Bonjour à tous,
 
N'étant pas habitué a construire le type de topologie qui suit je viens vers vous pour avoir des avis et conseils
 
Voilà ce que l'on me demande :
 
1 serveur contrôleur de domaine / exchange / stockage / DNS (il y aura environ 30 postes sur le réseau)
1 accès internet  
3 LAN différents ne devant pas se voir entre eux mais utilisant le même accès internet et le même contrôleur de domaine.
 
 
J'ai pensé faire ceci :
 
- accès internet et serveur sur le même lan : 192.168.0.0
- accès internet réalisé par un routeur / firewall
- routes gérées par le routeur bien sur et le firewall paramétré pour empêcher les lan 192.168.1.0 / 192.168.2.0 / 192.168.3.0 de se voir.
- matos relié sur un switch
 
 
Là où mon expérience va me manquer c'est de la façon où je vais gérer le DHCP pour les lan
J'imagine qu'il faudra que je créé des VLAN pour que ça soit plus propre ?  
 
 
Merci d'avance

Oui, tu fais des VLAN et un scope par VLAN sur le serveur DHCP.

Merci  
 
Tu me conseillerais quoi comme matos pour le routeur / firewall (en dehors des Cisco) ?
 
Côté switch chez nous c'est obligatoirement HP.

Pour une trentaine de poste un petit fortinet avec une licence antivirus et antispam serait pas mal je pense. Une solution pas trop couteuse avec la sécurité un filtrage antivirus et antispam sans mettre de proxy en place !
 
Pour la topologie logique :
 
INTERNET ----- FIREWALL ------- SWITCH HP ------ VLAN 2
                                                               ------ VLAN 3
                                                               ------ VLAN X
                                                               ------ VLAN serveur (pour l'AD).
 
Si l'exchange doit recevoir les mails de l'extérieur directement (serveur SMTP pour l'entreprise, il faudrait peut-être le mettre ne DMZ du Firewall plutôt que sur un VLAN...
 
Voila pour mon avis...

Merci
 
Pour la trentaine de poste c'est à confirmer.
Pour exchange la redirection du port SMTP depuis le parfeu vers le switch n'est pas suffisante ?  
Vu le budget le serveur AD fera aussi serveur exchange J'aimerai éviter de le coller sur la DMZ

Pour la redirection de ports ca fonctionnera mais je disait ca pour isoler les serveur public des autres... Mais bon si tu fait tout avec le meme serveur, fait le comme ca. Fait bien attention au règls de firewall et au ACL sur le switch.
 
AU niveau sécurité je ne pense pas que ca pose de soucis majeur le fait qu'n serveur public soit sur un VLAN meme si ca ne permet pas une utilisation "logique" du Firewall. A confirmer par les pros de la sécurité !!

 
Mon projet avance : on va réaliser la configuration.
D'après HP un switch 2510 (48 ports) suffit largement pour notre projet.
C'est un swith niveau 2 et là je suis surpris : c'est possible ça d'assigner des adresses IP via mon seul serveur sur un swicth niveau 2 J'aurai pensé qu'un switch niveau 3 aurai été nécessaire non ?

pas compris la question.
PAr contre, le cout du serveur  mail en interne, mais dans un autre vlan, c'est une catastrophe en terme de sécu.
Si tu veux bien faire, tu mets une passerelle en DMZ (soit applicance, soit une machine linux avec un postfix) qui reçoit les connexions, et les forwarde vers l'exchange en interne.

Je vais reprendre le schéma donné plus haut :
 
Pour la topologie logique :  
 
INTERNET ----- FIREWALL ------- SWITCH HP ------ VLAN 2  
                                                               ------ VLAN 3  
                                                               ------ VLAN X  
                                                               ------ VLAN serveur (pour l'AD).  
 
Le switch fourni pour le projet est un procurve 2510 : switch de niveau 2.
Je peux donc créer mes VLAN mais pas faire de routage.
 
Il est clair que je n'ai pas d'expérience sur ce type de montage c'est pourquoi je vous demande des conseils éclairés
 
 
Le projet est résumé au premier post, le serveur sera un SBS (je peux lui ajouter une carte réseau et utiliser ISA server au pire).
Concernant la sécurité je pensais qu'un simple firewall entre internet et le serveur suffirait ?
 
 

pour le FW, tu penses a quoi ?
Parce que si switch layer 2, il faut penser a ce que qqun fasse du routage, et ca pourrait etre le FW, s'il tient la route.
Et dans tous les cas, si tu dois recevoir des connexion de l'extérieur, il te FAUT une DMZ avec une paserelle, au moins pour splitter les connexions entrantes ...
Pour le FW, appliance ? passerelle home made avec un PC ? routeur soho à 2 balles ?
Si tu l'as pas, et que tu dois en acheter un, vérifie qu'il supporte le 802.1q (trunking) comme ca tu pourras simplement le connecter au switch ..

Merci pour ta réponse.
 
 
Au départ on doit me fournir un Netgear DGFV338 (à mon avis il ne supporte pas le 802.1q).
Concernant la sécurité j'aborderai le sujet quand je serai pleinement rassuré côté switch.
C'est la première fois que je met en oeuvre des vlans alors je me pose des questions.
 
J'imagine que le port du switch où sera relié le routeur devra avoir un statut spécifique permettant de voir tous les VLAN ?
 
 
EDIT : peut être que je me plante complétement dans le schéma réseau à adopter pour ce projet ?

avant de dire qu'il ne supporte pas le 802.1q, as-tu seulement regardé de quoi il s'agissait ??
Si t'as pas envie de chercher un peu, arrete de suite ...

 
Oui je sais ce que c'est ! Le transport des tags VLAN sur une trame standard (arrêtes moi si je me trompe )
 
En gros je définie sur mon switch un port trunk taggé et hop mon autre appareil doit comprendre ce qu'il reçoit et donc savoir gérér les VLAN (je viens peut être de répondre à ma question là non ?)

Petite précision : je reçois le switch demain, je n'ai donc pas manipé encore dessus.
Je vais donc quand même tester un petit peu tout ça avant de t'ennuyer avec des questions qui trouverons réponse pendant mes tests.
 
La seule chose dont je suis sur en effet c'est qu'il va me falloir un routeur supportant la gestion des VLAN afin d'établir mes communications inter-vlan.

certains switches peuvent faire du routage intervlan. C'est un peu bête d'utiliser un router on the stick

Oui je sais  J'ai réussi à faire changer pour le projet le switch par un HP 2610 !
 
Tout fonctionne impec dessus : reste les acl à programmer et hop
 
Merci pour votre réponse.

Pour le firewall je te conseille un USG100 de ZyXEL pour 550 euros HT gère les VLan DMZ port Giga 2 ports Wan il peut etre doubler pour faire de l'actif passif.
Je te cache pas que je bosse pour ZyXEL mais vu ta demande ça correspond bien.

 
Je vais regarder l'USG100 de plus prêt