Mon entreprise va procéder à un changement de fournisseur accès et de firewall.  
Nous allons déployer un juniper à la place d'un PIX
Et par rapport au changement j'ai une question sur la configuration IP.
Est-ce-que il faut absolument que l'interface outsite soit une adresse IP Public coté firewall.
Je me pose la question car :  
Mon firewall est relié par un câble droit sur le routeur de notre FAI sur l'interface outside
Le routeur FAI a également une adresse public.
Ce qui me gêne un peu c'est que nous allons utiliser deux adresses Publiques.
Le FAI m'explique qu'il est obligé de procéder ainsi afin de simplifié le NAT et qu'on reste maitre du NAT
 
Je me retourne vers vous pour savoir s'il existerait une autre solution sans que je utilise deux adresse publique. Je suis d'accord pour utiliser l'adresse coté routeur.
 
Pouvez vous m'aider un peu pour éclaircir
 
Merci à vous tous.

tu peux laisser le pix pour qu'il prenne la seconde ip, et te fournisse une ip locale sur l'inside, puis le juniper derrière, mais je ne vois pas trop l'intérêt.
Tu n'utilises pas vraiment 2 ips publiques, le fai te fournit un /30, dont une ip réservée à son routeur, qui se contente donc de router le /30 et donc l'équipement qui prend la seconde ip.  
 
Az'

Alors mon FAI va mettre ne place :  
- 1 routeur primaire avec une adresse publique exemple 81.12.255.1
- 1 routeur secondaire avec une adresse publique exemple 81.12.255.2
- une adresse IP Publique VRRP en 81.12.255.3
Deux routeurs vont être relié directement sur un Switch  
- 2 firewall juniper en failover relié par cable croisé
- 2 firewall vont relié sur switch en inside
- Le firewall va avoir comme adresse IP 81.12.255.10, coté outsite et va relié sur l'un des routeur.

Encore petite chose :  
Le switch 3750 va relié a 65xx
Ca aussi je ne comprend pas pourquoi. Parceque  je pense qui possible de relié directement sur le 65xx

ça ressemble donc pas trop au réseau que je pensais d'après le premier post, mais je ne vois pas trop le souci.
Ton fai te fournit donc probablement un /28 (ou plus).
Les firewalls seront connectés en outside sur le switch plutôt que sur un des routeurs pour justement joindre leur gateway, la .3, qu'importe le routeur utilisé ensuite.
Si tu as des cartes ou des modules ethernet sur le 65xx, alors oui tu dois pouvoir relier ce que tu veux dessus, les interfaces in des routeurs et outside des pix doivent se retrouver dans le même lan (vlan), les interface inside des pix dans ton lan d'interconnexion.

J'ai en place les 2 Firewalls en failover, les routeur actif/passif et la DMZ sauf je butte sur un problème. J'explique  :
Sur le firewall j'ai crée une zone DMZ avec une plage d'adresse en 10.0.0.0/24
Sur le 65xx, j'ai un vlan DMZ en plus de l'existence (notamment vlan data) avec une adressage en 192.168.0.0/24
Sur le firewall j'ai une regle qui nat les paquet 192.168.0.0 en 10.0.0.0
Le 65xx a comme adresse de gateway celle du firewall
Le problème c'est que  :
 
LA machine client a comme passerelle par défaut celui du HSRP
A partir d'une machine client, je n'arrive pas pinger le 10.0.0.1 (une machine se trouvant sur le DMZ)
Mais lorsque je lui ai mis l'adresse de la gateway de celui du firewall, je peux pinger.
En creusant un peu plus, j'ai découvert que, le 65xx route directement les paquets vers DMZ sans passer par le firewall, car le vlan data et vlan DMZ sont connecté directement sur le firewall.
Il route directement. Je crois qu'il faut que je force les paquets à passer la firewall.  
Je pense que je dois déactiver le routage intervlan, mais je ne sais pas si possible de le faire seulement sur le vlan DMZ.
Ou pensez vous qu'il existe une autre solution.
 
Merci de votre aide
 
B0nd

si actuellement le 65xx a une ip dans la zone DMZ (192.168.0.254 par ex), alors il faut lui substituer le firewall sur cette même ip, et mettre la 3ème interface (dmz) du fw sur le vlan DMZ, puis laisser le firewall faire du routage.
En retirant au 65xx son ip du vlan dmz, il n'aura plus qu'à router le paquet en fonction de sa table de routage.

Je n'ai pas bien compris ton explication, peux-tu m'expliquer un peu plus STP
Merci d'avance

Au niveau routage, ça donnerais par ex:
Client 172.16.0.1 --  172.16.0.254 (65xx) 172.16.1.254 -- 172.16.1.253 (FW) 192.168.0.254 -- 192.168.0.1 DMZ
le 65xx en route par défaut vers le FW
le FW connait la DMZ par son interface dmz
 
Il faut voir l'existant aussi.
 

Oui, c'est qui en place mais le vlan DMZ est présent sur le 65xx (propager) donc lorsque le paquet arrive il ne route pas vers le firewall, bypass et renvoie le paquet directement au DMZ.

Et moi je cherche une solution pour que les paquet passe par le firewall, comme tu l'as expliqué.

le vlan DMZ peut être porté par le 65xx, mais il n'a pas besoin d'y avoir une interface up avec une ip, ce qui doit être le cas et qui expliquerait pourquoi il route en direct sur ce vlan.
En retirant cette interface, le 65xx devrait router le réseau vers la default gateway (ou si définie autrement)

Si je l'enlève l'adresse IP du vlan DMZ, plus rien ne fonctionnera.
Comment mon 65xx va envoyé le paquet  
Si on part dans ton principe, est-ce-que nous pouvons avoir un vlan DMZ sans mettre une adresse IP
Je me pose beaucoup de question, peux-tu m'éclaircir un peu STP
Merci pour ton aide.

Ben le trafic de la zone trust sera routé par le 6500 vers le firewall via une interco L3 entre le firewall et le 6500, et ensuite le firewall routera le trafic dans la DMZ via le 6500 en L2 qui fait de la commute Ethernet
 
Côté DMZ il ne faut pas que l'interface avec la route par défaut soit sur le 6500 mais sur le firewall ! Par exemple :
 
Client 172.16.0.1/24 --  172.16.0.254/24 (6500 L3) 172.16.1.254/30 -- 172.16.1.253/30 (FW) 192.168.0.254/24 -(6500 L2)- 192.168.0.1/24 DMZ

MERCI BEAUCOUP POUR VOTRE AIDE, RESPECT