【简介】我们已经知道向导可以快速建立IPsec,在某些情况下需要删除IPsec,你知道要删除哪些吗?
IPsec 关联
在飞塔防火墙,能不能删除某样东西,先要看是不是有关联。
① 登录FortiGate 60E防火墙,选择菜单【虚拟专网】-【IPsec 隧道】,可以看到隧道60E-100D是停用状态,相关联有个数字4,说明这条隧道使用4个其它内容,鼠标点击数字。
② 和我们前面了解的一样,接口模式IPsec会有一条路由,两条策略,以及接口。点击选择静态路由,点击【条目】。
③ 跳转到静态路由菜单,我们可以看到除一条常见的静态路由外,还有一个路油指定到黑洞接口,这个是新版才增加的,5.6以前版本是没有的。
④ 双击接口是60E-100D的静态路由,目地地址并不直接是一个IP地址,而是用到了地址组和成员,说明有新建地址对象。
⑤ 双击接口是黑洞的静态路由,可以看到除了接口不同外,管理距离为254,加这条路由的目的是确保不产生路由环路。【黑洞路由】:主要是指指向null接口的路由,null接口是一个虚拟的接口,无法被配置ip地址,转发到该接口上的数据包都会被丢掉,不会去区分数据包是正常数据或是异常数据,所以对于所有可能因为中断故障产生路由回路的路由都加上一条黑洞路由。例如在配置有默认路由的环境中如果该路由器中的某一个路由项因为故障中断,那么很可能在两个路由器中造成路由环路。
⑥ 除了路由外,还可以看到有生成两条策略。由于IPsec处于已停用状态,这两条策略没有工作,因此会有两个黄色三角标记显示。这是5.6以后才有的功能。
⑦ 通过隧道访问内网策略,源地址和目地地址都有加地址组,这样的好处就是如果地址要改变,直接改变地址对象内容就可以了,策略、路由都不用动。
⑧ 内网通过隧道流出策略,和流入策略一样,源地址和目地地址都有加地址组。
⑨ 选择菜单【策略&对象】-【地址】,可以看到自动生成的地址对象。
⑩ 选择【组】,可以看到自动生成的地址组。向导建立的IPsec,自动生成了这些路由、策略、地址对象。
VPN 删除
即然了解了生成哪些内容,就可以一个个删除了。5.6版有个快速删除功能。
① 选择菜单【虚拟专网】-【IPsec隧道】,点击关联数字。
② 弹出窗口选择静态路由,点击【删除】。
③ 会出现确认删除提示,点击【OK】,就会删除关联的静态路由,黑洞路由不会被删除。
④ 选择其中一策略,点击【删除】。
⑤ 选择剩下的策略,点击【删除】。
⑥ 选择接口,点击【删除】。
⑦ 关联都删除完了,就可以删除IPsec隧道了,选择隧道,点击【删除】。
⑧ 回到静态路由窗口,选择黑洞路由,点击【删除】。
⑨ 回到地址窗口,先选择组,按Ctrl键加鼠标点击,可以选择多项,点击【删除】,这样可以一次删除多个地址组。
⑩ 再选回地址,按Ctrl键加鼠标点击,可以选择多项地址对象,点击【删除】。这样所有向导IPsec建立的内容就全部删除完了。
飞塔技术 - 老梅子 QQ:57389522