Migrer une configuration de routage dynamique depuis BIRD v1 vers BIRD v2

Produit concerné : SNS 4.8.1 LTSB et supérieures

La version SNS 4.8.1 introduit le support du moteur de routage dynamique BIRD v2 destiné à remplacer BIRD v1 devenu obsolète.

Lorsque vous mettez à jour en version SNS 4.8.1 ou supérieure un firewall dont la configuration utilisait initialement le routage dynamique en version BIRD v1, cette version BIRD v1 reste active après la mise à jour de firmware.

En effet, le transfert de votre configuration BIRD v1 vers BIRD v2 ne peut pas être réalisé automatiquement, la syntaxe utilisée dans le fichier de configuration du routage dynamique BIRD v2 ayant évolué par rapport à celle de BIRD v1.

L'un des changements importants est que pour BIRD v2, les paramètres de routage dynamique IPv4 et IPv6 sont regroupés dans un unique fichier bird.conf, contrairement à BIRD v1 qui utilise deux fichiers distincts : ce même fichier bird.conf pour IPv4 et le fichier bird6.conf pour IPv6.

Le module Routage Dynamique des versions SNS 4.8.1 et supérieures a été conçu afin de pouvoir vous assister dans cette opération de migration.

IMPORTANT
Dans le cas où votre parc de firewalls SNS est géré par un serveur SMC, il n'est plus possible de gérer le routage dynamique de vos firewalls en versions 4.8.1 et supérieures depuis une version de SMC inférieure à la 3.6.

Comprendre le module Routage Dynamique

Placez-vous dans le module Configuration > Réseau > Routage Dynamique.

Ce module comporte 3 onglets permettant d'activer / désactiver l'une ou l'autre des versions de BIRD et de les configurer.

NOTE
Lorsqu'une version de BIRD est désactivée, l'onglet de configuration correspondant affiche la mention "(INACTIVE)".
Exemple : BIRD v2 (INACTIVE).

L'onglet Général

Cet onglet vous permet d'activer / désactiver la version souhaitée du moteur de routage dynamique BIRD.

Après la mise à jour d'un firewall SNS d'une version antérieure à SNS 4.8.1 vers une version SNS 4.8.1 ou supérieure, la configuration est la suivante :

  • BIRD v2 : ce bouton radio est sélectionné par défaut.
  • BIRD v1 : ce bouton radio est sélectionné si le firewall était initialement configuré uniquement en IPv4 s'il possédait une configuration BIRD v1 IPv4 active avant la mise à jour de firmware.
    Les boutons radio suivants ne sont affichés que si le firewall était initialement configuré en IPv4 et IPv6 :
    • IPv4 : ce bouton radio est sélectionné pour un firewall sur lequel seule une configuration BIRD v1 IPv4 était active avant la mise à jour de firmware.
    • IPv6 : ce bouton radio est sélectionné pour un firewall sur lequel seule une configuration BIRD v1 IPv6 était active avant la mise à jour de firmware.
    • IPv4 et IPv6 : ce bouton radio est sélectionné pour un firewall sur lequel des configuration BIRD v1 IPv4 et IPv6 étaient actives avant la mise à jour de firmware.

IMPORTANT
SI vous souhaitez que les routes apprises par BIRD soient ajoutées automatiquement à la table des réseaux protégés et éviter ainsi de générer à tort des alertes d'antispoofing concernant ces réseaux, cochez ces cases (suivant votre configuration) :
  • Ajouter les réseaux IPv4 distribués par le routage dynamique dans la table des réseaux protégés.
  • Ajouter les réseaux IPv6 distribués par le routage dynamique dans la table des réseaux protégés.

L'onglet BIRD v2

Cet onglet affiche :

  • Dans la partie gauche de l'écran : une trame de configuration BIRD v2 minimaliste comportant les sections de base obligatoires,
  • Dans la partie droite de l'écran : la configuration BIRD v1 d'origine du firewall (IPv4 et / ou IPv6).

Il vous permet également de modifier la configuration BIRD v2 du firewall et de la valider.

L'onglet BIRD v1 IPv4

Cet onglet affiche la configuration d'origine du firewall pour le routage dynamique IPv4 géré par BIRD v1.

Il vous permet également de la modifier et de la valider.

L'onglet optionnel BIRD v1 IPv6

Cet onglet affiche la configuration d'origine du firewall pour le routage dynamique IPv6 géré par BIRD v1.

Il vous permet également de la modifier et de la valider.

Sa présentation est identique à celle de l'onglet BIRD v1 IPv4 / BIRD v1 IPv4 (INACTIF).

La console de contrôle

Lorsque vous cliquez sur le bouton Vérifier la configuration depuis l'un des onglets de configuration BIRD présentés ci-dessus, la console de contrôle située en bas de l'écran affiche les éventuelles erreurs de syntaxe rencontrées.

Les erreurs y sont identifiées par leur numéro de ligne et leur numéro de colonne. Les numéros des lignes contenant des erreurs sont également affichés en rouge dans la configuration :

 

Réaliser la migration BIRD v1 vers BIRD v2

Stormshield vous recommande de suivre la méthode ci-dessous :

Préparer la configuration de BIRD v2

  1. Placez-vous dans l'onglet BIRD v2 (INACTIF).
  2. En respectant la syntaxe de configuration de BIRD v2, transposez par étapes les informations de votre configuration BIRD v1 (fenêtre de droite) vers la configuration BIRD v2 (fenêtre de gauche). Pour rappel, avec BIRD v2, les paramètres de routage dynamique IPv4 et IPv6 sont regroupés dans un unique fichier bird.conf, contrairement à BIRD v1 qui utilise deux fichiers distincts : ce même fichier bird.conf pour IPv4 et le fichier bird6.conf pour IPv6.
  3. NOTE
    Pour vous aider dans cette tâche, consultez les ressources disponibles, notamment le Manuel utilisateur BIRD v2 publié par l'éditeur de BIRD ou les Notes de transition BIRD 1.6 vers BIRD 2.0 (anglais uniquement).
  4. Pendant vos modifications, cliquez régulièrement sur le bouton Vérifier la configuration après avoir effectué des modifications.
    En bas de l'écran, le vérificateur de cohérence vous affiche alors les erreurs de syntaxe rencontrées dans la configuration BIRD v2.
    Vous ne pouvez pas enregistrer une configuration contenant des erreurs de syntaxe.
  5. Lorsqu'une modification de la configuration BIRD v2 est réalisée et est validée (pas d'erreur affichée dans la Console de contrôle), enregistrez la configuration en cliquant sur le bouton Appliquer puis Sauvegarder.
    Cette manipulation crée un point de restauration de la configuration BIRD v2 : si lors d'une modification ultérieure de la configuration BIRD v2 vous ne parvenez pas à résoudre un problème de configuration / syntaxe, cet état de configuration pourra être restauré en cliquant sur le bouton Revenir à la version enregistrée.
  6. Lorsque votre migration est complète et que vous avez enregistré votre configuration BIRD v2, vous pouvez activer BIRD v2 afin de contrôler le bon fonctionnement du routage dynamique.

Contrôler le fonctionnement du routage dynamique

Après avoir activé BIRD v2, si vous détectez que le fonctionnement du routage dynamique n'est pas conforme à vos attentes :

  1. Depuis l'onglet Général, désactivez BIRD v2 et réactivez BIRD v1 afin de revenir à la situation avant migration de BIRD.
    Vous pouvez alors corriger votre configuration BIRD v2 tout en ayant le routage dynamique BIRD v1 actif.
  2. Réactivez BIRD v2 une fois la configuration corrigée.

Ces opérations peuvent être réalisées autant de fois que nécessaire.