Bonsoir à tous,
 
Après quelques mois de lecture, de visionnage des sujets.. je me lance.
 
Voilà, au sein de mon entreprise, nous envisageons de refaire l'architecture informatique en intégrant de la voip.
 
J'ai réalisé un premier schéma de cette architecture. J'aurais voulu si possible avoir des retours positifs ou négatifs afin de faire améliorer ce schéma. Ce qui me pose question tourne surtout autour du serveur de téléphonie ip : je ne sais pas où le placer. L'intérêt est par la suite de faire interagir notre progiciel de gestion de contacts et nos téléphones ip.
 
Je remercie chacun qui prendra un peu de son temps pour me répondre et me faire avancer sur ce projet. Je reste à disposition pour toutes questions.
 
Ci joint mon schéma :
 

quelques remarques en vrac :
 
- ne te sert jamais du VLAN 1
- utilise 3 Vlans : utilisateurs, serveurs, téléphones
- utilise des switchs de niveau 3 en coeur qui routeront  
- tu peux définir un 4ème Vlan qui ne sera pas routé par le switch pour héberger la DMZ
- pourquoi utiliser des routeurs en coupure ? (les 26xx)
- un double rideau me semble superflu, une seule paire de pares-feu te reviendra moins cher.

merci pour ces remarques rapides :
 
- je ne comprends pas l'expression "utiliser les routeurs en coupure"
- si j'utilise qu'une seule paire de pare feu comment dois je procéder ?

avec une seule paire de pares feux tu as une interface internet, une interface DMZ et une interface interne.
 
Sur tes schémas, le FW est relié au routeur qui est relié au commutateur. Est-ce bien ton idée ?

oui en effet c t bien mon idée. je ne dois pas faire comme ca ?
 
et donc, je devrais avoir un parefeu à trois pattes en fin de compte ?

le NAT et les VPN seront traités par le firewall en frontal. Ensuite tu peux utiliser les switchs L3 qui feront office de serveur DHCP (même si c'est pas beau)

en clair si je comprends bien ca changerai vers un truc comme ca :

oui, sauf qu'en plus tu peux te débarrasser du switch de la DMZ et le mutualiser avec un autre en faisant un vlan en plus

ok. mais le problème c'est que je n'ai pas de firewall trois pattes.
 
et concernant la voip ? mettre mon serveur asterisk dans mon lan n'est pas dangereux ?

tu fais un vlan serveur et tu protèges avec quelques access lists bien situées sur ton switch L3

 
Je rejoins Dreamer18 sur le firewall à 3 pattes. Isoler une DMZ entre deux firewalls, ça vrai qu'à première vue ça peut sembler logique, mais maintenant ça se fait très très rarement - en tous cas moi je ne l'ai vu déployé que chez un seul client, une grosse banque qui a un double niveau de filtrage (NetScreen / Netasq).
 
Tu dis que tu n'as pas de firewall à trois pattes : qu'as-tu exactement comme firewall ?

même si un firewall à deux interface il peut faire du 802.1q

Attention au volume de données qui sera amené à transiter par l'interface dans ce cas-là non ? La vitesse de l'interface étant divisée par le nombre de VLANs...

Tu compte mettre les IPphones et les PC sur le même sous-réseau ? L'idéal serait de mes séparer pour éviter que les data et le voix se mélangent. Sinon, tu peux utiliser le VLAN natif pour tagguer / détagguer les flux VoIP.

mes ipphones seront sur un VLAN différent des PC

que me conseillez vous en firewall bon marché, bon rapport qualité prix par rapport à la configuration au-dessus ou alors me conseillez vous un routeur/firewall ???

Quand tu parles de DMZ et d'archi internet, les débits sont rarement mirobollant, donc tu peux sans problème te permettre de mutualiser les interfaces pour plusieurs zones.
Ensuite, bien sûr, privilégier un bon FW hard, comme ça t'es pas embêté, mais ca dépend du budget (dreamer: asa5505 )
 
Sinon, refait ton schéma.
Tu y mélange allègrement layer2 et 3, ce qui le rend incompréhensible.
Fait toi un vrai schéma purement layer2, et un autre purement layer3 (avec adressage etc...) . Ton infra sera plus facile à comprendre, et surtout plus claire.

mouaif l'asa, je suis pas sûr que ce soit un bon choix, vu l'interface graphique (bon je sais ça s'est amélioré, mais je crois qu'il y a de meilleurs trucs sur le marché pour une exploitation facile).

si tu fais de la Voip en dehors du Vlan dédie et si vous avez beaucoup de téléphonie il peut ête intéressant d'y dédier un DCHP option 176 activé ...

moi je voulais savoir c'est quoi ton logiciel pour faire ce genre de schéma
merci

visio tout simplement