【简介】前面所有实验基本上是由向导来完成的，只有隧道聚合实验是手动设置的。那么远程访问经常用到的走对方宽带上网功能，需要怎样手动配置呢？

---

  实验要求与环境

　　OldMei集团深圳总部防火墙现在有三条宽带了，二条普通宽带用来上网及连接IPsec VPN，另一条MPLS专线用来访问指定网站。

　　OldMei集团上海分公司也有两条宽带，已经和深圳总部防火墙建立了两条IPsec VPN。为了充分利用两条IPsec VPN，创建了隧道聚合。要求上海分公司也可以通过深圳总部MPLS专线访问指定网站。

　　解决方案：对上海分公司访问流量进行分流，普通上网仍然走本地宽带，特殊访问走聚合隧道。这个通过策略路由来实现。深圳总部允许隧道流量走MPLS专线。也是由策略路由来实现。

　　实验目标：笔记本电脑网卡连接上海分公司internal接口，可以通过聚合隧道访问深圳服务器，还可以通过深圳MPLS专线访问指定网站。

  深圳总部防火墙配置

　　要想通过隧道走对端防火墙宽带上网，对端必须具备三个条件。

　　① 首先是IPsec VPN隧道的阶段2，有上网宽带那端不能做限制。登录深圳防火墙，选择菜单【VPN】-【IPsec隧道】，点开聚隧道，编辑第一条隧道。

　　② 手动创建IPsec VPN隧道时，默认本地地址和对端地址均为0.0.0.0/0.0.0.0，这样所有流量都可以走隧道。满足第一个条件。

　　③ 第二个条件是要有允许隧道访问宽带的策略。选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　④ 创建一条普通的上网策略，只是流入接口为隧道聚合而已，上网策略要启用NAT。

　　⑤ 这样隧道聚合口即可以走DMZ接口访问服务器，也可以走wan2接口通过MPLS专线访问指定网站。第二个条件具备了。

　　⑥ 第三个要具备的条件，那就是路由了。选择菜单【仪表板】-【网络】，点击【路由】。

　　⑦ 路由表上有三条默认路由，管理距离都为10，所以三条宽带都可以同时使用。优先级MPLS专线为5，数字越小越优先，因此，正常情况下，所有流量走都优先级为1的wan1口出去了。那么我们要让隧道聚合流量走MPLS专线出去，要怎么办？

　　⑧ 这就要用到比静态路由更优先的策略路由了。但是默认情况下菜单上并没有策略路由选项。

　　⑨ 选择菜单【系统管理】-【可见功能】，启用【高级路由】后，点击【应用】。

　　⑩ 刷新一下界面，在静态路由下就出现策略路由菜单了。选择【策略路由】，点击【新建】。

　　⑪ 策略路由设置有点象配置策略，又有点象配置路由，当然还是比较好理解的，这条策略路由是说SZ-SH接口的所有IP，访问所有内容（也就上网），指定走MPLS专线出去，下一跳网关是172.16.188.1。

　　⑫ 大家一定要记住这一点，策略路由优先于静态路由，只有策略路由不匹配了，才会到静态路由中去查找。

　　⑬ 另外在我们经常查看的路由小视窗里，通过右上角选择【策略路由】，也可以看到策略路由表。

  上海公司防火墙配置

　　要想通过隧道走对端防火墙宽带上网，本端也同样必须具备三个条件。 

　　① 首先是隧道阶段2对端地址不能有限制。这条已经具备。

　　② 然后是要有流量走隧道的策略，并且目标地址不能限制，这条也已经具备。

　　③ 第三个条件，就是路由了，目前只有一条指定IP走隧道的路由。缺少所有流量走隧道的路由。

　　④ 我们也创建一条所有流量走隧道的策略路由，但是网关地址应该填什么呢？

　　⑤ 我们已经知道，策略路由是优先于静态路由的，这样internal接口的所有流量都走隧道了。

  验证效果

　　两端都具备通行条件，我们可以进行测试了。

　　① 笔记本电脑关闭所有无线，网线接上海防火墙internal接口。

　　② ping深圳防火墙DMZ接口后的域服务器，没有ping通，创建隧道聚首的时候都是通的。问题出在哪里？

　　③ 用tracert查一下路由，发现有一个地址172.16.188.1，这是深圳防火墙MPLS专线的下一跳地址，说明流量走MPLS出去了。有人知道这是为什么吗？对了，就是深圳防火墙的那条全部走MPLS专线的策略路由在起作用。

　　④ 解决的办法就是在深圳防火墙再创建一条策略路由，访问10.10.10.0/24网段时，动作为【停目策略路由】，这样就不再走策略路由，而是回到静态路由。

　　⑤ 策略路由也是从上向下匹配的，鼠标按住序号，可以拖动调整上下顺序，将停止策略路由拖到最上方，优先匹配。

　　⑥ 再次ping域服务器，这次可以通了，查看路由走向，这次没有再走MPLS专线。

　　⑦ 再次访问公网IP，都不通，流量走wan1口，说明策略路由没有起效果，问题的关键就在于隧道的网关地址。

　　⑧ 为了解决这个问题，我们必须给聚合隧道配置上IP地址。登录深圳防火墙，选择菜单【网络】-【接口】，找到IPsec聚合接口，可以看到是没有IP地址的。点击【编辑】。

　　⑨ 给IPsec聚合接口配置一个不会引起冲突的IP地址。这里用1.1.1.1，对端网关IP用1.1.1.2。

　　⑩ 这样深圳防火墙的IPsec聚合接口就有IP地址了。 

　　⑪ 同样登录上海防火墙，给上海防火墙的IPsec聚合接口配置IP地址。

　　⑫ 上海防火墙的IPsec聚合接口IP设置为1.1.1.2，对端网关为1.1.1.1。

　　⑬ 这样IPsec隧道的两端都有IP地址了。

　　⑭ 将上海防火墙的策略路由，最下面隧道接口的网关地址，由0.0.0.0改为1.1.1.1，指向深圳防火墙隧道IP。点击【应用】。

　　⑮ 同次ping公网IP，这下全通了，查看路由，可以看到是经隧道后走深圳防火墙MPLS专线上网的。

  优化上网分流

　　虽然现在能走隧道上网，但是所有流量都走隧道，会给隧道带来很大压力，我们可以将部分不需要走隧道的上网流量（例如访问国内网站），仍然走本地宽带上网。

　　①  区分IP属于哪个区域，Fortinet还是有办法的。选择菜单【策略&对象】-【地址】，点击【新建】-【地址】。

　　② 输入名称，类型选择【地理】。

　　③ 输入名称，类型选择【地理】。 

　　④ 颜色选择红色。

　　⑤ 这样就创建了一条地理地址对象。

　　⑥ 再次创建一条策略路由，目标地址为新创建的China地理对象，流出接口选择本地上网宽带wan1，输入wan1的网关地址。 

 　　⑦ 策略路由是从上往下匹配的，我们将目标地址为China地理对象的策略路由移到最上方，移动方法是鼠标按住序号，拖动即可。这样再次上网时，如果访问的是内网IP，会走wan1口上网，其它IP则走隧道到达深圳防火墙，再经深圳的MPLS专线上网。

---