Tunnels basés sur la politique IPsec (PB - Policy Based)

Architecture réseau

 

 

  • Le site principal de LILLE comporte trois liens WAN dont deux principaux (LIL-WAN-1 et LIL-WAN-2) et un de secours (LIL-WAN-3),
  • Le site secondaire de LYON comporte un lien WAN (LYO-WAN-1).

Architecture IPsec

 

 

Les sites de LILLE et de LYON communiquent via un tunnel basé sur la politique IPsec en respectant les configurations décrites ci-dessous.

Site de LILLE

Plusieurs options de routage peuvent être utilisées pour établir le tunnel IPsec avec le site de LYON :

  • Une route par défaut avec partage de charge via un objet routeur,
  • Une route par défaut avec redondance via un objet routeur,
  • Une route statique avec redondance via un objet routeur.

NOTE
Il n'est pas possible d'utiliser du routage par politique (PBR - Policy Based Routing) directement au sein d'une règle de filtrage dans ce type de configuration.

Dans cet exemple, le firewall FW-LILLE utilise un objet routeur en passerelle par défaut avec redondance (failover) : en cas de dégradation sur le lien utilisé, le tunnel doit être conservé en basculant sur un autre lien disponible.

Site de LYON

Plusieurs options de routage peuvent être utilisées pour établir le tunnel IPsec avec le site de LILLE :

  • Une route par défaut,
  • Une route statique.

NOTE
Il n'est pas possible d'utiliser du routage par politique (PBR - Policy Based Routing) directement au sein d'une règle de filtrage dans ce type de configuration.

Pour la partie IPsec :

  • Le correspondant IPsec défini sur le firewall FW-LYON doit être de type mobile (solution plus rapide à mettre en œuvre) ou être configuré en mode Responder-only car le firewall FW-LYON n'a pas connaissance de l'accès WAN par lequel le site de LILLE se présente pour établir le tunnel,
  • La configuration du firewall FW-LYON doit autoriser les trois adresses IP publiques de FW-LILLE à établir un tunnel IPsec site-à-site. Ceci impose de définir les trois clés pré-partagées ou les trois certificats pour les liens WAN du site de LILLE.

Ce document décrit l'utilisation d'un correspondant de type mobile avec authentification par clé pré-partagée.