Fortigate IPSEC + iBGP實作

參考資料 

 https://docs.fortinet.com/document/fortigate/7.4.4/administration-guide/763341/basic-bgp-example 

   

 環境說明 

 

 Site A : Fortigate 60D Firmware v6.0.17 

     WAN IP : 10.1.1.101 

     LAN IP : 192.168.101.0/24、192.168.102.0/24、192.168.103.0/24 

     IPSEC IP : 172.17.10.101 

   

 

 Site B : Fortigate 60D Firmware v6.0.17 

     WAN IP : 10.1.1.201 

     LAN IP : 192.168.201.0/24、192.168.202.0/24、192.168.203.0/24 

     IPSEC IP : 172.17.10.101 

 

 設定步驟 

 預先設定 

     首先先將Site A、Site B的WAN、LAN Interface IP設定好，為了後面Policy設定方便我將LAN綁成一個Zone 

 

 

 

 建立IPSEC VPN 

      IP指向對方的WAN IP、Local & Remote Address 設定為 0.0.0.0/0 

 

 

 

 設定IPSEC介面IP 

     對應Site A、Site B的設定，設定其Interface IP Address、Remote IP，並允許Ping (方便偵錯) 

 

 

     順便檢查一下上一動建立IPSEC的Static Route與 Policy 

 

 

 

 

     檢查都ok的話，IPSEC應該就已經起來了 

 

     此時互相Ping對方的IPSEC Interface IP應該就會通了 

 

 

 

 設定iBGP 

     Site A、Site B 設定相同的AS，Router ID設定不同的ID，Neighbors設定對方的IPSEC IP，最後鍵入自己的LAN Subnets 

 

 

     至CLI設定BGP介面來源 

 << Site A >>

config router bgp

config neighbor

edit 172.17.10.201

set update-source IPSEC

end 

 

 << Site B >>

config router bgp

config neighbor

edit 172.17.10.101

set update-source IPSEC

end 

 

     確認一下BGP設定 

 show router bgp 

 

 

     確認Neighbors 

 get router info bgp neighbors 

 

 

 

 

     確認BGP路由 

 get router info bgp network 

 

 

     確認整體路由 

 get router info routing-table all 

 

 

 

 連線測試 

     從Site A Firewall測試ping Site B VLAN 3 Interface IP 

 

 將NB接到Site A LAN，Ping Site B VLAN 3 Interface IP 

 

 

 將NB接到Site B LAN，Ping Site B VLAN 2 Interface IP 

 

 

 

 結語 

     以上實作透過Fortigate IPSEC VPN來進行iBGP動態路由，不過通常一般企業內部其實鮮少會使用BGP來進行路由交換，僅在此紀錄一下設定與測試的過程，並提供有需要的朋友參考。