Architecture de Branch Office VPN Hybride (Maille Partielle)
Exemples de fichiers de configuration créés avec — WSM v11.10.1
Révision — 24/07/2015
Cas d'Utilisation
Dans cet exemple de configuration, une organisation possédant plusieurs sites de différentes tailles désire connecter les réseaux de chaque site. Elle possède différents sites qui hébergent des ressources réseau partagées utilisées par l'ensemble de l'organisation. Elle dispose également de petits bureaux, qui doivent se connecter aux ressources réseau. L'organisation souhaite établir une connectivité directe entre les sites qui hébergent les ressources réseau partagées. Elle désire également que les connexions des petits bureaux convergent à un emplacement central fiable. L'organisation peut répartir ses ressources sur différents sites ou employer des processus d'entreprise bien adaptés à une architecture VPN hybride.
Cet exemple de configuration est fourni à titre indicatif. Des paramètres de configuration supplémentaires sont parfois nécessaires ou mieux adaptés à votre environnement réseau.
Présentation de la Solution
Dans une configuration VPN hybride, également appelée maillage partiel, certains sites sont directement interconnectés entre eux (configuration de maillage), tandis que d'autres se connectent à un emplacement central (hub and spoke).
Maillage Entre les Sites Principaux
Dans le cadre de cette solution, les sites qui hébergent les ressources réseau partagées sont considérés comme les sites principaux. Les connexions VPN entre les sites principaux sont configurées en tant que maillage; Tous ces sites sont ainsi interconnectés entre eux par des connexions VPN directes. Cette configuration dépend fortement de la fiabilité des sites principaux qui hébergent des ressources réseau uniques, car les utilisateurs doivent disposer d'une connectivité fiable à ces ressources. Si l'organisation ajoute d'autres emplacements distants, il peut s'avérer nécessaire d'augmenter la capacité du site principal. Cette configuration offre une bonne résilience aux sites principaux, car une panne touchant un seul site a uniquement une incidence sur les services qui en dépendent directement.
Hub and Spoke Entre les Sites Secondaires et un Hub Central
Dans le cadre de cette solution, les petits bureaux sont considérés comme des sites secondaires. Les connexions VPN aux sites secondaires sont configurées en hub and spoke. L'un des sites principaux, le site Colocation, est le hub central de la connectivité VPN avec les petits bureaux. Le hub central utilise la commutation de tunnels de manière à router le trafic VPN entre chaque site secondaire et les autres sites. Les petits bureaux dépendent fortement de la fiabilité du hub central, car il s'agit d'un point de panne unique pour les tunnels VPN de ces sites secondaires. Si l'organisation ajoute d'autres emplacements distants, il peut s'avérer nécessaire d'augmenter la capacité du hub central.
Si la plupart des ressources partagées sont situées sur un seul site, une architecture VPN centralisée (hub and spoke) peut constituer une meilleure solution. Si les ressources réseau partagées sont principalement dispersées sur les sites distants, une architecture VPN décentralisée (maillage complet) peut constituer une meilleure solution.
Fonctionnement
Le Firebox de chaque site principal établit une connexion VPN avec le Firebox des autres sites principaux. Le Firebox du hub central (Colocation) fait office de passerelle principale pour les tunnels VPN de tous les sites secondaires. L'emplacement central reçoit toutes les données transférées aux sites secondaires. Si l'emplacement central reçoit une connexion non destinée à l'une des ressources, le périphérique de l'emplacement central le redirige vers le tunnel correspondant à la destination. Cette fonction se nomme « commutation de tunnels ».
Exigences
Connectivité fiable
Malgré la tolérance aux pannes du système, les sites qui hébergent des ressources uniques à leur emplacement doivent disposer d'une connectivité fiable et adaptée aux ressources hébergées.
Un emplacement central fiable
L'emplacement central gère l'agrégat de l'ensemble des connexions VPN. L'ensemble du trafic VPN des petits bureaux dépend de la disponibilité de ce site.
Bande passante suffisante
Les tunnels commutés nécessitent de la bande passante à la source, la destination et l'emplacement central. Comme indiqué sur le diagramme précédent, le Petit Bureau qui reçoit le trafic du Siège utilise la bande passante montante du siège, la bande passante montante et descendante de la Colocation et la bande passante descendante du Petit Bureau. En raison de la bande passante consommée par le chiffrement et l'encapsulation, la bande passante VPN mesurée est inférieure à la vitesse de la liaison.
Un Firebox adapté à chaque emplacement
Les fonctionnalités du Firebox varient en fonction du modèle. Pour les configurations VPN, vous devez tenir compte du débit VPN et de la capacité du tunnel de chaque modèle. L'environnement réseau, les options de configuration et d'autres facteurs peuvent également vous aider à déterminer le modèle le plus adapté à chaque site.
Le débit VPN correspond à la quantité de données ayant transité par le VPN par seconde. L'emplacement central traite deux fois le trafic commuté.
Le nombre de tunnels VPN est déterminé par le nombre de réseaux connectés (configurés dans les routes de tunnel). Pour les bureaux, il s'agit généralement du nombre de réseaux locaux multiplié par le nombre de réseaux distants. Pour l'emplacement central, il s'agit de la somme du nombre de tunnels des autres sites.
Pour de plus amples informations concernant le débit VPN et la capacité en tunnel Branch Office VPN de chaque modèle de Firebox, consultez les fiches techniques produits : https://www.watchguard.com/products/resources/datasheets.asp
Exemple de Configuration
Pour illustrer ce cas d'utilisation, nous présentons un exemple d'organisation possédant quatre sites : un centre de colocation (Colo), un siège (Corp), un centre de distribution (Dist) et un petit bureau (RMT). Vous pouvez également faire évoluer cette solution de manière à prendre en charge d'autres bureaux, centres de distribution et petits bureaux.
Topologie
Adresses IP des sites de cette configuration :
| Colo | Corp | Dist | RMT | |
|---|---|---|---|---|
| Adresse IP de l'interface externe | 192.0.2.8/24 | 198.51.100.8/24 | 203.0.113.9/24 | DHCP |
| Adresse IP de la passerelle par défaut | 192.0.2.1 | 198.51.100.1 | 203.0.113.1 | DHCP |
| Réseau privé alloué au site | 172.16.0.0/16 | 10.8.0.0/16 | 10.9.0.0/16 | 10.192.1.0/24 |
| Réseau non routé alloué au site | S/O | S/O | 192.168.9.0/24 | 192.168.192.0/24 |
Exemples de Fichiers de Configuration
À titre de référence, nous avons joint des exemples de fichiers de configuration à ce document. Vous pouvez ouvrir ces exemples de fichiers de configuration avec Policy Manager pour les afficher en détail. Vous trouverez quatre exemples de fichiers de configuration (un pour chaque site de l'exemple).
| Nom du Fichier de Configuration | Description |
|---|---|
| Hybrid-Colo.xml | Emplacement central des VPN, le centre de colocation |
| Hybrid-Corp.xml | Le siège de la société |
| Hybrid-Dist.xml | Un centre de distribution |
| Hybrid-RMT.xml | Un petit bureau |
Explication de la Configuration
Les exemples de fichiers de configuration contiennent les passerelles et les tunnels Branch Office VPN définis pour les connexions VPN entre chaque site. Chaque site possède trois passerelles Branch Office VPN et trois tunnels Branch Office VPN configurés.
Pour afficher les passerelles Branch Office VPN :
- Lancez Policy Manager sur le Firebox.
- Sélectionnez VPN > Passerelles Branch Office.
Pour afficher les tunnels Branch Office VPN :
- Lancez Policy Manager sur le Firebox.
- Sélectionnez VPN > Tunnels Branch Office.
Configuration du Site Colocation (Colo)
Configuration du Réseau du Siège de la Société (Corp)
Configuration du Centre de Distribution (Dist)
Configuration du Petit Bureau (RMT)
Dans les exemples de fichiers de configuration, chaque tunnel est nommé de manière à représenter les réseaux locaux et distants qu'il gère. L'identificateur entre parenthèses est la passerelle utilisée par le tunnel. La Colocation possède trois passerelles (une pour chacun des autres sites principaux et une pour le site secondaire), les sites principaux en possèdent deux (une pour chacun des autres sites principaux) et les sites secondaires possèdent une seule passerelle (la Colo).
Les routes de tunnel ont été définies de manière à utiliser les sous-réseaux alloués à chaque site et non les réseaux individuels définis au sein du site. Dans cette configuration, le petit bureau (RMT) nécessite uniquement trois routes (et non six) pour atteindre les réseaux approuvés et facultatifs de chacun des autres sites. Les nouveaux réseaux de cette allocation établis sur chaque site sont acheminés via le Branch Office VPN existant.
Par exemple, les routes de tunnel Colo-vers-RMT et RMT-vers-Colo utilisent l'adresse IP du sous-réseau 172.16.0.0/16 comme adresse du réseau Colo. Ces tunnels peuvent ainsi gérer l'ensemble du trafic entre le réseau du petit bureau (RMT) et le réseau approuvé (172.16.1.0) et le réseau facultatif (172.16.2.0) de Colo.
Lorsque vous observez les routes de tunnel, rappelez-vous que les paires « local-distant » sont définies du point de vue des deux réseaux d'endpoints du trafic du tunnel. Dans certains cas, l'adresse locale d'une route de tunnel VPN correspond à l'adresse réseau d'un autre site connecté. Par exemple dans la configuration Colo, la route de tunnel Corp-à-RMT utilise l'adresse IP du réseau approuvé de Corp en tant que local, même si elle ne se situe pas physiquement sur le site Colo.
Ce diagramme indique l'ensemble des adresses IP locales et distantes des routes de tunnel configurées entre chaque site.
Commutation de Tunnels d'une Action
Nous pouvons maintenant utiliser l'exemple de configuration pour suivre le cheminement d'un paquet lorsqu'un utilisateur d'un site établit une connexion à une ressource d'un autre site via des tunnels commutés.
Un utilisateur du petit bureau (10.192.0.100) tente de se connecter à une ressource du siège de la société (10.8.240.80). Le paquet atteint d'abord le Firebox RMT du petit bureau. Le Firebox RMT détermine que la destination du paquet est disponible via le tunnel RMT-vers-Corp vers la passerelle Colo.
Le périphérique Firebox RMT envoie ce paquet via le tunnel RMT-vers-Corp (Colo).
Le Firebox Colo reçoit ce trafic identifié comme membre du tunnel Corp-vers-RMT (RMT) dans sa configuration locale. L'adresse IP du réseau local de cette route de tunnel dans le fichier de configuration Colo est locale au site Corp, non au site Colo.
Le Firebox Colo détermine que la destination du paquet déchiffré est disponible via le tunnel RMT-vers-Corp (Corp) vers la passerelle Colo.
Le Firebox Colo commute le trafic du tunnel Corp-vers-RMT (RMT) vers le tunnel RMT-vers-Corp (Corp).
Le Firebox Corp reçoit ce trafic identifié comme membre de son tunnel Corp-vers-RMT (Colo) et transmet le paquet déchiffré à sa destination, un serveur du réseau local du siège de la société.
Conclusion
Cet exemple de configuration illustre comment configurer une topologie de réseau VPN à maillage partiel. Dans cet exemple de configuration, chaque site principal possède une connexion VPN directe à tous les autres sites principaux. Dans la topologie du maillage partiel, un site principal agit comme hub central de manière à effectuer la commutation de tunnels du trafic VPN entre les sites principaux et les sites secondaires qui se connectent directement au site central.
Ce type de configuration peut convenir à une organisation dont les ressources sont réparties sur plusieurs sites ou dont les processus d'entreprise sont bien adaptés à une architecture hybride. La configuration décrite ici peut être étendue de manière à prendre en charge d'autres sites principaux ou secondaires.
Cet exemple de configuration illustre également comment utiliser les adresses IP de sous-réseau de la configuration de la route de tunnel de manière à réduire le nombre de tunnels à configurer pour connecter les réseaux privés de chaque site.
Pour de plus amples informations concernant la configuration des Branch Office VPN, consultez l'