Demande de conseils : Architecture, VLAN

Demande de conseils : Architecture, VLAN - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 02-04-2014 à 18:01:26    

Bonjour à tous,
 
J'ai plusieurs questions pour lesquelles, malgré mes recherches, je n'ai pas obtenu de réponse.
J'aurais donc aimé obtenir quelques conseils concernant notre infrastructure réseau :
 
Nous disposons de 3 sites distants que je nommerai Site A, B et C.
Le Site B et C sont des sites secondaires, il n'hébergent pas plus de 10 PC, un NAS et un Copieur Multifonction par site. Ils sont chacun derrière une LiveBox (DHCP) et une connexion ADSL classique.
Le Site A est le site principal, il héberge :
- Une 20aine de postes
- Un NAS
- Un Copieur
- Un serveur Exchange
- Un serveur SharePoint
- Un Controleur de domaine (+DHCP)
- Un Routeur Technicolor TG670s fourni par OVH, pour une connexion SDSL 4 paires jusqu'à 20m (18M en réalité)
- Un Switch Managé HP ProCurve 2610-48
 
Actuellement, :
- Il n'y a pas de VPN entre les site
- Chaque site est sur une plage IP 192.168.1.x / 255.255.255.0
- Nous disposons d'une seule IP publique
- Les serveurs sont sur la même plage IP. Le port 443 est redirigé sur exchange, le 80 sur SharePoint, le 21 sur le NAS, etc...
 
Maintenant que les présentations sont faites, allons aux questions / réflexions :
- Je constate régulièrement dans des schémas de présentation d'infra réseau, que les serveurs sont généralement placés dans un réseau ou sous réseau indépendant. Je n'ai pas trouvé de réponses claires sur les avantages d'une telle solution (sécurité, etc mais concrètement, pourquoi ? Éviter la propagation d'infection au sein du même réseau ?)
- OVH propose d'avoir plusieurs IP publiques (commande d'un bloc de 8). D'après la hotline, cela impose qu'ensuite, chaque port ethernet du routeur (il y en a 4) ai sa propre IP associée. Ce point reste extrêmement flou pour moi encore, je n'ai pas réussi à obtenir de plus amples explications de leur part...
 
J'en ai déduit qu'il pensait à ce que je relit les 4 port Ethernet du routeur sur le switch, et que je créé ensuite 4 VLAN sur le Switch, un par IP publique/port. (Du coup, je ne vois pas pkoi en commander 8...)
Dans la continuité, j'aurai pu placer :
- le serveur Exchange seul sur un VLAN, avoir les ports 80 et 443 redirigés vers sont IP (par exemple en 192.168.2.10)
- le serveur SharePoint seul sur un VLAN, avoir les ports 80 et 443 redirigés vers sont IP (par exemple en 192.168.3.10)
- Le serveur AD + tous les postes sur un 3eme VLAN en conservant la plage 192.168.1.10.
La création des VLAN imposerait elle un masque de sous réseau 255.255.255.0 et donc des VLAN complètement indépendant ou puis-je les créer avec un masque 255.255.0.0 ?
 
Je pose également cette question car dans l'hypothèse de mettre en place du VPN entre les Site B à A et C à A, il faudrait que les postes des sites B et C soient eux aussi dans un sous réseau différent. Right ?
 
J'espere avoir été assez clair, si tel n'est pas le cas, n'hésitez pas à me posser de plus amples questions...
 
Merci par avance à ceux qui prendrons le temps de lire tout ce pavé, et encore merci à ceux qui y répondront ;-)

Reply

Marsh Posté le 02-04-2014 à 18:01:26   

Reply

Marsh Posté le 02-04-2014 à 23:59:56    

Bonjour,

Citation :

Il n'y a pas de VPN entre les site


Il faudrait peut-être commencer par là...

Reply

Marsh Posté le 03-04-2014 à 08:27:17    

-BUZZ- a écrit :

J'en ai déduit qu'il pensait à ce que je relit les 4 port Ethernet du routeur sur le switch, et que je créé ensuite 4 VLAN sur le Switch, un par IP publique/port. (Du coup, je ne vois pas pkoi en commander 8...)


parce que les IP publiques sont vendue par paquet relatif au masque réseau ([/31] /30 /29 /28 ...) - 2 IP pour le réseau et le broadcast
Il faut aussi monter un dossier béton pour avoir droits à des IP publiques et justifier l'usage.
C'est déjà pas évident pour une grosse boite.
 
Comme dit Steve2, commencer par monter un beau VPN intersite et comme tu le dis, faire un réseau différent pour chaque site.

Reply

Marsh Posté le 03-04-2014 à 08:28:49    

En fait il n'y a actuellement pas de VPN car les 3 sites n'ont pas la même activité et ne partagent donc pas les même ressources et n'ont pas besoin d'échanger entre eux. La seule chose utilisée par les sites B et C est la Messagerie, qui en "Outlook Anywhere" fonctionne très bien.
 
Par contre j'ai évoqué l'idée du VPN pour que si je part sur une modification du site A avec les VLAN, pas que cela me bloque la possibilité de faire du VPN ultérieurement, si jamais le besoin venait à s'en faire sentir.

Reply

Marsh Posté le 03-04-2014 à 09:58:59    

-BUZZ- a écrit :

En fait il n'y a actuellement pas de VPN car les 3 sites n'ont pas la même activité et ne partagent donc pas les même ressources et n'ont pas besoin d'échanger entre eux. La seule chose utilisée par les sites B et C est la Messagerie, qui en "Outlook Anywhere" fonctionne très bien.


Mais si tu propose tes services messagerie et Sharepoint sur une adresse publique (je ne parle pas de l'AD car c'est une aberration), tu les offre au monde entier. Cela peut se justifier pour traiter le cas des utilisateurs itinérants.
Mais alors, pas besoin de multiplier les adresses publiques. une seule suffit, il suffit d'ajouter un reverse proxy avec un virtual host par service web, et voilà !

Reply

Marsh Posté le 03-04-2014 à 13:41:21    

+1 c'est reverse proxy

Reply

Marsh Posté le 05-04-2014 à 10:53:41    

Citation :

- Je constate régulièrement dans des schémas de présentation d'infra réseau, que les serveurs sont généralement placés dans un réseau ou sous réseau indépendant. Je n'ai pas trouvé de réponses claires sur les avantages d'une telle solution (sécurité, etc mais concrètement, pourquoi ? Éviter la propagation d'infection au sein du même réseau ?)


Effectivement, en théorie les serveurs accessibles depuis internet doivent être dans une DMZ.
C'est un réseau à part entière (exception faite des boxs opérateurs). D'une manière très simpliste, la DMZ est accessible du WAN et du LAN. Par contre, le LAN ne doit pas être accessible depuis le WAN.
 
Dans la pratique, en PME tu n'en rencontreras quasiment pas. Souvent pour une histoire de coût.
 

Citation :

- OVH propose d'avoir plusieurs IP publiques (commande d'un bloc de 8). D'après la hotline, cela impose qu'ensuite, chaque port ethernet du routeur (il y en a 4) ai sa propre IP associée. Ce point reste extrêmement flou pour moi encore, je n'ai pas réussi à obtenir de plus amples explications de leur part...


 
Je pense que c'est une limite technique de leur boitier. Avec un routeur, tu peux très bien utiliser plusieurs ip publiques en ayant une seule interface physique.
Il faut ensuite faire du "bimap". Tel ip pub sur tel port vers tel ip priv sur tel port. Pas besoin de VLAN
 

Citation :

J'en ai déduit qu'il pensait à ce que je relit les 4 port Ethernet du routeur sur le switch, et que je créé ensuite 4 VLAN sur le Switch, un par IP publique/port. (Du coup, je ne vois pas pkoi en commander 8...)
Dans la continuité, j'aurai pu placer :
- le serveur Exchange seul sur un VLAN, avoir les ports 80 et 443 redirigés vers sont IP (par exemple en 192.168.2.10)
- le serveur SharePoint seul sur un VLAN, avoir les ports 80 et 443 redirigés vers sont IP (par exemple en 192.168.3.10)
- Le serveur AD + tous les postes sur un 3eme VLAN en conservant la plage 192.168.1.10.


 
Pour la commande de 8 ip, comme expliqué par fourbe2, seule 5 ip seront utilisables (inutilisable : adresse de réseau, de broadcast et la passerelle).
Je te déconseils fortement de mettre Exchange et Sharepoint sur un autre subnet que l'ad!
C'est dernier ont besoin de l'ad pour fonctionner. Et je ne pense pas que le technicolor (une fois le routage et les acl faites) supportera une tel charge de travail (capacité commutation de paquet).

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed