Architecture réseau Win Server et Switch 3com L3.

Architecture réseau Win Server et Switch 3com L3. - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 18-12-2007 à 05:51:16    

Bonjour,
 
J'ai mon CCNA, mais je débute dans l'administration réseau "pratique". Le réseau que j'ai à ma charge est comme tel :
250 hosts, Unix Sun et Windows.
5 Windows 2003 server : DHCP, Active Directory, Exchange, proxy, netapp (backup).
VPN et firewall gérés par une boite externe (pas d'accès).
 
Le réseau a d'abord été configuré en 192.168.1.x/24, mais n'est plus suffisant à l'heure actuelle. Tous les switch sont des 3com. Mon boss souhaite pouvoir connecter n'importe où n'importe quel pc, et obtenir une adresse par DHCP sur l'ancien réseau (192.168.1.0/24) ou sur le nouveau range qui nous a été attribué (192.168.29.0/24).
Les switch sont tous connectés à 2 principaux, 3com 4500G (L3), qui sont eux-même interconnectés par une fibre 10Gb.  
 
Je vous remercie d'avance pour votre aide. J'ai déjà cherché du côté des dynamic VLan, mais le but est d'obtenir quelque chose de très simple...  
Djoh


Message édité par djoheninde le 18-12-2007 à 09:14:02

---------------
http://www.djoh.net/blog
Reply

Marsh Posté le 18-12-2007 à 05:51:16   

Reply

Marsh Posté le 18-12-2007 à 11:41:28    

:hello:
 
quelques petites questions pour mieux comprendre ton problème :jap:
 
1) Où sont configurés les passerelles des subnets 192.168.1.0/24 et 192.168.29.0/24 (switch L3, firewall, autre?) ?
 
2) Est ce qu'il y a du relay DHCP de configuré sur un équipement ou alors les requetes DHCP sont broadcast directement sur le serveur ?
 
PS : j'ai l'impression que l'archi est très sale et que le presta ayant la main sur le firewall à fait de la merde :o

Reply

Marsh Posté le 18-12-2007 à 11:57:12    

twins_ a écrit :

:hello:
 
quelques petites questions pour mieux comprendre ton problème :jap:
 
1) Où sont configurés les passerelles des subnets 192.168.1.0/24 et 192.168.29.0/24 (switch L3, firewall, autre?) ?
 
2) Est ce qu'il y a du relay DHCP de configuré sur un équipement ou alors les requetes DHCP sont broadcast directement sur le serveur ?
 
PS : j'ai l'impression que l'archi est très sale et que le presta ayant la main sur le firewall à fait de la merde :o


 
1) Pour l'instant, sur les 2 switchs principaux (il n'y a que moi qui ait la main dessus). Mais l'attribution des VLan par port n'est pas ce que recherche mon supérieur.  
 
2) Les switch sont relay DCHP-configurables. Je pense avoir fait ce qu'il fallait, mais je n'ai pas de retour lorsque je me connecte. Comment tagger / untagger les ports ?  
 
Dans tous les cas, je recherche plutôt une attribution dynamique... Ni plus ni moins une extension du réseau, sans toucher au masque. (192.168.28.x/24 est lié au VPN).
 
En fait c'est la boite mère qui a la main sur le firewall, et eux n'ont rien fait... Nous non plus, mais maintenant il faut qu'on s'y mette :)


---------------
http://www.djoh.net/blog
Reply

Marsh Posté le 19-12-2007 à 00:30:50    

Ok ok :)  
 
Je vais te filer un ptit bou de conf from scratch pour répondre aux suppositions suivantes et faire un exemple :jap:
- 1 vlan 10 avec le subnet 10.0.10.0/24
- 1 vlan 20 avec le subnet 192.168.1.0/24
- 1 vlan 30 avec le subnet 192.168.28.0/24
- le serveur DHCP a l'adresse 10.0.10.10
- le port 10 est connecté sur un switch L2 avec les VLAN taggued 10 et 110
- le port 20 est connecté sur un host avec le VLAN 20
- le port 21 est connecté sur un host avec le VLAN 20
 

Citation :

system-view
#
#
vlan 10
 description subnet_10_0_10_0_24
#
vlan 20
 description subnet_192_168_1_0_24
#
vlan 30
 description subnet_192_168_28_0_24
#
vlan 110
#
#
interface vlan-interface 10
 ip address 10.0.10.1 255.255.255.0
#
interface vlan-interface 20
 ip address 192.168.1.0 255.255.255.0  
#
interface vlan-interface 30
 ip address 192.168.28.0 255.255.255.0  
#
#
dhcp enable
#
dhcp relay server-group 1 ip 10.0.10.10
#
interface vlan-interface 20
dhcp select relay
dhcp relay server-select 1
#
interface vlan-interface 30
dhcp select relay
dhcp relay server-select 1
#
#
interface GigabitEthernet1/0/10
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 10 110
 speed 1000
 duplex full
 undo jumboframe enable
 description VERS_SWITCH_SRV_VLAN_10_et_110
 qos sp
#
interface GigabitEthernet1/0/20
 port access vlan 20
 speed 100
 duplex full
 undo jumboframe enable
 description HOST_VLAN_20
 stp edged-port enable
 qos priority 0
 qos sp
#
interface GigabitEthernet1/0/21
 port access vlan 30
 speed 100
 duplex full
 undo jumboframe enable
 description HOST_VLAN_30
 stp edged-port enable
 qos priority 0
 qos sp


 
Bon ça c'était pour un tit exemple de conf :D
 
 
Après pour revenir au question...
 
1) tu vas être obligé d'attribuer les VLAN (après comment c'est un autre débat) parce que ton serveur DHCP choisira une @IP dans le pool DHCP correct en fonction de l'@IP de l'agent ayant fait le relay (@IP de la vlan-interface...)
 
2) va falloir vérifier que le serveur DHCP sache faire du DHCP Relay et ptet vérifier que y a pas une règle de filtrage :wahoo: (sont pas derrière le firewall les serveurs :whistle: )
 
 
Si tu ne veux pas trop toucher à la conf réseau et avoir qu'un seul VLAN pour tes PC il faut que tu récupères le subnet 192.168.0.0/24 pour en faire un subnet plus gros 192.168.0.0/23 (192.168.0.0 - 192.168.1.255) ou un autre /23 et là tu n'auras qu'à changer le masque de la vlan-interface voir l'adresse si tu changes de subnet et idem dans le pool du serveur DHCP :jap:
 
 
Hé oui c'est dans ces moments là qu'on se rend compte que la gestion des plages d'adresse (réservation, règles d'attribution en fonction d'une num de site...) c'est utile :whistle:
 
 
 
Par contre je viens de faire un tour dans la doc! 3Com ont rajouté pas mal de fonctionnalités par rapport à y'a 6 mois :love: j'espère que c'est pareil avec les 5500 j'attend 2 jouets de prêt demain :lol:

Reply

Marsh Posté le 20-12-2007 à 06:54:38    

twins_ a écrit :

Ok ok :)  
 
Si tu ne veux pas trop toucher à la conf réseau et avoir qu'un seul VLAN pour tes PC il faut que tu récupères le subnet 192.168.0.0/24 pour en faire un subnet plus gros 192.168.0.0/23 (192.168.0.0 - 192.168.1.255) ou un autre /23 et là tu n'auras qu'à changer le masque de la vlan-interface voir l'adresse si tu changes de subnet et idem dans le pool du serveur DHCP :jap:
 
 
Hé oui c'est dans ces moments là qu'on se rend compte que la gestion des plages d'adresse (réservation, règles d'attribution en fonction d'une num de site...) c'est utile :whistle:
 
 
 
Par contre je viens de faire un tour dans la doc! 3Com ont rajouté pas mal de fonctionnalités par rapport à y'a 6 mois :love: j'espère que c'est pareil avec les 5500 j'attend 2 jouets de prêt demain :lol:


 
J'avais pensé changer le masque, mais pour passer directement à 255.255.0.0. Comme cela posait problème, j'avais abandonné cette idée...
Un masque en /23 résouds tous mes problèmes ! C'est parfait.
 
Bien sûr, pas une bonne solution à long terme, quand le nombre d'hosts atteindra 510 le même problème se reposera. Pour l'instant en tout cas, ça suffira.
 
Merci pour ton aide, et amuse toi bien avec les 5500. :)
Bonne journée,
Djoh


---------------
http://www.djoh.net/blog
Reply

Marsh Posté le 20-12-2007 à 15:17:28    

Oh oui je vais m'amuser :D
 
Ils ont rajouter tout ce que je leur avais demandé et même plus :) BGP, Proxy ARP, PIM et même le mgt en IPv6 :lol:
 
A quand l'IPv6 forwarding messieux d'H3C :pt1cable:

Message cité 1 fois
Message édité par twins_ le 20-12-2007 à 15:17:48
Reply

Marsh Posté le 21-12-2007 à 05:17:03    

twins_ a écrit :

Oh oui je vais m'amuser :D
 
Ils ont rajouter tout ce que je leur avais demandé et même plus :) BGP, Proxy ARP, PIM et même le mgt en IPv6 :lol:
 
A quand l'IPv6 forwarding messieux d'H3C :pt1cable:


 
J'en profite pour te demander, quels sont les risques à activer le proxy ARP ?
 
Est-ce qu'il y a d'autres options désactivées par défaut qu'il faudrait que j'active ?
 


---------------
http://www.djoh.net/blog
Reply

Marsh Posté le 21-12-2007 à 10:46:11    

Ben ça dépend de tes besoins et du design que tu mets en place :jap:
 
 
L'intérêt du proxy arp réside surtout dans le local proxy arp aujourd'hui amha :) cette fonctionnalité permet de forcer 2 host à communiquer entre eux via l'interface vlan-interface en L3 bien que les 2 hosts soient dans le même VLAN et le même subnet (enfin faut activer le local-proxy-arp et isoler les ports client avec un port isolation) :D
 
Mais bon dans mon cas c'était pour répondre à un besoin bien particulier de filtrage des flux à la sauce bourrin :whistle:  
 
 
Pour la conf sinon je te conseil de partir d'une conf à zero ... y'a toujours plein de merdes qui trainent dans les conf de base amha :/
 
Au niveau des fonctionnalité tu peux voir pour la QoS, faire un VLAN de mgt à part accessible que pour le service réseau par exemple (des fois que t'as un utilisateur mal intentionné :lol: ), blinder en ACL pour contrôler le trafic, jouer sur le LACP/STP/VRRP pour gérer la capacité de distrubution vers tes switchs d'accès et la redondance en L2 ou en L3 :pt1cable:  
 
A par contre quelques chose de quasi obligatoire c'est viré le VLAN 1 :D spa propre de l'utiliser ;)
 
 
Enfin y'a plein de trucs possibles... mais  encore une fois ça depend de tes besoins et de ton design ;) et puis aussi du temps que tu as pour mettre en place ta solution :lol:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed