Support de versions différentes du protocole IKE pour un même firewall
Dans des topologies VPN, le support de versions différentes du protocole IKE pour un même firewall n'est possible que lorsqu'un seul firewall est commun à plusieurs topologies. Si plusieurs firewalls sont communs à plusieurs topologies paramétrées avec des versions différentes de IKE, c'est la version de la topologie créée en premier dans l'écran de configuration des topologies qui sera déployée.
Utilisation de l'objet All dans les topologies VPN
Au sein d'une topologie VPN par politique, lorsque deux correspondants différents utilisent l'objet All pour définir les extrémités de trafic, alors la connexion entre SMC et le firewall SNS peut être interrompue, à moins que des règles de routage par politique soient configurées pour supporter ce cas d'usage. Pour les topologies en étoile, le même problème se produit si l'objet All est utilisé à la fois pour le centre de l'étoile et pour un satellite.
Utilisation des objets VTI générés par les topologies VPN par route
Lorsque vous modifiez ou supprimez une topologie VPN par route sur SMC, les objets VTI de type Machine générés automatiquement par cette topologie pour représenter les correspondants distants sont également modifiés ou supprimés. Si vous utilisez ces objets dans la configuration locale de vos firewalls SNS, veillez à d'abord les supprimer avant de modifier ou supprimer une topologie dans SMC.
Déploiement de topologie VPN
Il n'est pas possible de déployer une topologie VPN depuis le serveur SMC si le nom d'un firewall SNS est trop long. Les noms des topologies VPN sur les firewalls ne peuvent pas comporter plus de 127 caractères.
Configuration du routage sur SMC
Plusieurs interfaces pour joindre le serveur SMC sont configurables mais une seule passerelle par défaut sur une seule interface peut être déclarée. Vous devrez configurer manuellement le routage pour les autres interfaces. Un article de la Base de connaissances Stormshield indique la procédure à suivre (anglais uniquement).
Utilisation d'un objet réseau global dans une configuration locale
Sur un firewall SNS, des objets globaux peuvent être utilisés dans une configuration locale. Or lorsque SMC déploie une configuration sur un firewall, les objets globaux existant sur le firewall sont supprimés et remplacés par les objets définis dans la configuration de SMC. Afin que la configuration locale ne cesse pas de fonctionner, vous devez forcer le déploiement des objets globaux nécessaires sur les firewalls concernés.
Pour plus d'informations, reportez-vous à la section Avertissement avant de rattacher des firewalls SNS au serveur SMC.
Migration d'un firewall virtuel modèle V vers un modèle EVA
La mise à jour d'un firewall virtuel V-50, V-100 ou V-200 vers un modèle EVA via la variable %FW_UPD_SUFFIX% dans un script CLI SNS exécuté depuis le serveur SMC n'est pas supportée.
Pour contourner le problème, remplacez la variable %FW_SIZE% par la valeur XL-VM dans le script de mise à jour.