Modifier un VLAN

Faites un double clic sur le VLAN à modifier : le panneau de configuration de ce VLAN s'affiche.

Onglet « Configuration Générale »

État

ON / OFF Positionnez le sélecteur sur ON / OFF pour activer / désactiver le VLAN.
En désactivant une interface, on la rend inutilisable. Cela peut correspondre à une interface que l’on a prévu de déployer ultérieurement mais qui n’est pas encore en activité. Une interface désactivée car non utilisée est une mesure de sécurité supplémentaire contre les intrusions.

Paramètres généraux

Nom (obligatoire) Nom associé au VLAN. (Voir l’avertissement en introduction de la section Interfaces)
Commentaire Permet de donner un commentaire pour le VLAN.
Interface parente Nom physique de l’interface à laquelle est attaché le VLAN.
Identifiant de VLAN L'identifiant du VLAN doit être compris entre 1 et 4094 et doit être unique (sauf s’il s’agit d’un VLAN associé à un autre bridge dans un VLAN traversant).
Priorité (CoS) Cette priorité de type CoS (champ Classe de Service) sera forcée sur tous les paquets émis par le VLAN.
Cette interface est Une interface peut être « interne (protégée) » ou « externe (publique) ».
Si vous sélectionnez « interne (protégée) », vous indiquez le caractère protégé de l’interface. Cette protection comprend une mémorisation des machines connectées sur cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le Firewall comme le DHCP (voir la section Règles Implicites). Le caractère protégé de l’interface est matérialisé par un bouclier ().
Si vous sélectionnez l’option « externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. L’icône du bouclier disparaît lorsque cette option est cochée.

Plan d’adressage

Plan d’adressage hérité du Bridge Si l’interface parente fait partie d’un bridge, dans ce cas, il est possible de récupérer le plan d’adressage du bridge. Lorsque cette case est cochée, un champ Bridge permet alors de sélectionner le bridge parent de l'interface.
Dynamique / Statique Cochez cette case pour préciser lorsque l'adresse IP de l'interface VLAN doit être obtenue par DHCP ou fixée (statique).
Lorsque cette case est cochée, le champ Adressage IPv4 est affiché et permet de préciser ce choix d'adressage.
IP dynamique (obtenue par DHCP) Ce champ permet donc de spécifier au firewall que la configuration du VLAN (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « Configuration DHCP avancée » est active.
IP fixe (statique) En cochant cette option, l'interface VLAN a un adressage statique. Il faut dans ce cas indiquer son adresse IP et son masque de sous-réseau.

Ici, plusieurs adresses IP et masques associés peuvent être définis pour le même bridge (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, un bridge peut être connecté à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.

Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Onglet « Configuration avancée »

Autres paramètres

MTU Longueur maximale (en octets) de la charge utile d'une trame Ethernet afin que celle-ci soit transmise en une seule fois (sans fragmentation).

Routage sans analyse

NOTE
Ce panneau n'est pas affiché si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration Générale.

 

Autoriser sans analyser Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoE ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Routage par interface

NOTE
Ce panneau n'est pas affiché si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration Générale.

 

Préserver le routage initial Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.

Limitations connues

Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :

  • La réinitialisation des connexions induite par une alarme,
  • Le proxy SYN (activé dans le filtrage),
  • La demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • La réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).
Préserver les identifiants de Vlan Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN.
Cette option requiert l’activation de l’option précédente "Préserver le routage initial".