Le mode « Pont d’interfaces » ou coupure réseau


Le mode d’interface permet de placer proxy en mode transparent sans avoir à modifier quoi que ce soit au niveau réseau et au niveau des navigateurs.

Le mode transparent par passerelle.

Par défaut, le mode transparent dispose par habitude la modification réseau des postes de travail.
En effet, le proxy devient la passerelle principale des postes de travail.
Le proxy est en charge de réceptionner tous les paquets réseaux et de transférer ceux à destination du port 80 ou 443 vers le proxy.
Les autres paquets réseaux sont alors transférés vers la passerelle d’origine.

 

transparent-gateway

Bien qu’elle nécessite la modification des paramètres réseaux des postes de travail, cette technique permet notamment de sauvegarder deux passerelles dans la configuration des postes de travail:
La première le proxy et la deuxième la passerelle d’origine en cas de défaillance du proxy.

Le mode transparent par pont.

Le mode pont quand à lui nécessite deux cartes réseaux.
Le proxy se place en « coupure » réseau physique où le câble réseau est « sectionné » au même titre que si on coupait le câble réseau avec des ciseaux puis on le ressoudait par un composant.
Les paquets réseau passent alors à travers le proxy à destination de la passerelle d’origine sans se soucier de l’équipement placé en coupure.

transparent-gateway2Dans cette méthode, les postes de travail n’ont pas la connaissance du proxy, leur configuration reste comme d’origine.
Le proxy quand à lui est en charge d’attraper les flux à destination d’Internet et de les envoyer vers le service proxy local.

Cette technique est l’une des plus transparente.
Le plus souvent, on place le proxy à l’extrémité du réseau, au plus proche du routeur Internet afin que la coupure réseau soit la plus évidente et la plus fonctionnelle pour un proxy.

Bien qu’elle nécessite aucune modification des paramètres réseaux, cette technique dispose d’un inconvénient important.

Si le proxy est défaillant, aucune autre méthode permettra d’assurer la continuité, le câble réseau est alors « coupé » et plus rien ne passe.

 

Le cas d’école dans une environnement virtuel VMWare

Sur notre serveur Virtuel, nous avez créé deux Switch virtuels, le premier Switch - 1 - est connecté au réseau physique et assure la communication vers Internet.
Le deuxième Switch - 2 - est connecté à aucune carte réseau physique de notre Hyperviseur.
Toutefois ce deuxième Switch héberge un groupe de postes de travail.

 

Notre proxy dispose de deux cartes réseaux ou chaque carte est attribuée à chaque switch.
Les postes de travail situés dans le réseau « Déconnecté » sont configurés pour communiquer avec le routeur du réseau physique comme si il appartenaient au réseau principal

01-11-2014 23-47-29

Artica sera alors en charge d’effectuer le « Pont » physique qui permettra aux poste du réseau 2 à communiquer avec le réseau 1 sans qu’ils se rendent compte qu’il font partie d’un réseau physiquement différent.

 

1ère étape, liaison des cartes.

Important sur ESXi: Vous devez vous assurer que les deux Switch virtuels acceptent le mode promiscuité

02-11-2014 01-32-38

Seule la carte située dans le réseau 1 est configurée, elle sera alors utilisée en premier lieu pour atteindre la console web d’Artica.

  • Cliquez sur le bouton « Réseaux » dans le menu du haut.

02-11-2014 00-07-26

  •  Sélectionnez l’icône « Ponts« 

 

02-11-2014 00-10-34

  • Sélectionnez l’onglet « Pont d’interfaces« 
  • Cliquez sur le bouton « Nouveau pont réseau« 
  • Indiquez les coordonnées réseau qui vous permettront d’atteindre le serveur Artica.
  • Par défaut, vous pouvez utiliser les paramètres réseaux d’origine qui vous ont servis à paramétrer le serveur Artica.

02-11-2014 00-14-27

  • Une fois le pont réseau ajouté, cliquez sur le signe « Plus » afin d’associer les cartes réseau physiques au pont

02-11-2014 00-32-21

  • Vous vous retrouverez donc dans une configuration où les deux cartes réseaux physiques sont liées au pont.

02-11-2014 00-33-08

 

  • Une fois cette étape effectuée, cliquez sur le bouton « Construire le réseau » afin d’appliquer cette configuration sur la machine.
  • Puis cliquez sur « Redémarrer les réseaux » afin de mettre en place la liaison.

02-11-2014 00-36-55

Attention, si vous avez changé les paramètres réseaux et qu’ils sont différents de ceux utilisés pour ce connecter à l’interface Artica, il sera certain que l’interface deviendra indisponible. Il vous faudra alors vous connecter à nouveau sur le port 9000 de la nouvelle adresse du pont réseau.

  • Sur un poste de travail situé dans le réseau 2, assurez-vous que vous pouvez communiquer avec le réseau 1, et assurez-vous que la passerelle de ce poste n’est pas celle du proxy mais bel et bien une passerelle située dans le réseau 1.

02-11-2014 01-02-04

2ème étape, activation du mode transparent dans Artica.

  • Avec le bouton de la barre du haut, cliquez sur Service Proxy.
  • Puis sélectionnez l’icône Transparent.

02-11-2014 01-05-48

  •  Cliquez sur le bouton Assistant d’activation du mode transparent.

02-11-2014 01-09-01

  • Cliquez sur Suivant

 

02-11-2014 01-09-27

  • La section SSL n’est pas le sujet, cliquez sur Suivant

 

02-11-2014 01-11-20

  • Cliquez sur « Appliquer » pour construire les paramètres.

02-11-2014 01-12-49

  • Sur votre poste de travail situé sur le réseau 2, surfez sur Internet.
  • Sur Artica, cliquez dans le menu du haut sur Événements

02-11-2014 01-15-36

  • Cliquez sur l’onglet « Requêtes en temps réel« 

Vous devriez voir passer les accès Internet du poste de travail qui démontre que le proxy fait office de coupure réseau et dérive les connexions vers Internet sur le proxy alors que le poste de travail « pense » qu’il fait parti du réseau local et navigue sur internet sans proxy.

 

02-11-2014 01-44-53

 

Laissez un commentaire