Bridging d’interface Vlan

octobre 02, 2013  |   Actualités,Blog   |     |   0 commentaire

Dans certaines situations, le bridging d’interface Vlan peut présenter une solution à certaines problématiques d’architecture.

bridge1

Dans notre cas d’étude, les contraintes sont les suivantes :

  • Une seule interface est disponible/doit être utilisée sur le Firewall (ce qui nous oblige à faire du 802.1q sur l’interface)

  • Pas de NAT ni de routage supplémentaire pour des raisons d’optimisation

  • Pouvoir filtrer les flux au niveau 3 du Firewall (Filtrer les flux à destination de la Zone d’hébergement)

Dans ce cas de figure et avec les contraintes citées, la seule solution serait de bridger les interfaces Vlans au niveau du Firewall

En pratique sur un Checkpoint (OS SPLAT R71/75) il existe deux type de Bridging pour les Vlan :

  • Access mode (VLAN translation) : Permet de bridger deux interfaces Vlan (Le cas qui nous intéresse)

  • Trunk mode : Bridge de deux Vlans tagués (le Tag n’est pas supprimé au passage)

Les étapes de configuration sont les suivantes :

  1. Créer l’interface Bridge

bridge2

 

  1. Assigner à l’interface les deux interface Vlan (qui devront être crées auparavant)

bridge3

 

  • L’interface bridge et à présent créée et devrait être fonctionnelle :

bridge4

 

 

Un point d’attention doit être porté sur les interfaces bridgées et connectés au switch (Cisco dans notre cas). Si le protocole PVSTP est utilisé, il faut savoir que les paquets BPDU passeront d’une interface Vlan à l’autre. Si l’une des interfaces du Switch assignée à un Vlan reçoit une trame BPDU avec un tag different, le port sera bloqué et une erreur* sera remontée. Ce cas arrivera car l’interface au niveau du switch est en mode trunk mais par contre bridgé au niveau du Firewall.

*(Port VLAN ID (PVID) inconsistency—A per-VLAN spanning tree (PVST+) Bridge Protocol Data Unit (BPDU) is received on a different VLAN than it was originated: (Port VLAN ID Mismatch or *PVID_Inc).)

Deux solutions pour éviter cela :

  • Filtrage au niveau du Firewall (un redémarrage du module est nécessaire pour que ce soit pris en compte) :

    • Ajouter à la fin du fichier /etc/sysctl.conf la ligne: net.bridge.bpdu_forwarding = 0

    • Ajouter  la ligne suivante au fichier $FWDIR/modules/fwkern.conf: fwaccept_unknown_protocol=0 ce qui bloquera tous les traffic autre que IPv4/6 & ARP (Ref. http://downloads.checkpoint.com/dc/download.htm?ID=21482)

  • Filtrer les trames BPDU au niveau des interfaces du Switch avec la commande « spanning-tree bpdufilter enable »

interface GigabitEthernet4/45
description *** FW Trunk Bridge ***
switchport trunk allowed vlan 15,14
switchport mode trunk
spanning-tree portfast trunk
spanning-tree bpdufilter enable

Bibliographie
https://sc1.checkpoint.com/documents/R76/CP_R76_SGW_WebAdmin/96332.htm

Les commentaires sont fermés.

Catégories

Archives