Articles et actualités

Par construction, le PIX en version 6.3 ne permettait pas à un paquet entré par une interface de sortir par cette même interface. Ceci était particulièrement contraignant car empechait la construction de réseaux VPN architecturé en Hub and Spoke à l'aide de PIXs : la solution alternative était alors soit d'utiliser un routeur (ou un concentrateur VPN) sur le site central, soit de mettre en oeuvre une topologie complètement maillée (full mesh).

D'autres scénarios étaient également impossibles :

• client VPN connecté au site central en IPSEC et ayant besoin d'accéder à un site tiers relié en VPN à ce site central
• routage par rebond sur l'interface inside du PIX (ICMP redirect désactivé sur les firewalls
• etc..

A partir de la version 7.0, via l'utilisation de la commande "same-security-traffic permit intra-interface" le traffic IPSEC pouvait enfin entrer et sortir de la même interface, corrigeant ainsi ce manque de fonctionnalité concernant les topologies VPN de type Hub and Spoke .

La version 7.2 apporte une fonctionnalité intéressante : c'est maintenant le traffic clair comme chiffré qui peut "rebondir" sur le PIX. On peut ainsi permettre à un client VPN nomade de sortir sur Internet via le PIX (on utilisait jusque là généralement la focntionnalité de Split Tunneling).