Utiliser un réseau Branch Office VPN pour le basculement à partir d'une ligne privée (BGP)
Cette rubrique propose un exemple de procédure de configuration d'un basculement depuis une ligne privée qui fait appel à un BGP vers un réseau Branch Office VPN. Pour un aperçu du mode de fonctionnement du basculement vers un réseau Branch Office VPN, consultez Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée.
Dans cet exemple, une entreprise dispose d'une ligne privée qui relie les Fireboxes de deux sites. La ligne privée est connectée à l'interface approuvée d'un Firebox sur chaque site. L'administrateur réseau souhaite configurer entre les deux sites une connexion Branch Office VPN qui pourra être utilisée pour le basculement au cas où la connexion via la ligne privée devenait indisponible.
Le diagramme suivant illustre les paramètres de configuration à appliquer sur chacun des deux sites dans le cas de l'exemple présenté.
Exemple de configuration de réseau
Dans cet exemple, les deux sites utilisent ces adresses IP.
Firebox du bureau principal | Firebox du bureau régional | |
---|---|---|
Adresse IP de l'interface externe | 203.0.113.2/24 | 198.51.100.2/24 |
Adresse IP de la passerelle par défaut | 203.0.113.1 | 198.51.100.1 |
Adresse IP de l'interface approuvée connectée au réseau approuvé | 10.0.1.1/24 | 10.50.1.1/24 |
Adresse IP du réseau approuvé |
10.0.1.0/24 | 10.50.1.0/24 |
Adresse IP de l'interface approuvée connectée à la ligne privée | 192.168.100.1/30 | 192.168.100.2/30 |
Configurer le routage dynamique du bureau principal
Pour utiliser la connexion Branch Office VPN pour un basculement, vous devez activer le routage dynamique sur le périphérique Firebox de chaque site. Vous pouvez utiliser n'importe quel protocole de routage dynamique pris en charge (RIP v1, RIPv 2, OSPF, ou BGP v4). Dans cet exemple, nous utilisons BGP.
- Sélectionnez Réseau > Routage Dynamique.
La page Configuration du Routage Dynamique apparaît. - Activez la case à cocher Activer le routage dynamique.
- Sélectionnez l'onglet BGP.
- Activez la case à cocher Activer.
- Dans la zone de texte de l'onglet BGP, collez le texte du fichier de configuration de votre démon de routage.
Pour le bureau principal, le fichier de configuration de démon de routage BGP contient le texte suivant :
router bgp 65535
network 10.0.1.0/24
neighbor 192.168.100.2 remote-as 65535
Configurer le Routage Dynamique du Bureau Régional
Pour activer le routage dynamique avec BGP sur le périphérique Firebox du bureau régional, répétez les étapes de la rubrique précédente.
Pour le bureau régional, le fichier de configuration de démon de routage BGP contient le texte suivant :
router bgp 65535
network 10.50.1.0/24
neighbor 192.168.100.1 remote-as 65535
Configurer le VPN du Bureau Principal
Dans le présent exemple, nous utilisons les paramètres de phase 1 et phase 2 par défaut.
Au bureau principal, configurer la passerelle VPN vers le bureau régional
- Sélectionnez VPN > Branch Office VPN.
- À côté de la liste Passerelles, cliquez sur Ajouter.
La boîte de dialogue Nouvelle Passerelle s'affiche.La page des paramètres Passerelle s'ouvre. - Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
Dans cet exemple, tapez MO-RO-GWY. - Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
- Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît
- Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
- Sélectionnez Par Adresse IP. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
- Sélectionnez l'onglet Passerelle Distante.
- Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, tapez l'adresse IP de l'interface externe du périphérique Firebox du bureau régional, 198.51.100.2.
- Dans la section Passerelle Distante, pour l'ID de la passerelle, tapez l'adresse IP de l'interface externe du périphérique Firebox du bureau régional, 198.51.100.2.
- Cliquez sur OK.
Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle. - Cliquez sur Enregistrer.
- Sélectionnez VPN > Passerelles Branch Office.
- Cliquez sur Ajouter.
La boîte de dialogue Nouvelle Passerelle s'affiche.La page de paramètres Passerelle s'ouvre. - Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
Dans cet exemple, tapez MO-RO-GWY. - Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
- Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue des Endpoints de la Nouvelle Passerelle s'affiche.
- Dans la section Passerelle Locale, sélectionnez Par Adresse IP.
- Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal 203.0.113.2.
- Dans la section Passerelle Distante, sélectionnez l'adresse IP statique.
- Dans la zone de texte adjacente à Adresse IP, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional,198.51.100.2.
- Pour l'ID de passerelle, sélectionnez Par Adresse IP. Saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional, 198.51.100.2.
- Cliquez sur OK.
Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle. - Cliquez sur OK.
Au bureau principal, configurer le tunnel VPN vers le bureau régional
Une fois la passerelle VPN configurée pour le Firebox du bureau principal, configurez le tunnel VPN pour le bureau régional.
- Sélectionnez VPN > Branch Office VPN.
- Dans la section Tunnels, cliquez sur Ajouter.
La boîte de dialogue Nouveau tunnel s'affiche. - Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
- Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
Dans cet exemple, sélectionnez MO-RO-GWY. - Cliquez sur Ajouter.
La boîte de dialogue Paramètres de route de tunnel s'affiche.
- Dans la section IP locale, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
- Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
- Dans la section IP distante, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
- Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
- Cliquez sur OK.
La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
- Sélectionnez VPN > Tunnels Branch Office.
- Cliquez sur Ajouter.
La boîte de dialogue Nouveau tunnel s'affiche. - Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
- Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
Dans cet exemple, sélectionnez MO-RO-GWY. - Cliquez sur Ajouter.
La boîte de dialogue Paramètres de route de tunnel s'affiche.
- Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
- Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
- Cliquez sur OK.
La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
Au bureau principal, configurer les paramètres VPN globaux afin d'autoriser le basculement
- Sélectionnez VPN > Paramètres Globaux.
La boîte de dialogue Paramètres VPN globaux apparaît.
- Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
- Cliquez sur Enregistrer.
- Sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s'affiche.
- Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
- Cliquez sur OK.
- Enregistrez la configuration dans le périphérique.
Configurer le VPN au bureau régional
Configurez le VPN au bureau régional avec les mêmes paramètres que ceux du bureau principal.
Au bureau régional, configurer la passerelle VPN vers le bureau principal
- Sélectionnez VPN > Branch Office VPN.
- Dans la section Passerelles, cliquez sur Ajouter.
La boîte de dialogue Nouvelle Passerelle s'affiche. - Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
Dans cet exemple, tapez RO-MO-GWY. - Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
- Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.
- Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
- Sélectionnez Par Adresse IP.
- Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional,198.51.100.2.
- Sélectionnez l'onglet Passerelle Distante.
- Sélectionnez Adresse IP Statique.
- Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal, 203.0.113.2.
- Pour l'ID de passerelle, sélectionnez Par Adresse IP.
- Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
- Cliquez sur OK.
Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle. - Cliquez sur Enregistrer.
- Sélectionnez VPN > Passerelles Branch Office.
- Cliquez sur Ajouter.
La boîte de dialogue Nouvelle Passerelle s'affiche. - Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
Dans cet exemple, tapez RO-MO-GWY. - Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
- Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.
- Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
- Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface pour le Firebox du bureau régional,198.51.100.2.
- Dans la section Passerelle Distante, sélectionnez Adresse IP Statique.
- Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
- Pour l'ID de la passerelle, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
- Cliquez sur OK.
Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle. - Cliquez sur OK.
Au bureau régional, configurer le tunnel VPN vers le bureau principal
- Sélectionnez VPN > Branch Office VPN.
- Dans la section Tunnels, cliquez sur Ajouter.
La boîte de dialogue Nouveau tunnel s'affiche. - Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
- Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
Dans cet exemple, sélectionnez RO-MO-GWY. - Cliquez sur Ajouter.
La boîte de dialogue Paramètres de route de tunnel s'affiche.
- Dans la section IP locale, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
- Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
- Dans la section IP distante, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
- Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
- Cliquez sur OK.
La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
- Sélectionnez VPN > Tunnels Branch Office.
- Cliquez sur Ajouter.
La boîte de dialogue Nouveau tunnel s'affiche. - Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
- Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
Dans cet exemple, sélectionnez RO-MO-GWY. - Cliquez sur Ajouter.
La boîte de dialogue Paramètres de route de tunnel s'affiche.
- Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
- Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
- Cliquez sur OK.
La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
Au bureau régional, configurer les paramètres VPN globaux afin d'autoriser le basculement
- Sélectionnez VPN > Paramètres Globaux.
La boîte de dialogue Paramètres VPN globaux apparaît.
- Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
- Cliquez sur Enregistrer.
- Sélectionnez VPN > Paramètres VPN.
La boîte de dialogue Paramètres VPN s'affiche.
- Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
- Cliquez sur OK.
- Enregistrez la configuration dans le périphérique.
Pour plus d'informations sur la configuration du routage BGP, consultez Configurer un Routage IPv4 et IPv6 avec BGP.
Voir Également
Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée