Rebond sur un PIX : évolutions au fil des versions

février 09, 2007  |   Blog   |     |   Commentaires fermés sur Rebond sur un PIX : évolutions au fil des versions


Par construction, le PIX en version 6.3 ne permettait pas à un paquet entré par une interface de sortir par cette même interface.
Ceci était particulièrement contraignant car empêchait la construction de réseaux VPN architecturés en Hub and Spoke à l’aide de PIXs : la solution alternative était alors soit d’utiliser un routeur (ou un concentrateur VPN) sur le site central, soit de mettre en oeuvre une topologie complètement maillée (full mesh).

D’autres scénarios étaient également impossibles :

  • Client VPN connecté au site central en IPSEC et ayant besoin d’accéder à un site tiers relié en VPN à ce site central
  • Routage par rebond sur l’interface inside du PIX (ICMP redirect désactivé sur les firewalls)
  • Etc..

À partir de la version 7.0, via l’utilisation de la commande :

same-security-traffic permit intra-interface

Le trafic IPSEC pouvait enfin entrer et sortir de la même interface, corrigeant ainsi ce manque de fonctionnalité concernant les topologies VPN de type Hub and Spoke .

La version 7.2 apporte une fonctionnalité intéressante : c’est maintenant le trafic clair comme chiffré qui peut “rebondir” sur le PIX. On peut ainsi permettre à un client VPN nomade de sortir sur Internet via le PIX (on utilisait jusque là généralement la fonctionnalité de Split Tunneling).

Les commentaires sont fermés.