Tunnels IPsec basés sur des interfaces IPsec virtuelles (VTI)

Architecture réseau

• Le site principal de LILLE comporte trois liens WAN (LIL-WAN-1, LIL-WAN-2 et LIL-WAN-3),
• Le site secondaire de PARIS comporte deux liens WAN principaux (PAR-WAN-1 et PAR-WAN-2).

Architecture IPsec

• Les sites de LILLE et de PARIS communiquent via deux tunnels IPSec basés sur des interfaces IPsec virtuelles (VTI).
• L'un des deux sites peut être configuré en responder only.

Site de LILLE

Le firewall FW-LILLE utilise deux routes statiques pour établir des tunnels IPsec avec le site de PARIS au travers des couples d'accès WAN LIL-WAN-1 / PAR-WAN-1 et LIL-WAN-2 / PAR-WAN-2. Ces tunnels sont basés sur des interfaces IPsec virtuelles.

Cette configuration impose la communication exclusive de LIL-WAN-1 avec PAR-WAN-1 et de LIL-WAN-2 avec PAR-WAN-2.

NOTE
Le site de PARIS possédant un accès WAN de moins que le site de LILLE, l'accès LIL-WAN-3 ne sera pas utilisé pour l'établissement des tunnels IPsec avec le site de PARIS.

Il convient de définir une route pour établir les tunnels avec le site de PARIS : ceci sera fait à l'aide d'un objet routeur utilisant les deux interfaces IPsec virtuelles du site de PARIS.

Ce routage peut être réalisé :

• Via du routage par politique (PBR - Policy Based Routing). Cette option autorise le partage de charge ou la redondance entre les deux passerelles de l'objet routeur,
• Via du routage statique. Cette option impose de définir de la redondance (failover) entre les deux passerelles de l'objet routeur. Le partage de charge ne peut pas être utilisé dans ce cas.

NOTE
Si le site de PARIS ne possédait qu'un seul lien WAN, cette configuration pourrait tout de même être déployée moyennant l'utilisation d'un alias ou d'une seconde adresse IP publique pour définir PAR-WAN-1.

Site de PARIS

La configuration du site de PARIS est le miroir de celle du site de LILLE.