Mise en place d'un sous-réseau - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 19-05-2017 à 13:45:52
Bonjour,
Si le schéma est bon c'est une remise à plat de l'infrastructure qu'il faudrait envisager. Histoire de pas construire sur des mauvaises fondations. Vu comme c'est fait la ça ne changera pas grand chose de mettre un second sous réseau.
Il faudrait déjà avoir un équipement en frontal digne de ce nom. Une livebox c'est bien quand tu as de 1 à 30 équipement au delà ce n'est pas taillé pour cela. Et avec un routeur digne de ce nom tu pourra créer ton deuxième sous réseau si tu veux.
Pour les switchsur j'éviterais les cascades le mieux serait de les stacker mais je ne sais pas si ceux que tu possèdent peuvent le faire.
Et pour résoudre le problème de base (à savoir le ralentissement) il faudrait déjà savoir quel est réellement le besoin et ce qui tourne sur le réseau. On peut avoir le meilleur réseau du monde mais si les machines discutent à mort sur le réseau ça peut créer de la charge que les switchs et la box ne peuvent pas gérer.
Marsh Posté le 23-05-2017 à 09:56:13
Bonjour,
C'est pour ça que je comptais ajouter un second routeur, ils ne veulent pas changer la livebox (ils sont sous contrats avec orange..)
Pour les switch, que signifient "les stacker" ?
Le principal besoin est que tout le monde puisse accéder aux ressources partagées, quelque soit le sous-réseau où il se situe ! D'autres parts, ils utilisent aussi assez souvent internet. Il s'échangent très souvent des mails (avec la boite mail de l'entreprise), et utilisent des téléphone voip (mais ils sont gérés par box différentes )
Pour le serveur NAS, le soucis est réglé puisqu'ils possèdent 4 cartes réseaux, ainsi on pourra le connecter aux deux sous-réseaux, cela fluidifiera surement le trafic..
Autre chose, je dois désormais mettre en place un vlan pour un des bureaux d'étude présent dans les locaux, mais un seul ! (un seul groupe d'ordi, un seul vlan quoi)
Du coup, si jamais je ne change pas la configuration des switchs, est-ce possible de faire communiquer les vlans entre les switch ?
Car dans la config actuelle, certains postes devant appartenir à ce vlan sont positionnés sur des switch différents... (une galère pas possible !) Sinon, je leur dirait de tout débrancher qu'on remette à plat, mais c'est surtout dans le but d'éviter de perturber au maximum le réseau !
Il faudrait aussi qu'ils continuent à accéder aux ressources partagées sans que personnes puissent accéder à leur vlan...
J'ai lu qu'on pouvait faire ces restrictions d'accès avec des ACL..
En revanche, je serai comblé si quelqu'un sur le forum connaitrait bien l'interface de configuration des switch NETGEAR, car c'est un enfer pour comprendre ! Trop peu de ressources internet à mon goût..
Sinon est-il possible de les configurer à partir du port console ? Si oui, comment cela se passe ? Y-a-t-il juste une console de commande, ou une autre interface ? Ce sont les même codes que l'on rentre par exemple sur des switch cisco, ou est-ce qu'il y a un langage particulier ?
En tout cas, merci pour ta réponse sniper, ça m'aide à avancer grandement !
EDIT: je me suis renseigner pour les stacker, j'ai compris le principe. Ces modèles de switch ne le permettent pas...
Marsh Posté le 23-05-2017 à 15:40:47
Salut,
Effetivement je n'avais pas vu le modèle de tes switchs. J'ai un GS716T chez moi c'est le même que toi mais en 16 ports.
Donc non pas stack possible.
Pour moi il faut déjà faire un tour sur tous les postes et virer toutes les merdes qui pourraient générer de la discussion sur le réseau (genre serveur de licence, malware et autres conneries...).
Pour le vlan logiquement tes switchs le gèrent sans problème par contre va falloir toucher à la conf, mais franchement créé un deuxième sous réseau c'est encore le mieux à faire et ca a le même effet.
Pour les ACL sur du netgear, je vais m'abstenir pour le coup, car c'est quand même pas du matos de dingue que tu as, sur du Dell, du HP ou du Cisco ok, mais la non.
Pour la box, ils doivent la garder c'est indispensable, par contre il faut lui mettre un routeur derrière pour qu'il gére les vlan et sous réseaux éventuels.
La gamme GS7XXT ne semble pas pouvoir etre gèré en console mais je me trompe peut être.
Marsh Posté le 23-05-2017 à 16:37:22
Merci pour ta réactivité snip !
Qu'est ce qu'un serveur de licence ? Si c'est du windows server que tu parles, ils ne comptent pas s'en séparer ils l'utilisent comme serveur DHCP, et pour gérer certains droits d'utilisateurs de ce que j'ai compris..
Justement, en fait je crée déjà un second sous-réseau pour le nouveau BE (cf le dernier schéma ), et en plus de ça, je dois faire un vlan dans le réseau déjà existant ! Afin d'isoler un autre Bureau d'étude déjà présent dans les locaux
Mais effectivement, je pense aussi que ça serait mieux de créer carrément un 3ème sous-réseau ! Surtout pour faciliter une mise en place qui me semble très difficile..
En effet, dans la situation actuelle des choses, ils ne savent pas précisément où sont connectés les appareils sur les différents ports des switch (en gros, ils ont prit les câble ethernet, et ils les ont câblé au hasard, sans penser à une possible évolutivité du réseau...)
Du coup, au début je me suis mit à regarder les adresses MAC des différents ports pour identifier les postes qui sont connectés à tel ou tel port. Ils avaient relevé les adresses mac de chacun des appareils de l'entreprise, pratique !
Seulement, soit il y a des erreurs dans le fichier qu'ils m'ont donné, soit les adresses mac sont attribuées dynamiquement, et elle se renouvellent régulièrement (mais pas tout le temps, puisque certaines adresses correspondent encore) et/ou se font réattribué sur un autre poste (ex: poste A a l'adresse 00:00:00:00:00:AA et le poste B 00:00:00:00:00:BB, les nouvelles adresses que je trouve sont telles: poste A: 00:00:00:00:00:BB et poste B se retrouve avec une nouvelle adresse ...)
En gros, je vois mal comment je peux m'y retrouver, et même en allant dans la baie de brassage, c'est un florilège de câble qui partent tous au même endroit...
Mais j'aurai quelques questions vis-à-vis des vlan sur netgear:
- J'ai remarqué que sur certains ports "se baladaient" plusieurs adresses MAC.. En gros ce seraient les ports où sont reliés les switch ?
- Si je configure le vlan 20 sur le sw3, il faudra que le vlan ait le même nom sur le sw2 ?
- Pour faire communiquer les vlans sur les différents switch, il faudra que je configure les ports où sont connectés les switch ? (les ports où ils sont reliés entre-eux)
-Je dois cependant faire en sorte que le vlan du BE puisse communiquer avec le réseau de base afin d'accéder au NAS, mais les autres postes ne doivent pas voir les postes BE, est-ce possible ?
D'accord, j'abandonne l'idée de faire des ACL, bien dommage ça aurait peut-être réglé ma question juste au-dessus :x
Arf, le port console m'aurait arrangé, que cette interface web... Je n'y comprends rien ! C'est horrible !
Tagged= pour faire communiquer plusieurs vlan sur le même port ? et donc rajouter une "étiquette" afin de l'identifier correctement ? ou je pars trop loin ?
Untagged=pour lier tous les ports que l'on veut associer à un vlan ?
Merci encore pour tes informations précieuses !
Marsh Posté le 23-05-2017 à 17:52:19
Quelques infos supplémentaires que je risque d'éditer un peu, et ce n'est pas forcément exact (mes excuses pour les puristes, n'hésitez pas à me reprendre si j'ai faux, je suis un apprenti) :
- Les adresses MAC ne changent pas dynamiquement sur les matériels, elles sont "uniques" dans le monde pour chaque port ethernet d'un matériel. (On peut les changer manuellement cependant, mais ce n'est pas une pratique courante). Si les MAC changent quand tu regarde un port, c'est que les matériels derrière changent, ou que c'est un port ou toutes les communications passent (typiquement le port vers la box, entre switchs, en fin de réseau).
Donc, si il y a plusieurs adresses MAC sur un seul port, c'est qu'il y a un matériel réseau derrière (switch, routeur, borne wifi, PC connecté sur téléphone IP ...).
Par contre la table ARP du switch contenant les adresses MAC des trames réseau va évoluer dynamiquement selon les connexions oui, c'est pour ça que sur un port de fin de réseau ou entre deux matériels réseau les MAC "connectées" changent.
- VLANs :
Tagged : Permet de faire passer plusieurs VLANS sur un même port ethernet vers un autre matériel réseau (switch, routeur, borne wifi...)
Untagged : Définit un VLAN sur un port dédié au matériel final (PC, imprimante, ...)
Sur un même switch, tous les ports untagged sur le même VLAN peuvent communiquer ensemble.
Si deux switchs sont inter-connectés, et que les mêmes VLANs sont configurés sur les deux, et bien propagés (Tagged sur les ports entre les switchs), les ports untagged sur le même VLAN des deux switchs communiquent ensemble.
Donc entre deux switchs, si plusieurs VLANs, ils doivent être taggés de la même manière. Attention il y en a un seul qui doit être untagged (VLAN par défaut) et ce doit être le même sur les deux switchs.
Le nom des VLAN peut être différent, c'est juste le nombre qui le définit (il peut s'appeller ABC sur un et DEF sur l'autre, si c'est le même nombre (23 par ex), c'est considéré comme le même VLAN). Le nombre définit le "TAG/FLAG/étiquette" de la trame réseau.
De plus, faire un VLAN c'est séparer les réseaux, donc en gros faire un sous réseau/autre réseau. Pour économiser les adresses, vaux mieux partir sur un plus gros réseau global, à séparer en plusieurs sous réseaux à l'aide de VLANs.
Enfin, il faut bien sur que tu déclare tes nouveaux VLANs jusqu'au routeur qui fera le lien entre ces premiers. Donc si il y a 3 switch entre ton pc étant sur le VLAN 2 et ton routeur, faut déployer le VLAN 2 sur les 3 switchs.
Enfin, il faudra utiliser le routeur pour faire les routes désirées entre les VLANs, voir pour un parefeu pour sécuriser les flux peut être par la suite, et définir dans le ou les serveurs DHCP les plages d'adresses pour que les PC puissent récupérer leurs adresses sur le bon VLAN.
Et pour savoir quel pc est branché sur quelle prise du switch, plein de façons, via recherche MAC sur switch pour te donner les ports, avec un testeur fluke en te branchant a la place du PC, si le câblage est bien fait, faire un listing des prises via leurs noms sur la baie info et les associer au ports du switch...
Marsh Posté le 24-05-2017 à 09:33:34
Merci pour toutes tes réponses très précises, cela m'aide énormément !
- Pour les adresses mac, j'ai aussi remarqué que certaines disparaissaient de temps en temps, puis elles réapparaissent ... Je suppose que les switch ne mémorisent pas les adresses mac, et une fois que le périphérique final est hors tension, "il l'oublie". Donc du coup je pense qu'il se peut que plusieurs PC soient connectés au même port, et qu'un des PC connecté à ce port soit hors tension, ce qui expliquerait ainsi que je ne vois pas son adresse mac!
Mais, j'ai testé une autre technique pour vérifier l'adresse MAC associé au pc: connaissant le nom des PC, je peux ainsi les "ping" à partir de mon poste, et si ils répondent, je récupère leur adresse IP, et après je
C'est un casse tête pas possible comme ça ! C'est vraiment un coup à se tromper bêtement ou à oublier de connecter un appareil au vlan
j'ai une table d'adresse MAC qui ressemble à ça:
Mais qui comme dit plus haut, elle évolue régulièrement ! (trop régulièrement pour arriver à déterminer sainement les connexions qui y sont faites !)
Du coup, je pense essayer de regarder physiquement, je vois mal comment le faire sinon ! C'est quand même assez sensible de toucher l'infrastructure réseau d'une entreprise, surtout quand elle fonctionne essentiellement avec ! J'ai vraiment peur de me planter là-dessus, c'est pour ça qu'il faut que j'étudie toutes les possibilités avant de faire quoi que ce soit.
Pour les Vlans en revanche, je suis plutôt rassuré, j'avais vraiment peur que les switch ne puissent pas communiquer les vlans entre eux, ça m'enlève une épine du pied si jamais je dois garder cette solution !
Citation : De plus, faire un VLAN c'est séparer les réseaux, donc en gros faire un sous réseau/autre réseau. Pour économiser les adresses, vaux mieux partir sur un plus gros réseau global, à séparer en plusieurs sous réseaux à l'aide de VLANs |
Justement, c'est mon plan B. A la base, ils veulent absolument faire des Vlans, pour éviter des coût supplémentaires de matériels. Mais en même temps, ils veulent suffisamment d'adresses ip disponible pour que le BE puisse faire régulièrement des tests sur les objets qu'ils créent (ça leur arrive de connecter des petits switch au réseau pour faire des tests ... une pagaille pas possible )
Citation : Enfin, il faudra utiliser le routeur pour faire les routes désirées entre les VLANs, voir pour un parefeu pour sécuriser les flux peut être par la suite, et définir dans le ou les serveurs DHCP les plages d'adresses pour que les PC puissent récupérer leurs adresses sur le bon VLAN. |
Le nouveau routeur, ils l'ont, c'est un Stormshield SN300 qui réalise routeur + parefeu ... mais il est paramétré à distance par des techniciens d'orange ! (du à leur contrat.. D'ailleurs, ils n'ont toujours pas réussit à attribuer correctement la passerelle pour le second sous-réseau en 192.168.2.1, quand on connecte un appareil dessus, il n'arrive pas à accéder à internet, ni au sous-réseau n°1.... donc j'imagine même pas quand on va leur demandé pour les vlans !)
Le serveur DHCP, à l'heure actuelle, c'est le windows server. Ils veulent absolument le garder, et l'utiliser en tant que tel. Les adresses sont déjà réservées selon les noms des postes. D'après ce que j'ai lu, normalement, le windows server n'aura aucun problème à attribuer les adresses IP pour les appareils au sein de vlans. De même si on doit ajouter un 3ème sous-réseau au routeur, il pourra le faire sans problème, mais engendrera peut-être une moins bonne fluidité du trafic du à la communication "inter-sous-réseau" (je sais pas si ça se dit ..). Je précise que je leur ai tout de même fortement conseillé de le faire à partir du routeur, pour des raisons de simplicité et de fluidité du trafic !
Qu'est ce qu'un testeur fluke ? J'ai un petit peu regardé, mais de ce que j'ai compris, c'est pour faire des tests électriques ? Justement, je crois que le câblage est vraiment pas bon du tout ... Par contre, je connais déjà les adresses IP des postes ainsi que le nom de ces postes, et certaines adresses MAC..
Je pense que l'idéal serait de regarder les câblages physiquement pour éviter de se tromper, parce que là, c'est vraiment limite de le faire avec la table d'adresses mac ..
Merci en tout cas pour ces infos !
EDIT: peut-on segmenter le réseau 1, en plus petit sous réseau en changeant le masque ? On attribuerait selon les vlans, les plages d'adresses: (ex: mask: 255.255.255.192, vlan1 de 0 à 63 , vlan2 de 64 à 127, etc ...) ce qui permettrait "d'isoler" le BE, et leur laisser des adresses de libre pour leur test. Ce qui implique donc de refaire totalement l'adressage IP. (Ma question est plutôt : peut-on le faire à partir du switch ?)
Marsh Posté le 24-05-2017 à 12:16:11
D'après ce que je vois, les ports 46 et 48 sont des ports avec de nombreuses adresses MAC, ce sont certainement des ports connectés à d'autre switch.
Pour ta cartographie des PC, il est inutile de chercher les @MAC sur les ports entre les switchs comme le 46 et 48, les seuls qui t'intéressent sont sur des ports d'accès (les ports ou il y a vraiment les PC). Surement dans l'onglet advanced, ou dans la partie "search by" de la capture d'écran tu dois pouvoir avoir la même table mais séparée pour chaque port.
Le serveur DHCP n'a pas besoin de changer de système, mais il doit être accessible depuis chaque VLAN, et vous devez configurer justement sur ce serveur les plages d'adresses IP pour chaque VLAN.
Le routage se fera donc par le pare-feu, donc il faut déclarer les VLANs sur les interfaces de ce dernier, et définir les routes entre VLANs.
Pour le testeur que j'ai abusivement définit par le nom de mon modèle, Fluke, c'est en fait un testeur de câble qui peut selon les versions te donner l'état des brins des câbles, mais également les infos réseau qui arrivent à cette prise (Typiquement il te dit que cette prise est connectée a tel port du commutateur, a quelle vitesse, sur quel VLAN...), un outil bien pratique mais pas très abordable.
Pour le EDIT : Oui c'est possible. Ce lien devrait t'aider sur ce point.
https://openclassrooms.com/courses/ [...] adresses-1
Marsh Posté le 24-05-2017 à 13:58:20
Citation : D'après ce que je vois, les ports 46 et 48 sont des ports avec de nombreuses adresses MAC, ce sont certainement des ports connectés à d'autre switch. |
J'ai remarqué que oui, il y avait plusieurs fois la même interface avec des adresses macs différentes !
Sur l'onglet advanced, j'obtient un menu déroulant comme tel:
Pour ce qui est du search by, j'avais déjà essayé, mais le panneau bug, et m'affiche un message d'erreur quand je souhaite effectuer ma recherche selon des interfaces, et non plus en VLAN ID.
Du coup, impossible de les avoir par port... je vais devoir regarder un par un
Une autre table d'adresse est accessible sur le menu déroulant, mais elle n'affiche rien de plus, juste le tableau qui change sa façon de présenter les choses, mais avec les même informations
Et d'autre part, je ne comprends pas l'onglet "dynamic address" .. C'est pour attribuer des adresses dynamiquement ou bien ?
Citation : Le serveur DHCP n'a pas besoin de changer de système, mais il doit être accessible depuis chaque VLAN, et vous devez configurer justement sur ce serveur les plages d'adresses IP pour chaque VLAN. |
Est-ce qu'on est effectivement obligé de changer les adresses IP des appareils ? Puisqu'on fait une configuration vlan selon des ports, il n'y a pas forcément besoin de changer les adresses IP ? (je parle uniquement dans ce cas précis, pas par rapport à ce que j'ai mit sur l'EDIT)
D'accord, il faudra donc demander au technicien de rajouter les vlans, les interfaces des vlans ainsi que les différentes routes pour y accéder !
D'accord, je n'en connaissais pas l'existence. Je ne pense que l'entreprise en possède un, et à mon avis, ils ne seront pas très enclins à faire un investissement là dessus, surtout pour "une brève utilisation"
Pour l'EDIT, j'ai testé sur GNS3, et tout fonctionne, j'ai configuré les switch et les routeurs, et tout marchent très bien !
Marsh Posté le 15-05-2017 à 14:45:18
Bonjour à vous,
Étudiant en seconde année de DUT, je réalise un stage en entreprise pour une durée de deux mois, où je dois mettre en place un sous-réseau (mon projet de stage).
Un bureau d'études doit venir s'ajouter aux locaux de l'entreprise, et utilisera inévitablement des postes informatiques.
Ces nouveaux employés doivent pouvoir accéder aux ressources partagés de l'entreprise, dans le réseau déjà existant (et bien sur d'un accès à internet !).
L’entreprise possède une centaine d'appareils informatiques fonctionnant sur IP, tous connectés à 3 switch netgear GS748T. (ils n'ont pas de plan d'adressage du réseau existant, donc je ne connais pas exactement quel PC est connecté à tel switch !). Ils souhaitent créer un nouveau sous-réseau afin de réduire leur trafic qui commence à ralentir..
Une livebox pro v3 sert de routeur pour relier le réseau à internet. Ils possèdent un windows server 2008 faisant office de serveur DHCP et DNS (mais aussi de pointeuse pour les salariés) (les adresses IP après leur attribution, ont été réservées, donc fixe), et d'un serveur NAS (les ressources partagés de l'entreprise que tout le monde doit pouvoir accéder !).
Petit schéma (simplifié) du réseau de base (les PC2 et PC5 représentent le windows server et le nas) que j'ai réalisé sur GNS3 (je fais la plupart de mes essais sur ce logiciel !):
De ce que j'ai compris, les deux serveurs ne sont pas idéalement placé, et devraient être au plus proche de la connexion internet, pour éviter justement des surcharges de trafic..
Après de longues recherches, et de nombreux essais, j'ai trouvé une idée et j'aimerai avoir votre avis dessus:
Pour rajouter ce sous-réseau, j'ai pensé à utiliser un routeur qui viendrait se connecter à la livebox. Le routeur proposerait ensuite deux routes, soit vers le sous-réseau 1, soit vers le sous-réseau 2.
On rajouterait aussi un switch pour le sous-réseau 2 pour connecter tous les pc et autres appareils dessus.
Un petit schéma réalisé sur GNS3 pour montrer le principe:
je pense "remonter" le serveur NAS et le windows server sur le sw1.
L'attribution des adresses IP du sous-réseau 2 se feraient grâce au routeur, et non pas avec le windows server.
Plusieurs questions: - est-ce une bonne solution ?
- quelle routeur choisir pour réaliser cette fonction ?
- Avez-vous d'autres solutions à me proposer ?
Étant encore en phase d'apprentissage, j'ai quelques difficultés quand à la mise en place du projet !
Bonne journée à vous, et à bientôt !
Message édité par maxcraft le 15-05-2017 à 14:46:14