Serveur d'impression

Configuration du réseau de succursales – Cisco Meraki – Bien choisir son serveur d impression

Le 31 janvier 2020 - 6 minutes de lecture

Cette section fournit des informations supplémentaires sur la configuration des appliances de sécurité MX en tant que passerelles Internet pour les succursales.

Exemple de topologie

Dans cet exemple, trois emplacements distants utilisent des périphériques MX60. Les appareils sont connectés au siège au moyen d'un VPN site à site Meraki.

Paramètres WAN et LAN de branche

Tout d'abord, vous devez vous assurer que l'appliance peut se connecter à Internet et accéder au tableau de bord Meraki. Une fois cela fait, vous pouvez utiliser le tableau de bord pour définir la plage de sous-réseau et les paramètres DHCP, ainsi que pour attribuer des adresses IP fixes à des périphériques tels que des imprimantes et des points d'accès au sein des succursales.

Voici les paramètres WAN et LAN pour la branche # 1:

  1. Connectez l'appliance au modem câble ou DSL via la sortie Ethernet du modem.
  2. Définissez l'adresse IP et le DNS du WAN de la série MX, avec les deux options suivantes
    1. Vous pouvez laisser l'appareil négocier ces paramètres avec le FAI local automatiquement via DHCP.
    2. Alternativement, si votre FAI vous a fourni une adresse IP statique et des paramètres DNS, vous pouvez les saisir manuellement. (Pour plus d'informations sur la définition de l'adresse IP WAN de l'appareil, reportez-vous au guide d'installation approprié pour votre appareil de la série MX.)
  3. Connectez-vous à votre compte Dashboard sur https://dashboard.meraki.com.
  4. Pour vérifier que l'appareil est accessible dans le tableau de bord, choisissez Appliance de sécurité> Moniteur> État de l'appliance.
  5. Attribuez un sous-réseau à chaque branche:
    1. Choisir Appliance de sécurité> Configurer> Adressage et VLAN.
    2. Choisir Mode> NAT.
    3. Choisissez si vous voulez un seul LAN ou plusieurs VLANS via Routage> VLAN.
    4. Entrez la portée du sous-réseau local en notation CIDR dans Sous-réseau local champ. Par exemple, si votre sous-réseau est de 192.168.11.1 à 192.168.11.254, vous devrez entrer les informations suivantes dans le Sous-réseau local champ: 192.168.11.0/24.

    5. Entrer le IP LAN MX (par exemple, 192.168.11.1). Cela définit l'adresse IP du périphérique MX sur ce LAN.
  6. Choisissez votre option DHCP.
    1. Pour les emplacements avec un serveur DHCP tiers (tel qu'un serveur Microsoft Windows qui sert de contrôleur de domaine local):
      1. Choisir Appliance de sécurité> Configurer> DHCP.
      2. Choisir Ne répond pas aux requêtes DHCP.
    2. Pour les emplacements où vous souhaitez que le MX fournisse des services DHCP:
      1. Choisir Appliance de sécurité> Configurer> DHCP.
      2. Choisir Exécutez un serveur DHCP.
  7. Connectez un ordinateur portable à l'un des ports LAN du MX, puis assurez-vous que vous disposez d'un accès Internet et que vous obtenez une adresse IP dans le champ de sous-réseau que vous avez attribué.

Si vous utilisez le service DHCP sur la série MX, vous pouvez réserver des adresses IP pour des périphériques tels que des imprimantes et des points d'accès en ajoutant des attributions IP fixes (voir Affectations IP fixes sur le Appliance de sécurité> Configurer> DHCP page).

En mode NAT, la série MX est la passerelle par défaut sur les LAN / VLAN que vous avez créés ci-dessus. Si vous allez connecter des succursales via une connexion VPN de site à site, chaque réseau doit avoir un sous-réseau différent (sans chevauchement).

VPN de site à site

VPN traditionnel de site à site

Bien qu'il existe une variété de solutions pour la connexion VPN de site à site, tous les appareils d'appairage ont besoin des informations suivantes:

  • Clé pré-partagée (PSK) ou certificat
  • Adresses IP publiques d'autres appareils homologues
  • Sous-réseaux NAT derrière les appareils homologues
  • Paramètres VPN phase1 et phase2 pour assurer la correspondance de l'encodage et divers autres paramètres

Sur la base des informations ci-dessus, les appareils homologues établissent le tunnel VPN via les éléments suivants:

  • Se connecter directement les uns aux autres
  • Négociation conjointe des offres VPN phase1 et phase2
  • Ajout d'un ou plusieurs itinéraires à leurs cartes d'itinéraire pour atteindre les sous-réseaux NAT de l'autre homologue via l'interface VPN

Le VPN site à site de Meraki est différent

Traditionnellement, la plupart des étapes ci-dessus sont manuelles et sont donc sujettes aux erreurs des utilisateurs (telles que les informations de sous-réseau mal tapées ou les configurations VPN sans correspondance). Les appareils MX sont différents. Ils sont tous connectés au tableau de bord et ils utilisent chacun le tableau de bord pour aider à négocier des connexions VPN à leurs réseaux homologues dans une organisation donnée, comme suit:

  • Chaque périphérique MX publie constamment son adresse IP publique et ses sous-réseaux NAT sur le tableau de bord.
  • Lorsque VPN est activé, les pairs VPN se contactent automatiquement et établissent une connexion VPN IPSec.
  • Le tableau de bord attribue une clé prépartagée unique à tous les homologues VPN participants.
  • Enfin, le tableau de bord envoie une carte d'itinéraire globalement ajustée à chaque appareil, afin qu'ils sachent tous comment atteindre les sous-réseaux NAT les uns des autres.

Le résultat final de ce processus automatisé est un VPN de site à site qui est toujours à jour, s'adaptant dynamiquement à toutes les modifications du réseau et qui est opérationnel en un seul clic.

Alors que la solution VPN Meraki utilise la puissance du tableau de bord lors de la configuration et du contrôle du VPN, le le trafic VPN réel ne traverse jamais le cloud, mais se déplace à la place directement entre les périphériques VPN homologues.

Configuration d'un VPN de site à site avec des appareils Meraki MX

La création d'un tunnel VPN de site à site vers le siège social à partir de succursales est simple:

  1. Choisir Appliance de sécurité> Configurer> VPN de site à site.
  2. Choisir Centre des options de type VPN.
  3. Choisissez 'Oui' pour Utilisez VPN pour les sous-réseaux locaux qui devraient être disponibles sur le VPN.
  4. Choisir Automatique du Traversée NAT les options.

Vous avez terminé!

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.