Définir un Nouveau VLAN
Avant de créer un nouveau VLAN, assurez-vous d'avoir bien compris tous les concepts et les restrictions concernant les VLAN décrits à la section À propos des Réseaux Locaux Virtuels (VLAN).
Cette rubrique explique comment :
- Configurer un VLAN
- Utiliser DHCP sur un Réseau Local Virtuel (VLAN)
- Configurer le Relais DHCP sur un VLAN
- Appliquer les stratégies de pare-feu au trafic intra-VLAN
- Configurer les paramètres réseau d'un VLAN sur l'interface externe
- Activer IPv6 sur un VLAN
- Configurer les Adresses IP Secondaires d'un VLAN
- Activer le Protocole STP (Spanning Tree Protocol)
- Activer le Marquage 802.1p pour les Interfaces VLAN
Configurer un VLAN dans Fireware Web UI
Lorsque vous configurez un VLAN dans Fireware Web UI, vous devez sélectionner un paramètre d'indicateur VLAN pour au moins une interface VLAN. Avant de créer le VLAN, vous devez configurer au moins une interface en tant qu'interface VLAN.
- Sélectionnez Réseau > Interfaces.
- Sélectionnez l'interface connectée à votre commutateur VLAN. Cliquez sur Modifier.
- Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).
- Cliquez sur Enregistrer.
- Sélectionnez Réseau > VLAN.
La page VLAN apparaît et affiche une liste indiquant les VLAN actuellement définis par les utilisateurs ainsi que leurs paramètres.
Vous pouvez également configurer les interfaces réseau de la liste Interfaces.
- Cliquez sur Ajouter.
La page Paramètres VLAN apparaît.
- Dans la zone de texte Nom, saisissez le nom du réseau local virtuel (VLAN). Le nom ne peut pas contenir d'espace.
- (Facultatif) Dans la zone de texte Description,saisissez une description pour le réseau local virtuel (VLAN).
- Dans la zone de texte ID de VLAN, saisissez ou sélectionnez une valeur pour le réseau local virtuel (VLAN).
- Dans la zone de texte Zone de sécurité, sélectionnez Approuvée, Facultative, Personnalisée, ou Externe.
Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les réseaux locaux virtuels (VLAN) de type approuvé sont gérés par des stratégies qui utilisent l'alias Tout-Approuvé comme source ou destination. - Dans la zone de texte Adresse IP, saisissez l'adresse de la passerelle VLAN.
Tout ordinateur sur ce nouveau VLAN doit utiliser cette adresse IP comme passerelle par défaut. - Dans la liste Sélection d'un paramètre d'indicateur VLAN pour chaque interface, sélectionnez une ou plusieurs interfaces.
- Dans la liste déroulante Sélectionner le trafic, sélectionnez une option à appliquer aux interfaces sélectionnées :
- Trafic marqué — L'interface envoie et reçoit le trafic marqué.
- Trafic non marqué — L'interface envoie et reçoit le trafic non marqué.
- Aucun trafic — Supprime l'interface de cette configuration VLAN.
- Cliquez sur Enregistrer.
Pour de plus amples informations concernant le paramètre de trafic intra-VLAN, consultez la section Appliquer les stratégies de pare-feu au trafic intra-VLAN de cette page.
Configurer un VLAN dans Policy Manager
Dans Policy Manager, vous devez créer le VLAN avant de configurer les interfaces comme membres de ce VLAN. Les paramètres de configuration VLAN dans Policy Manager ne comportent pas la liste des interfaces membres du VLAN.
- Sélectionnez Réseau > Configuration.
La boîte de dialogue Configuration du réseau s'affiche. - Cliquez sur l'onglet VLAN.
Vous voyez apparaître un tableau répertoriant les VLAN actuellement définis par les utilisateurs, ainsi que leurs paramètres.
- Cliquez sur Ajouter.
La boîte de dialogue Configuration d'un nouveau VLAN s'affiche.
- Dans la zone de texte Nom (Alias), saisissez le nom du VLAN.
- (Facultatif) Dans la zone de texte Description,saisissez une description pour le réseau local virtuel (VLAN).
- Dans la zone de texte ID de VLAN, saisissez ou sélectionnez une valeur pour le réseau local virtuel (VLAN).
- Dans la zone de texte Zone de sécurité, sélectionnez Approuvée, Facultative, Personnalisée, ou Externe.
Les zones de sécurité correspondent aux alias des zones de sécurité des interfaces. Par exemple, les réseaux locaux virtuels (VLAN) de type approuvé sont gérés par des stratégies qui utilisent l'alias Tout-Approuvé comme source ou destination. - Dans la zone de texte Adresse IP, saisissez l'adresse de la passerelle VLAN.
Tout ordinateur sur ce nouveau VLAN doit utiliser cette adresse IP comme passerelle par défaut.
Pour de plus amples informations concernant le paramètre de trafic intra-VLAN, consultez la section Appliquer les stratégies de pare-feu au trafic intra-VLAN de cette page.
Après avoir créé le VLAN, vous pouvez configurer des interfaces en tant que membre du VLAN. Pour plus d'informations, consultez Attribuer des Interfaces à un VLAN
Consulter les interfaces membres du VLAN
Dans l'onglet VLAN, vous pouvez voir un résumé de la configuration VLAN, et une liste des interfaces membres du VLAN.
Sur l'onglet VLAN, les chiffres indiqués dans la colonne Interfaces correspondent aux interfaces physiques membres du VLAN en question. Le numéro d'interface en gras identifie l'interface qui envoie des données non marquées à ce VLAN.
Utiliser DHCP sur un Réseau Local Virtuel (VLAN)
Pour un VLAN de la zone de sécurité Approuvée, Facultative ou Personnalisée, vous pouvez configurer le Firebox en tant que serveur DHCP pour les ordinateurs de votre réseau VLAN.
- Dans les paramètres VLAN, sélectionnez l'onglet Réseau.
- Dans la liste déroulante Mode DHCP, sélectionnez Serveur DHCP.
- (Facultatif) Si nécessaire, saisissez le Nom de Domaine pour le fournir aux clients DHCP.
- Pour modifier la durée de bail par défaut, saisissez ou sélectionnez un nombre dans la zone de texte Durée du Bail puis spécifiez l'unité de mesure dans la liste déroulante.
C'est l'intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu'il reçoit du serveur DHCP. Lorsque la durée du bail est sur le point d'arriver à expiration, le client envoie une requête au serveur DHCP pour obtenir un nouveau bail. - Pour ajouter un pool d'adresses IP, dans la section Pool d'adresses, cliquez sur Ajouter.
- Dans les zones de texte IP de Début et IP de Fin, saisissez la première et la dernière adresse IP du pool.
Vous pouvez configurer un maximum de six pools d'adresses. - Pour réserver une adresse IP spécifique à un client, dans la section Adresses Réservées, cliquez sur Ajouter.
- Saisissez l'Adresse IP, le Nom de Réservation et l'Adresse MAC du périphérique. Cliquez sur OK.
- Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, saisissez l'adresse du serveur dans la zone de texte située à côté de la liste. Cliquez sur Ajouter.
- Pour supprimer un serveur de la liste, sélectionnez le serveur souhaité et cliquez sur Supprimer.
- Pour configurer les options DHCP, cliquez sur Options DHCP.
- (Fireware v12.1.1 et versions ultérieures) Par défaut, l'adresse IP du Firebox est la passerelle par défaut. Pour spécifier une adresse IP différente comme passerelle par défaut, sélectionnez Spécifier et saisissez une adresse IP.
- Dans la boîte de dialogue Configuration d'un nouveau réseau local virtuel (VLAN), sélectionnez Utiliser le serveur DHCP.
- Pour ajouter un pool d'adresses IP, dans la section Pool d'adresses, cliquez sur Ajouter et saisissez les première et dernière adresses IP attribuées pour la distribution. Cliquez sur OK.
Vous pouvez configurer un maximum de six pools d'adresses. - Pour attribuer une adresse IP spécifique à un client, dans la section Adresses réservées, cliquez sur Ajouter. Saisissez le Nom de Réservation de la réservation, l'Adresse IP que vous souhaitez réserver et de l'Adresse MAC de la carte réseau du client. Cliquez sur OK.
- Pour modifier la durée du bail par défaut, sélectionnez un autre intervalle temporel dans la liste déroulante Durée du bail.
C'est l'intervalle temporel pendant lequel un client DHCP peut utiliser une adresse IP qu'il reçoit du serveur DHCP. Lorsque la durée du bail est sur le point d'arriver à expiration, le client envoie une requête au serveur DHCP pour obtenir un nouveau bail. - Pour ajouter des serveurs DNS ou WINS à votre configuration DHCP, cliquez sur Configurer les serveurs DNS/WINS.
- (Facultatif) Dans les paramètres DNS/WINS, saisissez votre Nom de Domaine pour le fournir aux clients DHCP.
- Pour configurer les options DHCP, cliquez sur Options DHCP.
- (Fireware v12.1.1 et versions ultérieures) Par défaut, l'adresse IP du Firebox est la passerelle par défaut. Pour spécifier une adresse IP différente comme passerelle par défaut, sélectionnez Spécifier et saisissez une adresse IP.
Pour de plus amples informations sur les options DNS/WINS et DHCP par interface, consultez Configurer un Serveur DHCP IPv4.
Utiliser un Relais DHCP sur un Réseau Local Virtuel (VLAN)
- Dans l'onglet Réseau, sélectionnez Relais DHCP dans la liste déroulante Mode DHCP.
- Ajoutez les adresses IP de jusqu'à trois serveurs DHCP.
- Dans la boîte de dialogue Configuration d'un nouveau réseau local virtuel (VLAN), sélectionnez Utiliser le relais DHCP.
- Ajoutez les adresses IP de jusqu'à trois serveurs DHCP.
Veillez, si nécessaire, à ajouter une route jusqu'au serveur DHCP.
Pour de plus amples informations concernant le relais DHCP, consultez Configurer le relais DHCP.
Appliquer les stratégies de pare-feu au trafic intra-VLAN
Vous pouvez configurer plus d'une interface du Firebox en tant que membre d'un même VLAN. Pour un exemple de ce type de configuration, consultez Configurer un Réseau Local Virtuel (VLAN) relié en Pont à deux Interfaces.
Pour appliquer les stratégies de pare-feu au trafic VLAN entre les interfaces locales, cochez la case Appliquer les stratégies de pare-feu au trafic Intra-VLAN.
Le trafic Intra-VLAN désigne le trafic d'un VLAN destiné au même VLAN. En activant cette fonction, le Firebox applique les stratégies au trafic qui transite via le pare-feu entre les hôtes qui sont sur le même VLAN. Si vous souhaitez appliquer les stratégies au trafic intra-VLAN, assurez-vous qu'aucun chemin alternatif n'existe entre la source et la destination. Le trafic VLAN doit transiter par le Firebox afin que les stratégies de pare-feu s'appliquent.
Sur une interface VLAN externe, vous devez activer ce paramètre afin que le Firebox puisse :
- Appliquer une stratégie sur la base du routage et des routes du tunnel VPN vers le trafic reçu et envoyé par la même interface VLAN externe
- Appliquer les stratégies de pare-feu et dynamiques au trafic reçu et envoyé par la même interface VLAN externe
Les stratégies intra-VLAN sont appliquées par adresse IP, utilisateur ou alias. Si le trafic intra-VLAN ne correspond à aucune stratégie définie, le trafic est refusé en tant que paquets non gérés. Les paquets non IP intra-VLAN sont autorisés.
Dans Fireware v12.1.1 et les versions ultérieures, ce paramètre est activé par défaut pour les nouvelles interfaces VLAN externes.
Configurer les Paramètres Réseau d'un VLAN sur l'Interface Externe
Lorsque vous procédez à la configuration d'un VLAN sur l'interface externe, vous devez configurer la manière dont le VLAN acquiert l'adresse IP externe.
- Dans l'onglet Paramètres du réseau local virtuel (VLAN), sélectionnez Externe dans la liste déroulante Zone de sécurité.
- Sélectionnez l'onglet Réseau.
- Dans la liste déroulante Mode de configuration, sélectionnez IP statique, DHCP ou PPPoE.
- Configurez les paramètres réseau en procédant de la même manière que pour les autres interfaces externes.
Pour plus d'informations, consultez Configurer une Interface Externe.
- Dans la liste déroulante Zone de sécurité, sélectionnez Externe.
- Sélectionnez une option : Utiliser une IP Statique, Utiliser le Client DHCP ou Utiliser PPPoE.
- Configurez les paramètres réseau en procédant de la même manière que pour les autres interfaces externes.
Pour plus d'informations, consultez Configurer une Interface Externe.
Activer IPv6 sur un VLAN
Pour activer IPv6 sur une interface VLAN :
- Sélectionnez l'onglet IPv6.
- Cochez la case Activer IPv6.
- Configurez les paramètres de réseau IPv6 de la même manière que vous le feriez pour toute autre interface.
Pour obtenir des informations sur la manière de configurer les paramètres IPv6, voir
- Configurer IPv6 pour une Interface Approuvée ou Facultative
- Configurer IPv6 pour une Interface Externe
Configurer les Adresses IP Secondaires d'un VLAN
- Sélectionnez l'onglet Secondaire.
- Entrez une adresse IP d'hôte non attribuée dans la notation de barre oblique à partir du réseau secondaire.
- Cliquez sur Ajouter.
- Sélectionnez l'onglet Secondaire.
- Cliquez sur Ajouter.
- Entrez une adresse IP d'hôte non attribuée pour le réseau secondaire.
- Cliquez sur OK.
Pour de plus amples informations sur les adresses IP de l'interface secondaire, consultez Ajouter une Adresse IP de Réseau Secondaire.
Activer le Protocole STP (Spanning Tree Protocol)
Vous pouvez activer le protocole STP pour certaines configurations VLAN. Toutes les configurations VLAN ne sont pas prises en charge. Pour de plus amples informations concernant le protocole STP, consultez la rubrique À Propos du Protocole STP.
Pour modifier les paramètres par défaut du protocole STP, il est nécessaire d'utiliser la Command Line Interface (CLI) de Fireware . Pour de plus amples informations concernant les paramètres STP par défaut, consultez la rubrique Configurer les Paramètres STP dans la CLI.
Pour activer le protocole STP dans Web UI :
- Cliquez sur l'onglet Protocoles de Pont.
- Sélectionnez Activer le protocole STP.
- Cliquez sur Enregistrer.
Pour activer le protocole STP dans Policy Manager :
- Cliquez sur l'onglet Protocoles de Pont.
- Sélectionnez Activer le protocole STP.
- Cliquez sur Enregistrer.
Activer le Marquage 802.1p pour les Interfaces VLAN
Dans Fireware v12.7 ou les versions ultérieures, vous pouvez activer le marquage prioritaire 802.1p (marquage) pour les interfaces VLAN sur votre Firebox.
La norme 802.1p est une méthode de qualité de service (QoS)/classe de service (CoS) opérant au niveau de la Couche MAC (Couche 2). Les équipements prenant en charge la norme 802.1p peuvent ajouter et reconnaître une valeur indiquant le niveau de priorité de la trame Ethernet. Vous pouvez activer la norme 802.1p peut garantir un haut niveau de qualité pour les communications en temps réel sensibles à la latence telles que la VoIP.
Pour de plus amples informations concernant le marquage 802.1p, consultez la section À propos du Marquage 802.1p des Interfaces VLAN.
Pour activer le marquage 802.1p, dans Fireware Web UI :
- Sélectionnez Réseau > VLAN.
- Sélectionnez une interface VLAN existante puis cliquez sur Modifier.
- Sélectionnez l'onglet Protocoles de Pont.
- Sélectionnez la case à cocher Activer le marquage de priorité 802.1p pour les trames de Couche 2.
Pour activer le marquage 802.1p, dans Policy Manager :
- Sélectionnez Réseau > Configuration > VLAN.
- Sélectionnez une interface VLAN existante puis cliquez sur Modifier.
- Sélectionnez l'onglet Protocoles de Pont.
- Sélectionnez la case à cocher Activer le marquage de priorité 802.1p pour les trames de Couche 2.
Étapes Suivantes
Avant de pouvoir enregistrer ce VLAN, vous devez Attribuer des Interfaces à un VLAN.
Voir Également
À propos des Réseaux Locaux Virtuels (VLAN)