Interface Bridge

Ajouter un bridge

Ajouter un bridge sans membre

  1. Cliquez sur Ajouter.
  2. Positionnez votre souris sur Bridge.
  3. Cliquez sur Sans membre.
  4. Nommez le nouveau bridge et cliquez sur Appliquer.
    Le nouveau bridge est ajouté aux interfaces et son panneau de configuration s’affiche.

Ajouter un bridge contenant des interfaces pré-sélectionnées

  1. Sélectionnez au préalable les interfaces à inclure dans le nouveau bridge.
  2. Cliquez sur Ajouter.
  3. Positionnez votre souris sur Bridge.
  4. Cliquez sur Avec interface_1, interface_2 ....
  5. Nommez le nouveau bridge et cliquez sur Appliquer.
    Le nouveau bridge est ajouté aux interfaces et son panneau de configuration s’affiche.

Panneau de configuration d'un bridge

Pour ouvrir le panneau de configuration d'une interface bridge, faites un double-clic dessus. Le panneau de configuration dispose de plusieurs onglets.

Paramètres généraux

Nom Nom de l'interface. Vous pouvez le modifier si souhaité.
Commentaire Permet de donner un commentaire pour l'interface.

Plan d’adressage

NOTE

Les champs Adresse IPv4 et Adresse IPv6 comportent les mêmes options à configurer. Le champ Adresse IPv6 apparaît seulement si l'IPv6 est activé dans la configuration du firewall.

IP dynamique (obtenue par DHCP)

En choisissant cette option, l’adresse IP de l'interface est définie par DHCP. Une zone Configuration DHCP avancée apparaît avec les paramètres suivants :

  • Nom DNS (facultatif) : vous pouvez indiquer un nom d’hôte DHCP pleinement qualifié (FQDN) pour la requête DHCP.

    Si ce champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met automatiquement à jour le serveur DNS avec le nom fourni par le firewall, l’adresse IP qui lui a été fournie et la durée du bail alloué (champ ci-dessous).

  • Durée de bail demandée (secondes) : en complément du nom DNS, indiquez une période de conservation de l'adresse IP avant renégociation.

  • Demander les serveurs DNS au serveur DHCP et créer les objets machines : cochez ce paramètre pour que le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qui lui a fourni son adresse IP. L'activation de cette option entraîne la création de deux objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface>_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi, si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.
IP fixe (statique)

En choisissant cette option, l'adresse IP de l'interface est fixe (statique). Une grille apparaît dans laquelle vous devez ajouter l'adresse IP et son masque de sous-réseau. Il est possible d'ajouter plusieurs adresses IP et masques associés (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser le firewall comme un point de routage central. De ce fait, une interface peut être connectée à différents sous-réseaux ayant un adressage différent.

Si vous ajoutez plusieurs adresses IP (alias) dans le même plan d'adressage, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Gestion des membres

Vous devez sélectionner au moins deux interfaces qui composeront le bridge. Pour ajouter ou retirer des membres du bridge, déplacez les interfaces d'un cadre à un autre en utilisant les flèches, en effectuant un glisser-déposer ou en double-cliquant sur l’interface.

NOTE
Cet onglet apparaît seulement si l'IPv6 est activé dans la configuration du firewall.

Sur chaque interface, bridge ou interface agrégée, les messages d’annonces du routeur (Router Advertisement - RA) peuvent être envoyés périodiquement à tous les nœuds IPv6 (multicast) du segment via l’adresse de la liaison locale ou en réponse à la sollicitation de routeur (Routeur Sollicitation - RS) d’une machine du réseau.

Cette annonce permet à un nœud IPv6 d’obtenir les informations suivantes :

  • L’adresse du routeur par défaut, en l’occurrence celle du firewall,
  • Le(s) préfixe(s) utilisé(s) sur le lien (en 64bits),
  • L’indication de l’utilisation de l’auto-configuration sans état (SLAAC) ou du DHCPv6 (Managed),
  • L’indication de récupérer d’autres paramètres via DHCPv6 (OtherConfig),
  • D’éventuels paramètres DNS (RFC4862).

L’auto-configuration, native dans IPv6 est sans état (Stateless Address Autoconfiguration - SLAAC), c’est-à-dire que le serveur ne choisit pas les IPs des clients et n’a pas à les retenir.

Une machine a une adresse de liaison locale dont l’unicité a été vérifiée via NPD DAD (protocole Neighbor Discovery Protocol - Duplicated Address Detection) avec succès. La machine reçoit ensuite l’annonce du routeur (RA) périodique ou sollicitée. Si l’information d’auto-configuration sans état est spécifiée, la machine se construit alors une ou plusieurs adresses IPv6 à partir du ou des préfixe(s) annoncé(s) et de son identifiant d’interface (aléatoire ou basé sur l'adresse MAC). L’adresse IP du routeur (celle du firewall) servira alors de passerelle par défaut.

Par défaut, le mode d’émission des annonces de routeur (RA) diffuse le premier préfixe déduit de l’interface. Les serveurs DNS sont par défaut ceux configurés pour le firewall dans le module Configuration > Système > Configuration, onglet Paramètres réseau.

NOTE
Si les annonces de routeur sont activées sur un bridge, ces annonces sont uniquement diffusées sur les interfaces protégées.

Paramètres d'autoconfiguration

Émettre les RA si DHCPv6 activé Si le service DHCPv6 est activé sur le firewall (module Configuration > Réseau > DHCP), le firewall va émettre automatiquement des annonces (Router Advertisement – RA) sur les interfaces correspondantes, indiquant aux nœuds IPv6 de s’auto-configurer en DHCPv6 (les options Managed et Other config sont alors activées par défaut).
Si le firewall fait office de serveur DHCPv6, l’interface configurée doit appartenir à l’une des plages d’adresses renseignées en configuration DHCPv6. Si le firewall sert de relai à un serveur DHCPv6, l’interface configurée doit appartenir à la liste des interfaces d’écoute du service.
Si le service DHCPv6 n’est pas actif, l’émission des RA est désactivée.
Émettre les RA

L’adresse du firewall est envoyée comme routeur par défaut. Les informations relayées par cette annonce sont décrites ci-après. Cette configuration est recommandée afin de permettre aux machines directement connectées (lien local) de faire du SLAAC.
Désactiver Aucune annonce de routeur (RA) n’est diffusée. Cette configuration est recommandée en bridge si un routeur IPv6 est directement connecté (lien local).

Annonces du routeur (RA)

Cette zone est accessible seulement si l'option Émettre les RA est sélectionnée.

Annoncer le préfixe déduit de l'interface Le préfixe annoncé est celui configuré dans le plan d’adressage IPv6 de l’interface dans l'onglet Configuration générale. La taille du masque (longueur du préfixe - CIDR) de l’adresse IPv6 configurée doit obligatoirement être de 64 bits.

Configuration avec serveur DHCPv6

Le serveur DHCPv6 délivre les adresses (Managed)

L’annonce indique que les adresses IPv6 sollicitées seront distribuées par le service DHCPv6 activé sur le firewall (module Configuration > Réseau > DHCP). Ce service est mis en œuvre par le firewall ou un relai directement connecté (lien local).
Le serveur DHCPv6 délivre des options supplémentaires (Other config)

L’annonce indique que les autres paramètres d’auto-configuration tels que les adresses de serveurs DNS ou un autre type de serveur, seront délivrés par le serveur DHCPv6 (firewall ou relai) directement connecté (lien local).

Configuration avancée

Paramètres DNS

Ce cadre est accessible si l'option Le serveur DHCPv6 délivre des options supplémentaires (Other config) n'est pas activée.

Nom de domaine Nom de domaine par défaut pour joindre un serveur interrogé sans domaine.
Serveur DNS primaire Adresse IP du serveur DNS primaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau).
Serveur DNS secondaire Adresse IP du serveur DNS secondaire. Si ce champ n’est pas renseigné, l’adresse envoyée est celle utilisée par le firewall (module Configuration > Système > Configuration, onglet Paramètres réseau).

Préfixes annoncés

Cette grille est accessible si l'option Le serveur DHCPv6 délivre les adresses (Managed) n'est pas activée.

Préfixes

Préfixe à annoncer aux machines. Il est préconisé que le préfixe annoncé soit le même que celui de l’interface. Dans le cas où l’interface en spécifie plusieurs, ce champ précise le préfixe à utiliser.
Autonomous

Instruction d’auto-configuration sans état (SLAAC) : si cette case est cochée, la machine se construit une ou plusieurs adresses IPv6 à partir du préfixe annoncé et d’un identifiant d’interface (aléatoire et/ou basé sur l'adresse MAC).
On link Cette option précise à la machine que toutes les machines ayant le même préfixe peuvent être joignables directement, sans passer par le routeur. En IPv4, cette information était déduite du masque réseau.
Commentaire Permet de donner un commentaire au préfixe annoncé.

Autres paramètres

MTU

Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge.

Adresse MAC Permet de spécifier une adresse MAC pour le bridge.
Adresse MAC physique Ce champ n'est pas disponible pour un bridge.

Détection de boucles (Spanning Tree)

Ce cadre permet d’activer l’utilisation d’un protocole de détection des boucles réseau (Spanning Tree) sur le bridge. Cette fonctionnalité est uniquement disponible sur les modèles SN-S-Series-220, SN-S-Series-320, SN510, SN-M-Series-520, SN710, SN-M-Series-720, SN910, SN-M-Series-920, SN1100, SN2000, SN2100, SN3000, SN3100, SN6000, SN6100, SNi20 et SNi40.

Désactiver les protocoles Spanning Tree Désactive l’utilisation des protocoles Spanning Tree (RSTP et MSTP) au niveau du bridge. Cette case est cochée par défaut.
Activer le protocole Rapid Spanning Tree (RSTP) Active le protocole Rapid Spanning Tree (RSTP) au niveau du bridge.
Activer le protocole Multiple Spanning Tree (MSTP) Active le protocole Multiple Spanning Tree (MSTP) au niveau du bridge. En cochant cette case, la zone Configuration MSTP apparaît.

Configuration MSTP

Cette zone apparaît seulement si la case Activer le protocole Multiple Spanning Tree (MSTP) est cochée. Sur un firewall SNS, une configuration MSTP ne peut définir qu’une seule région.

Nom de la région (MSTP region) Saisissez le nom de la région MSTP dans laquelle se situe le firewall. Il doit être identique dans la configuration MSTP de tous les équipements réseau appartenant à cette région.
Sélecteur de format Ce champ précise les informations nécessaires à la définition d’une région. Sa valeur par défaut est 0, indiquant qu’une région est caractérisée par :
  • Son nom,
  • Son numéro de révision,
  • Une empreinte calculée en fonction des numéros d’instances MST et des identifiants de VLAN inclus dans ces instances.

Le sélecteur de format doit être identique dans la configuration MSTP de tous équipements réseau appartenant à cette région.
Numéro de révision Choisissez un numéro de révision pour la région. Le numéro de révision doit être identique dans la configuration MSTP de tous équipements réseau appartenant à cette région.

NOTE
Afin d’assurer un meilleur suivi des modifications, le numéro de révision peut être incrémenté manuellement lorsque la configuration de la région évolue. Dans ce cas, il est impératif que ce changement du numéro de révision soit répété à l’identique sur l’ensemble des équipements de la région concernée.

Common and Internal Spanning Tree (CIST) Priorité affectée au firewall pour le transit des VLAN qui ne sont pas déclarés dans une instance MSTP (voir la grille Instances MSTP).

Instances MSTP

Liste des identifiants des VLANs de l'instance Indiquez les différents identifiants de VLAN (liste d’identifiants séparés par une virgule) inclus dans l’instance sélectionnée.
Priorité Définissez la priorité d’une instance MSTP par rapport au pont racine. Le pont racine est celui qui a la priorité la plus basse.

NOTE
Il est déconseillé de déclarer le firewall comme pont racine d’une instance MSTP. Cela pourrait en effet aboutir à un transit réseau important et inutile sur les interfaces du firewall.