Terminologie Branch Office VPN
Lorsque vous configurez des réseaux Branch Office VPN, il est utile de comprendre ces termes. Certains de ces termes ont une signification spécifique lorsque vous configurez et contrôlez des réseaux Branch Office VPN sur un WatchGuard Firebox.
IKE (Internet Key Exchange)
IKEv2, décrit dans RFC 7296, est pris en charge dans Fireware v11.11.2 et les versions ultérieures.
Association de Sécurité (SA)
Une Association de Sécurité IKEv1 est définie dans RFC 2408 comme faisant partie du standard ISAKMP (Internet Security Association and Key Management Protocol). Dans un réseau VPN, vous pouvez considérer une association de sécurité comme étant le contexte qui comprend toutes les informations, telles que le chiffrement, l'authentification et les vérifications d'intégrité nécessaires pour que deux pairs puissent communiquer en toute sécurité. Les deux pairs doivent s'accorder sur cette information et la partager. Association de sécurité est un terme général qui peut s'appliquer à différents protocoles et sa structure varie en fonction des protocoles VPN. Les associations de sécurité ne vont que dans un seul sens.
Pour un tunnel VPN d'IPSec IKEv1, deux types d'association de sécurité existent:
SA de phase 1
Négociée en fonction des paramètres de la Phase 1, la SA de Phase 1 crée un canal sécurisé pour les négociations de Phase 2. Dans Fireware XTM, vous configurez les paramètres de phase 1 lorsque vous configurez la passerelle Branch Office VPN.
SA de phase 2
Négociée en fonction des paramètres de la phase 2, la SA de phase 2 définit quel trafic peut être envoyé par le VPN et la manière de chiffrer et d'authentifier ce trafic. Dans Fireware XTM, vous configurez les paramètres de phase 2 lorsque vous configurez le tunnel Branch Office VPN.
Gateway
Pour un Firebox, une passerelleBranch Office VPN définit les paramètres pour une connexion entre une ou plusieurs paires d'endpoints de passerelle VPN. Chaque paire d'endpoints de passerelle comporte une passerelle locale et une passerelle distante. Lorsque vous configurez une paire d'endpoints de passerelle, vous spécifiez les adresses des deux enpoints de passerelle et les paramètres de la phase 1 que les deux enpoints de passerelle utilisent pour échanger les clés ou pour négocier une méthodologie de chiffrement à employer. Si un ou les deux sites ont un multi-WAN, la passerelle Branch Office VPN peut avoir plusieurs paires d'endpoints de passerelle et les paires d'endpoints de passerelle peuvent basculer l'une vers l'autre.
Vous pouvez configurer plusieurs tunnels pour utiliser la même passerelle. La passerelle crée une connexion sécurisée pour les tunnels VPN qui l'utilisent.
Tunnel
Pour un Firebox, un tunnel Branch Office VPN définit les paramètres de configuration de la Phase 2 et comprend au moins une route de tunnel qui définit qui peut échanger du trafic via le tunnel.
Route du tunnel
Pour un Firebox, la route de tunnel définit quels hôtes ou réseaux peuvent envoyer et recevoir du trafic via le tunnel. Lorsque vous ajoutez une route de tunnel, vous spécifiez une paire d'adresses IP de périphériques locales et distantes à chaque extrémité du tunnel. Chaque adresse IP sur une route du tunnel peut être attribuée à un hôte ou à un réseau. Vous pouvez ajouter plusieurs routes au même tunnel. Chaque route du tunnel possède une paire de SA associés, l'une entrante et l'autre sortante.
Dans Firebox System Manager, chaque route du tunnel active apparaît comme un tunnel séparé. Ceci vous permet de contrôler facilement l'état de chaque route du tunnel. Dans la clé de fonctionnalité, le nombre de tunnels Branch Office VPN fait référence au nombre maximum de routes du tunnel Branch Office VPN actif.
Pour plus d'informations sur la clé de fonctionnalité et le nombre maximum de routes du tunnel, consultez Capacité et Octroi de Licence pour Tunnel VPN.