VPN IPSec : Configuration Hub and Spoke

Architectures présentées

La méthode d’authentification choisie dans ce didacticiel est basée sur les certificats.

Pour le détail des opérations concernant la PKI, référez-vous au didacticiel « Mise en œuvre VPN IPSec - authentification par certificats ».

Dans la suite de ce document, le site central sera dénommé « Hub », les deux sites satellites étant représentés par « Spoke A » et « Spoke B ». Il est bien entendu que ce type d’architecture ne se limite pas à deux sites satellites.

Cas n° 1 : trafic interne via les tunnels IPSec

Seul le trafic interne entre les trois sites (Hub, Spoke A et Spoke B) passe au travers de tunnels via le Hub. Les flux Internet sont gérés localement sur chaque site.

Cette infrastructure peut parfois être préférée à celle présentée dans le cas n°2 pour des raisons économiques notamment: un accès internet centralisé sur le site Hub peut nécessiter un très gros débit et donc s’avérer plus onéreux qu’un ensemble d’accès Internet de capacité plus réduite.

Cas n°2 : trafic total via les tunnels IPSec

L’ensemble du trafic passe par le site Hub au travers de tunnels. L’accès Internet est centralisé au niveau du Hub.

.

Cette infrastructure présente l’avantage d’une gestion centralisée de l’accès Internet et de la politique de sécurité associée.