Mode Pont

Le mode pont est une fonctionnalité qui permet d'installer votre Firebox entre un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre Firebox traite tout le trafic réseau et le transmet vers d'autres périphériques de passerelle. Lorsque le trafic provenant du Firebox arrive à une passerelle, il semble provenir du périphérique d'origine.

Adresses IP du Système et de Gestion

Vous pouvez spécifier une adresse IP statique ou DHCP.

Si vous spécifiez DHCP, votre Firebox obtient une adresse IP système assignée par le serveur DHCP configuré sur votre dispositif passerelle. Les ordinateurs de votre réseau peuvent également obtenir des adresses DHCP auprès du dispositif passerelle. Le Firebox utilise l'adresse IP assignée via DHCP pour obtenir les mises à jour des signatures des services de sécurité et router le trafic vers les serveurs DNS, NTP ou WebBlocker internes.

Si vous spécifiez DHCP, vous devez également spécifier une adresse IP de gestion appartenant à une plage d'adresses IP privée. Si le serveur DHCP ne parvient pas à assigner une adresse IP système au Firebox ou si vous ne connaissez pas l'adresse IP système, vous pouvez vous connecter au Firebox via l'adresse IP de gestion.

DNSWatch

Dans Fireware v12.4 et versions ultérieures, vous pouvez activer DNSWatch en Mode Pont. L'adresse IP du Firebox doit pouvoir se connecter au serveur DNSWatch. L'adresse IP système du Firebox est l'adresse IP source des paquets de requête DNS envoyés au serveur DNS DNSWatch.

Lorsque vous vous connectez à DNSWatch, un Firebox en Mode Pont apparait comme suit :

  • InterfacePont Global
  • Réseau — Adresse IP système du Firebox

Dans les paramètres DNSWatch du Firebox, vous pouvez sélectionner les mêmes options de contrôle DNSWatch que pour un Firebox en mode Routage Mixte.

Si vous activez le contrôle DNSWatch, le Firebox ne peut pas résoudre les noms d'hôte du domaine local à moins de créer des règles de transfert DNS pour les domaines locaux. Pour de plus amples informations concernant les règles d'accès, consultez À propos du Transfert DNS.

Pour de plus amples informations concernant DNSWatch, consultez À propos de DNSWatch WatchGuard.

Protocole STP

Vous pouvez activer le protocole STP en mode Pont. Le protocole STP a été conçu pour éviter les boucles sur les réseaux dont les commutateurs sont reliés par des liaisons redondantes. Les administrateurs responsables des réseaux hautement disponibles peuvent configurer des liaisons redondantes et activer le protocole STP de manière à éviter toute interruption.

Pour de plus amples informations concernant le protocole STP, consultez la rubrique À Propos du Protocole STP.

Pour activer le protocole STP, consultez la section Activer le Protocole STP.

Fonctions Désactivées

En mode Pont, votre Firebox ne peut pas exécuter certaines fonctions qui nécessitent que le périphérique fonctionne comme une passerelle car le Firebox ne gère pas les informations de Couche 2 ou 3.

Ces fonctions sont les suivantes :

  • Multi-WAN
  • Réseaux locaux VLAN (Virtual Local Area Networks)
  • Ponts réseau
  • Regroupement des liaisons
  • Routes statiques
  • FireCluster
  • Réseaux secondaires
  • Serveur DHCP ou relais DHCP
  • Basculement vers un modem
  • 1-to-1 NAT, NAT dynamique ou NAT statique (SNAT)
  • Routage dynamique (OSPF, BGP ou RIP)
  • Tout type de réseau privé VPN pour lequel le Firebox est un endpoint ou une passerelle
  • Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP
  • Redirection automatique de l'authentification
  • Gestion d'un périphérique AP par le Gateway Wireless Controller
  • Mobile Security
  • Découverte Réseau

Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode d'insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions.

Autres Informations

Lorsque vous activez le Mode Pont, le Firebox ajoute automatiquement une entrée pour les Hôtes Associés pour la passerelle par défaut configurée sur l'interface 0. Si l'adresse IP de la passerelle par défaut se trouve sur une interface différente, vous devez modifier l'entrée entrée pour les Hôtes Associés vers l'interface correcte.

Pour en savoir plus sur les Hôtes Associés, consultez Configurer les Hôtes Associés.

En mode Pont avec le contrôle DNSWatch activé, le Firebox n'est pas en mesure de résoudre les serveurs DNS locaux. Si vous activez DNSWatch, vous devez créer des règles de transfert DNS pour les domaines locaux. Pour de plus amples informations concernant le paramétrage des règles de transfert, consultez À propos du Transfert DNS.

Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez d'abord passer en mode d'insertion ou de routage mixte, configurer ensuite l'interface en tant qu'interface externe, facultative ou approuvée, puis revenir en mode pont. Les fonctions sans fil d'un Firebox sans fil fonctionnent correctement en mode pont.

L'écran LCD d'un périphérique XTM en mode pont indique l'adresse IP des interfaces pontées de la manière suivante : 0.0.0.0. C'est ce qui est prévu.

Pour utiliser un pont réseau sur une machine virtuelle FireboxV ou XTMv dans ESXi, vous devez activer le mode de proximité sur le commutateur virtuel (vSwitch) auquel elle est connectée dans VMware. Vous ne pouvez pas utiliser un pont réseau sur une machine virtuelle FireboxV ou XTMv sur Hyper-V, car les commutateurs virtuels Hyper-V ne prennent pas en charge le mode de proximité.

Activer le Mode Pont (Adresse IP Statique)

Activer le Mode Pont (DHCP)

Avant d'enregistrer les modifications de la configuration décrites dans cette section, veillez à noter l'adresse IP de gestion de manière à pouvoir vous connecter au Firebox ultérieurement.

Activer le Protocole STP (Spanning Tree Protocol)

Vous pouvez activer le protocole STP. Pour modifier les paramètres par défaut du protocole STP, il est nécessaire d'utiliser la Command Line Interface (CLI) de Fireware . Pour de plus amples informations concernant les paramètres STP par défaut, consultez la rubrique Configurer les Paramètres STP dans la CLI.

Pour activer le protocole STP dans Web UI :

  1. Sélectionnez Réseau > Interfaces.
    La page Configuration Réseau s'affiche.
  2. Sélectionnez Protocoles de Pont.
  3. Sélectionnez Activer le protocole STP.

Capture d'écran des paramètres STP du mode Pont

  1. Cliquez sur OK.

Pour activer le protocole STP dans Policy Manager :

  1. Sélectionnez Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Sélectionnez Protocoles de Pont.
  3. Sélectionnez Activer le protocole STP.

Capture d'écran du protocole STP en mode Pont

  1. Cliquez sur OK.

Autoriser l'Accès de Gestion depuis un Réseau Local Virtuel (VLAN)

Lorsque vous configurez un Firebox en mode pont, il n'est pas possible d'y configurer des VLAN. Cependant, le Firebox permet le passage du trafic marqué VLAN entre les commutateurs ou ponts 802.1Q. Si vous le souhaitez, vous pouvez configurer le Firebox pour qu'il soit géré depuis un réseau local virtuel (VLAN) disposant d'un indicateur VLAN.

Pour activer la gestion d'un périphérique en mode pont depuis un réseau local virtuel (VLAN) à partir de Fireware Web UI :

  1. Sélectionnez Réseau > Interfaces.

    La page Interfaces réseau apparaît.
  2. Cochez la case Autoriser l'indicateur de réseau local virtuel (VLAN) pour l'accès de gestion.
  3. Saisissez ou sélectionnez l'ID réseau local virtuel (VLAN) que vous souhaitez autoriser à se connecter au périphérique pour l'accès de gestion.

Pour activer la gestion d'un périphérique en mode pont depuis un réseau local virtuel (VLAN) à partir de Policy Manager :

  1. Cliquez sur Configuration Réseau.
    Vous pouvez également sélectionner Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Cochez la case Autoriser l'indicateur de réseau local virtuel (VLAN) pour l'accès de gestion.
  3. Saisissez ou sélectionnez l'ID réseau local virtuel (VLAN) que vous souhaitez autoriser à se connecter au périphérique pour l'accès de gestion.

Voir Également

À propos des Ponts LAN

Mode d'insertion

À propos du Protocole STP