IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Création d’un Vlan
La configuration d’un VLAN est réalisée au moyen d’un assistant vous permettant de créer de manière simple l'interface.
Sélectionnez l’interface ou le bridge auquel vous désirez associer un VLAN. Puis cliquez sur le bouton Ajouter puis Ajouter un VLAN.
Choisissez ensuite le type de VLAN que vous souhaitez créer :
| VLAN attaché à une seule interface (extrémité de VLAN) |
Les firewalls multifonctions Stormshield Network peuvent se placer en terminaison de VLAN pour ajouter ou retirer un tag VLAN. Le firewall assure le filtrage entre VLAN et assure les communications entre les VLAN et les réseaux connectés aux autres interfaces du firewall.
Les VLAN sont perçus par le firewall comme appartenant à des interfaces virtuelles, ce qui permet leur totale intégration au sein du système de sécurité de l’entreprise.
Si vous sélectionnez cette option, en cliquant sur Suivant, l’écran d’étape 2 s’affiche. La création se passe en deux étapes. |
| VLAN attaché à 2 interfaces (VLAN traversant) |
Cette option permet de créer un vlan traversant, c’est-à-dire un bridge contenant 2 Vlan ayant un identifiant identique.
Si vous sélectionnez cette option, en cliquant sur le bouton Suivant, l’écran d’étape 3 s’affiche. |
VLAN attaché à une seule interface (extrémité de VLAN)
Identification du VLAN
| Interface parente |
Sélectionnez l'interface sur laquelle sera attaché le VLAN. |
| Nom |
Saisissez un nom unique pour votre VLAN (Cf. section Noms autorisés). |
| Commentaire |
Vous pouvez également donner une description. |
| Couleur |
Couleur attribuée au VLAN. |
| Identifiant de VLAN |
Ce champ permet de spécifier quelle sera la valeur associée au VLAN dans les paquets transitant sur le réseau. Ce tag identifie le VLAN et est utilisé au niveau Ethernet. Il doit être unique et compris entre 1 et 4094. |
| Priorité (CoS) | Cette priorité de type CoS (champ Classe de Service) sera forcée sur tous les paquets émis par le VLAN. |
| Cette interface est |
Déterminez si vous souhaitez que le VLAN soit défini comme une interface externe ou interne (protégée). |
Plan d’adressage
| IP dynamique (obtenue par DHCP) |
Cochez cette option pour donner une adresse dynamique au VLAN. |
| IP fixe (statique) |
En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque réseau. |
Cliquez sur Terminer.
VLAN attaché à 2 interfaces (VLAN traversant)
Dans la configuration des VLAN pour les bridges, il est possible d’utiliser le même tag pour deux interfaces VLAN. Ainsi le firewall apparaît de manière transparente sur le réseau. Cette méthode nécessite l’utilisation d’une interface VLAN par interface physique concernée.
Contrairement à l’option Préserver les identifiants de VLAN (cf. dans la configuration avancée d’une interface Ethernet) qui rend le firewall complètement transparent par rapport au VLAN et qui empêche donc l’utilisation de fonctionnalités qui consisterait à couper le flux VLAN, par exemple les proxies, cette méthode de préservation du tag VLAN entre plusieurs interfaces d’un même bridge permet l’utilisation complète des fonctionnalités du firewall.
Identification du VLAN
| Nom |
Saisissez un nom unique pour votre VLAN. |
| Identifiant de VLAN |
Ce champ permet de spécifier quelle sera la valeur associée au VLAN dans les paquets transitant sur le réseau. Ce tag identifie le VLAN et est utilisé au niveau Ethernet. |
| Couleur |
Couleur attribuée au VLAN. |
Plan d’adressage du VLAN
| Utiliser un bridge existant |
En cochant cette option, vous sélectionnez dans la liste déroulante le bridge auquel seront attachés les Vlan. |
| Créer un nouveau bridge |
En cochant cette option, un wizard permettra de créer un nouveau bridge qui contiendra donc les deux interfaces. |
| IP dynamique (obtenue par DHCP) |
Lorsque votre firewall ne possède pas d’adresse IP statique (son adresse IP est renouvelée régulièrement par votre fournisseur d’accès, DHCP, etc.), il est possible d’associer via un fournisseur de services DNS (dyndns.org par exemple) l’adresse IP allouée et un nom de domaine (qui lui est fixe) afin de pouvoir contacter ce firewall sans pour autant connaître son adresse IP.
Cette option vous permet d’activer cette fonctionnalité en sélectionnant un compte DNS dynamique que vous avez préalablement configuré. Veuillez-vous référer au module DNS dynamique pour plus d’informations sur la configuration du client DNS dynamique.
Ce champ permet donc de spécifier au firewall que la configuration du bridge (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « DHCP » de l’onglet Configuration avancée est active. |
| IP fixe (statique) |
En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et le masque de réseau du sous-réseau auquel appartient l’interface. |
Cliquez sur Suivant.
Identification du VLAN entrant
| Nom (obligatoire) |
Nom unique pour votre VLAN. Ce champ est pré-rempli en fonction du nom indiqué dans le champ Nom de l’étape 3 suffixé par « 1 ». |
| Interface (obligatoire) |
Sélectionnez l'interface sur laquelle sera attaché le VLAN. |
| Cette interface est |
Si vous sélectionnez « interne (protégée) », vous indiquez le caractère privé de l’interface. Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non protégées, hormis si ceux-ci viennent d'être translatés. NOTE On notera que « interne (protégée) » implique forcément d'être sur une interface protégée. Les options « interne (protégée) » et « externe (publique) » sont donc incompatibles.
Si vous sélectionnez l’option « externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. Le caractère protégé de l’interface, matérialisé par un bouclier ( |
| Priorité (CoS) | Cette priorité de type CoS (champ Classe de Service) sera forcée sur tous les paquets émis par le VLAN. |
| Utiliser la même priorité pour le VLAN sortant | Lorsque vous cochez cette case, une valeur identique est automatiquement affectée au champ Priorité (CoS) dans les propriétés du VLAN sortant. |
), disparaît lorsque cette option est cochée.Cliquez de nouveau sur Suivant.
Identification du VLAN sortant
| Nom (obligatoire) |
Nom unique pour votre VLAN. Ce champ est pré-rempli en fonction du nom indiqué dans le champ Nom de l’étape 3 suffixé par « _2 ». |
| Interface |
Saisissez un nom unique pour votre VLAN. |
| Cette interface est |
Si vous sélectionnez « interne (protégée) », vous indiquez le caractère privé de l’interface. Les adresses des interfaces internes ne sont pas utilisables en tant que destination pour les paquets en provenance des interfaces non protégées, hormis si ceux-ci viennent d'être translatés. NOTE On notera que « interne (protégée) » implique forcément d'être sur une interface protégée. Les options « interne (protégée) » et « externe (publique) » sont donc incompatibles.
Si vous sélectionnez l’option « externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. Le caractère protégé de l’interface matérialisé par un bouclier ( |
| Priorité (CoS) | Cette priorité de type CoS (champ Classe de Service) sera forcée sur tous les paquets émis par le VLAN. Elle peut être différente de celle affectée au VLAN entrant. |
L’écran suivant résume la configuration que vous venez de réaliser.
Ajout de VLAN
Si vous souhaitez créer un nouveau VLAN et que vous êtes arrivé au maximum du nombre dynamique de VLANs possible, une fenêtre pop-up s’affiche pour en ajouter d’autres. Il est possible également de modifier manuellement ce nombre en allant dans Systèm>Configuration>Réseau>VLAN disponibles (max 128).