Architecture Branch Office VPN Décentralisée (Maille Pleine)
Exemples de fichiers de configuration créés avec — WSM v11.10.1
Révision — 24/07/2015
Cas d'Utilisation
Dans cet exemple de configuration, une organisation possédant plusieurs sites de différentes tailles désire établir des connexions VPN sécurisées entre tous les sites. L'organisation souhaite que la connexion entre deux sites donnés ne soit pas dépendante de la connectivité avec un troisième site. Elle peut répartir ses ressources sur différents sites ou employer des processus d'entreprise bien adaptés à une architecture décentralisée.
Cet exemple de configuration est fourni à titre indicatif. Des paramètres de configuration supplémentaires sont parfois nécessaires ou mieux adaptés à votre environnement réseau.
Présentation de la Solution
Dans une configuration VPN décentralisée, également appelée « à maillage complet », chaque site possède des tunnels VPN établis avec l'ensemble des autres sites. Cette configuration offre une bonne résilience, car une panne touchant un seul site a uniquement une incidence sur les services qui en dépendent directement.
Une connectivité fiable entre les emplacements réseau est spécialement importante lorsqu'un ou plusieurs emplacements présentent une ressource réseau unique devant être accessible depuis d'autres emplacements réseau. À mesure que vous établissez des emplacements réseau supplémentaires, il est parfois nécessaire d'augmenter la capacité d'un site présentant une ressource unique. Si les ressources sont situées sur un seul site, une architecture centralisée peut constituer une meilleure solution.
Fonctionnement
Le Firebox de chaque site établit une connexion VPN avec le Firebox de chacun des autres sites.
Exigences
Connectivité fiable
Malgré la tolérance aux pannes du système, les sites qui hébergent des ressources uniques à leur emplacement doivent disposer d'une connectivité fiable et adaptée aux ressources hébergées.
Bande passante suffisante
En raison de la bande passante consommée par le chiffrement et l'encapsulation, la bande passante VPN mesurée est inférieure à la vitesse de la liaison.
Un Firebox adapté à chaque emplacement
Les fonctionnalités du Firebox varient en fonction du modèle. Pour les configurations VPN, vous devez tenir compte du débit VPN et de la capacité du tunnel de chaque modèle. L'environnement réseau, les options de configuration et d'autres facteurs peuvent également vous aider à déterminer le modèle le plus adapté à chaque site.
Le débit VPN correspond à la quantité de données ayant transité par le VPN par seconde.
Le nombre de tunnels VPN est déterminé par le nombre de réseaux connectés (configurés dans les routes de tunnel). Pour les bureaux, il s'agit généralement du nombre de réseaux locaux multiplié par le nombre de réseaux distants.
Pour de plus amples informations concernant le débit VPN et la capacité du tunnel Branch Office VPN de chaque modèle de Firebox, consultez les fiches techniques produits : https://www.watchguard.com/products/resources/datasheets.asp
Exemple de Configuration
Pour illustrer ce cas d'utilisation, nous présentons un exemple d'organisation possédant quatre sites : un centre de colocation (Colo), un siège (Corp), un centre de distribution (Dist) et un petit bureau (RMT). Vous pouvez également faire évoluer cette solution de manière à prendre en charge d'autres bureaux, centres de distribution et petits bureaux.
Topologie
Adresses IP des sites de cette configuration :
| Colo | Corp | Dist | RMT | |
|---|---|---|---|---|
| Adresse IP de l'interface externe | 192.0.2.8/24 | 198.51.100.8/24 | 203.0.113.9/24 | DHCP |
| Adresse IP de la passerelle par défaut | 192.0.2.1 | 198.51.100.1 | 203.0.113.1 | DHCP |
| Réseau privé alloué au site | 172.16.0.0/16 | 10.8.0.0/16 | 10.9.0.0/16 | 10.192.1.0/24 |
| Réseau non routé alloué au site | S/O | S/O | 192.168.9.0/24 | 192.168.192.0/24 |
Exemples de Fichiers de Configuration
À titre de référence, nous avons joint des exemples de fichiers de configuration à ce document. Vous pouvez ouvrir ces exemples de fichiers de configuration avec Policy Manager pour les examiner en détail. Vous trouverez quatre exemples de fichiers de configuration (un pour chaque site de l'exemple).
| Nom du Fichier de Configuration | Description |
|---|---|
| De-Centralized-Colo.xml | Emplacement central des VPN (le centre de colocation) |
| De-Centralized-Corp.xml | Le siège de la société |
| De-Centralized-Dist.xml | Un centre de distribution |
| De-Centralized-RMT.xml | Un petit bureau |
Les détails de chaque fichier de configuration sont décrits à la section suivante.
Explication de la Configuration
Passerelles et Tunnels Branch Office VPN
Les exemples de configurations contiennent les passerelles et les tunnels Branch Office VPN définis pour les connexions VPN entre chaque site. Chaque site possède trois passerelles Branch Office VPN et trois tunnels Branch Office VPN configurés.
Pour afficher les passerelles Branch Office VPN :
- Lancez Policy Manager sur le Firebox.
- Sélectionnez VPN > Passerelles Branch Office.
Pour afficher les tunnels Branch Office VPN :
- Lancez Policy Manager sur le Firebox.
- Sélectionnez VPN > Tunnels Branch Office.
Configuration du Site Colocation (Colo)
Configuration du Réseau du Siège de la Société (Corp)
Configuration du Centre de Distribution (Dist)
Configuration du Petit Bureau (RMT)
Dans les exemples de fichiers de configuration, chaque tunnel est nommé de manière à représenter les réseaux locaux et distants qu'il gère. L'identificateur entre parenthèses est la passerelle utilisée par le tunnel.
Les routes de tunnel ont été définies de manière à utiliser les sous-réseaux alloués à chaque site et non les réseaux individuels définis pour le site. Dans cette configuration, le petit bureau (RMT) nécessite uniquement trois routes (et non six) pour atteindre les réseaux approuvés et facultatifs de chacun des autres sites. Les nouveaux réseaux de cette allocation sur chaque site sont acheminés via le Branch Office VPN existant. Pour un contrôle granulaire sur les tunnels VPN, vous pouvez définir individuellement chaque type de réseau au prix de routes de tunnel et de tâches administratives supplémentaires.
Par exemple, les routes de tunnel Colo-vers-RMT et RMT-vers-Colo utilisent l'adresse IP du sous-réseau 172.16.0.0/16 comme adresse du réseau Colo. Ces tunnels peuvent ainsi gérer l'ensemble du trafic entre le réseau du petit bureau (RMT) et le réseau approuvé (172.16.1.0) et le réseau facultatif (172.16.2.0) de Colo.
Lorsque vous configurez les routes de tunnel, il est important de vous rappeler que les paires local-distant sont définies du point de vue du tunnel en cours de configuration et non du réseau dans son ensemble.
Ce diagramme illustre les routes de tunnel configurées pour chaque connexion VPN.
Conclusion
Cet exemple de configuration illustre comment configurer la commutation de tunnels dans une topologie réseau à maillage complet de manière à acheminer le trafic VPN entre des sites qui ne sont pas directement interconnectés. La connexion VPN entre deux sites donnés ne doit pas dépendre de la connectivité avec un troisième site. Ce type de configuration peut convenir à une organisation dont les ressources sont réparties sur différents sites ou dont les processus d'entreprise sont bien adaptés à une architecture décentralisée. La configuration décrite ici peut être étendue de manière à prendre en charge d'autres sites.
Cet exemple de configuration illustre également comment utiliser les adresses IP de sous-réseau de la configuration de la route de tunnel de manière à réduire le nombre de tunnels à configurer pour connecter les réseaux privés de chaque site.
Pour de plus amples informations concernant la configuration des Branch Office VPN, consultez l'