Comment attribuez-vous à plus d’une adresse IP à une seule interface ? Nous vous proposons deux façons de le faire et vous dire dans quel sens nous trouvons plus sûres. Adiazm utilisateur de notre communauté pose le puzzler mis en évidence dans la Discussion de cette semaine de la semaine (DotW).
Si votre FAI vous fournit une plage d’adresses IP externe qui permet de plus de deux hôtes (firewall et routeur) dans le sous-réseau, par exemple, un masque de sous-réseau de 29 ou plus, vous peuvent assigner ces adresses IP supplémentaires à des serveurs spécifiques ou les services hébergés sur votre réseau, ou être utilisés pour masquer les différents segments de vos ressources internes en se rendant l’Internet.
Pour la configuration NAT, les adresses IP supplémentaires n’avez pas nécessairement besoin être configurés sur l’interface : le pare-feu peut effectuer une recherche d’itinéraire interne pour trouver quelle interface est attachée à une plage d’adresses IP et tirer parti de proxy arp pour répondre aux requêtes ARP pour les adresses IP configurées dans NAT sur l’interface. Cette technique met l’adresse IP configurée disposition en dehors des hôtes, essayer de l’atteindre tout en n’étant ne pas physiquement configuré sur l’interface.
Source NAT peut donc être configuré comme ça...
ou destination NAT comme ceci :
Sans avoir l’adresse IP spécifique configuré sur l’interface.
Si vous voulez attribuer les adresses IP supplémentaires attachés à une interface pour la facilité d’utilisation, ou dans le cas où une interface doit être assignée à la porte de GlobalProtect et du portail, il y a 2 options disponibles :
- Ajouter l’adresse IP comme un 32 sous-réseau à l’interface existante
- Ajouter l’adresse IP comme une interface de bouclage
La configuration préférée et recommandée consiste à utiliser l’option d’interface de bouclage pour permettre une configuration de sécurité addional qui, selon les circonstances, pourrait être utile. L’interface de bouclage peut être configurée avec sa propre zone de sécurité. Cela permet d’appliquer sur cette adresse IP par rapport à la plage d’IP fixée l’interface des politiques de sécurité différents.
Merci pour la lecture-n'hésitez pas à commenter ci-dessous.
Lire la discussion d'origine ici: plusieurs adresses dans la même interface Ethernet
Merci !
Tom