我在总部有一个 FortiGate 防火墙,在一些分支机构有 Cisco ASA。IPsec 隧道在总公司和每个分支机构之间运行。一些分支机构有两个 ISP - 主要和备用。例如,在具有一个公共地址的 Cisco ASA 和具有两个公共地址的远程 Cisco ASA 之间建立一条隧道是一项简单的任务:我们可以在主办公室设备的加密映射中设置两个远程对等点。但是我们不能在第二阶段的 FortiGate IPSec 设置中做同样的事情。
我该如何解决这个任务?
先感谢您。
FortiGate:IPSec 点对点和两个远程点
网络工程
ipsec
加强
2022-02-21 23:55:34
2个回答
这可以通过使用基于路由的隧道并在顶部抛出 BGP 轻松完成,这样您就可以同时与两个 ASA 连接对等,并使用 BGP 支持的路由首选项方法之一,称为 AS-path prepending,对其中一条路由进行“加权”,使其不如另一条优先,但在首选路由消失的情况下(例如连接被切断),它已经作为备用路由可见。
FortiGates 默认使用基于路由的隧道,但您可以通过功能可见性屏幕启用基于策略的隧道。对于 ASA 端,您需要运行 9.7 或更新版本的 ASA OS 以支持 VTI(虚拟隧道接口)并能够创建基于路由的隧道。
有关如何在 ASA 上使用 BGP 创建基于路由的隧道和 VTI 的示例和详细信息,您可以按照此处的指南进行操作
其它你可能感兴趣的问题