Mode Pont

Le mode pont est une fonctionnalité qui permet d'installer votre Firebox entre un réseau existant et sa passerelle, afin de filtrer ou de gérer le trafic réseau. Lorsque vous activez cette fonctionnalité, votre Firebox traite tout le trafic réseau et le transmet vers d'autres périphériques de passerelle. Lorsque le trafic provenant du Firebox arrive à une passerelle, il semble provenir du périphérique d'origine.

Adresses IP du Système et de Gestion

Vous pouvez spécifier une adresse IP statique ou DHCP.

Si vous spécifiez DHCP, votre Firebox obtient une adresse IP système assignée par le serveur DHCP configuré sur votre dispositif passerelle. Les ordinateurs de votre réseau peuvent également obtenir des adresses DHCP auprès du dispositif passerelle. Le Firebox utilise l'adresse IP assignée via DHCP pour obtenir les mises à jour des signatures des services de sécurité et router le trafic vers les serveurs DNS, NTP ou WebBlocker internes.

Si vous spécifiez DHCP, vous devez également spécifier une adresse IP de gestion appartenant à une plage d'adresses IP privée. Si le serveur DHCP ne parvient pas à assigner une adresse IP système au Firebox ou si vous ne connaissez pas l'adresse IP système, vous pouvez vous connecter au Firebox via l'adresse IP de gestion.

DNSWatch

Dans Fireware v12.4 et versions ultérieures, vous pouvez activer DNSWatch en Mode Pont. L'adresse IP du Firebox doit pouvoir se connecter au serveur DNSWatch. L'adresse IP système du Firebox est l'adresse IP source des paquets de requête DNS envoyés au serveur DNS DNSWatch.

Lorsque vous vous connectez à DNSWatch, un Firebox en Mode Pont apparait comme suit :

  • InterfacePont Global
  • Réseau — Adresse IP système du Firebox

Dans les paramètres DNSWatch du Firebox, vous pouvez sélectionner les mêmes options de contrôle DNSWatch que pour un Firebox en mode Routage Mixte.

Si vous activez le contrôle DNSWatch, le Firebox ne peut pas résoudre les noms d'hôte du domaine local à moins de créer des règles de transfert DNS pour les domaines locaux. Pour de plus amples informations concernant les règles d'accès, consultez À propos du Transfert DNS.

Pour de plus amples informations concernant DNSWatch, consultez À propos de DNSWatch WatchGuard.

Protocole STP

Vous pouvez activer le protocole STP en mode Pont. Le protocole STP a été conçu pour éviter les boucles sur les réseaux dont les commutateurs sont reliés par des liaisons redondantes. Les administrateurs responsables des réseaux hautement disponibles peuvent configurer des liaisons redondantes et activer le protocole STP de manière à éviter toute interruption.

Pour de plus amples informations concernant le protocole STP, consultez la rubrique À Propos du Protocole STP.

Pour activer le protocole STP, consultez la section Activer le Protocole STP.

Fonctions Désactivées

En mode Pont, votre Firebox ne peut pas exécuter certaines fonctions qui nécessitent que le périphérique fonctionne comme une passerelle car le Firebox ne gère pas les informations de Couche 2 ou 3.

Ces fonctions sont les suivantes :

  • Multi-WAN
  • Réseaux locaux VLAN (Virtual Local Area Networks)
  • Ponts réseau
  • Regroupement des liaisons
  • Routes statiques
  • FireCluster
  • Réseaux secondaires
  • Serveur DHCP ou relais DHCP
  • Basculement vers un modem
  • 1-to-1 NAT, NAT dynamique ou NAT statique (SNAT)
  • Routage dynamique (OSPF, BGP ou RIP)
  • Tout type de réseau privé VPN pour lequel le Firebox est un endpoint ou une passerelle
  • Certaines fonctions proxy, notamment le serveur de mise en cache Web HTTP
  • Redirection automatique de l'authentification
  • Gestion d'un périphérique AP par le Gateway Wireless Controller
  • Mobile Security
  • Découverte Réseau

Si vous avez configuré ces fonctions services, ils sont désactivés lorsque vous passez en mode pont. Pour réutiliser ces fonctions ou services, vous devez utiliser un autre mode réseau. Si vous revenez au mode d'insertion ou de routage mixte, vous devrez peut-être reconfigurer certaines fonctions.

Autres Informations

Lorsque vous activez le Mode Pont, le Firebox ajoute automatiquement une entrée pour les Hôtes Associés pour la passerelle par défaut configurée sur l'interface 0. Si l'adresse IP de la passerelle par défaut se trouve sur une interface différente, vous devez modifier l'entrée entrée pour les Hôtes Associés vers l'interface correcte.

Pour en savoir plus sur les Hôtes Associés, consultez Configurer les Hôtes Associés.

En mode Pont avec le contrôle DNSWatch activé, le Firebox n'est pas en mesure de résoudre les serveurs DNS locaux. Si vous activez DNSWatch, vous devez créer des règles de transfert DNS pour les domaines locaux. Pour de plus amples informations concernant le paramétrage des règles de transfert, consultez À propos du Transfert DNS.

Lorsque vous activez le mode pont, les interfaces ayant un pont réseau ou un réseau VLAN préconfiguré sont désactivées. Pour utiliser ces interfaces, vous devez d'abord passer en mode d'insertion ou de routage mixte, configurer ensuite l'interface en tant qu'interface externe, facultative ou approuvée, puis revenir en mode pont. Les fonctions sans fil d'un Firebox sans fil fonctionnent correctement en mode pont.

L'écran LCD d'un périphérique XTM en mode pont indique l'adresse IP des interfaces pontées de la manière suivante : 0.0.0.0. C'est ce qui est prévu.

Pour utiliser un pont réseau sur une machine virtuelle FireboxV ou XTMv dans ESXi, vous devez activer le mode de proximité sur le commutateur virtuel (vSwitch) auquel elle est connectée dans VMware. Vous ne pouvez pas utiliser un pont réseau sur une machine virtuelle FireboxV ou XTMv sur Hyper-V, car les commutateurs virtuels Hyper-V ne prennent pas en charge le mode de proximité.

Activer le Mode Pont (Adresse IP Statique)

  1. Sélectionnez Réseau > Interfaces.

    La page Interfaces réseau apparaît.
  2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.

Capture d'écran de la page Interfaces réseau, avec les paramètres du mode pont

  1. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour les désactiver, ou sur Non pour revenir à votre configuration antérieure.
  2. Cliquez sur Configurer.
  3. Sélectionnez Adresse IP Statique.
  4. Dans la zone de texte Adresse IP, saisissez l'adresse IP de votre Firebox en notation de barre oblique.
    Pour plus d'informations à propos de la notation de barre oblique, consultez À propos de la Notation de Barre Oblique.
  5. Dans la zone de texte Passerelle, saisissez l'adresse IP de la Passerelle recevant l'ensemble du trafic réseau provenant du périphérique.

Capture d'écran des paramètres d'adresse IP Système en Mode Pont

  1. Cliquez sur Enregistrer.
  1. Sélectionnez Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.

Capture d'écran de la boîte de dialogue Configuration du réseau, mode pont transparent

  1. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour les désactiver, ou sur Non pour revenir à votre configuration antérieure.
  2. Cliquez sur Configurer
    La fenêtre Propriétés du Mode Pont s'affiche.
  3. Sélectionnez Utiliser l'adresse IP statique.

Capture d'écran des paramètres d'adresse IP statique en mode Pont

  1. Dans la zone de texte Adresse IP, saisissez l'adresse IP de votre Firebox en notation de barre oblique.
    Pour obtenir plus d'informations sur la notation de barre oblique, consultez la section À propos de la notation de barre oblique.
  2. Dans la zone de texte Passerelle par Défaut, saisissez l'adresse IP de la Passerelle recevant l'ensemble du trafic réseau provenant du périphérique.
  3. Cliquez sur OK.

Activer le Mode Pont (DHCP)

Avant d'enregistrer les modifications de la configuration décrites dans cette section, veillez à noter l'adresse IP de gestion de manière à pouvoir vous connecter au Firebox ultérieurement.

  1. Sélectionnez Réseau > Interfaces.
    La page Interfaces apparaît.
  2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.
  3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour les désactiver, ou sur Non pour revenir à votre configuration antérieure.
  4. Cliquez sur Configurer
    La fenêtre Propriétés du Mode Pont s'affiche.
  5. Dans la liste déroulante Mode de configuration, sélectionnez DHCP.
  6. Dans la zone de texte Adresse IP de la section Adresse de Gestion, saisissez une adresse IP appartenant à une plage d'adresses privée. Astuce !

Capture d'écran des paramètres DHCP en mode Pont

  1. Cliquez sur Retour.
  2. Cliquez sur Enregistrer. Une boîte de dialogue s'affiche pour indiquer que vous devrez vous connecter au Firebox avec la nouvelle adresse IP de gestion une fois l'opération effectuée.

Capture d'écran de la boîte de dialogue d'avertissement de l'adresse IP de Gestion

  1. Cliquez sur Oui pour confirmer.
  2. Pour vous connecter à votre Firebox, saisissez l'adresse IP système assignée via DHCP ou l'adresse IP de gestion que vous avez spécifiée.
  1. Sélectionnez Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Dans la liste déroulante Configurer les interfaces en, sélectionnez Mode pont.
  3. Si le système vous invite à désactiver les interfaces, cliquez sur Oui pour les désactiver, ou sur Non pour revenir à votre configuration antérieure.
  4. Cliquez sur Configurer.
    La fenêtre Propriétés du Mode Pont s'affiche.
  5. Sélectionnez Utiliser le client DHCP.
  6. Dans Adresse IP de l'Hôte, conservez l'option sélectionnée par défaut (Obtenir une adresse IP automatiquement).
  7. Dans la zone de texte Adresse IP de la section Adresse de Gestion, saisissez une adresse IP appartenant à une plage privée. Astuce !

Capture d'écran des paramètres DHCP en mode Pont

  1. Cliquez sur OK.
  2. Pour vous connecter au Firebox après avoir enregistré la configuration, saisissez l'adresse IP système assignée via DHCP ou l'adresse IP de gestion que vous avez spécifiée.

Lorsque vous activez le Mode Pont, le Firebox ajoute automatiquement une entrée pour les Hôtes Associés pour la passerelle par défaut configurée sur l'interface 0. Le Mappage d'Hôte Automatique devraient fonctionner pour la plupart des réseaux. Si l'adresse IP de la passerelle par défaut se trouve sur une interface différente, vous devez modifier l'entrée entrée pour les Hôtes Associés vers l'interface correcte.

Activer le Protocole STP (Spanning Tree Protocol)

Vous pouvez activer le protocole STP. Pour modifier les paramètres par défaut du protocole STP, il est nécessaire d'utiliser la Command Line Interface (CLI) de Fireware . Pour de plus amples informations concernant les paramètres STP par défaut, consultez la rubrique Configurer les Paramètres STP dans la CLI.

Pour activer le protocole STP dans Web UI :

  1. Sélectionnez Réseau > Interfaces.
    La page Configuration Réseau s'affiche.
  2. Sélectionnez Protocoles de Pont.
  3. Sélectionnez Activer le protocole STP.

Capture d'écran des paramètres STP du mode Pont

  1. Cliquez sur OK.

Pour activer le protocole STP dans Policy Manager :

  1. Sélectionnez Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Sélectionnez Protocoles de Pont.
  3. Sélectionnez Activer le protocole STP.

Capture d'écran du protocole STP en mode Pont

  1. Cliquez sur OK.

Autoriser l'Accès de Gestion depuis un Réseau Local Virtuel (VLAN)

Lorsque vous configurez un Firebox en mode pont, il n'est pas possible d'y configurer des VLAN. Cependant, le Firebox permet le passage du trafic marqué VLAN entre les commutateurs ou ponts 802.1Q. Si vous le souhaitez, vous pouvez configurer le Firebox pour qu'il soit géré depuis un réseau local virtuel (VLAN) disposant d'un indicateur VLAN.

Pour activer la gestion d'un périphérique en mode pont depuis un réseau local virtuel (VLAN) à partir de Fireware Web UI :

  1. Sélectionnez Réseau > Interfaces.

    La page Interfaces réseau apparaît.
  2. Cochez la case Autoriser l'indicateur de réseau local virtuel (VLAN) pour l'accès de gestion.
  3. Saisissez ou sélectionnez l'ID réseau local virtuel (VLAN) que vous souhaitez autoriser à se connecter au périphérique pour l'accès de gestion.

Pour activer la gestion d'un périphérique en mode pont depuis un réseau local virtuel (VLAN) à partir de Policy Manager :

  1. Cliquez sur Configuration Réseau.
    Vous pouvez également sélectionner Réseau > Configuration.
    La fenêtre Configuration du réseau apparaît.
  2. Cochez la case Autoriser l'indicateur de réseau local virtuel (VLAN) pour l'accès de gestion.
  3. Saisissez ou sélectionnez l'ID réseau local virtuel (VLAN) que vous souhaitez autoriser à se connecter au périphérique pour l'accès de gestion.

Voir Également

À propos des Ponts LAN

Mode d'insertion

À propos du Protocole STP