Reprise du message précédent :

C'est pas très compliqué, la théorie est facile à apprendre, un peu d'entrainement et rulz. Tu fais un plan de réseau qui correspond et tu l'appliques
edit: Ca dépend pas de la taille de l'entreprise (sauf si y'a 2 types ) et c'est plus sécure/logique

XaT

 
Ben oui. Mais si tu veux que chaque service soit connecté au routeur sans passer par l'autre switch tu veux faire comment ? t'as pas le choix, et le STP ne te libère pas de cette contrainte il permet seulement de couper un des liens automatiquement et de le réactiver au cas où un autre tombe. C'est juste de la tolérance de panne ça ne te donne pas un routage plus intelligent.
 
Si tu veux garder tous tes liens actifs et que tes paquets soient dirigés intelligemment, alors il te faut des switchs L3 avec un subnet par zone, et du routage entre chaque, mais c'est complètement overkill à tout point de vue.

Pourquoi des switchs L3 ?
 
Un subnet/vlan par zone et tu fais du spanning tree par vlan pour garder tous les liens actifs.

Faut voir ce qu'il fait son R&D aussi .. Si c'est du lab IT ou si c'est pour du bureau d'étude sur autocad  

Et avec ses bouses de switch à 150€ il va être mal barré pour du L3, et son pauvre routeur risque de se suicider à la moindre impression en PS ou autre trafic dense, si il y a un peu de sécu dessus  

bah pour éviter de remonter par un routeur qui va certainement faire du firewalling et qui a bien souvent un fond de panier crados (au mieux giga)

Je ne sais pas si le routeur fait STP, je ne pense pas.
Je donne plus d'info.
Je serai curieux de savoir comment vous vous feriez avec vos compétences (qui sont certainement bien meilleures que les miennes).

J'ai à ma disposition le matériel suivant:
- 1 routeur du FAI en mode bridge (j'ai pas la main dessus)
- 1 routeur Zyxel USG 60
- 2 switches TP-Link SG3424 de 24 ports
- 2 points d'accès wifi (qui auront le même SSID)
- 1 (futur) NAS
- 2 imprimantes

Voici ce qu'il y a comme prises/utilisateurs:

- R&D : 9 personnes + 1 point d'accès + 2 serveurs
- Opérations : 8 personnes + 1 point d'accès + 1 serveur + 2 imprimantes
- Support & Logistique : 2 personnes
- Salles de réunion : 8 prises RJ
- 1 prise RJ dans la salle détente

Voici mes besoins:
- Tout le monde se voit
- L'équipe R&D n'impacte pas l'équipe opération quand ils utilisent les serveurs, et vice versa
- Tout le monde accède au NAS et peut y faire ses transferts

Voili voilou

Edit: je viens de voir vos réponses alors que j'étais en train d'écrire

T'as un plan qui traine ?
Sinon pourquoi tu veux que tout le monde se voit ?
Si chaque service a ses serveurs pourquoi ça impacterait les autres ? Si c'est les switchs qui te font peur ils doivent avoir un fond de panier de 48gb donc ça va
Le nas tu as une réponse plus haut

T'as pas de partie admin/compta ? Et toi t'as pas de serveurs ?

Nous manque les services et ce qui sort sur l'extérieur aussi

XaT

Plan des locaux ?
Je veux que tout le monde se voit par simplicité, mais en y réfléchissant, c'est peut être pas forcément utile oui.

Par contre, les imprimantes sont utilisées par tout le monde.

Pas de partie administrative ni de compatibilité, c'est sur un autre site.

Moi je fais parti de la R&D

Sortie vers l'extérieur, c'est principalement du net (site oueb), accès à notre salle blanche via VPN via rdp windows pour les opé/r&d et support, la logistique se connecte en vpn sur un autre site via un client pour utiliser Sage.

 
parce que sinon :
 

sérieusement regarde son UTM: http://www.zyxel.fr/products/zyxel [...] ice-bundle, 120 Mbps en usage UTM, je suppose que ça veut dire IMIX
 
déja rien que son UTM sera un sacré goulet si on a un découpage clean avec les copieurs.
 
à la limite chaque réseau avec son VLAN PC/serveurs/copieur/borne wifi, un agrégat 2giga entre les switchs, et si sur les imprimantes on peut déclarer 2 ip (une en access l'autre en taguée), il est le roi du pétrole. Sinon mettre l'imprimante la plus utilisé sur le vlan qui l'utilise le plus, parce que son zyxel va déguster sinon  

nucl3arfl0 tu essayes de couper les cheveux en quatre pour un enjeu manifestement assez faible. Branche chaque switch au routeur par un câble et basta.
En théorie tu pourrais mettre du STP pour la redondance mais qui dit redondance dit monitoring sinon ça sert à rien. Bref te casse pas la tête avec ça.
 
Si tu veux passer du temps dessus mets plutôt en place des vlans, ce sera plus utile. Mais quand on parle d'une boîte de 25 personne et qu'on a des compétences limitées je pense que c'est pas du temps très bien utilisé, sauf si ton but est justement d'apprendre des choses en réseau auquel cas pourquoi pas.

Le coup des vlan ça m'intéresse grandement. C'est certes pas mon métier, mais comme j'ai du temps à passer sur l'it, autant faire les choses bien.

Je suis juste pris par le temps car on déménage le 24, et je voulais commencer à câbler dès demain.

Ah t'as un autre site ? Y'a pas d'admin réseau pour tout ça
Si t'as pas besoin qu'ils se voient tu bloques/sépares. L'imprimante c'est pas compliqué de la foutre accessible.
T'as combien de site ? C'est quoi cette sale blanche ? C'est exhaustif tes sorties ?

edit: un plan de réseau (actuel/prévu) pas des locaux

XaT

J'ai 3 sites, mais ils ne sont pas interconnectés et ils ne communiquent quasiment jamais entre eux.
Quelques rares fois, il y a une connexion VPN qui se fait du site où je suis vers le site de Paris pour accéder à l'outil Sage, mais c'est très ponctuel.

Donc je résume pour les VLANs:
- 1 pour la r&d et ses serveurs
- 1 pour les opérations et leurs serveurs
- 1 pour le support et la logistique
- 1 pour les 4 salles de réunions
- 1 pour les points d'accès wifi ?
- 1 pour les imprimantes ?

Et au niveau branchement physique entre les deux switchs ?
 
Je dois avoir un plan des locaux actuels, mais ca va changer dans les nouveaux locaux (et ce plan là je ne l'ai pas, désolé )
Les sorties, oui c'est quasiment tout, je ne vois rien d'autre.
La salle blanche c'est chez un hébergeur. Mais il se posera tôt ou tard la problématique du vpn tel qu'il existe actuellement (connexion à la demande via rdp) ou en connexion intersite (et là sans VLAN je crois bien que je vais galérer effectivement).

(et non il n'y a pas d'administrateur réseau, je gère tout ça 20% de mon temps global, donc c'est pas évident pour moi, je fais ce que je peux mais je veux le faire bien).

Citrix  

J'ai cherché un peu pour les vlans:
 
R (DHCP) -- SW1 (L2) -- SW2 (L2)
 
Sur SW1:  
- VLAN 1 - 192.168.30.0/24 (r&d) DHCP + Fixe
- VLAN 2 - 192.168.31.0/24 (Support / Logistique / autre) DHCP
 
Sur SW2:
- VLAN 3 - 192.168.32.0/24 (opération) DHCP + Fixe
- VLAN 4 - 192.168.33.0/24 (réunion) DHCP
- VLAN 5 - 192.168.34.2 et 3 (imprimantes) Fixe
 
Pour les PA 1 et 2
- VLAN 6.1 - 192.168.35.0/24 (Point d'accès 1) DHCP
- VLAN 6.2 - 192.168.35.0/24 (Point d'accès 2) DHCP
 
1) Le VLAN 0, c'est celui où y a le routeur, les switchs, et les PA, c'est le VLAN par défaut non, pas besoin de créer un VLAN dédié pour ça ?
2) Le serveur DHCP peut balancer les baux au travers des vlans (y compris les PA) ?
3) Ca vous semble déconnant comme config ?
4) Il faut spécifier ensuite les routes vers le routeur pour le net non ? Et les routes entre certains VLANs (imprimantes par exemple) non ?
 
Merci
 
 

 
Detterrage de forumeur!!!  

ça n'exsite pas VLAN 0, c'est VLAN 1 celui par défaut    
 
En clair ton switch 1 sert d'intermédiaire entre SW 2 et routeur? Faut remonter les VLAN que va gérer ton routeur justement (ton routage intervlan ne se fait pas au niveau switch je suppose? )
 
C'est en train de partir dans un merdier d'anthologie pour 25 pekins  

 
1) non le vlan0 ça n'existe pas, ça commence à 1
2) pour peu que ton serveur DHCP ait une patte dans chaque vlan oui
3) non
4) route par défaut, pas besoin de plus

- Un VLAN pour le matos actif
- Un VLAN pour les serveurs  
- Un VLAN pour les pc
- un VLAN pour les imprimantes
 
Enfin perso je ferais comme ça mais je suis pas admin résal
 
Si déjà tu fais du VLAN, sépare au moins les serveurs.
 
Edit: Pour le point 2 non il n'y a pas besoin d'avoir une patte dans chaque VLAN pour le DHCP

pour faire simple c'est ni plus ni moins que de la plomberie, et ton routeur c'est le mélangeur.

Faut t'aligner sur ton moins disant, dans le cas présent ton Zyxell. Compte pas plus de 20-30 Mo/sec en mode routage interne

Chaque VLAN que tu fais, ça doit être commun entre tes switchs pour les tagués et remonter jusqu'au routeur

Exemple:
les port 1 à 10 c'est VLAN 1, 11 à 20 VLAN 2, 21 à 23 VLAN 3.
Un port qui n'utilise qu'un seul VLAN et qui ne tague pas ses paquets est dit en mode "access"
Un port qui peut faire passer plusieurs VLAN est dit tagué (ou trunk). Ce port peut être utilisé dans avoir de paquets tagués (défini par un PVID,1 par exemple), et aussi faire passer des paquets tagués (tes vlan 2 et 3)

En clair ces ports là servent d'uplink.
Les ports qui font passer un VLAN tagué doivent obligatoirement matcher entre eux (le VLAN 3 tagué doit être reçu en VLAN 3 tagué). Pour la vlan défini en non tagué (via PVID), tu peux envoyer du vlan 1 du premier switch et le récupérer en tant que vlan 4 par exemple sur l'autre switch, le paquet n'est pas tagué donc osef (accessoirement c'est le principe quand tu fais de l'interco)

Bref, chaque VLAN que tu fais, tu balances du DHCP dedans, mais pour les faire communiquer, t'es obliger d'utiliser du routage.
Si t'as des switchs qui le permettent (niveau 3) et pas de contrainte forte en terme de sécu, tu peux les utiliser, t'aura un bon fond de panier. Si ce n'est pas le cas, autant anticiper la charge que va devoir assumer le pauvre zyxell. Si en terme de trafic c'est calme, tu peux faire un vlan serveur, si t'as du bourrin, autant limiter les dégats en cantonnant le gros trafic au sein d'un même sous réseau pour éviter de le solliciter et qu'il devienne un goulet

A mon sens tu n'a pas le matos en adéquation avec des best practice évoquées, à la limite cloisonne juste tes 2 services avec leurs ressources respectives et ça sera bien plus simple et surtout fonctionnel.

Oui je n'ai pas de switch L3, pas de routage intervlan à ce niveau.
Les ports d'uplink dont tu parles, c'est pour relier 2 switches sur un même VLAN ?
 
Le routage DHCP se fait au niveau de chaque switch ou du routeur ?
 
Pour ta dernière phrase, ça reviendrait à ce que proposait missardonik de coller les deux switches au cul du routeur, 1 switch par "gros" service (en gros r&d et opérations) ?
 
Sinon à la limite:
1 VLAN pour le matos réseau
1 VLAN pour la r&d et ses serveurs
1 VLAN pour les opérations et ses serveurs
1 VLAN pour le reste (logistique, support, imprimantes, wifi)
 
Mais si le matos convient pas, bah je fais au plus simple et au plus performant...

Plus je lis sur le net et regarde les interfaces se configuration, plus je commence à mieux comprendre la situation.

Je resterai bien sur les vlans suivants :
- R&D + serveurs
- Opérations + serveurs
- Support, Logistique, etc
- WiFi
- Imprimantes

Le seul partage que j'ai besoin de faire, c'est le vlan des imprimantes vers les autres, et l'accès au net.

Donc je comprends très bien que le routeur fera un peu la gueule quand y aura des grosses impressions (mais c'est rare).
Les imprimantes sont IP fixes, mais j'imagine que ça change rien, vu que mes switch sont pas l3, il faut faire l'aller retour au routeur...

Sinon c'est pas prévu que j'utilise tous les services utm, on verra.
En tout cas, merci pour vos réponses, c'est très instructif, j'apprends bcp de choses.

en fait c'est ca, l'uac s'est reactivé, il faut que je clique dans taskmgr pour voir tout les process etc

bordel meme pas

les port d'uplink en mode trunk oui ça permet de faire passer plusieurs VLAN (en general un vlan non tagué et tous les autres en tagués) dans une même interface (simple ou agrégat)
 
Oui soit tu pars sur option VLAN ou sinon tu ne te casses pas la tete et tu fais un switch par service.
Le jour où un switch crame tu sera en plug&play, pas de conf à réinjecter/convertir si t'as pas le même matos, surtout si tu ne maitrises pas super bien le sujet
 

 
Oui voilà je te conseillerais de partir sur ce schéma là.
 
Un dernier conseil évite l'utilisation du vlan1 pour tes sous réseau (cantonne le à vlan d'administration des switch) car il est souvent utilisé par les équipements réseaux pour la communication entre protocoles.

Bonjour,
 
J'ai besoin d'idée pour sécuriser un réseau,
Explications :
-Site distant relié en MPLS sur un site central
-Sortie internet sur le site centrale
 
Matériel dispo sur site distant :
-Firewall Fortigate
-Switch L3
 
Besoin :
Des utilisateurs d'une structure externe vont incorporer les bureaux du site distant, ils auront besoin d'accéder a certaine ressource interne et a internet, je comptais créer un VLAN etc, mais le soucis, c'est qu'on a pas forcément de controle sur le site et les utilisateurs pourront changer de bureau, donc rien ne les empechera d'aller sur le VLAN des users interne
 
Une idée pour sécuriser ca ?

Quelqu'un s'y connait un peu en matos fibre ici ?
On a des liens fibre noire entre nos sites et on envisage de changer de constructeur (Multiplexeurs, châssis + Cartes SFP <-> Ethernet)

 Tu peux Utiliser une authentification radius. ou des VLAN de niveau 3

 
si tes utilisateurs externes partagent les prises réseau avec les utilisateurs normaux t'as pas tellement le choix je pense, il te faut du 802.1x.

Le radius c'est chiant a configurer coté poste ? enfin compliqué ?  
 
sinon le Fortinet fait aussi du portail captif avec ldap

c'est chiant côté poste, switch et serveur  

[quotemsg=42307953,152097,81019]
 
 
Si tu savais le nombre de "femmes de ménage" qui ont cassé des ordis et des téléphones chez nous...   [/quote]
 
J'ai une fois eu l'utilisatrice qui lorsque je lui ai fait une remarque sur l'état déplorable de son pc, sa tablette et son gps m'a simplement répondu que je devrais facilement comprendre. Quand elle circule en voiture, elle laisse le tout (hors de sa housse) sur le siège passager et que donc forcément quand elle freine brusquement, le tout va taper dans la boîte à gant. Con que je suis de ne pas comprendre ça.
 
 

Par curiosité, tu as quoi comme constructeur actuellement ? Pour comparer avec ce qu'on a chez nous, voir un peu ce qui se fait chez le concurrent pour voir si c'est mieux Nous c'est du Ciena

CTCU et on a des galères avec les cartes de management (genre ça répond au ping quand ça veut.)

Nous avons déja un serveur Radius pour le Wifi, ca peux s'utiliser pour d'autre profil aussi ou faut un autre serveur ?

bah ça va être difficile de te répondre sans savoir quel est ton serveur radius mais y'a de bonnes chances que oui.

En parlant de wifi, est-ce que un PA sans mot de passe, avec un système de Whitelist sur adresse mac, sécurise/crypte whatever transaction de données entre le device et le PA ? Je pense que non, mais du coup ya pas moyen de crypter la transaction avec un systeme de whitelist par adresse mac ?

On a des petits trucs mineurs genre le backup de config qui échoue pour une raison inconnue et qu'il faut relancer à la main, de temps en temps une carte de SFP qui plante et qu'il faut remplacer/réinsérer dans le slot. Et le soft de configuration qui fait assez usine à gaz, mais c'est dur à éviter vu la nature de l'engin à configurer  
Ah et le polling SNMP qui ne doit pas trop être agressif sinon le management n'aime pas trop, en effet. La même que toi en fait