IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
VPN IPsec : Configuration Hub and Spoke
Architectures présentées
La méthode d’authentification choisie dans ce didacticiel est basée sur les certificats.
Pour le détail des opérations concernant la PKI, référez-vous au didacticiel « Mise en œuvre VPN IPsec - authentification par certificats ».
Dans la suite de ce document, le site central sera dénommé « Hub », les deux sites satellites étant représentés par « Spoke A » et « Spoke B ». Il est bien entendu que ce type d’architecture ne se limite pas à deux sites satellites.
Cas n° 1 : trafic interne via les tunnels IPsec
Seul le trafic interne entre les trois sites (Hub, Spoke A et Spoke B) passe au travers de tunnels via le Hub. Les flux Internet sont gérés localement sur chaque site.
Cette infrastructure peut parfois être préférée à celle présentée dans le cas n°2 pour des raisons économiques notamment: un accès internet centralisé sur le site Hub peut nécessiter un très gros débit et donc s’avérer plus onéreux qu’un ensemble d’accès Internet de capacité plus réduite.
Cas n°2 : trafic total via les tunnels IPsec
L’ensemble du trafic passe par le site Hub au travers de tunnels. L’accès Internet est centralisé au niveau du Hub.
.
Cette infrastructure présente l’avantage d’une gestion centralisée de l’accès Internet et de la politique de sécurité associée.