j'ai compris

Utilisation du VPN IPSec pour implémenter une interconnexion sécurisée entre les réseaux locaux

publié il y a  2021-7-29 12:39:03 276 0 0 0 0

Utilisation du VPN IPSec pour implémenter une interconnexion sécurisée entre les réseaux locaux

Le siège et les succursales d'une entreprise sont interconnectés de diverses manières.

VPN de site à site — IPSec

Un VPN de site à site, également appelé VPN LAN-to-LAN ou VPN passerelle-à-passerelle, est utilisé pour configurer un tunnel IPSec entre deux passerelles, mettant en œuvre un accès sécurisé aux réseaux locaux. La Figure 5-21 montre un réseau VPN IPSec de site à site typique.

Figure 5-21  Réseau VPN IPSec de site à site type
télécharger?uuid=80f2fdc5a0c843128e342494b9b29dfa

Ce réseau nécessite que deux passerelles aux deux extrémités du tunnel aient des adresses IP fixes ou des noms de domaine fixes, et que les deux parties puissent initier une connexion.

télécharger?uuid=888cca47f96c45daad24e46ff3fe08d7
  • Un routeur peut servir à la fois de passerelle IPSec et de passerelle NAT.

  • Lorsqu'un périphérique NAT existe entre deux passerelles IPSec, les routeurs prennent en charge la traversée NAT IPSec.

VPN de site à site — L2TP sur IPSec

L2TP sur IPSec encapsule les paquets à l'aide de L2TP avant de les transmettre à l'aide d'IPSec. L2TP et IPSec sont utilisés ensemble pour permettre aux succursales d'accéder en toute sécurité aux VPN en composant le LAC. Les succursales utilisent L2TP pour composer le LAC et obtenir des adresses IP privées sur le réseau du siège. IPSec est utilisé pour assurer la sécurité des communications pendant ce processus.

La Figure 5-22 montre un réseau permettant à la filiale d'accéder au siège via un tunnel L2TP sur IPSec. Les interfaces sortantes du LAC (FW_A) et du serveur réseau L2TP (LNS) (FW_B) ont des adresses IP fixes. Un utilisateur de la succursale compose le FW_A via PPPoE. FW_A initie alors une demande de configuration de tunnel à FW_B sur Internet. Un L2TP sur IPSec est configuré entre FW_A et FW_B. Ensuite, FW_A authentifie l'utilisateur et FW_B peut également authentifier à nouveau l'utilisateur une fois l'utilisateur authentifié avec succès par FW_A. Une fois l'utilisateur authentifié avec succès par FW_B, FW_B attribue une adresse IP privée à l'utilisateur.

Figure 5-22  Succursale accédant au siège via un tunnel L2TP sur IPSec
télécharger?uuid=cde928f37c814f93b546838b779254ca

VPN de site à site — GRE sur IPSec

L'encapsulation de routage générique (GRE) est un protocole de tunneling générique qui encapsule les paquets de multidiffusion, de diffusion et non IP. GRE, cependant, ne fournit qu'une simple authentification par mot de passe mais pas le cryptage des données, et ne peut donc pas garantir la sécurité de la transmission des données. IPSec offre une sécurité de transmission de données élevée, mais ne peut pas encapsuler des paquets de multidiffusion, de diffusion ou non IP. Tirant parti des avantages de GRE et d'IPSec, GRE sur IPSec encapsule les paquets de multidiffusion, de diffusion et non IP dans des paquets IP communs. Par exemple, pour organiser une vidéoconférence entre une succursale et le siège social, utilisez GRE sur IPSec pour transmettre le trafic de service sur un VPN IPSec.

La Figure 5-23 montre un réseau VPN GRE sur IPSec typique.

Figure 5-23  GRE typique sur réseau VPN IPSec
télécharger?uuid=7fdba703103040be89721ea07aac0fcb

GRE sur IPSec prend en charge les modes de transport et d'encapsulation de tunnel. Par rapport au mode transport, le mode tunnel ajoute un en-tête IPSec supplémentaire, ce qui rend le paquet plus long et plus susceptible d'être fragmenté. Par conséquent, GRE sur IPSec en mode transport est recommandé.

Site à multisite (VPN Hub-Spoke)

Dans la plupart des cas, le siège social d'une entreprise est connecté à plusieurs succursales via des tunnels VPN IPSec. La Figure 5-24 montre un réseau VPN IPSec en étoile à hub typique.

Figure 5-24  Réseau VPN IPSec en étoile typique
télécharger?uuid=2314e0fde94e432b8acfdd5e08597ffa
Le siège social a une adresse IP publique fixe ou un nom de domaine fixe. Les succursales prennent en charge les adresses IP publiques statiques ou dynamiques et les adresses IP privées. Le trafic de données est transmis dans les scénarios suivants :
  • Les succursales n'ont pas besoin de communiquer entre elles.

    Déployez le VPN IPSec entre le siège et les succursales.

  • Les succursales doivent communiquer entre elles.

    Si les succursales accèdent à Internet à l'aide d'adresses IP publiques dynamiques, le VPN IPSec traditionnel empêchera les succursales de communiquer directement entre elles. Les données de communication entre les succursales doivent être transmises via le siège social. Cela consomme les ressources CPU et mémoire du hub (FW_C). De plus, le siège social doit encapsuler et décapsuler le trafic entre les succursales, ce qui entraîne un retard supplémentaire du réseau.

    Pour résoudre ce problème, déployez Dynamic Smart VPN (DSVPN) pour configurer des tunnels VPN entre les succursales à l'aide d'adresses IP dynamiques. Cependant, les tunnels GRE multipoints (mGRE) n'ont pas la fonction de cryptage et ne peuvent pas assurer la sécurité des communications. Pour assurer la sécurité des communications, associez DSVPN à l'infrastructure de sécurité IPSec, c'est-à-dire déployez DSVPN sur IPSec. Pour plus d'informations sur DSVPN sur IPSec, consultez DSVPN protégé par IPSec .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.