP地址时,使用覆盖子网网络掩码(示例中的/24)而不是/32作为网络掩码。当使用IBGP反射路由时,使用覆盖子网网络掩码对于下一跳分辨率很有用。
请注意,FortiGate使用Fortinet专有属性来交换IP地址。这意味着,与作为标准IPsec功能的IKE模式配置不同,只有当两个网关都是FortiGate设备时,你才能使用IKE交换IP地址。
另一种方法是使用全网格拓扑,它能够以牺牲更高的成本和增加的行政开销为代价,实现直接的分支到分支通信。然而,这并不总是实际的,甚至是可行的,特别是在大型网络中。
ADVPN(自动发现VPN)是基于IKE和IPsec的Fortinet专有解决方案,通过使分支在它们之间自动协商按需IPsec隧道(称为快捷方式)来解决中心和分支中直接分支到分支通信的需求,而你无需进行拓扑更改或许多配置更改。在建立快捷方式和路由融合后,分支到分支的流量不再需要流过中心。
SD-WAN支持ADVPN快捷方式。为此,SD-WAN通过快捷方式自动引导流量,并监控其运行状况和性能。你将父隧道添加为成员,在协商快捷方式后,SD-WAN会自动开始通过快捷方式引导流量。
上图的拓扑结构还显示了在分支1和分支2之间建立的快捷方式。其结果是,FortiGate通过捷径而不是通过中心路由分支到分支流量。
● 按需隧道支持NAT
● ADVPN需要使用路由协议
● 目前支持BGP、OSPF、RIPv2/RIPng和静态路由
● 它还支持PIM和组播
● 支持IPv4和IPv6协议
● Fortinet建议使用IBGP作为ADVPN拓扑的路由协议
● 应在分支覆盖上启用auto-discovery-receiver,以通知分支已到达的中心。
● 应在连接分支的中心覆盖启用auto-discovery-sender,以允许分支之间的快捷协商。
现在,假设波士顿的一名用户向芝加哥发送流量。最初,波士顿和芝加哥之间的捷径尚未谈判。因此,第一批数据包通过Hub 1路由。当Hub 1收到这些数据包时,它知道ADVPN都启用了两个分支。因此,Hub 1向波士顿发送了一条IKE消息,通知它可以尝试谈判与芝加哥的直接连接。收到此IKE消息后,New-York会创建一个特定于FortiOS的IKE信息消息,其中包含其公共IP地址、本地子网、所需的目标子网(芝加哥的子网)和自动生成的PSK(或者,它也可以使用数字证书身份验证)。此IKE消息通过Hub 1发送到芝加哥。当芝加哥收到来自纽约的IKE消息时,它会存储PSK,并回复另一个包含芝加哥公共IP地址的IKE信息消息。回复到达纽约后,两个同行之间谈判了捷径。谈判成功了,因为芝加哥预计纽约的公共IP地址将尝试连接。在本课中,你将更详细地探索这一点。
1. Spoke 1背后的客户端为位于Spoke 2网络上的设备生成流量。
2. Spoke 1接收数据包,对其进行加密,并将其发送到中心。
3. 中心从Spoke 1接收数据包,并将其转发到Spoke 2。
4. Spoke 2接收数据包,解密它,并将其转发到目标设备。
5. 中心知道,从Spoke 1到Spoke 2可能会有一个更直接的隧道选项。中心向Spoke 1发送快捷提供消息。
6. Spoke 1通过向中心发送快捷查询来确认提供的快捷方式。
7. 中心将快捷方式查询消息转发到Spoke 2。
8. Spoke 2确认快捷方式查询,并向中心发送快捷方式回复。
9. 中心将快捷方式回复转发给Spoke 1。
10. Spoke 1和Spoke 2启动隧道IKE谈判。
● 应在分支覆盖上启用auto-discovery-receiver,以通知中心分支可以协商快捷方式。
● 应在连接分支的中心覆盖上启用auto- discovery-sender,以允许分支之间进行快捷协商。
● 应在连接到另一个中心的中心覆盖上启用auto- discovery-forwarder,以在中心之间转发ADVPN发送方和接收信息。
现在,假设波士顿的一个用户向伦敦发送流量。最初,波士顿和伦敦之间的捷径尚未谈判。因此,从波士顿到伦敦的第一批数据包通过Hub 1和Hub 2路由。当Hub 1收到这些数据包时,它知道ADVPN在一直到伦敦的所有VPN中都已启用。因此,Hub 1向波士顿发送了一条IKE消息,通知它可以尝试谈判与伦敦的直接联系。收到此IKE消息后,波士顿会创建一个特定于FortiOS的IKE信息消息,其中包含其公共IP地址、本地子网、所需的目标子网(伦敦的子网)和自动生成的PSK(或者,它也可以使用数字证书身份验证)。此IKE消息通过Hub 1和Hub 2发送到伦敦。当伦敦收到来自波士顿的IKE消息时,它会存储PSK,并回复另一个包含伦敦公共IP地址的IKE信息消息。回复到达波士顿后,两位同行之间就捷径进行了谈判。谈判成功了,因为伦敦期待从波士顿的公共IP地址进行连接。在本课中,你将更详细地探索这一点。
在中心上,你必须禁用net-device,并在每个覆盖的第1阶段配置上启用auto-discover-sender。
在分支上,你必须在每个覆盖的阶段1配置上启用net-device和auto-discovery-receiver。你还必须允许接口响应ping数据包。原因是SD-WAN将ping探针发送到远程分支的覆盖IP地址,以监控快捷方式性能和运行状况。因此,如果你不启用ping访问,则ping探针将失败,快捷方式将被标记为死。
请注意,net-device默认处于禁用状态,因此请确保在分支上启用它。
上图的拓扑显示了两个覆盖,一个在ISP1上建立,另一个在MPLS上建立。ISP1是一个带有公共IP地址的互联网链接。MPLS是一个专用链路,具有仅在MPLS提供商网络中可路由的专用IP地址。相同ISP叠加快捷方式已成功协商,因为分支可以通过相应的底层到达彼此的对等IP。然而,跨ISP覆盖层无法建立,因为ISP1和MPLS网络在它们之间无法路由。也就是说,在捷径谈判期间,使用其公共IP的分支无法到达对等体的私有IP,反之亦然。
对于BGP,FortiManager定义了具有additional-path enable和recursive-next-hop enable的模板。
对于IPsec,FortiManager在中心上启用auto-discovery-sender,在分支上启用auto-discovery-receiver,并调整其他一些参数,如上图所示。
请注意,如果你使用动态路由协议,则必须禁用add-route。这确保了IKE协议不会添加路由(回到分支到中心)并将路由完全留给已配置的动态路由协议。
对于中心阶段1:
● mode-cfg 启用
● net-device 选项禁用
● add-route 选项禁用
● auto-discovery-sender 选项启用
● network-overlay 启用
● network-id 配置
对于分支阶段1:
● mode-cfg 启用
● net-device 选项禁用
● add-route 选项禁用
● auto-discovery-receiver 选项启用
● network-overlay 启用
● network-id 配置
你可以根据需要编辑、查看和调整模板设置。
请注意,如果你使用动态路由协议,则必须禁用add-route。这确保了IKE协议不会添加路由(返回分支或返回中心)并将路由完全留给配置的动态路由协议。
接下来的图片显示了在spoke1后面的端点向spoke2生成流量后,在分支之间建立快捷方式时,FortiOS路由表、SD-WAN规则的诊断输出以及性能SLA如何变化。请注意,speak1上的首选成员是T_INET_0。
请注意,第一个IBGP路由的下一跳的递归查找解析为T_INET_0。这是因为由于启用了IKE模式配置功能,FortiOS在speak1上添加了一条静态路由到10.201.1.0/24。
另请注意,SD-WAN规则以手动模式配置,首选成员是T_INET_0。
Spoke1上的路由表也反映了成功的快捷方式协商。FortiOS通过快捷方式安装静态路由,以到达远程辐条的覆盖IP地址。结果是,IBGP路由到10.0.2.0/24的下一跳现在递归解析为快捷方式,而不是父隧道。请注意,通过父隧道连接到10.201.1.0/24的IKE模式配置路由仍然存在。只是到10.201.1.2/32的新静态路线更好(更具体)。
此外,IPsec隧道摘要输出还显示了新的快捷方式。请注意,快捷方式名称由父隧道名称组成,后跟下划线和数字。
请注意,FortiGate将快捷方式移动到列表顶部,因此它优先于父隧道。
快捷方式协商从hub开始。在hub上,到spoke1的隧道是T_INET_0_0,其远程网关是192.2.0.1。通往speak2的隧道是T_INET_0_1,其远程网关是203.0.1113.1。集线器确定可以在两个分支之间协商一条捷径,用于来自10.0.1.101并目的地为10.0.2.101的流量。因此,hub向speak1发送快捷方式报价,以启动快捷方式协商。
然后,spoke1从hub接收快捷方式报价,并用快捷方式查询回复。然后,hub接收来自speak1的快捷方式查询,并将其转发到speak2。
请注意,在本例中,Hub上的speak1隧道的名称与speak1上的快捷隧道相同。然而,隧道是不同的。也就是说,在集线器上,T_INET_0_0是将hub连接到spoke1的子隧道,这是将hub配置为IPsec拨号服务器的结果。在speak1上,T_INET_0_0是与speak2协商的捷径。子拨号和快捷隧道都使用相同的名称约定。
在FortiAnalyzer中查看日志时,可以通过AD-VPN Shortcut列查看advpnsc标志。
上图显示了日志显示的示例,经过过滤,仅在FortiGate CLI和FortiAnalyzer GUI上查看与ADVPN相关的消息。
通常,IPsec隧道的寿命设置为几个小时,这意味着空闲快捷方式保持在同一时间段,除非它们被手动刷新或被DPD检测到死亡,这可能会导致分支上不必要的资源利用。
为了降低资源利用率,你可以为快捷方式配置空闲超时。这样,如果FortiGate在一段时间内没有用于转发用户流量,则会降低快捷方式。请注意,健康检查流量不被视为用户流量,因此,它不会阻止空闲隧道超时。
上图展示了如何为快捷方式设置空闲超时。示例配置将空闲超时设置为五分钟。上图还显示了快捷方式过时在IKE调试中看到的一些相关消息。
受停电条件影响的链接——即链接已上升,但其质量下降——可能会在短时间内切换进出SLA状态。这可能会导致语音或视频等敏感应用程序的用户体验不佳,以及频繁的会话重新评估导致的高CPU利用率。
为了防止立即故障恢复到恢复的成员,包括恢复的快捷方式,你可以在SD-WAN规则上配置hold-down-time设置。结果是,FortiGate等待设定的秒数,然后将恢复的成员移回传出接口列表中的原始位置。通过这种方式,FortiGate可以更准确地监控成员,并确保它在开始引导流量之前在一定时间内满足所需的SLA目标。
上图显示了hold-down-time设置的示例配置,该设置设置为20秒。该设置适用于规则中配置的所有成员,包括ADVPN快捷方式。强烈建议使用最低成本(SLA)规则在SD-WAN和ADVPN部署上配置至少20秒的值。
请注意,该设置仅影响最低成本(SLA)和最佳质量规则。Hold-down-time默认值为0,这意味着没有故障恢复延迟。当您将其设置为高于0的值时,服务SDWAN规则状态会反映变化,如上图所示。
为了节省资源并获得更快的路由收敛,你可以指示FortiGate在其父隧道关闭后立即关闭快捷方式,方法是将auto-discovery-shortcuts配置为dependent,如上图所示。默认情况下,设置设置为independent。
1. 所有设备在端口1上都有一个互联网底层。
2. 分支具有双IPsec覆盖,每个中心一个。在覆盖上启用了ADVPN。
3. 从spoke1到spoke2的流量最初通过父隧道流向hub1,并开始快捷协商。
4. 在spoke1和spoke2之间建立了一条捷径,分支对分支的流量开始通过捷径流。
5. 在hub1上,互联网接入丢失,导致hub1和spoke1之间的父隧道下降。然而,快捷方式仍然有效,因为它的生命周期独立于父隧道(默认行为)。
6. Spoke1上的路由信息已更新,现在可以通过hub2访问spoke2,这会触发会话重新评估。从spoke1到spoke2的流量开始流经hub2,hub2上的捷径开始。在这一点上,在hub1上协商的第一个捷径仍然存在。
7. Hub2上的快捷方式协商失败,因为在同一对网关之间已经建立了一条快捷方式。也就是说,本地和远程网关IP地址是相同的。
当你为每个覆盖设置不同的网络ID时,可以同时设置两个快捷方式,即在hub1上协商的快捷方式和在hub2上协商的快捷方式。
当你配置多个在同一本地IP地址上终止的拨号VPN,并且你希望用户连接到特定的VPN时,网络ID对网关查找也很有用。由于网络ID位于发起器的第一个数据包中,因此可用于识别要匹配的正确第1阶段网关配置。
注意,你需要启用network-overlay才能配置network-id。
ADVPN快捷方式上的路由由IPsec协议管理,而不是BGP路由反射。通过使用phase2选择器,每个站点在建立隧道的IPsec协商期间宣布其受保护的子网。
路由反射和phase2选择器都是允许通过ADVPN快捷方式路由的解决方案。每个人都有自己的优势和局限性。上图显示的表格总结了选择选项时要考虑的主要元素。
使用BGP路由,这两个选项是可能的。请注意,第2阶段选择器允许BGP路由聚合,因此简化了路由表。在中心上,它减少了BGP守护进程负载,并可以帮助提高大型ADVPN网络的可扩展性。第2阶段选择器选项还允许简化BGP配置(没有路由反射,没有添加路径),但它增加了IPsec第2阶段的配置要求。管理员必须定义每个本地网络。
你应该确保覆盖所需的路由已正确配置。它可以是静态的、OSPF或BGP。如果你使用BGP路由和SD-WAN,你应该允许额外的路径广告,以允许SD-WAN学习所有可能的路径并正确引导流量。保持参数route-reflector-client处于禁用状态(默认设置)。
在IPsec第1阶段,你必须启用配置方法(mode-cfg enable),并允许根据目标选择器(add-route enable)添加路由。你还必须启用参数mode-cfg-allowclient-selector,以允许在phase2级别配置自定义选择器。
在第2阶段,你将定义将注入隧道和隧道快捷方式建立的本地子网。你可以直接将本地子网定义为子网或防火墙地址对象。在上图显示的配置示例中,源子网使用防火墙地址组LAN_net定义。当你想将多个子网定义为phase2源时,需要这种带有地址对象的配置。
ADVPN快捷方式的建立遵循与第2阶段选择器和路线反射相似的相同步骤——快捷方式提供、快捷方式查询、快捷方式回复。为了进行故障排除和查看快捷隧道的建立,你可以使用本课程前面看到的命令。
711
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
