Tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI) en mode Hub & Spoke

Cet exemple est une variante du cas des tunnels basés sur des interfaces IPsec virtuelles (VTI) entre les sites de LILLE et PARIS. En plus des échanges chiffrés entre les sites de LILLE et PARIS, le site de PARIS utilise les tunnels IPsec pour accéder à Internet via l'un des trois accès WAN de LILLE.

L'architecture est identique à celle du cas des tunnels basés sur des interfaces IPsec virtuelles (VTI) entre les sites de LILLE et PARIS et n'est donc pas détaillée dans cette section.

Seuls les impératifs liés au type d'objet routeur à utiliser pour le routage sur chacun des deux sites, ainsi que les règles de NAT à créer sur le site de LILLE sont décrits dans cette section.

Site de LILLE

Dans le cas du mode Hub & Spoke, le routage sur le site de LILLE peut être réalisé :

  • Via une route par défaut au travers d'un objet routeur utilisant de la redondance (failover) entre ses deux passerelles,
  • Via du routage par politique (PBR - Policy Based Routing) au travers d'un objet routeur utilisant de la redondance entre ses deux passerelles,
  • Via du routage statique au travers d'un objet routeur utilisant de la redondance entre ses deux passerelles.

Le partage de charge dans l'objet routeur ne peut pas être utilisé dans ce cas : il n'est pas compatible avec des interfaces sources non protégées, ce qui est le cas par défaut des interfaces IPsec virtuelles.

Site de PARIS

Dans le cas du mode Hub & Spoke, le routage sur le site de PARIS peut être réalisé :

  • Via une route par défaut au travers d'un objet routeur utilisant de la redondance (failover) entre ses deux passerelles,
  • Via du routage statique au travers d'un objet routeur utilisant de la redondance entre ses deux passerelles.
  • Via du routage par politique (PBR - Policy Based Routing) au travers d'un objet routeur utilisant de la redondance entre ses deux passerelles,
  • Via du routage par politique au travers d'un objet routeur utilisant de la répartition de charge, à la condition que les interfaces IPsec virtuelles de PARIS soient déclarées non protégées, ce qui est la configuration par défaut. En effet, mettre en place du partage de charge avec des passerelles basées sur des interfaces protégées entraînerait la levée d'alarmes bloquantes d'usurpation d'identité sur le firewall de LILLE.