Modifications d’un Bridge

Pour modifier les paramètres d’un bridge, cliquez sur son libellé dans la partie gauche de la fenêtre. Trois onglets permettent la modification des paramètres du bridge.

Onglet « Général »

Nom (obligatoire)

Nom utilisateur de l'interface. (Voir l’avertissement en introduction de la section Interfaces)

Commentaire

Permet de donner un commentaire pour l'interface.

Membres du bridge

Ports physiques

Liste des ports Ethernet contenus dans le bridge (Exemple : (Port2)

Interfaces (physiques et logiques)

Liste des interfaces contenues dans le bridge (Exemple : in)

Plan d’adressage

IP dynamique (obtenue par DHCP)

Lorsque votre firewall ne possède pas d’adresse IP statique (son adresse IP est renouvelée régulièrement par votre fournisseur d’accès, DHCP, etc.), il est possible d’associer via un fournisseur de services DNS (dyndns.org par exemple) l’adresse IP allouée et un nom de domaine (qui lui est fixe) afin de pouvoir contacter ce firewall sans pour autant connaître son adresse IP.

 

Cette option vous permet d’activer cette fonctionnalité en sélectionnant un compte DNS dynamique que vous avez préalablement configuré. Pour plus d’informations concernant le client DNS dynamique, veuillez-vous référer au module DNS Dynamique.

 

Ce champ permet de spécifier au firewall que la configuration du bridge (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « DHCP » de l’onglet Configuration avancée est active.

IP fixe (statique)

Votre firewall possède ici une adresse IP statique (fixe).

 

Liste d’adresses IP du bridge

Ce tableau s’affiche si l’option IP fixe (statique) a été cochée.

Adresse IP

Adresse IP affectée au bridge. (Toutes les interfaces contenues dans le bridge possèdent la même adresse IP).

Masque réseau

Masque de réseau du sous-réseau auquel appartient le bridge. Les différentes interfaces faisant partie du bridge ont la même adresse IP donc tous les réseaux connectés au firewall font partie du même plan d'adressage. Le masque de réseau donne au firewall les informations sur le réseau dont il fait partie.

Commentaire

Permet de spécifier un commentaire pour l’adressage du bridge.

Ici, plusieurs adresses IP et masques associés peuvent être définis pour le même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.

Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Onglet « Configuration avancée »

MTU

Longueur maximale (en octets) des trames émises sur le support physique (Ethernet) afin que celles-ci soient transmises en une seule fois (donc sans fragmentation).

Adresse physique (MAC)

AVERTISSEMENT

Cette option n’est pas accessible pour les firewalls en Haute Disponibilité.

 

Cette option vous permet de spécifier une adresse MAC pour une interface plutôt que d’utiliser l’adresse allouée par le firewall. Cela vous permet de faciliter d’autant plus l’intégration en mode transparent de votre firewall Stormshield Network dans votre réseau (en spécifiant l’adresse MAC de votre routeur plutôt que d’avoir à reconfigurer tous les postes utilisant cette adresse MAC).

 

Lorsque l’adresse MAC est affectée au bridge, toutes les interfaces contenues dans ce bridge possèdent alors la même adresse MAC.

Cette adresse se compose de 6 octets en hexadécimal séparés par des :

DHCP

NOTE

Indication « désactivé » si l’option IP dynamique (obtenue par DHCP) n’est pas cochée dans l’onglet Général et les options sont grisées.

 

Nom DNS (facultatif)

Nom du serveur DNS (FQDN) pour la connexion.

 

Ce champ facultatif, n’identifie pas le serveur DHCP mais le firewall. Si le champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met à jour automatiquement le serveur DNS avec le nom fourni par le firewall et l’adresse IP qui lui a été fournie.

 

Ce nom se compose de 6 octets en hexadécimal séparés par des ":"

Durée de bail demandée (secondes)

Période de conservation de l'adresse IP avant renégociation.

Demander les serveurs DNS au serveur DHCP et créer les objets machines

Lorsque cette option est cochée, le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qu’il contacte pour obtenir son adresse IP.

 

Dès que cette option est cochée deux objets sont dynamiquement créés dans la base d’objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.

Détection de boucles (Spanning Tree)

Ce cadre permet d’activer l’utilisation d’un protocole de détection des boucles réseau  (Spanning Tree) sur le bridge sélectionné. Cette fonctionnalité est uniquement disponible sur les modèles SN510, SN710, SN910, SN2000, SN2100, SN3000, SN3100, SN6000 et SN6100.

Désactiver les protocoles Spanning Tree

Cette case désactive l’utilisation des protocoles Spanning Tree  (RSTP et MSTP) au niveau du bridge. Elle est cochée par défaut.

Activer le protocole Rapid Spanning Tree (RSTP)

Cette case permet d’activer le protocole Rapid Spanning Tree au niveau du bridge.

Activer le protocole Multiple Spanning Tree (MSTP)

Cette case permet d’activer le protocole Multiple Spanning Tree au niveau du bridge.

Lorsque le protocole MSTP est activé, des champs complémentaires sont à renseigner :

Nom de la région (MSTP region)

Indiquez le nom de la région MSTP dans laquelle se situe le firewall. Le nom de région doit être identique dans la configuration MSTP de tous les équipements réseaux appartenant à cette région.

Sélecteur de format

Ce champ précise quelles sont les informations nécessaires à la définition d’une région. Sa valeur par défaut est 0, indiquant qu’une région est caractérisée par :

  • son nom,
  • son numéro de révision,
  • une empreinte calculée en fonction des numéros d’instances MST et des identifiants de VLANs inclus dans ces instances.

Le sélecteur de format doit être identique dans la configuration MSTP de tous équipements réseaux appartenant à cette région.

Numéro de révision

Choisissez un numéro de révision pour la région. Le numéro de révision doit être identique dans la configuration MSTP de tous équipements réseaux appartenant à cette région.

NOTE

Afin d’assurer un meilleur suivi des modifications, le numéro de révision peut être incrémenté manuellement lorsque la configuration de la région évolue. Dans ce cas, il est impératif que ce changement du numéro de révision soit répété à l’identique sur l’ensemble des équipements de la région concernée.

REMARQUE

Sur un Firewall Stormshield Network, une configuration MSTP ne peut définir qu’une seule région.

Grille des instances MSTP

Cette grille permet de définir les différentes instances déclarées dans la configuration du protocole MSTP :

Instance

Cet identifiant unique s’incrémente automatiquement lorsqu’une instance est ajoutée dans la configuration du protocole MSTP.

Identifiant de VLAN

Indiquez les différents identifiants de VLAN (liste d’identifiants séparés par une virgule) inclus dans l’instance sélectionnée.

Priorité

Ce champ permet de fixer la priorité d’une instance MSTP par rapport au pont racine. Le pont racine est celui qui a la priorité la plus basse.

NOTE

Il est déconseillé de déclarer le firewall comme pont racine d’une instance MSTP. Cela pourrait en effet aboutir à un transit réseau important et inutile sur les interfaces du firewall.

Onglet « Membres du Bridge »

Une autre manière d’inclure des interfaces dans un bridge, hormis le drag’n drop consiste à utiliser le panneau de cet onglet (membre du bridge).

Pour déplacer une interface disponible dans le bridge, réalisez un drag’n drop ou utilisez la flèche rouge au centre des 2 tableaux ou encore double-cliquez sur l’interface à déplacer.

Pour retirer une interface du bridge, faites la même manipulation dans le sens inverse.