Mise à jour du 25/01/2012 :
 
Voici le nouveau schéma réseau que je compte mettre en place, il me paraît plus correct :
 

 
Reste plus qu'a trouver la technologie qui me permettra de faire la redondance au niveau de ma couche 3.
Je pense à utiliser VRRP, il y aura 4 VLANs, donc 4 interfaces logiques pour 8 physiques au niveau des serveurs.
 
Si je dis des conneries, n'hésitez pas à me le dire.
 
Merci de votre aide
 
_______________________________________________________________________________
 
Message original :
 
Bonjour,
 
Je suis administrateur réseaux dans une entreprise actuellement, il y un seul réseau.
 
Je dois mettre en place des VLANs et sous-réseaux pour améliorer les performances globales et la sécurité.
 
Voici un schéma du réseau que je compte mettre en place.  
2 routeurs/commutateurs niveau 3 pour le routage inter vlan et autour 4 commutateurs niveau 2 qui connecteront les serveurs, les utilisateurs et les imprimantes.
 

 
Je vais créer 3 VLANs :

• serveurs
• utilisateurs
• imprimantes

Et je me posais la question, à savoir utiliser des sous-interfaces pour chaque patte de VLAN sur un routeur, ou une interface complète.
Une interface sera de 1 Gbps/s sur le routeur, donc je suppose que d'utiliser des sous-interfaces diminuera les performances ?
 
Merci de votre aide !

Tu vas forcément devoir faire des interfaces virtuelles non étant donné que tu as 3 VLANs. Au niveau administration des routeurs, ca sera plus lisible d'avoir 1 seule patte connecté au commutateur sur un port trunk. Après c'est mon avis

Merci de ton aide kikooldeluxe    
 
En effet, c'est vrai que c'est plus simple, par contre, je divise le débit possible ?
Car au lieu d'utiliser un lien dédié de 1 Gbps pour un VLAN, j'utilise un lien de 1 Gbps mais pour plusieurs VLAN.
 
Ou alors, il faut que je fasse de l'agrégation de lien trunk, pour augmenter les performances.
 
Je me pose aussi une question configuration, pour améliorer la redondance, on voit très bien sur le schéma tout est croisé.
Il faut donc que les 2 routeurs fonctionnent en même temps soit actif / actif ou passif / actif.
 
Mais je ne sais comment faire pour configurer cela, cela doit dépendre du constructeur je pense.
 
Merci  

Je suis Denis_92 au faite (connexion automatique de chez moi, j'ai pas vérifié avant de poster)  

Je recherche deux commutateurs/routeurs de niveau 3 pour faire mon routage inter vlan.
 
Il m'en faut deux pour la redondance essentiellement.
 
Un conseiller chez Dell m'a donc conseiller celui-ci :
 
http://www.dell.com/fr/entreprise/ [...] redir=true
 
Mais pour mes besoins, cela me parait cher.
 
Mes besoins :
     - routage statique (pour interconnexion VLAN)
     - 8 x ports 1 Gbps minimum
     - protocole STP pris en charge
     - QoS avec des ACL
 
Si vous avez des produits à me conseiller, n'hésitez pas.
 
Merci de votre aide

Un petit up
 
Merci de votre aide =D

Bonsoir,
 
D-link DGS3012G, sa marche nickel, et commutateur de niveau 3 pas très cher. Sinon HP Procurve 2810G super fiable aussi et pas cher non plus ... Après si tu préfère Dell ....

Merci pour ta réponse scyrus87
 
Niveau couche 2 :
 
Cette couche va servir d'accès pour les serveurs, utilisateurs et imprimantes. Ils doivent être segmenter en VLAN.
 

Le commutateur L2 "HP ProCurve 2810G" que tu me conseille est assez cher (~ 2000 € l'unité en regardant rapidement).
 
Alors que le commutateur L2 "Dell Powerconnect 2848" qui m'intéresse est à 712 € HT :
http://www.dell.com/fr/entreprise/ [...] ct-2848/pd
 
 
Niveau couche 3 :
 
Cette couche va gérer le routage entre les commutateurs L2 et mes VLAN.
 

Je n'ai pas trouvé le modèle D-LINK que tu propose.
Mais celui-ci qui se rapproche de mes besoins chez eux "D-Link xStack DGS-3620-28TC" à 2000 € HT environ l'unité.
 
Sinon Dell me propose ce commutateur L3 "Dell PowerConnect 6224" à 2724 € HT :
http://www.dell.com/fr/entreprise/ [...] ct-6224/pd
 
Merci de ton aide  

 
Question sur ce schéma: pourquoi les switchs de droite et de gauche sont reliés par les routeurs ?

 
Bonjour aspegic500mg,
 
Car il y aura des VLANs sur chaque commutateur, et pour réaliser du routage inter-vlan, il faut que ces commutateurs soit connectés à un routeur ou des routeurs (redondance).
 
 

Voilà un nouveau schéma qui est je pense plus correcte :
 

(Cliquez sur l'image pour l'agrandir)
 
J'édite mon premier post pour l'insérer, si je peux  

 
Pour ça on utilise un switch qui fait du routage intervlans
 
ex: HP 2910al, et y'en a plein d'autres, à des prix qui varient pas mal quand même.

Oui je comprends très bien.    
 
Commutateurs actuels :
 
Mais actuellement, j'ai déjà des commutateurs couche 2 pour les serveurs, que je ne compte pas changer.
 
Et je dois changer le commutateur pour les utilisateurs car il est obsolète et aucun port libre sur 48.
 
Je ne vais pas connecté directement les utilisateurs et imprimantes sur les commutateurs/routeurs couche 3 ! Point de vue sécurité c'est pas terrible.
 
Mais aussi architecture globale du LAN c'est déséquilibré, après je ne suis pas architecte réseau.
 
Nouveau schéma :
 
Le nouveau schéma que j'ai réalisé au dessus, ne convient pas ? Il me parait plus logique et équilibré que l'ancien.
 
Avec celui-ci, chaque commutateur d'accès (couche 2) est connecté en double, un lien sur chaque routeur (couche 3).
 
Vu que j'ai 4 comutateurs, 8 liens trunk.
 
Au niveau des routeurs, j'utilise ensuite le protocole VRRP qui me permettra la redondance des passerelles.
Je groupe chaque paire de lien en une interface logique, et c'est celle-ci qui servira comme passerelle pour mes VLANs.
 
Donc si un routeur ou un lien tombe, VRRP basculera automatiquement sur mon autre routeur ou lien opérationnel.
 
Vos avis :
 
Qu'en penses-tu ?    
 
Merci de ton aide  

Pour une question de coût ?
Plusieurs commutateurs pour les serveurs ?? (combien de commutateurs et combien de serveurs ? Tout est dans un même lieu ?)
 

Pourquoi ça ne serait pas sécurisé ?
(question pour te faire réfléchir)
 

Désolé pour le taquet mais ... ça se voit
Ne cherche pas à faire joli, c'est pas parce qu'un schéma est symétrique qu'il est équilibré, chaque équipement à son rôle, et là tu veux router des vlans entre eux avec des routeurs alors qu'ils sont dans le même lieu sur les mêmes équipements.
 

Qu'il faut utiliser le spanning-tree et des commutateurs pour la partie réseau local, et vrrp/hsrp sur les routeurs pour l'accès à internet.
 
 
 
Je reprends ton besoin de départ:

Je ne dis pas que c'est faux, ça peut être vrai selon ce qu'on fait, mais essaye de répondre à ces questions, ça t'aidera à trouver la bonne solution:
- en quoi des vlans et sous-reseaux utilisateurs / imprimantes / serveurs vont améliorer la sécurité ? (sécurité d'accès, et sécurité dans le sens "fiabilité" )
- même question concernant les performances
 

Bonjour,
 
Désolé de la réponse tardive et merci pour la tienne.    
 

 
Au total nous avons 31 serveurs :

• 9 physiques dont 2 ESX VMware
• 22 virtuels sur les ESX

J'utilise actuellement 2 commutateurs de marque différente pour les serveurs HP et Dell.
Ces 2 commutateurs gèrent le protocole 802.1Q (VLAN) et le 802.1D (Spanning tree).
 
Ce qui me convient, dans l'absolu il est vrai que je préferais avoir des commutateurs de même marque et même modèle pour toute l'infrastructure, mais ce qui signifie achat de nouveau matériel.
 

 
Je préfère séparer physiquement les couches 2 et 3, ils ne seront par exemple pas dans le même local.
De plus, je ne veux pas que lorsque on brasse une prise réseau, on touche au commutateur L3.
 
Car ce n'est pas toujours un technicien réseau qui sera amener à réaliser cette tâche.
Et une erreur dans le matériel de couche 3 impacterait TOUT le réseau interne (serveurs, utilisateurs, imprimantes...).
 

 
Comme expliqué au-dessus.
 

 
Dans mon cas, j'utiliserai le protocole VRRP au niveau des 2 routeurs. Vu que chaque commutateur aura 2 liens sur un routeur.
 

 
Premièrement séparer le réseau actuel en sous-réseaux permet :

• d'améliorer la maintenance à long terme.
• d'améliorer les performances, en augmentant le nombre de domaine de diffusion, donc les broadcast auront moins d'impact.
• d'améliorer la sécurité, ainsi pas de DHCP sur certains sous-réseaux (serveurs et imprimantes...) car actuellement un réseau sans aucune séparation logique ou physique, donc n'importe quel utilisateur modifie son adresse IP en mettant celle d'un serveur ou de la passerelle Internet, et c'est la merde.
• de contrôler et filtrer les flux entre sous-réseaux de façon plus fine.

En inconvénient :

• besoin de matériel de couche 3, donc achat.
• le réseau devient un peu plus "complexe" pour des non techniciens réseaux.

 
Voilà rapidement mes réponses.
 
Merci de votre aide, et n'hésitez pas à me critique ou m'apporter des informations.    

Ok pour les réponses, c'est déjà beaucoup plus censé
 
Pour les utilisateurs et imprimantes: HP 2510-48G Switch (J9280A), moins de 1000€
Pour les serveurs et équipements réseaux: HP 2910-24G al, moins de 2000€

Merci pour ta réponse rapide.
 
Je préfère utiliser du matériel Cisco, mais pour une question de coût et de cohérence dans l'infrastructure actuelle.
 
Je pense rester sur du matériel Dell :
 
Pour les serveurs :
 

• 2 x Dell PowerConnect 2824 (http://www.dell.com/fr/entreprise/ [...] ct-2824/pd)

Pour les utilisateurs, imprimantes :
 

• 2 x Dell PowerConnect 2848 (http://www.dell.com/fr/entreprise/ [...] ct-2848/pd)

Ces commutateurs me permettent de gérer les VLANs.
Et je regarde actuellement comment paramètrer un trunk sur un PowerConnect 2824, de formation Cisco, je suis perdu sur leur interface graphique...    
 
Pour les 2 routeurs qui s'occuperont du routage inter-VLAN, je ne sais pas encore quel matériel je vais prendre.
Il faut :

• 8 ports au minimum par routeur
• Port 1000BaseT
• Gère le protocole VRRP pour assurer la redondance

Merci de ton aide en tout cas  

Peu importe la marque, mais en effet prendre du Cisco si on a pas besoin d'une feature particulière qu'ils seraient seuls à proposer, ou qu'on a pas déjà l'ensemble en Cisco, ça serait dépenser de l'argent inutilement.
Aucun intérêt à séparer les serveurs et utilisateurs sur des switchs physiques différents: c'est exactement le rôle des vlans.
 

Le routage inter-vlans est "la" fonctionnalité pour laquelle on prends un switch "de niveau 3" (expression qui n'a pas vraiment de sens mais bon ...), prendre un routeur pour ça c'est bouffer le budget et perdre en performances, c'est pas pour rien qu'on achète des switch "d'accès" et des switchs "cœur de réseau".
Si vraiment tu persiste à vouloir des routeurs pour ça, alors attention à la différence entre "8 ports" et "8 interfaces réseaux", les 4 ports qu'on voit au cul d'un routeur série 800 ne sont pas des interfaces, c'est un switch très basique avec encore moins de fonctionnalités qu'un switch d'accès, tu te rendra vite compte que pour avoir 8 vraies interfaces réseaux ça va être des routeurs de coeur de réseau, type cisco 3500 et & (je connais très peu ces séries, je n'ai jamais eu à en utiliser hormis pour des simulations), et tu va déchanter en voyant le prix

 
Oui je sais pas qu'il n'est pas nécessaire de séparer physiquement les machines et que c'est l'intérêt des VLANs, mais dans mon cas, les serveurs ne sont pas dans le même local que la baie de brassage avec les utilisateurs.
 
Actuellement, un simple câble cuivre connecte le commutateur pour les utilisateurs et les commutateurs pour les serveurs.
 

 
Un commutateur L3 est de toute façon un routeur, car le commutateur commute et route les paquets désormais.
Donc quand je parle de routeur, c'est pour moi un commutateur L3.
 
Malgré des différences, c'est vrai, ainsi le routeur aura des ports WAN et bien d'autres caractéristiques.
 
Voici le commutateur L3 que j'ai vu de marque Dell :
 

• Dell 6224 (http://www.dell.com/fr/entreprise/ [...] ct-6224/pd)

Il convient parfaitement à mes attentes, il est sûr que niveau prix...
 
Par contre, je ne sais pas si il gère "router-on-a-stick" qui me permettrait d'utiliser un lien physique pour plusieurs interfaces logiques (une interface logique = un VLAN).
Cela simplifierait l'infrastructure, et m'éviterait de connecter un lien physique pour chaque VLAN.
 
Merci aspegic500mg !  

 
Il faudra penser à rajouter des câbles réseaux entre tes locaux car un seul câble cuivre ne va pas suffire pour les multiples redondances que tu as déssiné.
 
2 switchs 48 ports pour les utilisateurs parce qu'un seul 48 ne suffirait pas je suppose ? (n'oublie pas de compter au moins 2 x 2 ports pour les liaisons redondées vers les deux switch 24 ports, et encore 2 ports pour le lier à l'autre switch 48 ports, et oui ça descends vite avec le spanning-tree ...)
 
 

Il y'a des centaines de différences entre un routeur et un commuteur "L3" (cad qui fait du routage intervlans), et les deux ne s'utilisent absolument pas aux mêmes endroits et pour les mêmes choses, on ne substitue pas l'un à l'autre.
 
 

"router-on-a-stick" est un truc qu'on trouve ... sur un routeur.
Sur un switch, c'est bêtement un port trunk, et tous les switchs qui gèrent les vlans ont ça (mêmes les switchs d'accès)
 
 
 
Et la question à dix milles, pour la sortie vers l'opérateur, tu fais le routage avec un switch L3 ? (il paraît que c'est la même chose qu'un routeur   )

Oui j'y pensais actuellement.
Dans mon cas, j'ai 2 baies :

• une de brassage qui aura :

_____________les 2 commutateurs de couche 2 pour les utilisateurs et imprimantes ;
_____________les 2 commutateurs de couche 3 pour le routage inter-vlan ;

• une pour les serveurs qui aura :

_____________les 2 commutateurs de couche 2 pour les serveurs ;

Dans mon schéma actuel, j'aurai 4 liaisons cuivre entre les deux baies.

Il me reste donc à ajuster, car je pense que je ferai de l’agrégation de lien, vu qu'un port de base est à 1000 Mbps. Je ne sais par contre pas comment calculer cela, au pifomètre ?  

Tu as complètement raison.  

Oui mais le commutateur L3 gère le routage, on doit pouvoir configurer de type "router-on-a-stick" donc une interface physique divisé en interface logique (une interface logique = un VLAN) ?
Ou alors je devrais vraiment connecter une interface physique pour un VLAN ?

Dans le second cas, il me faudra plus d'interconnexions entre commutateur L2 et commutateur L3.

Concernant la route pour se connecter vers Internet, je configure une route statique par défaut vers mais 2 par-feux déjà en production.
Donc un genre de :

où x.x.x.x est ma passerelle sur les FW.

C'est eux qui gèrent ensuite.

Merci pour ton aide, c'est sympa de part !

 
Je mettrai les 2 switchs de routage dans la baie des serveurs, éliminant 2 switchs 24 ports inutiles.
 
Avant l'agrégation de liens pour le débit, commence par un simple spanning-tree, tu aura le temps pour travailler ça plus tard si tu juge qu'un lien gigabit n'est pas suffisant pour le trafic entre les pc clients et les serveurs.
 
 

T'es têtu avec ça, router-on-a-stick est une chose faisable uniquement sur les routeurs (encore une différence avec les "switchs L3", arrête de faire l'amalgame), car ils n'ont pas de port "trunk" comme les switchs, c'est pour ça qu'on fait des sous-interfaces.
1 port suffit, ça sera un port "trunk" qui transportera tous les vlans voulus, point.
 
 

Dans quel équipement veux-tu rajouter une route vers les pare-feu ?

 
Sauf que dans la baie des serveurs, je n'ai pas la place nécessaire pour mettre en place de nouveaux commutateurs, à part en virant les 2 commutateurs couche 2 actuel.
Mais comme expliqué je préfère bien différencier les 2 couches.
De plus, si je prenais ta solution, je devrais utiliser des commutateurs couche 3 de 48 ports.
 
Ou alors, j'ai rien compris, mais entre les commutateurs couche 2 et couche 3, je n'aurai pas de spanning-tree, ce protocole ne fonctionne qu'en couche 2 sur un LAN.
Donc sur des liens de niveau 3, il n'est pas possible de le mettre.
 

 
Je ne suis pas sûr de comprendre le fonctionnement du commutateur couche 3.
Pour résumer, je configure une adresse IP comprise dans mon VLAN et qui servira de passerelle pour tous les postes de ce VLAN ?
Et à répéter chaque VLAN ?
 
Comme pour un routeur ?
 

 
Cette route, je vais l'ajouter sur les 2 commutateurs de couche 3.
Ainsi lorsque un paquet arrive pour une destination inconnu (internet), il sera automatiquement envoyer aux 2 FW qui sont connectés à l'opérateur.
 
Merci pour ton aide

C'est ce qu'il faut faire
 

Quel gain de sécurité crois-tu obtenir en ne mettant pas les serveurs sur les switchs faisant le routage intervlans  
Ce point démontre ta non-compréhension du fonctionnement des vlans
 

9 serveurs (double carte réseau sur chaque) prennent 9 ports sur chaque switchs, rajoute à cela 6 ports utilisés sur chaque switchs (2 ports pour lier les deux entre-eux, et 2 ports sur chaque pour aller vers l'autre baie), avec des 24 ports il te reste encore pas mal de ports libres.
[/quotemsg]
 

[/quotemsg]
C'est bien ça, tu n'as rien compris
Dans ton cas, la seule différence entre le switchs "de niveau 3" (qui n'a rien à voir avec un routeur) et un switch "de niveau 2", c'est que l'un fait du routage intervlans et pas l'autre
 

Un "lien de niveau 3", dans cette expression tu ne vois pas une incohérence par rapport au modèle OSI  
 

Ton routeur/pare-feu (sortie vers internet et réseaux distants) aura une adresse ip dans chaque vlan ayant besoin de l'utiliser.
 

Même pas sûr qu'un switch soit capable de faire ce type de routage, à vrai dire je n'ai jamais essayé, en général on laisse une patte du pare-feu dans les vlans qui ont besoin de l'utiliser, c'est plus propre.
Si je trouve le temps d'essayer, ça m'intéresse pour ma maigre culture perso.
 

Je t'encourage à apprendre le routage intervlans avec ce que tu as déjà: un switch d'accès ("de niveau 2" ) dans lequel tu créer 3 nouveaux vlans (1 port suffit pour chaque) + 1 ports trunk sur lequel tu branchera une machine sous linux, tu configure les sous-interfaces, le routage, et tu teste tout ça, tu comprendra beaucoup mieux après ça
 
 
 
Et surtout, ceux qui lisent, svp corrigez-moi si je dis une connerie

Je préfère séparer les 2 couches pour la compréhension du réseau, je ne serais pas la seule personne à travailler et connecter des serveurs aux besoins, et il peut facilement foutre la merde en voulant bien faire vu qu'il agira directement sur le switch couche 3.

J'ai bien compris le fonctionnement des VLANs, ils servent à séparer et isoler des subnets, ce que j'ai du mal à comprendre c'est comment techniquement utiliser un commutateur L3.
J'ai tout le temps travaillé sur des routeurs classiques de chez Cisco avec généralement un seul lien "router-on-a-stick" vers un commutateur.

Actuellement les 9 serveurs physiques me prennent 19 ports (4 ports pour chaque ESX).
Et d'autres serveurs connectés avec deux ports, plus une sonde IP pour la température de la salle.

Je l'ai bien compris cela

Oui un lien n'est pas de niveau 3, mais niveau 2 ou 1 pour le média.

Pas besoin de mettre une adresse IP par vlan sur mon routeur/par-feu.
J'applique un port avec une adresse IP pour le réseau "switch L3 vers FW".

Et j'applique une route par défaut sur les switchs L3. Ainsi si le traffic ne concerne pas un subnet connu, il redirige sur les par-feux.

D'après les configurations que je vois sur ce lien, on peut : http://www.dslreports.com/faq/13563

Je comprends le routage inter-vlan, mais c'est le switch de L3 que j'ai du mal à assimiler.

Par exemple dans ton exemple, cela revient à du "router-on-a-stick" donc une interface pour plusieurs VLANs. J'aurai autant de sous-interfaces sur mon Linux que de VLANs.

Merci de ton aide

Pour comprendre le switch L3 :
 
imagine que c'est effectivement un router-on-a-stick, mais logique, au sein du même équipement, chaque "interface VLAN" ayant une connexion virtuelle dans le VLAN de niveau 2 sous jacent.

Merci pour ta réponse dreamer18.

Tu disais précedemment que cette personne n'aurait accès qu'aux autres switchs, faudrait savoir! Là elle aura accès à la baie donc potentiellement des conneries, qu'il y'ait 4 switchs ou 2, si c'est un mulet avec deux neurones et demi tu lui mets des câbles réseaux de couleur pour ceux à ne jamais toucher, c'est pas sorcier  
Avec les vlans ça ne change rien d'avoir 4 switchs au lieu de 2 au même endroit, tout est question de quels ports d'accès sont dans quels vlans, et des vlans transportés ou non par les trunk.
 
 

C'est pas vraiment ça, les vlans permettent à des ports situés sur des switchs différents de faire partie du même "switch virtuel" que défini chaque vlan, en gros; C'est pour ça que vouloir mettre tes serveurs sur un switch différent au même endroit est une hérésie: tu va juste perdre en performances, consommer de l'électricité, prendre de la place dans la baie, et dépenser 1000€ de switchs pour rien.
 
 

4 ports par serveur, t'a tant besoin de redondance et de débit que ça ? (ps: sur des gros transferts t'es limité par le débit du stockage de toutes façons)
 
 

Si tu peux te contenter des ACL pour filtrer ce qui passe entre les vlans, alors oui.
 
 

Oui, une sous-interface par vlan, et c'est la partie routage (très simplifiée sur un "switch L3", ou beaucoup plus complète sur un routeur, comme une machine linux) qui envoie les paquets par la bonne sous-interface (donc sur le bon vlan) en fonction du sous-réseau de destination.