Fortigate IPsec Aggregate

fortigate ipsec vpn network

burburc 2022-01-18 17:03:33 ‧ 1835 瀏覽

分享至

各位好，近期在測試 Fortigate IPsec Aggregate 的功能

兩個Site 之間 IPsec 連線正常

但在 Interfaces 的欄位，介面燈號沒有變為綠色，也沒出現 IPsec的子介面

目測試了三台型號韌體版本皆相同的，都是相同情形

設備型號為：Fortigate 300D
韌體版本：6.4.3

IPsec正常運作

介面燈號為紅色，沒出現子介面

但若是在其他型號，在其對應的外網port 會長出IPsec子介面，燈號也正常亮起

下面以200F 為例

目前結論

300D300D Fortigate IPsec Aggregate 燈號不亮且無子介面

300D200F 只有200F Fortigate IPsec Aggregate 燈號量且有子介面

一直無理理解 300D的燈亮不亮也沒長出UPsec 介面的原因

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2022-01-19 12:34:51

最佳解答

因為不知樓主做IPsec Aggregate主要目的是否為併頻寬
如果只是為負載平衡或備援線路
用SD-WAN比較容易且方便觀察

較複雜的IPsecVPN
沒有放上詳細config很難Debug狀況
同時建議盡量升級到最新版6.4.8(or9快出了)
在6.4.3查詢到655895的已知Bug ID或許有關連
Unable to route traffic to a spoke VPN site from the hub FortiGate when the dialup IPsec VPN interface is dual stacked (IPv4/IPv6).

如果為了併頻寬的目的
可以先測測兩邊拉檔時的速度有沒有倍增
如果沒有突破單一線路速度則應該設定不成功
然後還有以下的CLI可以用來DeBug
diagnose vpn ike gateway list
diagnose vpn tunnel list
diagnose sys ipsec-aggregate list
觀察路由情況也是
get router info routing-table all
最好合併介面也給IP