Configurer le routage
Depuis le serveur SMC, vous pouvez gérer et configurer les routes statiques et dynamiques ainsi que les routes de retour et routes par défaut de vos firewalls à partir de la version 4.2.3.
Pour réaliser ces opérations, vous devez posséder le droit d'accès en écriture sur les dossiers concernés dans l'interface web de SMC. Pour plus d'informations, reportez-vous à la section Restreindre les droits d'accès des administrateurs de dossiers.
ATTENTION
À partir de la version 4.8.1 EA de SNS, pour gérer le routage dynamique depuis SMC, la version 3.6 minimum est obligatoire. Déployer des configurations avec du routage dynamique depuis une version de SMC inférieure à la 3.6 sur des firewalls SNS en versions 4.8.1 EA et supérieures n'est pas possible.
Rendez-vous dans l'onglet Système > Configuration du firewall concerné et vérifiez que la case Configurer le réseau pour ce firewall depuis SMC est cochée.
La première fois que vous cochez l'option, SMC récupère automatiquement les routes du firewall dans l'onglet Routage, s'il est connecté. SMC récupère également les objets contenus dans les routes.
Dans l'onglet Routage, vous pouvez configurer de manière centralisée :
-
les routes statiques,
-
les routes de retour,
-
la route par défaut,
-
le routage dynamique.
Routes statiques et de retour | Pour créer de nouvelles routes statiques et de retour, cliquez sur Ajouter en haut de la grille. |
Routage dynamique |
Double-cliquez sur la ligne du routage dynamique dans la grille. Sélectionnez la version BIRD à utiliser (v1 ou v2). Vous pouvez modifier la configuration du routage au format de la version BIRD sélectionnée et sélectionner des options avancées. Pour plus d'informations, reportez-vous à la section Routage dynamique du Manuel Utilisateur SNS. NOTE
|
Route par défaut |
Double-cliquez sur la ligne dans la grille et sélectionnez une passerelle. |
Lors du déploiement de configuration, la configuration réseau déployée depuis SMC est prioritaire sur la configuration locale du firewall et écrase celle-ci.
Pour plus d'informations sur la configuration des routes, reportez-vous à la section Routage du Manuel Utilisateur SNS.
Si la case Configurer le réseau pour ce firewall depuis SMC n'est pas cochée, l'onglet Routage du firewall est en lecture seule. Les routes du firewall sont alors récupérées par SMC à chaque ouverture de l'onglet. Les objets contenus dans les routes en lecture seule ne sont pas récupérés sur SMC.
Lorsque l'onglet Routage est en lecture seule, les routes du firewall sont récupérées par SMC à chaque ouverture de l'onglet. Ce n'est pas le cas lorsque la configuration du réseau et du routage est gérée par SMC.
Vous pouvez alors forcer la récupération de la configuration des interfaces et du routage dans les paramètres du firewall :
-
Rendez-vous dans les paramètres du firewall,
-
Dans l'onglet Système > Configuration, cochez la case Configurer le réseau pour ce firewall depuis SMC si elle n'est pas déjà cochée,
-
Dépliez l'encart Récupération des informations et de la configuration du firewall (avancé) et cliquez sur Récupérer la configuration des interfaces et du routage.
Vous pouvez importer manuellement et exporter les routes en ligne de commande.
Exporter les routes
La commande smc-export-routes permet de générer un fichier CSV comprenant les routes statiques, de retour et par défaut des firewalls en version 4.2.4 minimum et pour lesquels la gestion de la configuration du réseau depuis SMC est activée.
Par défaut, la commande génère le fichier CSV dans le dossier /tmp.
Pour exporter les routes d'un firewall :
-
Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH,
-
Entrez la commande smc-export-routes. Si vous souhaitez modifier le nom par défaut du fichier de sortie (smc_routes_date.heure.csv), ajoutez un argument à la commande. Par exemple : smc-export-routes /data/tmp/mes_routes.csv.
Importer les routes
La commande smc-import-routes permet d'importer sur SMC les routes des firewalls en version 4.2.4 minimum et pour lesquels la gestion de la configuration du réseau depuis SMC est activée, à partir d'un fichier CSV. L'exécution de la commande écrase les routes déjà visibles sur SMC.
EXEMPLE
Un fichier d'import de routes présente la structure suivante :
#firewall,#type,#status,#destination,#gateway,#interface,#comment
SNS1,default,Enabled,any,gateway,auto,
SNS2,reverse,Enabled,,update1-sns.stormshieldcs.eu,out,
...
Pour importer les routes :
-
Pour créer le fichier CSV, vous pouvez exporter les routes comme indiqué ci-dessus et vous inspirer du fichier généré,
-
Copiez le fichier CSV sur le serveur SMC à l'aide du protocole SSH, dans le répertoire /tmp par exemple,
-
Connectez-vous au serveur SMC via la console de votre hyperviseur ou en SSH,
-
Entrez la commande smc-import-routes suivie du chemin vers le fichier CSV en argument.
Si les routes font référence à des éléments de votre configuration SNS qui ne sont pas déjà présents dans la configuration SMC (objets/interfaces), vous devez les importer au préalable sur le serveur.
-
La configuration en IPv6 n'est actuellement pas supportée.
-
SMC peut récupérer les routes d'un firewall SNS et les objets associés via l'activation de la gestion de la configuration du réseau ou bien via la récupération forcée des routes. Si un objet récupéré est déjà présent sur SMC (même type et même nom), les valeurs utilisées dans la configuration sont alors celles de l'objet présent sur SMC.
-
Si la passerelle par défaut définie sur un firewall SNS ne correspond pas à un objet présent dans la base d'objets du firewall, la récupération des routes n'est pas supportée. Un log d'erreur est émis dans les logs du serveur expliquant que l'adresse IP doit être représentée par un objet.
-
L'utilisation d'objets contenant uniquement des adresses IPv6 ou/et MAC n'est pas supportée.
-
L'utilisation d'un objet routeur en tant que passerelle d'une route statique est supportée à partir de la version 4.3.0 des firewalls SNS.
-
Sur SMC, les cas d'usage liés à l'utilisation des objets du type "firewall_" dans les routes sont identiques aux cas d'usage sur les firewalls SNS. Ainsi, si le firewall détecte une mauvaise utilisation de ce type d'objet lors du déploiement, alors ce dernier échoue.
-
Routage dynamique - le déploiement de configurations avec du routage dynamique sur des firewalls SNS en versions 4.8.1 et supérieures depuis SMC en versions strictement inférieures à la 3.6 n'est pas supporté.
-
Routage dynamique - SMC ne supporte pas les paramètres suivants. En cas de besoin, vous devez les configurer directement depuis le firewall SNS. Ils ne seront pas écrasés par la configuration du routage provenant de SMC :
-
la section "[BGPAuth]",
-
l'exclusion de plages d'adresses IP dans les routes. Pour plus d’informations, reportez-vous à la Base de connaissances Stormshield (anglais uniquement).
-