Configuration d'un accès sécurisé avec Meraki MX pour une haute disponibilité et une surveillance de l'état

Options de téléchargement

  • PDF     (3.2 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (3.0 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:23 avril 2025
ID du document:222965

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer Cisco Secure Access avec Meraki MX pour la haute disponibilité à l'aide de vérifications d'intégrité.

    Conditions préalables

    Exigences

    • Meraki MX doit exécuter la version 19.1.6 ou ultérieure du micrologiciel
    • Lors de l'utilisation de l'accès privé, un seul tunnel est pris en charge en raison d'une limitation de Meraki qui empêche de modifier l'adresse IP du contrôle d'intégrité, rendant la NAT requise pour les tunnels SPA (Secure Private Access) supplémentaires. Cela ne s'applique pas lorsque vous utilisez SIA (Secure Internet Access).
    • Définissez clairement quels sous-réseaux ou ressources internes sont routés via le tunnel vers Secure Access.

    Composants utilisés

    • Accès sécurisé Cisco
    • Appliance de sécurité Meraki MX (microprogramme version 19.1.6 ou ultérieure)
    • Tableau de bord Cisco Meraki
    • Tableau de bord Secure Access

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Informations générales

    Secure Access - Meraki MX

    Cisco Secure Access est une plate-forme de sécurité native au cloud qui permet un accès sécurisé aux applications privées (via un accès privé) et aux destinations Internet (via un accès Internet). Lorsqu'elle est intégrée à Meraki MX, elle permet aux entreprises d'établir des tunnels IPsec sécurisés entre les sites des filiales et le cloud, garantissant ainsi un flux de trafic chiffré et une application de sécurité centralisée.

    Cette intégration utilise des tunnels IPsec de routage statique. Meraki MX établit des tunnels IPsec principaux et secondaires vers Cisco Secure Access et exploite ses contrôles d'intégrité de liaison ascendante intégrés pour effectuer un basculement automatique entre les tunnels. Cela permet d'obtenir une configuration résiliente et haute disponibilité pour la connectivité des filiales.

    Les éléments clés de ce déploiement sont les suivants :

    • Meraki MX agissant en tant qu'homologue VPN autre que Meraki pour Cisco Secure Access.
    • Tunnels principaux et secondaires configurés de manière statique, avec des contrôles d'intégrité déterminant la disponibilité.
    • L'accès privé prend en charge l'accès sécurisé aux applications internes via SPA (Secure Private Access), tandis que l'accès Internet permet au trafic d'atteindre les ressources Internet avec l'application de politiques dans le cloud.
    • En raison des limites de Meraki en matière de souplesse IP de contrôle d'intégrité, un seul groupe de tunnels est pris en charge en mode d'accès privé. Si plusieurs périphériques Meraki MX doivent se connecter à un accès sécurisé pour un accès privé, vous devez soit utiliser le protocole BGP pour le routage dynamique, soit configurer des tunnels statiques, sachant qu'un seul groupe de tunnels réseau peut prendre en charge les vérifications d'intégrité et la haute disponibilité. Les tunnels supplémentaires fonctionnent sans surveillance de l'état ou redondance.

    Configurer

    Configurer le VPN sur un accès sécurisé

    Accédez au panneau d'administration de Secure Access.

    Cisco Secure Access - Dashboard

    • Cliquez sur Connect > Network Connections

    Cisco Secure Access - Network Connections

    • SousNetwork Tunnel Groupscliquez sur + Add

    Secure Access - NTG

    • ConfigurerTunnel Group Name, RegionetDevice Type
    • Cliquer Next

    Secure Access - NTG 2

    • Configurez lesTunnel ID Formatet Passphrase
    • CliquerNext

    Secure Access - NTG 3

    • Configurez les plages d'adresses IP ou les hôtes que vous avez configurés sur votre réseau et que vous souhaitez faire passer le trafic via l'accès sécurisé et assurez-vous d'inclure l'adresse IP de la sonde de surveillance Meraki, 192.0.2.3/32 afin de permettre le retour du trafic depuis l'accès sécurisé vers le Meraki MX.
    • CliquerSave

    Secure Access - NTG 4

    caution-icon

    Mise en garde : Veillez à ajouter la sonde de surveillance IP (192.0.2.3/32) ; sinon, vous pouvez rencontrer des problèmes de trafic sur le périphérique Meraki qui achemine le trafic vers Internet, les pools VPN et la plage CGNAT 100.64.0.0/10 utilisée par ZTNA.

    • Après avoir cliqué sur Save les informations sur le tunnel s'affiche, veuillez enregistrer ces informations pour l'étape suivante, Configure the tunnel on Meraki MX.

    Configuration VPN d'accès sécurisé

    Copiez la configuration des tunnels dans un bloc-notes. Utilisez ces informations pour terminer la configuration dans Meraki Non-Meraki VPN Peers.

    Secure Access - NTG Created

    Configuration du VPN sur Meraki MX

    Accédez à votre Meraki MX et cliquez sur Security & SD-WAN > Site-to-site VPN

    MERAKI MX - S2S

    VPN de site à site

    Choisir Hub.

    MERAKI MX - HUB

    Paramètres VPN

    Choisissez les réseaux que vous avez sélectionnés pour envoyer le trafic vers l'accès sécurisé :

    MERAKI MX - VPN Networks

    Choisir dansNAT TraversalAutomatique

    MERAKI MX - VPN Networks - NAT T

    Homologues VPN non Meraki

    Vous devez configurer les contrôles d'intégrité que Meraki utilise pour acheminer le trafic vers Secure Access :

    Cliquez sur Configure Health Checks

    • Cliquez sur +Add health Check

    MERAKI MX - Health Checks

    note-icon

    Remarque : Ce domaine répond uniquement lorsqu'il est accessible via un tunnel de site à site avec un accès sécurisé ou un parapluie : les tentatives d'accès en dehors de ces tunnels échouent.

    Cliquez ensuite Done deux fois pour finaliser.

    MERAKI MX - Health Checks 2

    Vos contrôles d'intégrité sont maintenant configurés et vous êtes prêt à configurer le Peer:

    Configuration du tunnel principal

    • Cliquez sur+Add a peer 

    MERAKI MX - VPN Configuration

    • Ajouter un homologue VPN
      • Name : Configurez un nom pour le VPN pour un accès sécurisé
      • Version IKE : Choisir IKEv2
    • Pairs
      • Adresse IP publique ou nom d'hôte : Configurez les données Primary Datacenter IP fournies par Secure Access dans l'étape Configurations VPN d'accès sécurisé
      • ID local : Configurez les données Primary Tunnel ID fournies par Secure Access dans l'étape Configurations VPN d'accès sécurisé
      • ID distant : S/O
      • Shared secret : configurez les données Passphrase fournies par Secure Access à l'étape Secure Access VPN Configurations
      • Routage : Choisir statique
      • Sous-réseaux privés : si vous prévoyez de configurer à la fois l'accès Internet et l'accès privé, utilisez 0.0.0.0/0 comme destination. Si vous configurez uniquement l'accès privé pour ce tunnel VPN, spécifiez le Remote Access VPN IP Pool et la plage CGNAT comme réseaux 100.64.0.0/10 de destination
      • Disponibilité : si vous n'avez qu'un seul appareil Meraki, vous pouvez sélectionner All Networks. Si vous disposez de plusieurs périphériques, veillez à sélectionner uniquement le réseau Meraki spécifique sur lequel vous configurez le tunnel.
    • Surveillance du tunnel
      • Vérification du fonctionnement : Utilisez le contrôle d'intégrité précédemment configuré pour surveiller la disponibilité du tunnel
      • Basculement direct vers Internet :Si vous activez cette option et que les vérifications de l’intégrité du tunnel 1 et du tunnel 2 échouent, le trafic est redirigé vers l’interface WAN pour empêcher la perte de l’accès à Internet.
    note-icon

    Fonctionnalité de vérification de l'intégrité :Si le tunnel 1 est surveillé et que sa vérification de l'intégrité échoue, le trafic bascule automatiquement vers le tunnel 2. Si le tunnel 2 échoue également et que l'option est activée, le trafic est acheminé via l'interface WAN du périphérique Meraki et l'Failover directly to Internet'interface WAN est activée.

    • Stratégie IPsec
      • Préréglage : Choisir Umbrella

    Cliquez ensuite sur Save.

    Configuration du tunnel secondaire

    Pour configurer le tunnel secondaire, cliquez sur le menu d'options du tunnel principal :

    • Cliquez sur les trois points

    MERAKI MX - VPN Configuration 2

    • Cliquez sur + Add Secondary peer

    MERAKI MX - Tunnel 2

    • Cliquez surInherit primary peer configurations

    MERAKI MX - Secondary Peer Inherit

    Vous remarquerez ensuite que certains champs sont remplis automatiquement. Vérifiez-les, apportez les modifications nécessaires et complétez le reste manuellement :

    MERAKI MX - SSE Health Checks Tunnel

    • Pairs
    • Surveillance du tunnel
      • Vérification du fonctionnement : Utilisez le contrôle d'intégrité précédemment configuré pour surveiller la disponibilité du tunnel

    Ensuite, vous pouvez cliquer sur Save, et l'alerte suivante apparaît : 

    MERAKI MX - Alert

    Ne vous inquiétez pas et cliquez Confirm Changes.

    Configurer le pilotage du trafic (contournement du trafic en tunnel)

    Cette fonctionnalité vous permet de contourner le trafic spécifique du tunnel en définissant des domaines ou des adresses IP dans la configuration de contournement SD-WAN :

    • Accédez à Security & SD-WAN > SD-WAN & Traffic Shaping

    MERAKI MX - Traffic Shaping

    • Faites défiler jusqu'à la Local Internet Breakout section et cliquez sur Add+

    MERAKI MX - Local Internet Breakout

    Créez ensuite le contournement en fonction de Custom Expressions ou de Major Applications:

    Custom Expressions - Protocol

    MERAKI MX - Local Internet Breakout TCP

    Custom Expressions - DNS

    MERAKI MX - Local Internet Breakout DNS

    Major Applications

    MERAKI MX - Local Internet Breakout Applications

    Pour plus d'informations, consultez : Configuration des règles d'exclusion VPN (IP/Port/DNS/APP)

    Vérifier

    Pour vérifier si les tunnels sont actifs, vérifiez l'état dans :

    • Cliquez surSecurity & SD-WAN> dans VPN Status le tableau de bord Meraki.

    MERAKI MX - VPN Status

    • Cliquez sur Non-Meraki peers:

    MERAKI MX - Primary Secondary Status

    Si les deux états VPN principal et secondaire sont affichés en vert, cela signifie que les tunnels sont actifs et actifs.

    MERAKI MX - VPN Status Codes

    Dépannage

    Vérifier les bilans de santé

    Pour vérifier si les contrôles d'intégrité Meraki pour le VPN fonctionnent correctement, accédez à :

    • Cliquez sur Assurance > Event Log

    MERAKI MX - VPN Event Logs Health Checks

    Sous Event Type Include, sélectionnez Non-Meraki VPN Healthcheck

    MERAKI MX - VPN Event Logs Health Checks 2

    Lorsque le tunnel principal vers Cisco Secure Access est actif, les paquets arrivant par le tunnel secondaire sont abandonnés pour maintenir un chemin de routage cohérent.

    Le tunnel secondaire reste en veille et n'est utilisé qu'en cas de panne sur le tunnel principal, soit du côté Meraki, soit dans Secure Access, comme déterminé par le mécanisme de contrôle d'intégrité.

    MERAKI MX - VPN Event Logs Health Checks 3

    • Le contrôle d'intégrité du tunnel principal indique l'état : up, ce qui signifie qu'il est actuellement en train de transmettre et de transférer activement le trafic.
    • Le contrôle d'intégrité du tunnel secondaire indique l'état : inactif, non pas parce que le tunnel n'est pas disponible, mais parce que le primaire est sain et en cours d'utilisation. Ce comportement est attendu, car le trafic n'est autorisé qu'à traverser le tunnel 1, ce qui entraîne l'échec du contrôle d'intégrité du tunnel secondaire.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    23-Apr-2025
    Première publication

    Contribution de

    • Jairo Andres Moreno Ciro
      Spécialiste de la réussite client

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits