Interface Virtuelle BOVPN avec Basculement Basé sur une Métrique

Vous utilisez des routes pour définir ce le trafic à envoyer via une interface virtuelle BOVPN. Vous pouvez par conséquent créer plusieurs interfaces virtuelles BOVPN et définir différentes métriques pour plusieurs routes vers le même réseau. Cela vous permet de configurer des routes d'interface virtuelle BOVPN via un tunnel principal qui basculent vers des routes d'interface virtuelle BOVPN via un autre tunnel si le tunnel principal n'est pas disponible.

Exemple

Cet exemple montre comment configurer les paramètres pour deux interfaces virtuelles BOVPN entre les Fireboxes des sites A et B. Cette configuration utilise différentes métriques de route dans la configuration de l'interface virtuelle BOVPN pour déterminer la préférence des routes d'interface virtuelle BOVPN.

Pour cet exemple, nous supposons que le périphérique au Site A est équipé de deux interfaces externes et que l'une d'entre elle est la route préférée pour le trafic sortant au Site B en raison d'une interface à faible coût ou débit rapide. La seconde interface externe n'est utilisée pour le trafic VPN que lorsque l'interface externe principale n'est pas disponible.

Firebox du Site A

Pour cet exemple, le Firebox du Site A est équipé de deux interfaces externes, d'un réseau approuvé et d'un réseau facultatifs.

Interface Type Nom Adresse IP
0 Externe Externe 203.0.113.2/24
1 Approuvé Approuvé 10.0.1.1/24
2 Facultatif Facultatif-1 10.0.2.1/24
3 Externe Externe-2 190.0.2.2/24

Firebox du Site B

Pour cet exemple, le Firebox du Site B possède une interface externe et un réseau de confiance.

Interface Type Nom Adresse IP
0 Externe Externe 198.51.100.2/24
1 Approuvé Approuvé 10.50.1.1/24

Configuration de l'Interface Virtuelle BOVPN

Les Fireboxes de chaque site doivent avoir deux interfaces virtuelles BOVPN configurées. Une interface virtuelle BOVPN utilise l'interface 0 (externe) sur périphérique du Site A, et la seconde interface virtuelle BOVPN utilise l'interface 3 (externe-2) sur le périphérique du Site A. L'interface virtuelle BOVPN principale qui utilise l'interface 0 possède des routes à faible métrique, car l'interface 0 est l'interface privilégiée pour le trafic VPN entre ces périphériques. Par conséquent, les routes passant par l'interface virtuelle BOVPN principale ont la priorité la plus élevée lorsque cette interface virtuelle est disponible. Les mêmes routes d'interface virtuelle BOVPN qui utilise l'interface externe la moins préférée possède chacune une métrique plus élevée, de sorte que ces routes ne sont utilisés que si les routes passant par l'autre interface virtuelle BOVPN n'est pas disponible.

Les interfaces virtuelles BOVPN de chaque Firebox doivent être configurées avec les mêmes paramètres. Pour cet exemple, nous supposons que le Site A et le Site B utilisent une clé pré-partagée. Tous les autres paramètres de l'interface virtuelle BOVPN gardent les valeurs par défaut.

Interfaces Virtuelles BOVPN du Site A

L'interface virtuelle BOVPN principale au Site A utilise ces paramètres de la passerelle :

  • Dans Fireware v11.12 ou les versions ultérieures, la liste déroulante Type d'Endpoint Distant s'affiche et comprend deux options : Firebox et VPN en Nuage ou Passerelle Tierce. Pour configurer un tunnel entre deux Firebox, sélectionnez l'endpoint du Firebox qui utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification utilise la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle inclut une paire d'endpoints de passerelle :
    • Interface externe : Externe
    • Passerelle locale : 203.0.113.2 (adresse IP de la première interface externe du Firebox du Site A)
    • Passerelle Distante : 198.51.100.2 (adresse IP de la première interface externe du Firebox du Site B)

Capture d'écran de la configuration d'endpoint pour l'interface virtuelle BOVPN principale du Site A
La paire d'endpoints de passerelle pour l'interface virtuelle BOVPN principale du Site A dans Fireware Web UI

Capture d'écran de la configuration d'endpoints pour l'interface virtuelle BOVPN principale du Site A
La paire d'endpoints configurée pour l'interface virtuelle BOVPN principale du Site A dans Policy Manager

L'interface virtuelle BOVPN principale du Site A possède une route VPN vers le réseau approuvé du Site B :

  • Route vers 10.50.1.0/24, Metric 1

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN principale sur le périphérique du Site A
La route VPN configurée pour l'interface virtuelle BOVPN principale du Site A dans Fireware Web UI

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN principale sur le périphérique du Site A
La route VPN configurée pour l'interface virtuelle BOVPN principale du Site A dans Policy Manager

L'interface virtuelle BOVPN secondaire au Site A utilise ces paramètres de la passerelle :

  • Dans Fireware v11.12 ou les versions ultérieures, la liste déroulante Type d'Endpoint Distant s'affiche et comprend deux options : Firebox et VPN en Nuage ou Passerelle Tierce. Pour configurer un tunnel entre deux Firebox, sélectionnez l'endpoint du Firebox qui utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification utilise la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle inclut une paire d'endpoints de passerelle :
    • Interface externe : Externe-2
    • Passerelle locale : 190.0.2.2 (adresse IP de la seconde interface externe du Firebox du Site A)
    • Passerelle distant : 198.51.100.2 (adresse IP de la seconde interface externe du Firebox du Site B)

Capture d'écran de la configuration d'endpoints pour l'interface virtuelle BOVPN secondaire du Site A
La paire d'endpoints de passerelle pour l'interface virtuelle BOVPN secondaire du Site A dans Fireware Web UI

Capture d'écran de la configuration d'endpoints pour l'interface virtuelle BOVPN secondaire du Site A
Capture d'écran de la configuration d'endpoints pour l'interface virtuelle BOVPN secondaire du Site A

L'interface virtuelle secondaire BOVPN du Site A possède une route VPN au réseau approuvé du Site B :

  • Route vers 10.50.1.0/24, Metric 200

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN secondaire sur le périphérique du Site A
La route VPN configurée pour l'interface virtuelle BOVPN secondaire du Site A dans Fireware Web UI

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN secondaire sur le périphérique du Site A
La route VPN configurée pour l'interface virtuelle BOVPN secondaire du Site A dans Policy Manager

Interfaces Virtuelles BOVPN du Site B

L'interface virtuelle BOVPN principale au Site B utilise ces paramètres de la passerelle.

L'interface virtuelle BOVPN principale au Site B utilise ces paramètres de la passerelle :

  • Dans Fireware v11.12 ou les versions ultérieures, la liste déroulante Type d'Endpoint Distant s'affiche et comprend deux options : Firebox et VPN en Nuage ou Passerelle Tierce. Pour configurer un tunnel entre deux Firebox, sélectionnez l'endpoint du Firebox qui utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification utilise la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle inclut une paire d'endpoints de passerelle :
    • Passerelle locale : 198.51.100.2 (adresse IP de la seconde interface externe du Firebox du Site B)
    • Passerelle distant : 203.0.113.2 (adresse IP de la première interface externe du Firebox du Site A)

Capture d'écran de la configuration d'endpoint de passerelle pour l'interface virtuelle BOVPN principale du Site B
La paire d'endpoints de passerelle de l'interface virtuelle BOVPN principale du Site B dans Fireware Web UI

Capture d'écran de la configuration d'endpoints de passerelle pour l'interface virtuelle BOVPN principale du Site B
La paire d'endpoints de passerelle de l'interface virtuelle BOVPN principale du Site B dans Policy Manager

L'interface virtuelle BOVPN principale du Site B possède deux routes VPN vers les réseaux approuvé et facultatif du Site A :

  • Route vers 10.0.1.0/24, Metric 1
  • Route vers 10.0.2.0/24, Metric 1

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN principale sur le périphérique du Site B
Les routes VPN configurées pour l'interface virtuelle BOVPN principale du Site B dans Fireware Web UI

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN principale sur le périphérique du Site B
Les routes VPN configurées pour l'interface virtuelle BOVPN principale du Site B dans Policy Manager

L'interface virtuelle BOVPN secondaire du Site B utilise ces paramètres de passerelle :

  • Dans Fireware v11.12 ou les versions ultérieures, la liste déroulante Type d'Endpoint Distant s'affiche et comprend deux options : Firebox et VPN en Nuage ou Passerelle Tierce. Pour configurer un tunnel entre deux Firebox, sélectionnez l'endpoint du Firebox qui utilise le protocole GRE pour encapsuler le tunnel IPSec.
  • La Méthode d'Informations d'Identification utilise la clé pré-partagée définie par les deux sites.
  • La liste Endpoints de Passerelle inclut une paire d'endpoints de passerelle :
    • Passerelle locale : 198.51.100.2 (adresse IP de l'interface externe du Firebox du Site B)
    • Passerelle Distante : 190.0.2.2 (adresse IP de la seconde interface externe du Firebox du Site A)

Capture d'écran de la configuration des endpoints de passerelle de l'interface virtuelle BOVPN secondaire du Site B
La paire d'endpoints de passerelle configurée pour l'interface virtuelle BOVPN secondaire du Site B dans Fireware Web UI

Capture d'écran de la configuration des endpoints de passerelle de l'interface virtuelle BOVPN secondaire du Site B
La paire d'endpoints de passerelle de l'interface virtuelle BOVPN secondaire du Site B dans Policy Manager

L'interface virtuelle secondaire BOVPN du Site B possède deux routes VPN vers les réseaux approuvé et facultatif du Site A :

  • Route vers 10.0.1.0/24, Metric 200
  • Route vers 10.0.2.0/24, Metric 200

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN secondaire sur le périphérique du Site B
Les routes VPN configurées pour l'interface virtuelle BOVPN secondaire du Site B dans Fireware Web UI

Capture d'écran des routes VPN pour l'interface virtuelle BOVPN secondaire sur le périphérique du Site B
Les routes VPN configurées pour l'interface virtuelle BOVPN secondaire du Site B dans Policy Manager.

Comment cette configuration fonctionne-t-elle ?

Dans cet exemple, chaque Firebox possède deux interfaces virtuelles BOVPN vers un Firebox du pair. Les routes configurées pour les deux interfaces virtuelles BOVPN sont les mêmes, sauf pour les métriques. Le Firebox utilise la route avec la métrique la plus faible (priorité la plus haute). Cela signifie que :

Si les deux interfaces virtuelles BOVPN sont disponibles

Le Firebox utilise les route passant par l'interface virtuelle BOVPN principale, car ces routes ont la priorité la plus élevée (métrique la plus faible).

Si l'interface virtuelle BOVPN principale n'est pas disponible, mais que l'interface virtuelle BOVPN secondaire est disponible

Le Firebox modifie automatiquement les paramètres pour les routes qui utilisent l'interface virtuelle BOVPN principale pour 255 afin de donner à ces routes la priorité la plus faible. Le Firebox utilise alors les routes via l'interface virtuelle BOVPN secondaire, car ces routes avec une métrique de 200 sont désormais les routes avec la plus grande priorité vers cette destination.

Lorsque l'interface virtuelle BOVPN principale est à nouveau disponible

Le Firebox modifie automatiquement les métriques des routes passant par l'interface virtuelle BOVPN principale pour la métrique de route configurée, soit 1 dans ce cas. Le trafic s'échangeant entre les deux sites utilise automatiquement les routes passant par l'interface virtuelle BOVPN principale, car elles ont désormais une plus grande priorité.

Vous pouvez éventuellement configurer Firebox pour supprimer complètement la route plutôt que d'augmenter la métrique lorsque la route est inaccessible. Pour plus d'informations, consultez À propos des Paramètres VPN globaux.

Voir Également

Configurer une Interface Virtuelle BOVPN

Configurer des Routes VPN

Exemples d'Interfaces Virtuelles BOVPN