Si l’appliance Passerelle de connexion sécurisée Virtual Edition est installée dans une DMZ, il est parfois nécessaire d’avoir deux interfaces réseau :
- La première interface (eth0) est utilisée pour la communication « interne » avec les appareils gérés (baies de stockage, serveurs, appliances), par exemple : LAN de « gestion » du client.
- La deuxième interface (eth1) est utilisée pour la communication « externe » avec Dell sur Internet, ou la communication avec un proxy HTTP en option pour une connexion ultérieure à Dell sur Internet.
Routage:
Étant donné qu’une seule « passerelle par défaut » IP (routeur) peut être configurée, des routes statiques peuvent être nécessaires. Deux options s’offrent à vous :
- Configurez l’adresse IP de la passerelle par défaut pour qu’elle soit un routeur accessible sur le LAN « interne » (eth0). Les sous-réseaux internes du client sont accessibles, et des routes statiques sont requises pour atteindre l’infrastructure back-end Dell directement via Internet. Reportez-vous aux exemples ci-dessous.
Si la connexion Internet utilise un proxy et que le proxy se trouve dans le même sous-réseau que l’interface eth0, aucune route statique n’est requise.
- Configurez l’adresse IP de la passerelle par défaut pour qu’elle soit un routeur accessible sur le LAN « externe » (eth1). Une connectivité Internet directe au back-end Dell sera possible, mais vous aurez peut-être besoin de routes statiques pour atteindre des sous-réseaux « internes » supplémentaires.
Il est préférable de choisir l’option qui entraîne le moins de routes statiques.
Résolution du nom :
L’instance SCG doit être en mesure de résoudre les noms des serveurs back-end SCG chez Dell (même s’ils sont connectés à l’aide d’un proxy). Si le serveur DNS est interne uniquement et ne peut pas résoudre les domaines externes, ajoutez les noms d’hôte et les adresses IP SCG au fichier /etc/hosts sur la machine virtuelle SCG. Consultez la section « Configuration réseau requise » du « Guide de l’utilisateur de la passerelle de connexion sécurisée Virtual Edition » pour obtenir la liste des serveurs back-end Dell.
Procédure d’installation :
- Déployez l’image SCG-VE OVF ou VHD conformément au « Guide de l’utilisateur de la passerelle de connexion sécurisée ».
- Pour VMware :
Dans le modèle de déploiement, configurez le réseau pour le réseau « interne » (gestion).
IP, masque de sous-réseau, passerelle par défaut (si interne), DNS.
Démarrez la machine virtuelle déployée.
- Pour Hyper-V :
Démarrez la machine virtuelle et configurez l’adresse IP de l’interface réseau, le masque de sous-réseau, la passerelle par défaut (si interne), le DNS lors du processus de premier démarrage, conformément au « Guide de l’utilisateur de la passerelle de connexion sécurisée ».
Terminez le premier Assistant de configuration.
- Arrêtez la machine virtuelle(connectez-vous en tant qu’utilisateur root et exécutez « shutdown -h now »)
- Ajoutez manuellement une deuxième interface réseau virtuelle à partir de l’application de gestion VMware ou Hyper-V.
- VMware : Type d’interface recommandé : « VmxNet3 »
- Hyper-V : Type d’interface recommandé « Network Adapter »
- Démarrez la machine virtuelle et connectez-vous à la console en tant qu’utilisateur root.
- Configurez la deuxième interface NIC :
- Saisissez « yast » et appuyez sur Retour, pour exécuter l’outil de configuration yast.
- Sélectionnez System > Network Settings, puis appuyez sur Entrée :
- Faites le tour de la liste des cartes réseau à l’aide de la touche de tabulation et mettez en surbrillance l’interface nouvellement ajoutée (non configurée), puis appuyez sur « Modifier » et appuyez sur la touche Retour.
(Capture d’écran de l’instance Hyper-V).
- Définissez l’adresse IP et le masque de sous-réseau. Laissez le nom d’hôte vide.
- Appuyez sur la touche de tabulation pour accéder à « Next » et appuyez sur Retour.
- Acceptez la question « Vraiment laisser le nom d’hôte vide ? » Prompt:
Remarque : Le nom d’hôte est associé à l’interface de gestion (eth0) et n’est pas requis pour eth1.
- Utilisez la touche de tabulation pour accéder aux options de la ligne du haut et la flèche droite pour accéder à la page « Routage » :
- Ajoutez ou validez la « passerelle IPv4 par défaut »
- Appuyez sur la touche de tabulation pour accéder à « Add » et appuyez sur Retour, puis ajoutez les routes statiques requises :
Remarque : Le transfert IP ne doit PAS être activé.
- Si vous définissez la « passerelle par défaut » sur un routeur « interne », ajoutez des routes statiques pour le back-end Dell SCG. Reportez-vous à la section « Informations supplémentaires » ci-dessous pour obtenir des exemples.
- Si vous définissez la « passerelle par défaut » sur un routeur « externe », ajoutez des routes statiques pour tous les sous-réseaux internes supplémentaires contenant des appareils qui seront ajoutés à SCG.
- Appuyez sur « OK » pour terminer la configuration réseau avec la touche de tabulation :
- Appuyez sur la touche de tabulation pour « Quitter » et appuyez sur Retour, ou appuyez sur F9 pour quitter la batterie.
- Vous devriez maintenant être en mesure d’accéder à l’interface utilisateur Web SCG sur le port 5700 et de terminer l’enregistrement de la passerelle.
Back-end Dell SCG : exemples de routes statiques :
Consultez la section « Configuration réseau requise » du « Guide de l’utilisateur de la passerelle de connexion sécurisée Virtual Edition » pour obtenir la liste des serveurs back-end Dell. En les résolvant vers leurs adresses IPv4, un ensemble de routes statiques peut être construit. Ceux-ci peuvent être implémentés sous la forme d’un ensemble minimal d’itinéraires de « classe B » ou d’un ensemble plus spécifique d’itinéraires de « classe C ».
Exemple d’utilisation de routes de classe B :
128.221.0.0/255.255.0.0
137.69.0.0/255.255.0.0
152.62.0.0/255.255.0.0
168.159.0.0/255.255.0.0
Exemple d’utilisation de routes de classe C :
128.221.204.0/255.255.255.0
128.221.236.0/255.255.255.0
137.69.120.0/255.255.255.0
152.62.45.0/255.255.255.0
152.62.177.0/255.255.255.0
168.159.209.0/255.255.255.0
168.159.224.0/255.255.255.0