Bridges et interfaces
Bridge
Onglet « Configuration générale »
Plan d’adressage
Adresse IPv6
| IP fixe (statique) | En cochant cette option, le bridge dispose d’une adresse IPv6 fixe. |
| Adresse / Masque | Adresse IP affectée au bridge (toutes les interfaces contenues dans un bridge possèdent la même adresse IP). Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
| Commentaire | Permet de spécifier un commentaire pour l’adressage du bridge. |
Plusieurs adresses IP et masques associés peuvent être définis pour un même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce Firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.
Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque.
Onglet « Configuration du routage »
Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à tous les nœuds IPv6 (multicast) du segment via l’adresse de la liaison locale ou en réponse à la sollicitation de routeur (Routeur Sollicitation - RS) d’une machine du réseau.
Cette annonce permet à un nœud IPv6 d’obtenir les informations suivantes :
- L’adresse du routeur par défaut, en l’occurrence celle du firewall,
- Le(s) préfixe(s) utilisé(s) sur le lien (en 64bits),
- l’indication de l’utilisation de l’auto-configuration sans état (SLAAC) ou du DHCPv6 (Managed)
- L’indication de récupérer d’autres paramètres via DHCPv6 (OtherConfig),
- D’éventuels paramètres DNS (RFC4862).
L’auto-configuration, native dans IPv6 est sans état (Stateless Address Autoconfiguration - SLAAC), c’est-à-dire que le serveur ne choisit pas les IPs des clients et n’a pas à les retenir.
Une machine a une adresse de liaison locale dont l’unicité a été vérifiée via NPD DAD (protocole Neighbor Discovery Protocol - Duplicated Address Detection) avec succès. La machine reçoit ensuite l’annonce du routeur (RA) périodique ou sollicitée. Si l’information d’auto-configuration sans état est spécifiée, la machine se construit alors une ou plusieurs adresses IPv6 à partir du ou des préfixe(s) annoncé(s) et de son identifiant d’interface (aléatoire ou basé sur l'adresse MAC). L’adresse IP du routeur (celle du firewall) servira alors de passerelle par défaut.
Par défaut, le mode d’émission des annonces de routeur (RA) diffuse le premier préfixe déduit de l’interface. Les serveurs DNS sont par défaut ceux configurés pour le firewall (Système > module Configuration).
NOTE
Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées.
Paramètres d'autoconfiguration
| Émettre les RA si DHCPv6 activé | Si le service DHCPv6 est activé sur le firewall (Réseau > DHCP), le firewall va émettre automatiquement des annonces (Router Advertisement – RA) sur les interfaces correspondantes, indiquant aux nœuds IPv6 de s’auto-configurer en DHCPv6 (les options Managed et Other config sont alors activées par défaut). Si le firewall fait office de serveur DHCPv6, l’interface configurée doit appartenir à l’une des plages d’adresses renseignées en configuration DHCPv6. Si le firewall sert de relai à un serveur DHCPv6, l’interface configurée doit appartenir à la liste des interfaces d’écoute du service. Si le service DHCPv6 n’est pas actif, l’émission des RA est désactivée. |
| Émettre les RA | L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrits ci-après. Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC. |
| Désactiver | Aucune annonce de routeur (RA) n’est diffusée. Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local). |
Annonces du routeur (RA)
| Annoncer le préfixe déduit de l'interface | Le préfixe annoncé est celui configuré dans le plan d’adressage IPv6 de l’interface (onglet Configuration). La taille du masque (longueur du préfixe - CIDR) de l’adresse IPv6 configurée doit obligatoirement être de 64 bits. |
Configuration avec serveur DHCPv6
| Le serveur DHCPv6 délivre les adresses (Managed) | L’annonce indique que les adresses IPv6 sollicitée seront distribuées par le service DHCPv6 activé sur le firewall (Réseau > DHCP). Ce service est mis en œuvre par le firewall ou un relai directement connecté (lien local). |
| Le serveur DHCPv6 délivre des options supplémentaires (Other config) | L’annonce indique que les autres paramètres d’auto-configuration telles que les adresses de serveurs DNS ou un autre type de serveur, seront délivrées par le serveur DHCPv6 (firewall ou relai) directement connecté (lien local). |
Configuration avancée
Paramètres DNS
| Nom de domaine | Nom de domaine par défaut pour joindre un serveur interrogé sans domaine. |
| Serveur DNS primaire | Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée sera celle utilisés par le Firewall (Système > Configuration) |
| Serveur DNS secondaire | Adresse IP du serveur DNS secondaire. Si ce champ n’est pas renseigné, l’adresse envoyée sera celle utilisés par le Firewall (Système > Configuration) |
Préfixes annoncés
Comme il est préconisé que le préfixe annoncé soit le même que celui de l’interface, dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser.
| Préfixes |
Préfixe à annoncer aux machines |
| Autonomous |
Instruction d’auto-configuration sans état (SLAAC) : si cette case est cochée, la machine se construit une ou plusieurs adresses IPv6 à partir du préfixe annoncé et d’un identifiant d’interface (aléatoire et/ou basé sur l'adresse MAC). |
| On link | Cette option précise à la machine que toutes les machines ayant le même préfixe peuvent être joignables directement, sans passer par le routeur. NOTE |
| Commentaire | Permet de donner un commentaire au préfixe annoncé. |
Paramètres optionnels
Certains paramètres spécifiques des Annonces de routeur sont configurables via commande CLI, comme la taille maximale d'un paquet transmis (MTU) sur le lien, la durée de validité de(s) préfixe(s) utilisé(s) sur le lien ou le champ Router Lifetime.
Pour consulter le détail et les valeurs possibles de ces paramètres, reportez-vous au guide « CLI serverd commands reference – V1.0 » disponible dans votre espace client.
Interface Ethernet en mode Bridge
Onglet « Configuration avancée »
Routage sans analyse
| Autoriser sans analyser | Permet de laisser passer les paquets IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est alors réalisé sur ce protocole. |
IMPORTANT
Pour chacune des interfaces incluses dans un bridge, il est nécessaire de décocher la case Autoriser sans analyser pour le protocole IPv6 afin de bénéficier du filtrage de ces flux.
Interface Ethernet en mode avancé
Onglet « Configuration générale »
Pour configurer une interface dans un réseau ne faisant pas partie d'un bridge, il suffit de la sortir de l'arborescence du bridge en la glissant avec la souris.
Lors du détachement, l'écran de plan d’adressage s’affiche.
| Adressage IPv4 | En cochant cette option, l’interface dispose d’une adresse IPv4. Si celle-ci est statique, il faut l’indiquer (suivie de son masque de réseau) dans le champ situé sous la case à cocher. Par défaut, une adresse dynamique lui est adressée via DHCP. |
| Adressage IPv6 | En cochant cette option, l’interface dispose d’une adresse IPv6 fixe. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
Une fois l’interface hors du bridge, vous avez accès aux paramètres de l’interface décrits dans la section Interface Ethernet en mode Bridge.
VLAN
Onglet « Configuration générale »
Plan d’adressage
Adresse IPv6
| IP fixe (statique) | En cochant cette option, le VLAN dispose d’une adresse IPv6 fixe. |
| Adresse / Masque | Adresse IP affectée au VLAN. Renseignez cette adresse et son masque de réseau associé, en notation CIDR (exemple : 2001:db8::70/32), dans le champ situé sous la case à cocher. |
| Commentaire | Permet de spécifier un commentaire pour l’adressage du VLAN. |
Onglet « Configuration du routage »
Pour les options concernant les Paramètres d'autoconfiguration et les Annonces du routeur, reportez-vous à la section Onglet « Annonces du Routeur (RA) » du menu Bridge.