IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Interfaces
Modifications d’un Bridge
Onglet « Configuration de l’interface »
Plan d’adressage IPv6
En version Stormshield Network 1.0, les adresses IPv6 affectées au bridge sont obligatoirement de type fixe (adresses statiques).
| Adresse IP |
Adresse IP affectée au bridge. (Toutes les interfaces contenues dans le bridge possèdent la même adresse IP). |
| Masque réseau |
Masque du réseau auquel appartient le bridge. Les différentes interfaces appartenant au bridge ont la même adresse IP : tous les réseaux connectés au firewall font donc partie du même plan d'adressage. |
| Commentaire |
Permet de spécifier un commentaire pour l’adressage du bridge. |
Plusieurs adresses IP et masques associés peuvent être définis pour le même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce Firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque.
Onglet « Annonce du routeur (RA) »
Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à tous les nœuds IPv6 (multicast) du segment via l’adresse de la liaison locale ou en réponse à la sollicitation de routeur (Routeur Sollicitation - RS) d’une machine du réseau.
Cette annonce permet à un nœud IPv6 d’obtenir les informations suivantes :
- l’adresse du routeur par défaut, en l’occurrence celle du firewall,
- le(s) préfixe(s) utilisé(s) sur le lien (en 64bits),
- l’indication de l’utilisation de l’auto-configuration sans état (SLAAC) ou du DHCPv6 (Managed)
- l’indication de récupérer d’autres paramètres via DHCPv6 (OtherConfig),
- d’éventuels paramètres DNS (RFC4862).
L’auto-configuration, native dans IPv6 est sans état (Stateless Address Autoconfiguration - SLAAC), c’est-à-dire que le serveur ne choisit pas les IPs des clients et n’a pas à les retenir.
Une machine a une adresse de liaison locale dont l’unicité a été vérifiée via NPD DAD (protocole Neighbor Discovery Protocol - Duplicated Address Detection) avec succès. La machine reçoit ensuite l’annonce du routeur (RA) périodique ou sollicitée. Si l’information d’auto-configuration sans état est spécifiée, la machine se construit alors une ou plusieurs adresses IPv6 à partir du ou des préfixe(s) annoncé(s) et de son identifiant d’interface (aléatoire ou basé sur l'adresse MAC). L’adresse IP du routeur (celle du firewall) servira alors de passerelle par défaut.
Par défaut, le mode d’émission des annonces de routeur (RA) diffuse le premier préfixe déduit de l’interface. Les serveurs DNS sont par défaut ceux configurés pour le firewall (Système > module Configuration).
NOTE
Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées.
Annonce de Routeur
| Émettre les RA si DHCPv6 activé |
Si le service DHCPv6 est activé sur le firewall (Réseau > DHCP), le firewall va émettre automatiquement des annonces (Router Advertisement – RA) sur les interfaces correspondantes, indiquant aux nœuds IPv6 de s’auto-configurer en DHCPv6 (les options Managed et Other config sont alors activées par défaut).
Si le firewall fait office de serveur DHCPv6, l’interface configurée doit appartenir à l’une des plages d’adresses renseignées en configuration DHCPv6. Si le firewall sert de relai à un serveur DHCPv6, l’interface configurée doit appartenir à la liste des interfaces d’écoute du service.
Si le service DHCPv6 n’est pas actif, l’émission des RA est désactivée. |
| Émettre les RA |
L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrits ci-après.
Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC. |
| Désactiver |
Aucune annonce de routeur (RA) n’est diffusée.
Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local). |
Paramètres des annonces de routeur
| Annoncer le préfixe déduit de l'interface |
Le préfixe annoncé est celui configuré dans le plan d’adressage IPv6 de l’interface (onglet Configuration).
La taille du masque (longueur du préfixe - CIDR) de l’adresse IPv6 configurée doit obligatoirement être de 64 bits. |
Configuration avec serveur DHCPv6
| Le serveur DHCPv6 délivre les adresses (Managed) |
L’annonce indique que les adresses IPv6 sollicitée seront distribuées par le service DHCPv6 activé sur le firewall (Réseau > DHCP).
Ce service est mis en œuvre par le firewall ou un relai directement connecté (lien local). |
| Le serveur DHCPv6 délivre des options supplémentaires (Other config) |
L’annonce indique que les autres paramètres d’auto-configuration telles que les adresses de serveurs DNS ou un autre type de serveur, seront délivrées par le serveur DHCPv6 (firewall ou relai) directement connecté (lien local). |
Configuration avancée
Paramètres DNS
| Nom de domaine |
Nom de domaine par défaut pour joindre un serveur interrogé sans domaine. |
| Serveur DNS primaire |
Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée sera celle utilisés par le Firewall (Système > Configuration) |
| Serveur DNS secondaire |
Adresse IP du serveur DNS secondaire. Si ce champ n’est pas renseigné, l’adresse envoyée sera celle utilisés par le Firewall (Système > Configuration) |
Préfixes annoncés
Comme il est préconisé que le préfixe annoncé soit le même que celui de l’interface, dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser.
| Préfixes |
Préfixe à annoncer aux machines |
| Autonomous |
Instruction d’auto-configuration sans état (SLAAC) : si cette case est cochée, la machine se construit une ou plusieurs adresses IPv6 à partir du préfixe annoncé et d’un identifiant d’interface (aléatoire et/ou basé sur l'adresse MAC). |
| On link |
Cette option précise à la machine que toutes les machines ayant le même préfixe peuvent être joignables directement, sans passer par le routeur. NOTE En IPv4, cette information était déduite du masque réseau. |
| Commentaire |
Permet de donner un commentaire au préfixe annoncé. |
Paramètres optionnels
Certains paramètres spécifiques des Annonces de routeur sont configurables via commande CLI, comme la taille maximale d'un paquet transmis (MTU) sur le lien, la durée de validité de(s) préfixe(s) utilisé(s) sur le lien ou le champ Router Lifetime.
Pour consulter le détail et les valeurs possibles de ces paramètres, reportez-vous au guide « CLI serverd commands reference – V1.0 » disponible dans votre espace client.
Création d’un Bridge
Plan d’adressage
| Adressage IPv4 |
En cochant cette option, le bridge dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer, accompagnée de son masque de réseau, dans le champ situé sous la case à cocher. Par défaut, une adresse dynamique lui est attribuée via DHCP. |
| Adressage IPv6 |
En cochant cette option, le bridge dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
Modification d’une interface Ethernet (en mode Bridge)
Plan d’adressage
| Résolution hybride |
Lorsque cette option est cochée, l’interface doit au moins disposer d’une adresse IPv4 (dynamique ou fixe) et d’une adresse IPv6 (fixe). Il faut dans ce cas indiquer ces adresses IP et leur masque de réseau associé dans les deux grilles intitulées « Plan d’adressage IPv4 » et « Plan d’adressage IPv6 ». |
Plan d’adressage IPv6
| Adresse IP |
Adresse IP affectée à l’interface. |
| Masque réseau |
Masque du sous-réseau auquel appartient l’interface. Le masque de réseau donne au firewall les informations sur le réseau dont il fait partie. |
| Commentaire |
Permet de spécifier un commentaire pour l’adressage de l’interface. |
Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque.
Onglet « Configuration avancée »
Routage sans analyse
| Autoriser sans analyser |
Permet de laisser passer les paquets IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est alors réalisé sur ce protocole. |
IMPORTANT
Pour chacune des interfaces incluses dans un bridge, il est nécessaire de décocher la case Autoriser sans analyser pour le protocole IPv6 afin de bénéficier du filtrage de ces flux.
Modification d’une interface Ethernet (en mode avancé)
Pour configurer une interface dans un réseau ne faisant pas partie d'un bridge, il suffit de la sortir de l'arborescence du bridge en la glissant avec la souris.
Lors du détachement, l'écran de plan d’adressage s’affiche.
| Adressage IPv4 |
En cochant cette option, l’interface dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer (suivie de son masque de réseau) dans le champ situé sous la case à cocher. Par défaut, une adresse dynamique lui est adressée via DHCP. |
| Adressage IPv6 |
En cochant cette option, l’interface dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
Une fois l’interface hors du bridge, vous avez accès aux paramètres de l’interface décrits dans la section « Modification d’une interface Ethernet (en mode Bridge) ».
Création d’un Vlan
VLAN attaché à une seule interface (extrémité de VLAN)
Plan d’adressage
| Adressage IPv4 |
En cochant cette option, le VLAN dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer, accompagnée de son masque de réseau, dans le champ situé sous la case à cocher. Par défaut, une adresse dynamique lui est adressée via DHCP. |
| Adressage IPv6 |
En cochant cette option, le VLAN dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
VLAN attaché à 2 interfaces (VLAN traversant)
Plan d’adressage du VLAN
| Utiliser un bridge existant |
En cochant cette option, vous sélectionnez dans la liste déroulante le bridge auquel sera attaché le VLAN. |
| Créer un nouveau bridge |
En cochant cette option, un assistant permet de créer un nouveau bridge contenant les deux interfaces auxquelles le VLAN est attaché. |
| Adressage IPv4 |
En cochant cette option, le VLAN dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer, accompagnée de son masque de réseau, dans le champ situé sous la case à cocher. Par défaut, une adresse dynamique lui est adressée via DHCP. Cette option n’est disponible que si vous avez choisi de créer un nouveau bridge. |
| Adressage IPv6 |
En cochant cette option, le VLAN dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. Cette option n’est disponible que si vous avez choisi de créer un nouveau bridge. |
Modification d’un Vlan
Onglet « Configuration de l’interface »
Plan d’adressage
| Résolution hybride |
En cochant cette option, l’interface doit au moins disposer d’une adresse IPv4 (dynamique ou fixe) et d’une adresse IPv6 (fixe). Il faut dans ce cas indiquer ces adresses IP et leur masque de réseau associé dans les deux grilles intitulées « Plan d’adressage IPv4 » et « Plan d’adressage IPv6 ». |
Onglet « Annonce du routeur (RA) »
Pour les options concernant les Annonces du routeur, reportez-vous au paragraphe Onglet « Annonces du Routeur (RA) » du menu Modification d’un Bridge.
Onglet « Configuration avancée »
Pour les options de configuration avancée des VLAN, reportez-vous au paragraphe Onglet « Configuration avancée » du menu Modification d’une interface Ethernet (en mode Bridge).