Ajouter une Adresse IP de Réseau Secondaire
Lorsque vous configurez une interface de Firebox, vous pouvez ajouter des adresses IP de réseau secondaire à l'interface. Chaque adresse IP que vous ajoutez peut se trouver sur le même sous-réseau ou sur un autre sous-réseau que celui de l'adresse IP principale de l'interface.
Lorsque vous ajoutez un réseau secondaire, vous créez une adresse IP spécifique sur laquelle le Firebox écoute les requêtes. Le Firebox appartient également au sous-réseau spécifié sur cette adresse IP.
Adresse IP de réseau secondaire sur le même sous-réseau
Pour les interfaces internes, vous pouvez utiliser une adresse IP secondaire sur le même sous-réseau au cas où un hôte interne devrait utiliser cette adresse IP en tant que passerelle par défaut.
Pour les interfaces externes, vous pouvez également être amené à utiliser une adresse IP secondaire sur le même sous-réseau lorsque vous voulez transférer le trafic vers plusieurs serveurs internes. Lorsque du trafic sortant, comme le trafic d'un serveur SMTP, doit apparaître en provenance de la même adresse IP secondaire, utilisez l'option Définir l'IP source de la traduction d'adresses réseau dynamique basée sur stratégie dans une stratégie sortante.
Si vous souhaitez afficher un exemple de ce type de configuration, consultez l'exemple de configuration Utiliser la NAT pour l'Accès Public aux Serveurs Configurés avec des Adresses IP Privées à l'adresse https://www.watchguard.com/help/configuration-examples/.
Pour plus d'informations, à propos de la traduction d'adresses réseau (NAT) dynamique basée sur stratégie, consultez Configurer la Traduction d'Adresses Réseau (NAT) pour une Stratégie.
Adresse IP de réseau secondaire sur un sous-réseau différent
Si l'adresse IP secondaire se trouve sur un sous-réseau différent de l'adresse IP principale de l'interface, elle indique au périphérique Firebox qu'il y a un réseau en plus sur son interface. Lorsque vous ajoutez un réseau secondaire sur un sous-réseau différent, le périphérique Firebox crée une route depuis une adresse IP du réseau secondaire vers l'adresse IP de l'interface du Firebox.
Pour une interface externe, vous utiliseriez un réseau secondaire sur un sous-réseau différent si votre fournisseur de services Internet vous offrait plusieurs adresses IP sur différents sous-réseaux et si la passerelle du fournisseur de services Internet pouvait diriger le trafic depuis et vers les différents sous-réseaux.
Pour une interface approuvée ou facultative, vous définissez un réseau secondaire appartenant à un autre sous-réseau si vous souhaitez connecter l'interface à plusieurs réseaux internes. Vous trouverez un exemple dans la section suivante.
Si vous configurez un périphérique Firebox en mode d'insertion, chaque interface utilise la même adresse IP principale. Toutefois, vous utilisez probablement un ensemble d'adresses IP différent sur votre réseau approuvé. Vous pouvez ajouter ce réseau privé en tant que réseau secondaire à l'interface approuvée de votre Firebox.
Lorsque vous configurez une adresse IP du réseau secondaire sur un autre sous-réseau, le nouveau sous-réseau fait partie du même réseau logique que le sous-réseau d'origine. Le Firebox ne peut pas appliquer de stratégies de pare-feu au trafic entre les différents ordinateurs du même réseau logique.
Pour configurer une adresse IP de réseau secondaire pour une interface, votre périphérique Firebox doit utiliser une configuration réseau routée ou d'insertion. Vous pouvez ajouter des adresses IP de réseau secondaires à l'interface externe d'un Firebox, même si cette interface externe est configurée pour obtenir son adresse IP principale via PPPoE ou DHCP.
Il est impossible de supprimer un réseau secondaire s'il est spécifié dans les paramètres de la passerelle d'une configuration d'interface virtuelle BOVPN ou BOVPN.
À titre d'exemple, voici différentes situations lors desquelles les réseaux secondaires peuvent être utiles :
Consolidation du Réseau
Si vous souhaitez supprimer un routeur de votre réseau, vous pouvez ajouter son adresse IP en tant qu'adresse IP secondaire sur le pare-feu lorsque vous l'arrêtez. Les hôtes ou les routeurs qui continuent à envoyer du trafic vers l'ancienne adresse IP du routeur l'achemineraient alors vers le pare-feu.
Migration de Réseaux
Les adresses secondaires peuvent vous aider à éviter une panne réseau si vous souhaitez migrer votre réseau approuvé d'un sous-réseau à un autre. À titre d'exemple, si vous utilisez actuellement 192.168.1.1/24 comme adresse IP de l'interface principale et que vous la remplacez par 10.0.10.1/24, il est possible qu'une panne réseau survienne lorsque les périphériques utilisant DHCP obtiennent une adresse IP appartenant au nouveau sous-réseau. De plus, les périphériques utilisant une adresse IP statique ne peuvent pas se connecter tant que vous ne les avez pas reconfigurés avec une adresse IP appartenant au nouveau sous-réseau. Pour éviter la panne, ajoutez l'ancienne adresse IP en tant que réseau secondaire afin que les périphériques puissent continuer à utiliser les adresses IP de l'ancien sous-réseau durant la migration.
Lorsque vous configurez un réseau secondaire, les périphériques utilisant DHCP obtiennent une adresse IP sur le nouveau sous-réseau lorsqu'ils renouvellent leur bail DHCP, sans interruption. Les périphériques utilisant une adresse IP statique peuvent continuer à utiliser l'ancien sous-réseau jusqu'à ce que vous terminiez de mettre à jour leur adresse IP. Une fois tous les périphériques migrés vers le nouveau sous-réseau, vous pouvez supprimer l'adresse IP secondaire de l'interface.
Il est utile de les migrer vers une autre plage réseau locale dans les cas suivants :
- Vous héritez d'un réseau employant les réseaux 192.168.0.1/24 ou 192.168.1.1/24. Étant donné que ces plages réseau rentrent en conflit avec de nombreuses plages de réseaux domestiques, vos utilisateurs mobile VPN ne peuvent pas accéder aux ressources locales de votre réseau.
- Vous possédez deux sites utilisant la même plage réseau locale et souhaitez les connecter via un BOVPN.
NAT Statique vers Plusieurs Serveurs
Si votre Firebox utilise une adresse IP externe statique, vous pouvez ajouter une adresse IP de réseau secondaire. Vous pouvez ensuite configurer des règles NAT statique permettant d'envoyer le trafic vers les périphériques souhaités de ce réseau.
À titre d'exemple, configurez un réseau secondaire externe avec une deuxième adresse IP publique si vous disposez de deux serveurs web publics et souhaitez configurer une règle de traduction d'adresses réseau statique pour chacun d'eux.
Configurer un réseau secondaire
Suivez ces étapes pour ajouter un réseau secondaire. Dans cet exemple, le réseau secondaire se trouve sur une interface approuvée.
Pour définir une adresse de réseau secondaire, vous devez disposer d'une adresse IP inutilisée sur le réseau secondaire à attribuer à l'interface du Firebox.
- Sélectionnez Réseau > Interfaces.
La page Interfaces réseau apparaît. - Sélectionnez l'interface du réseau secondaire et cliquez sur Modifier.
- Sélectionnez l'onglet Secondaire.
- Entrez une adresse IP d'hôte non attribuée dans la notation de barre oblique à partir du réseau secondaire. Cliquez sur Ajouter. Répétez cette opération pour ajouter des réseaux secondaires supplémentaires.
Lorsque vous ajoutez une adresse IP en notation de barre oblique, vous ajoutez uniquement cette adresse IP. Vous n'ajoutez pas l'ensemble du sous-réseau du réseau en tant que réseau secondaire.
- Cliquez sur Enregistrer.
- Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s'affiche. - Sélectionnez l'interface du réseau secondaire et cliquez sur Configurer.
La boîte de dialogue Paramètres de l'interface s'ouvre. - Sélectionnez l'onglet Secondaire.
- Cliquez sur Ajouter. Entrez une adresse IP d'hôte non attribuée pour le réseau secondaire.
Lorsque vous ajoutez une adresse IP en notation de barre oblique, vous ajoutez uniquement cette adresse IP. Vous n'ajoutez pas l'ensemble du sous-réseau du réseau en tant que réseau secondaire.
- Cliquez sur OK.
- Cliquez de nouveau sur OK.
Assurez-vous de soigneusement ajouter les adresses du réseau secondaire. Le périphérique Firebox ne vous indique pas si vous avez configuré une adresse IP qui pourrait provoquer un conflit d'adresse IP. Nous vous recommandons de ne pas ajouter un sous-réseau comme réseau secondaire sur une interface faisant partie d'un réseau plus étendu situé sur une interface différente. Si vous faites cela, le Firebox pourrait identifier ce trafic comme une tentative d'usurpation d'un réseau qu'il s'attend à trouver sur une autre interface, et le réseau pourrait ne pas fonctionner correctement. Le Firebox peut ne pas utiliser le même protocole ARP pour le même réseau sur plusieurs interfaces (à l'exception du mode d'insertion, des interfaces reliées par un pont, et des réseaux locaux virtuels (VLAN) reliés par un pont).
Voir Également
Migrer vers une Nouvelle Plage Réseau Standard
À propos des Modes Réseau et Interfaces