Utiliser un réseau Branch Office VPN pour le basculement à partir d'une ligne privée (BGP)

Cette rubrique propose un exemple de procédure de configuration d'un basculement depuis une ligne privée qui fait appel à un BGP vers un réseau Branch Office VPN. Pour un aperçu du mode de fonctionnement du basculement vers un réseau Branch Office VPN, consultez Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée.

Dans cet exemple, une entreprise dispose d'une ligne privée qui relie les Fireboxes de deux sites. La ligne privée est connectée à l'interface approuvée d'un Firebox sur chaque site. L'administrateur réseau souhaite configurer entre les deux sites une connexion Branch Office VPN qui pourra être utilisée pour le basculement au cas où la connexion via la ligne privée devenait indisponible.

Le diagramme suivant illustre les paramètres de configuration à appliquer sur chacun des deux sites dans le cas de l'exemple présenté.

Diagramme de basculement de réseau

Exemple de configuration de réseau

Dans cet exemple, les deux sites utilisent ces adresses IP.

  Firebox du bureau principal Firebox du bureau régional
Adresse IP de l'interface externe 203.0.113.2/24 198.51.100.2/24
Adresse IP de la passerelle par défaut 203.0.113.1 198.51.100.1
Adresse IP de l'interface approuvée connectée au réseau approuvé 10.0.1.1/24 10.50.1.1/24

Adresse IP du réseau approuvé

 10.0.1.0/24 10.50.1.0/24
Adresse IP de l'interface approuvée connectée à la ligne privée 192.168.100.1/30 192.168.100.2/30

Configurer le routage dynamique du bureau principal

Pour utiliser la connexion Branch Office VPN pour un basculement, vous devez activer le routage dynamique sur le périphérique Firebox de chaque site. Vous pouvez utiliser n'importe quel protocole de routage dynamique pris en charge (RIP v1, RIPv 2, OSPF, ou BGP v4). Dans cet exemple, nous utilisons BGP.

Pour configurer le routage dynamique du Firebox du bureau principal à partir de Fireware Web UI ou Policy Manager :

  1. Sélectionnez Réseau > Routage Dynamique.
    La page Configuration du Routage Dynamique apparaît.
  2. Activez la case à cocher Activer le routage dynamique.
  3. Sélectionnez l'onglet BGP.
  4. Activez la case à cocher Activer.
  5. Dans la zone de texte de l'onglet BGP, collez le texte du fichier de configuration de votre démon de routage.

Pour le bureau principal, le fichier de configuration de démon de routage BGP contient le texte suivant :

router bgp 65535
network 10.0.1.0/24
neighbor 192.168.100.2 remote-as 65535

Configurer le Routage Dynamique du Bureau Régional

Pour activer le routage dynamique avec BGP sur le périphérique Firebox du bureau régional, répétez les étapes de la rubrique précédente.

Pour le bureau régional, le fichier de configuration de démon de routage BGP contient le texte suivant :

router bgp 65535
network 10.50.1.0/24
neighbor 192.168.100.1 remote-as 65535

Configurer le VPN du Bureau Principal

Dans le présent exemple, nous utilisons les paramètres de phase 1 et phase 2 par défaut.

Au bureau principal, configurer la passerelle VPN vers le bureau régional

  1. Sélectionnez VPN > Branch Office VPN.
  2. À côté de la liste Passerelles, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Passerelle s'affiche.La page des paramètres Passerelle s'ouvre.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.

    Dans cet exemple, tapez MO-RO-GWY.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Paramètres des Endpoints de Passerelle apparaît

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle locale

  1. Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
  2. Sélectionnez Par Adresse IP. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
  3. Sélectionnez l'onglet Passerelle Distante.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle Distante

  1. Dans la section Passerelle Distante, pour l'adresse IP de la passerelle distante, tapez l'adresse IP de l'interface externe du périphérique Firebox du bureau régional, 198.51.100.2.
  2. Dans la section Passerelle Distante, pour l'ID de la passerelle, tapez l'adresse IP de l'interface externe du périphérique Firebox du bureau régional, 198.51.100.2.
  3. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  4. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Passerelles Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Passerelle s'affiche.La page de paramètres Passerelle s'ouvre.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans cet exemple, tapez MO-RO-GWY.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue des Endpoints de la Nouvelle Passerelle s'affiche.

Capture d'écran de la boîte de dialogue Paramètres des endpoints de la nouvelle passerelle MO-BO-GWY

  1. Dans la section Passerelle Locale, sélectionnez Par Adresse IP.
  2. Dans la zone de texte Adresse IP, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal 203.0.113.2.
  3. Dans la section Passerelle Distante, sélectionnez l'adresse IP statique.
  4. Dans la zone de texte adjacente à Adresse IP, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional,198.51.100.2.
  5. Pour l'ID de passerelle, sélectionnez Par Adresse IP. Saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional, 198.51.100.2.
  6. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  7. Cliquez sur OK.

Au bureau principal, configurer le tunnel VPN vers le bureau régional

Une fois la passerelle VPN configurée pour le Firebox du bureau principal, configurez le tunnel VPN pour le bureau régional.

  1. Sélectionnez VPN > Branch Office VPN.
  2. Dans la section Tunnels, cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
    Dans cet exemple, sélectionnez MO-RO-GWY.
  5. Cliquez sur Ajouter.

    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la page Paramètres de route de tunnel

  1. Dans la section IP locale, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
  2. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
  3. Dans la section IP distante, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
  4. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
  5. Cliquez sur OK.

    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
    Dans cet exemple, sélectionnez MO-RO-GWY.
  5. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
  2. Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Au bureau principal, configurer les paramètres VPN globaux afin d'autoriser le basculement

  1. Sélectionnez VPN > Paramètres  Globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.

Capture d'écran de la page Paramètres VPN globaux

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Paramètres VPN.
    La boîte de dialogue Paramètres VPN s'affiche.

Capture d'écran de la section Paramètres IPSec de la boîte de dialogue Paramètres VPN

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OK.
  3. Enregistrez la configuration dans le périphérique.

Configurer le VPN au bureau régional

Configurez le VPN au bureau régional avec les mêmes paramètres que ceux du bureau principal.

Au bureau régional, configurer la passerelle VPN vers le bureau principal

  1. Sélectionnez VPN > Branch Office VPN.
  2. Dans la section Passerelles, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Passerelle s'affiche.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.

    Dans cet exemple, tapez RO-MO-GWY.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.

    La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle locale

  1. Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
  2. Sélectionnez Par Adresse IP.
  3. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau régional,198.51.100.2.
  4. Sélectionnez l'onglet Passerelle Distante.

Capture d'écran de la boîte de dialogue Paramètres des Endpoints de Passerelle, onglet Passerelle Distante

  1. Sélectionnez Adresse IP Statique.
  2. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal, 203.0.113.2.
  3. Pour l'ID de passerelle, sélectionnez Par Adresse IP.
  4. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
  5. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  6. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Passerelles Branch Office.
  2. Cliquez sur Ajouter.

    La boîte de dialogue Nouvelle Passerelle s'affiche.
  3. Dans la zone de texte Nom de la Passerelle, entrez un nom permettant d'identifier la passerelle en question.
    Dans cet exemple, tapez RO-MO-GWY.
  4. Sélectionnez Utiliser la Clé Pré-Partagée. Saisissez une clé partagée à utiliser sur les deux périphériques.
  5. Dans la section Endpoints de Passerelle, cliquez sur Ajouter.
    La boîte de dialogue Endpoints de la Nouvelle Passerelle apparaît.

Capture d'écran de la boîte de dialogue Paramètres des endpoints de la nouvelle passerelle RO-MO-GWY

  1. Dans la liste déroulante Interface Externe, sélectionnez l'interface externe.
  2. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface pour le Firebox du bureau régional,198.51.100.2.
  3. Dans la section Passerelle Distante, sélectionnez Adresse IP Statique.
  4. Dans la zone de texte adjacente, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
  5. Pour l'ID de la passerelle, saisissez l'adresse IP de l'interface externe pour le Firebox du bureau principal,203.0.113.2.
  6. Cliquez sur OK.
    Les Endpoints de Passerelle que vous avez ajoutés apparaissent dans la boîte de dialogue Nouvelle Passerelle.
  7. Cliquez sur OK.

Au bureau régional, configurer le tunnel VPN vers le bureau principal

  1. Sélectionnez VPN > Branch Office VPN.
  2. Dans la section Tunnels, cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
    Dans cet exemple, sélectionnez RO-MO-GWY.
  5. Cliquez sur Ajouter.

    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la page Paramètres de route de tunnel

  1. Dans la section IP locale, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
  2. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
  3. Dans la section IP distante, dans la liste déroulante Choisir le type, sélectionnez IPv4 réseau.
  4. Dans la zone de texte IP Réseau, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
  5. Cliquez sur OK.

    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.
  1. Sélectionnez VPN > Tunnels Branch Office.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Nouveau tunnel s'affiche.
  3. Dans la zone de texte Nom de tunnel, entrez le nom du tunnel.
  4. Dans la liste déroulante Passerelle, sélectionnez la passerelle que vous avez ajoutée.
    Dans cet exemple, sélectionnez RO-MO-GWY.
  5. Cliquez sur Ajouter.
    La boîte de dialogue Paramètres de route de tunnel s'affiche.

Capture d'écran de la boîte de dialogue Paramètres de route de tunnel

  1. Dans la zone de texte Local, tapez l'adresse IP du réseau approuvé du bureau régional, 10.50.1.0/24.
  2. Dans la zone de texte Distant, tapez l'adresse IP du réseau approuvé du bureau principal, 10.0.1.0/24.
  3. Cliquez sur OK.
    La route du tunnel apparaît dans la boîte de dialogue Nouveau tunnel.

Au bureau régional, configurer les paramètres VPN globaux afin d'autoriser le basculement

  1. Sélectionnez VPN > Paramètres  Globaux.
    La boîte de dialogue Paramètres VPN globaux apparaît.

Capture d'écran de la page Paramètres VPN globaux

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur Enregistrer.
  1. Sélectionnez VPN > Paramètres VPN.
    La boîte de dialogue Paramètres VPN s'affiche.

Capture d'écran de la section Paramètres IPSec de la boîte de dialogue Paramètres VPN

  1. Cochez la case Activer l'utilisation de routes personnalisées (statiques ou dynamiques) pour déterminer si IPSec est utilisé.
  2. Cliquez sur OK.
  3. Enregistrez la configuration dans le périphérique.

Pour plus d'informations sur la configuration du routage BGP, consultez Configurer un Routage IPv4 et IPv6 avec BGP.

Voir Également

Configurer un Réseau Branch Office VPN pour procéder à un Basculement à partir d'une ligne privée

Utiliser un réseau Branch Office VPN pour procéder à un basculement à partir d'une ligne privée (OSPF)