Interface Virtuelle BOVPN avec Routage SD-WAN

Vous pouvez configurer un routage SD-WAN dans une stratégie pour que la stratégie route toujours le trafic via une interface virtuelle BOVPN spécifique.

Dans cet exemple de configuration, une entreprise possède deux sites connectés par des tunnels d'interface virtuelle BOVPN. Le Site A dispose d'une connexion réseau externe. Le Site B dispose de deux connexions réseau externes avec une latence différente. Cette entreprise souhaite utiliser SD-WAN pour envoyer son trafic sensible à la latence, tel que du trafic VoIP, par le tunnel à faible latence.

Cet exemple ne montre pas le routage et le basculement SD-WAN en fonction des mesures de perte, de latence et d'instabilité. Pour voir un exemple de routage SD-WAN basé sur des mesures avec basculement, consultez Basculement SD-WAN d'un Lien MPLS vers un Tunnel d'Interface Virtuel BOVPN.

La configuration illustrée dans cet exemple nécessite Fireware v12.4 ou une version ultérieure.

Dans Fireware v12.3 et les versions ultérieures, le SD-WAN remplace le routage basé sur stratégie. Dans Fireware v12.2.1 et les versions antérieures, pour acheminer le trafic vers une autre interface externe, vous devez utiliser le routage basé sur stratégie. Lorsque vous procédez à une mise à niveau vers Fireware v12.3 ou une version ultérieure, le routage basé sur stratégie sans basculement est converti en action SD-WAN à interface unique. Le routage basé sur stratégie avec basculement est converti en action SD-WAN à interfaces multiples. Dans Policy Manager, le paramètre de routage basé sur stratégie demeure disponible à des fins de rétrocompatibilité avec les anciennes versions de Fireware OS. Pour plus d'informations sur le routage basé sur stratégie, consultez Configurer le Routage Basé sur Stratégie dans Fireware v12.2.1 et les versions antérieures de la Base de connaissances WatchGuard.

Topologie Réseau

Ce diagramme illustre la topologie du réseau de cet exemple de configuration.

Diagramme de topologie du réseau

Fonctionnement

Dans cet exemple, chaque Firebox possède deux interfaces virtuelles BOVPN vers un Firebox du pair. Une stratégie de filtrage de paquets SIP personnalisée sur chaque Firebox achemine le trafic VoIP par l'interface virtuelle BOVPN qui a la latence la plus faible. Le routage SD-WAN est prioritaire sur toutes les autres routes d'interface virtuelle BOVPN ou multi-WAN.

Configuration

Sur le Firebox du Site A, spécifiez ces paramètres pour le tunnel à faible latence :

  • Nom d'Interface — Dans notre exemple, nous utilisons le nom BovpnVif.low-latency.
  • Type d'Endpoint DistantFirebox
  • Famille d'adresses de passerelleAdresses IPv4
  • Méthode d'IdentificationUtiliser une Clé Pré-partagée.
  • Enpoints de Passerelle
    • InterfaceExterne
    • Passerelle Locale — Adresse IP de l'interface Externe de ce Firebox. Dans notre exemple, nous utilisons 203.0.113.2.
    • Passerelle Distante — Adresse IP de l'interface Externe-1 du Firebox du Site B. Dans notre exemple, nous utilisons 198.51.100.2. Il s'agit de l'interface de la connexion à faible latence du Site B.
  • Onglet Routes VPN - Spécifiez les adresses IP de l'interface virtuelle. Vous devez le faire avant de pouvoir ajouter l'interface virtuelle BOVPN à Link Monitor. L'adresse IP locale doit correspondre à l'adresse IP pair configurée sur le Firebox du Site B. L'adresse IP pair doit correspondre à l'adresse IP locale configurée sur le Firebox du Site B. Assurez-vous que les adresses IP de l'interface virtuelle n'appartiennent à aucun réseau externe ou interne.

Capture d'écran de l'interface virtuelle BOVPN du Site A pour la connexion à latence faible

Screen shot of the virtual interface IP address settings

Sur le Firebox du Site A, spécifiez ces paramètres pour le tunnel à forte latence :

  • Nom d'Interface — Dans notre exemple, nous utilisons le nom BovpnVif.high-latency.
  • Type d'Endpoint DistantFirebox
  • Famille d'adresses de passerelleAdresses IPv4
  • Méthode d'IdentificationUtiliser une Clé Pré-partagée.
  • Enpoints de Passerelle
    • InterfaceExterne
    • Passerelle Locale — Adresse IP de l'interface Externe de ce Firebox (203.0.113.2)).
    • Passerelle Distante — Adresse IP de l'interface Externe-1 du Firebox du Site B. Dans notre exemple, nous utilisons 192.0.2.2.
  • Onglet Routes VPN - Spécifiez les adresses IP de l'interface virtuelle. Vous devez le faire avant de pouvoir ajouter l'interface virtuelle BOVPN à Link Monitor. L'adresse IP locale doit correspondre à l'adresse IP pair configurée sur le Firebox du Site B. L'adresse IP pair doit correspondre à l'adresse IP locale configurée sur le Firebox du Site B. Assurez-vous que les adresses IP de l'interface virtuelle n'appartiennent à aucun réseau externe ou interne.

Capture d'écran de l'interface virtuelle BOVPN du Site A pour la connexion à latence élevée

Screen shot of the virtual interfaces addresses at Site A

Spécifiez ces paramètres pour le tunnel à faible latence :

  • Nom de l'InterfaceBovpnVif.low-latency
  • Type d'Endpoint DistantFirebox
  • Famille d'adresses de passerelleAdresses IPv4
  • Méthode d'IdentificationClé Pré-partagée
  • Enpoint de Passerelle
    • InterfaceExterne-1
    • Passerelle Locale — Adresse IP de l'interface Externe-1 de ce Firebox (198.51.100.2)).
    • Passerelle Distante — Adresse IP de l'interface Externe du Firebox du Site A (203.0.113.2)
  • Onglet Routes VPN — Spécifiez les adresses IP de l'interface virtuelle. Il est impossible d'ajouter l'interface virtuelle BOVPN au Contrôle des Liaisons à moins de configurer des adresses IP virtuelles. L'adresse IP locale doit correspondre à l'adresse IP pair configurée sur le Firebox du Site A. L'adresse IP pair doit correspondre à l'adresse IP locale configurée sur le Firebox du Site A. Assurez-vous que les adresses IP de l'interface virtuelle n'appartiennent à aucun réseau externe ou interne.

Capture d'écran de l'interface virtuelle BOVPN du Site B pour la connexion à latence faible

Screen shot of the virtual IP address settings

Spécifiez ces paramètres pour le tunnel à forte latence :

  • Nom de l'Interface — BovpnVif.high-latency
  • Type d'Endpoint DistantFirebox
  • Famille d'adresses de passerelleAdresses IPv4
  • Méthode d'IdentificationClé Pré-partagée
  • Enpoint de Passerelle
    • InterfaceExterne-2
    • Passerelle locale — Adresse IP de l'interface Externe-2 du Firebox du Site B (192.0.2.2).
    • Passerelle Distante — Adresse IP de l'interface Externe du Firebox du Site A (203.0.113.2)
  • Onglet Routes VPN — Spécifiez les adresses IP de l'interface virtuelle. Il est impossible d'ajouter l'interface virtuelle BOVPN au Contrôle des Liaisons à moins de configurer des adresses IP virtuelles. L'adresse IP locale doit correspondre à l'adresse IP pair configurée sur le Firebox du Site A. L'adresse IP pair doit correspondre à l'adresse IP locale configurée sur le Firebox du Site A. Assurez-vous que les adresses IP de l'interface virtuelle n'appartiennent à aucun réseau externe ou interne.

Capture d'écran de l'interface virtuelle BOVPN du Site B pour la connexion à latence élevée

Screen shot of the virtual interface IP addresses at Site B

Nous vous recommandons d'ajouter les interfaces externes et les interfaces virtuelles BOVPN à Link Monitor. Pour détecter une défaillance de liaison logique pour une interface, le Firebox doit pouvoir tenter de communiquer avec une cible Link Monitor. Sans cible Link Monitor, le Firebox détecte une défaillance de connexion uniquement après une déconnexion physique ou si aucune adresse IP valide n'est attribuée à l'interface (si l'interface est dynamique).

Pour ajouter des interfaces virtuelles BOVPN à Link Monitor, votre Firebox doit disposer de Fireware v12.4 ou version ultérieure. Lorsque vous ajoutez une interface virtuelle BOVPN à Link Monitor, le Firebox ajoute automatiquement une cible ping à l'adresse IP du pair VPN. Il est impossible de modifier ou supprimer cette cible.

Pour le Site A, la configuration de Link Monitor comprend trois interfaces :

Screen shot of the Link Monitor settings

Pour le Site B, la configuration de Link Monitor comprend quatre interfaces :

Screen shot of the Link Monitor settings for Site B

Si vous ne pouvez pas ajouter d'interface virtuelle BOVPN à Link Monitor, vérifiez que la configuration de l'interface virtuelle BOVPN inclut des adresses IP d'interface virtuelle. Pour plus d'informations, consultez Configurer des adresses IP d'Interface Virtuelle BOVPN.

Après avoir configuré les interfaces virtuelles BOVPN, les deux sites peuvent utiliser le routage statique, dynamique ou SD-WAN pour envoyer le trafic par l'un des tunnels.

Pour vous assurer que le trafic VoIP qui provient de l'un des réseaux utilise toujours le tunnel à la latence la plus faible :

  • Ajoutez une action SD-WAN qui spécifie l'interface virtuelle BovpnVif.low-latency.
  • Dans la stratégie SIP (VoIP), spécifiez l'action SD-WAN que vous avez ajoutée.

Ajouter une action SD-WAN (Site A)

L'action SD-WAN spécifie l'interface virtuelle BOVPN que vous avez ajoutée.

Screen shot of an SD-WAN action

Ajouter une stratégie VoIP (Site A)

Nous vous recommandons d'ajouter une stratégie de filtrage de paquets SIP personnalisée.

La stratégie a les paramètres suivants sur le Firebox du Site A :

  • DepuisTout-Approuvé. Ou, spécifiez l'interface ou le réseau local d'où provient le trafic SIP.
  • Vers — L'adresse IP réseau du réseau approuvé du Site B. Dans notre exemple, nous utilisons 10.0.100.0/24.
  • Acheminer le trafic sortant à l'aide de — sélectionné
  • Action SD-WAN — Le nom de l'action SD-WAN que vous avez ajoutée. Dans notre exemple, il s'agit de BovpnVif.low-latency.

Screen shot of the SIP policy for Site A

Ajouter une action SD-WAN (Site B)

L'action SD-WAN du Site B a les mêmes paramètres que l'action SD-WAN du Site A.

Screen shot of the Site B SD-WAN action

Ajouter une Stratégie SIP (Site B)

Nous vous recommandons d'ajouter une stratégie de filtrage de paquets SIP personnalisée.

La stratégie du Site B a les paramètres suivants :

  • DepuisTout-Approuvé. Ou, spécifiez l'interface ou le réseau local d'où provient le trafic SIP.
  • Vers — L'adresse IP réseau du réseau approuvé du Site A. Dans notre exemple, nous utilisons 10.0.1.0/24.
  • Acheminer le trafic sortant à l'aide de — sélectionné
  • Action SD-WAN — Le nom de l'action SD-WAN que vous avez ajoutée. Dans notre exemple, il s'agit de BovpnVif.low-latency.

Screen shot of the SIP policy for Site B

Voir Également

À propos du SD-WAN

Configurer SD-WAN

À propos du Contrôle des Liens

Configurer le Contrôle des Liens

Configurer une Interface Virtuelle BOVPN

Exemples d'Interfaces Virtuelles BOVPN

Configurer des adresses IP d'Interface Virtuelle BOVPN