Juniper Route ou policy based VPN
Les Firewalls Juniper sont de très bons équipements pour la création et la mise en place de tunnels VPN (nomades ou branch offices). En revanche, les notions induites par Juniper, à savoir les Route-based VPN ou Policy-based VPN peuvent facilement déconcerter en première lecture.
Qu’est-ce qu’un policy based VPN ? Une policy, au sens Juniper du terme, est une règle permettant de définir une action à effectuer lorsque celle-ci correspond aux conditions requises (source, destination, service …). Par exemple, une policy standard sera d’autoriser tous les flux provenant de votre sous-réseau LAN à destination de l’extérieur (ceci reste un exemple qui ne correspond pas forcémment aux standards de sécurité !). Vous l’aurez donc probablement compris, un policy based VPN consistera à indiquer une action de « tunneling » pour une source et une destination donnée. Leur configuration est relativement simple car elle ne nécessite pas de manipuler certaines notions (Proxy-ID, PBRs …) mais ne permet pas de créer des règles de filtrage avec une granularité plus fine.
Les route based VPN sont construits autour des règles de routage de l’équipement. Pour schématiser, l’équipement aura une interface tunnel virtuelle, vers laquelle il sera alors nécessaire de router le traffic qui doit être encapsulé en IPSEC. Pour un LAN en 10.0.0.0 / 24 et à LAN distant qui doit être join via le tunnel IPSEC qui serait en 192.168.0.0 /24, on devra donc paramétrer une route qui spécifie que pour joindre 192.168.0.0 / 24, l’interface de sortie ne sera ni plus ni moins que l’interface tunnel.1 qui aura été créée au préalable. Il est donc possible par le biais de ce type de configuration de jouer sur les routes pour obtenir une topologie relativement complexe et de mettre en place des protocoles de routage dynamiques contrairement aux policy based VPN. En outre, l’ensemble des fonctions de NAT seront plus accessibles et plus finement paramétrables dans cette configuration.
Le niveau de complexité des route based VPN est donc certes un cran plus important, mais il permettra de mettre en place des architectures plus complexes optimisant ainsi le routage des flux et les traitement afférants à ceux-ci.
Tags: Juniper, Juniper Policy-Based VPN, Juniper Route-Based VPN, Tunnels VPN
7 septembre 2009 à 10 h 00 min
bonjour,
pour tenter d’éclaircir un peu, disons que le mode route-based permet de séparer la partie filtrage/nat de la partie encapsulation IPSEC.
Le filtrage/NAT se configure alors dans la partie policy, alors que l’encapsulation dépendra des règles de routage mises en place.
A l’usage, même si le route-based peut paraître plus complexe, il est plus souvent utilisé, car plus souple. (on peut facilement créer un backup via une liaison IPSEC, faire du routage dynamique, ou modifier la base de règle sans risquer de perturber la montée des tunnels IPSEC).
On peut également utiliser du route-based vers un autre boitier juniper configuré en policy based, ou vers n’importe quel autre équipement sachant faire de l’ipsec.