Exemple 3 : règles de NAT avec redondance entre les trois liens sortants du site de LILLE

Cet exemple présente un cas de redondance entre les trois liens WAN d'accès à Internet du site de LILLE au travers d'un objet routeur.

Créer l'objet routeur destiné à servir de route par défaut

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Routeur.

Propriétés générales

  1. Nommez l'objet (exemple : ROUTER-LILLE-WAN-FAILOVER).

Supervision

  1. Pour la Méthode de détection, sélectionnez ICMP.
  2. Ajustez le Délai d'expiration (s) selon vos besoins.
  3. Ajustez l'Intervalle de tests (s) selon vos besoins.
  4. Ajustez le nombre d'Échecs avant dégradation (3 par défaut).

SLA SD-WAN (seuils)

  1. Cochez la case SLA SD-WAN (seuils).
  2. Ajustez la Latence (ms) selon vos besoins.
  3. Ajustez la Gigue (ms) selon vos besoins.
  4. Ajustez le Taux de perte de paquets (%) selon vos besoins.
  5. Ne renseignez pas de Taux d'indisponibilité (%).

Passerelles

  1. Dans l'onglet Passerelles utilisées, cliquez sur Ajouter.
  2. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-1.
  3. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.
  4. Dans l'onglet Passerelles de secours, cliquez sur Ajouter.
  5. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-2.
  6. Répétez les étapes 17 et 18 pour ajouter l'objet LIL-WAN-3.
  7. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.

Configuration avancée

  1. Dans le cadre Configuration avancée, pour la valeur du champ Répartition de charge, sélectionnez Aucune Répartition de charge.
  2. Pour l'Activation des passerelles de secours, sélectionnez l'option Lorsque toutes les passerelles sont injoignables.
  3. Cliquez sur Appliquer puis Sauvegarder.

Définir cet objet routeur comme passerelle du firewall FW-LILLE

  1. Placez-vous dans le menu Configuration > Réseau > Routage.
  2. Dans le champ Passerelle par défaut, sélectionnez l'objet routeur précédemment créé (ROUTER-LILLE-WAN-FAILOVER dans cet exemple).
  3. Cliquez sur Appliquer puis Sauvegarder.

Créer la règle de filtrage autorisant les réseaux internes à accéder à Internet

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle simple.
  3. Double-cliquez dans l'une des colonnes de cette règle.
  4. Menu de gauche Général : passez l'État de la règle à On.
  5. Menu de gauche Action, onglet Général : positionnez l'Action à passer.
  6. Menu de gauche Source : double-cliquez sur l'objet Any et remplacez-le par l'objet Network_internals.
  7. Menu de gauche Destination : double-cliquez sur l'objet Any et remplacez-le par l'objet Internet.
  8. Menu de gauche Port / Protocole : ajoutez à la grille des Ports destination les différents objets correspondant aux ports à autoriser dans cette règle de filtrage.
  9. Menu de gauche Inspection : il est conseillé de laisser le Niveau d'inspection proposé par défaut, IPS.
  10. Cliquez sur OK.
  11. Cliquez sur Appliquer.

Créer les règles de translation d'adresses (NAT) pour les flux à destination d'Internet

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet NAT.

Premier accès WAN de LILLE

  1. Cliquez sur Nouvelle règleRègle simple.
  2. Double-cliquez dans l'une des colonnes de cette règle.
  3. Menu de gauche Général : passez l'État de la règle à On.
  4. Menu de gauche Source originale, grille des Machines sources : double-cliquez sur l'objet Any et remplacez-le par l'objet Network_internals.
  5. Menu de gauche Destination originale :
    1. Dans l'onglet Général, grille des Machines destinations : double-cliquez sur l'objet Any et remplacez-le par l'objet Internet.
    2. Dans l'onglet Configuration avancée, champ Interface de sortie : sélectionnez l'objet correspondant à la première interface WAN de LILLE (WAN-1 dans l'exemple).
  6. Menu de gauche Source translatée :
    1. Champ Machine source translatée : sélectionnez l'objet correspondant à la première adresse IP publique du firewall (Firewall_WAN-1 dans cet exemple).
    2. Champ Port source translaté : sélectionnez l'objet ephemeral_fw.
    3. Cochez la case Choisir aléatoirement le port source translaté.
  7. Cliquez sur OK.

Répétez les étapes 2 à 9 pour créer les règles de NAT correspondant aux deux autres accès WAN du site de LILLE avec les objets suivants :

Deuxième accès WAN de LILLE

Champ Valeur
Source originale - Machines destination Network_internals
Destination originale - Machines destination Internet
Destination originale - Interface de sortie WAN-2
Source translatée - Machine source translatée Firewall_WAN-2

Troisième accès WAN de LILLE

Champ Valeur
Source originale - Machines destination Network_internals
Destination originale - Machines destination Internet
Destination originale - Interface de sortie WAN-3
Source translatée - Machine source translatée Firewall_WAN-3

Ces règles de NAT prennent donc la forme suivante :