Configurer un Réseau Local Virtuel (VLAN) relié en Pont à deux Interfaces

Vous pouvez configurer un VLAN de sorte à assurer une liaison en pont sur deux interfaces du Firebox. Il est parfois conseillé de relier un VLAN en pont sur deux interfaces si votre organisation compte une multitude de sites. Supposons par exemple que votre réseau soit installé aux premier et deuxième étages d'un même immeuble. Certains des ordinateurs du premier étage appartiennent au même groupe fonctionnel que certains des ordinateurs du deuxième étage. Vous voudrez regrouper ces ordinateurs en un domaine de diffusion de façon qu'ils puissent partager aisément des ressources, comme par ex. un serveur de fichiers dédié pour leur réseau local, des fichiers partagés en mode hôte, des imprimantes et autres accessoires réseau.

Cet exemple explique comment connecter deux commutateurs 802.1Q pour que les deux puissent envoyer du trafic depuis le même VLAN à deux interfaces sur le même Firebox.

Cette rubrique comprend un diagramme descriptif de l'architecture VLAN. Dans le diagramme, le commutateur A est connecté à l'interface 3, et le commutateur B à l'interface 4.

Dans cet exemple, deux commutateurs 802.1Q sont connectés aux interfaces 3 et 4 du Firebox, et acheminent le trafic depuis le même VLAN.

Définir le VLAN sur le Firebox

Sur le Firebox, configurez VLAN 10 pour gérer le trafic VLAN marqué des interfaces 3 et 4.

  1. Sélectionnez Réseau > Configuration.
  2. Cliquez sur l'onglet VLAN.
  3. Cliquez sur Ajouter.

    La boîte de dialogue Configuration d'un nouveau VLAN s'affiche.
  4. Dans la zone de texte Nom (Alias), saisissez le nom du VLAN. Dans cet exemple, saisissez VLAN10.
  5. Dans la zone de texte Description, saisissez une description. Dans cet exemple, saisissez Comptabilité.
  6. Dans la zone de texte ID de VLAN, saisissez le numéro du VLAN configuré pour le VLAN sur le commutateur. Dans cet exemple, saisissez 10.
  7. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité. Dans cet exemple, sélectionnez Approuvée.
  8. Dans la zone de texte Adresse IP, saisissez l'adresse IP à utiliser pour le Firebox sur ce VLAN. Dans cet exemple, saisissez 192.168.10.1/24.

Tout ordinateur sur ce nouveau VLAN doit utiliser cette adresse IP comme passerelle par défaut.

  1. (Facultatif) Pour configurer le Firebox de sorte à faire office de serveur DHCP pour les ordinateurs sur VLAN10 :
  • Sélectionnez Utiliser le serveur DHCP.
  • À droite de la liste Pool d'adresses, cliquez sur Ajouter.
  • Dans cet exemple, dans la zone de texte Adresse de début, saisissez 192.168.10.10 et dans la zone de texte Adresse de fin, saisissez 192.168.10.20.

Une fois configuré, le réseau VLAN10 de cet exemple a l'aspect suivant :

Capture d'écran de la boîte de dialogue Configuration du réseau, onglet VLAN, avec configuration complète de VLAN10.

  1. Cliquez sur OK pour ajouter le nouveau VLAN.
  2. Pour faire des interfaces 3 et 4 du Firebox des membres du nouveau VLAN, sélectionnez l'onglet Interfaces.
  3. Sélectionnez Interface 3. Cliquez sur Configurer.
    La boîte de dialogue Paramètres de l'interface s'ouvre.

Capture d'écran de l'onglet Général de la boîte de dialogue Paramètres d'interface

  1. Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).
  2. Cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés.
  3. Dans la colonne Membre, cochez la case VLAN10. Cliquez sur OK.
  4. Sélectionnez Interface 4. Cliquez sur Configurer.
    La boîte de dialogue Paramètres de l'interface s'ouvre.

Capture d'écran de l'onglet Général de la boîte de dialogue Paramètres d'interface

  1. Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).
  2. Cochez la case Envoyer et recevoir du trafic marqué pour les VLAN sélectionnés.
  3. Dans la colonne Membre, cochez la case VLAN10. Cliquez sur OK.
  4. Cliquez sur l'onglet VLAN.

Capture d'écran de l'onglet VLAN de la boîte de dialogue Configuration du réseau

  1. Vérifiez que la colonne Interfaces du réseau VLAN10 indique les interfaces 3 et 4.
  2. Enregistrez la configuration dans le périphérique.
  1. Sélectionnez Réseau > Interfaces.
  2. Sélectionnez l'interface numéro 3. Cliquez sur Modifier.
  3. Dans la zone de texte Nom de l'interface (Alias), tapez un nom. Pour cet exemple, tapez vlanfloor1.
  4. Dans la liste déroulante Type d'interface, sélectionnez Réseau local virtuel (VLAN).

Capture d'écran de la page Configuration d'interface

  1. Cliquez sur Enregistrer.
  2. Répétez la procédure pour configurer l'interface 4 comme interface VLAN appelée vlanfloor2.
  3. Sélectionnez Réseau > VLAN.
  4. Cliquez sur Ajouter.
  5. Dans la zone de texte Nom, saisissez le nom du réseau local virtuel (VLAN). Dans cet exemple, saisissez VLAN10.
  6. Dans la zone de texte Description, saisissez une description. Dans cet exemple, saisissez Comptabilité.
  7. Dans la zone de texte ID de VLAN, saisissez le numéro du VLAN configuré pour le VLAN sur le commutateur. Dans cet exemple, saisissez 10.
  8. Dans la liste déroulante Zone de sécurité, sélectionnez la zone de sécurité. Dans cet exemple, sélectionnez Approuvée.
  9. Dans la zone de texte Adresse IP, saisissez l'adresse IP à utiliser pour le Firebox sur ce VLAN. Dans cet exemple, saisissez 192.168.10.1/24.
  10. Sur la liste des interfaces, sélectionnez deux interfaces.
  11. Dans la liste liste déroulante Sélectionner le trafic, sélectionnez Trafic marqué.

Capture d'écran de la page de configuration du VLAN

  1. Cliquez sur Enregistrer.

Pour appliquer les stratégies de pare-feu au trafic entre les deux réseaux qui font partie d'un VLAN, cochez la case Appliquer les stratégies de pare-feu au trafic Intra-VLAN dans la configuration VLAN. Pour plus d'informations, consultez Définir un Nouveau VLAN.

Configurer les commutateurs

Configurez chaque commutateur qui assure la connexion avec les interfaces 3 et 4 du Firebox. Consultez les instructions du fabricant des commutateurs pour des détails sur la façon de configurer vos commutateurs.

Configurer les Interfaces de Commutation Connectées au Firebox

Le segment physique entre l'interface de commutation et l'interface Firebox est un segment de données marqué. Le trafic qui s'achemine sur ce segment doit utiliser le marquage VLAN 802.1Q.

Certains fabricants de commutateurs appellent une interface configurée de la sorte port de jonction ou interface de jonction.

Sur chaque commutateur, pour l'interface de commutation qui assure la connexion avec le Firebox :

  • Désactivez le protocole STP.
  • Configurez l'interface pour qu'elle soit membre du réseau VLAN10.
  • Configurez l'interface pour qu'elle envoie du trafic avec l'étiquette VLAN10.
  • S'il y a lieu pour votre commutateur, définissez le mode de commutation en jonction.
  • S'il y a lieu pour votre commutateur, définissez le mode d'encapsulation sur 802.1Q.

Configurer les autres interfaces de commutation

Les segments physiques entre chacune des autres interfaces de commutation et les ordinateurs (ou autres périphériques en réseau) qui s'y connectent constituent des segments de données non marqués. Le trafic qui s'achemine sur ces segments ne possède pas d'étiquettes VLAN.

Sur chaque commutateur, pour les interfaces de commutation qui assurent la connexion des ordinateurs avec le commutateur :

  • Configurez ces interfaces de commutation pour qu'elles soient membres du réseau VLAN10.
  • Configurez ces interfaces de commutation pour qu'elles envoient du trafic non marqué pour le réseau VLAN10.

Connecter physiquement tous les périphériques

  1. Utilisez un câble Ethernet pour connecter l'interface 3 du Firebox à l'interface de commutation A que vous avez configurée pour un marquage avec le réseau VLAN10 (l'interface de jonction VLAN du commutateur A).
  2. Utilisez un câble Ethernet pour connecter l'interface 4 du Firebox à l'interface de commutation B que vous avez configurée pour un marquage avec le réseau VLAN10 (l'interface de jonction VLAN du commutateur B).
  3. Connectez un ordinateur à l'interface sur le commutateur A que vous avez configuré pour qu'il envoie du trafic non marqué pour le réseau VLAN10.
  4. Configurez les paramètres réseau sur l'ordinateur connecté. Les paramètres varient suivant que vous avez configuré le Firebox pour qu'il agisse comme serveur DHCP pour les ordinateurs sur le réseau VLAN10 à l'étape 9 de la rubrique Définir le VLAN sur le Firebox.
  • Si vous avez configuré le Firebox pour qu'il fasse office de serveur DHCP pour les ordinateurs sur le réseau VLAN10, configurez l'ordinateur de sorte qu'il utilise DHCP pour obtenir une adresse IP automatiquement. Reportez-vous à l'étape 9 de la procédure Définir le VLAN, plus haut.
  • Si vous n'avez pas configuré le Firebox pour qu'il fasse office de serveur DHCP pour les ordinateurs sur le réseau VLAN10, configurez l'ordinateur avec une adresse IP dans le sous-réseau VLAN 192.168.10.x. Utilisez le masque de sous-réseau 255.255.255.0 et définissez la passerelle par défaut sur l'ordinateur vers l'adresse IP du VLAN du Firebox 192.168.10.1
  1. Répétez les deux étapes précédentes pour connecter un ordinateur au commutateur B.

Tester la connexion

À l'issue de ces étapes, les ordinateurs connectés aux commutateurs A et B peuvent communiquer comme s'ils étaient reliés au même réseau local physique. Pour tester cette connexion, vous pouvez procéder au choix comme suit :

  • Sonder par ping depuis un ordinateur connecté au commutateur A vers un ordinateur connecté au commutateur B.
  • Sonder par ping depuis un ordinateur connecté au commutateur B vers un ordinateur connecté au commutateur A.