Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Shop Recherche
667 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Partage d'un accès fibre entre plusieurs sociétés

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Partage d'un accès fibre entre plusieurs sociétés

n°152079
dimitri222
Posté le 15-02-2018 à 21:18:33  profilanswer
 

Bonjour à tous,  
 
La société pour laquelle je travaille désire partager son futur accès Fibre dédiée 200Mbps entre plusieurs sociétés situées dans plusieurs bâtiments mais connectés par des fourreaux de câbles déjà présents.  
 
Le but serait donc de partager la bande passante internet tout en isolant les sociétés entre elles.
 
Comment faire cela de manière la plus simple possible ? Utiliser un switch avec plusieurs VLANs ? 1 VLAN par société et le port de la livebox en commun ? Utiliser plusieurs routeurs ? plusieurs firewalls ?
 
La plupart des sociétés ayant déjà un réseau propre configuré, est-il possible de conserver cet adressage ou dois-je envisager un sous-réseau par société et leur imposer cette organisation ?
 
En vous remerciant mille fois pour votre temps,  
 
Bien cordialement,  
 
Dimitri

mood
Publicité
Posté le 15-02-2018 à 21:18:33  profilanswer
 

n°152081
nnwldx
Posté le 15-02-2018 à 22:20:47  profilanswer
 

Il faudrait déjà voir si un seul accès mutualisé est possible, est ce qu'ils ne vont pas tous avoir une redirection de port sur le 443 ? est ce que plusieurs IP est possible ?
Sinon un routeur mutualisé et chacun avec son réseau et ses switchs derrière.


Message édité par nnwldx le 15-02-2018 à 22:21:13
n°152083
Micko77666
Posté le 16-02-2018 à 07:32:36  profilanswer
 

Peut être aussi prévoir un équipement pouvant attribuer une bande passante par port. Sinon tu risques D avoir une société qui bouffe toute la connexion.
 
Tu peux mettre un routeur/firewall Fortinet 100E par exemple qui va pouvoir t'offrir dans les 16 ports pour avoir un contrôle dz flux, des vlans par société etc...


Message édité par Micko77666 le 16-02-2018 à 07:34:18
n°152084
ShonGail
En phase de calmitude ...
Posté le 16-02-2018 à 07:32:58  profilanswer
 

Il te faut un routeur apte à gérer de multiples LAN et faire du traffic shaping.

n°152092
dims
if it ain't brocken, mod it !
Posté le 16-02-2018 à 14:14:29  profilanswer
 

et histoire de limiter les soucis le jour ou Hadopi/les flics/autre vont s'en mêler, une IP propre a chaque boite.
 
comme ça, chacun est responsable de ses accès

n°152104
dimitri222
Posté le 16-02-2018 à 21:57:02  profilanswer
 

Bonsoir et merci pour ces réponses !  
 
Oui, il y aurait 6 adresses IP donc idéalement 6 sociétés possibles par offre, et il s'agit d'un accès fibre dédiée (FTTO). Pour limiter les coûts, nous pensons prendre un abonnement 100 à 200Mbps et le partager car le tarif est dégressif.
 
Donc, cela donnerait : Box fibre -->ROUTEUR/FIREWALL/VLAN PRINCIPAL------>Switch avec modules fibre----------->fibre desserte interne------------>Routeur secondaire société2 (DHCP/DNS)-->switch société2
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société3 (DHCP/DNS)-->switch société3
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société4 (DHCP/DNS)-->switch société4                                                                
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société5 (DHCP/DNS)-->switch société5
                                                                                                                                                         ----------->fibre desserte interne------------>Routeur secondaire société6 (DHCP/DNS)-->switch société6
 
Est-ce que cela se tient ? On peut également peut-être supprimer les routeurs dans chaque société avec un DNS/DHCP directement géré depuis le ROUTEUR/FIREWALL/VLAN PRINCIPAL et arriver directement sur un switch dans chaque société ?
 
Savez-vous si on peut définir les 6 adresses IP dans le ROUTEUR/FIREWALL/VLAN PRINCIPAL ou si on doit prévoir un routeur secondaire dans chaque société avec chacun son IP ? Quelle est la configuration la plus cohérente selon vous ?
 
En vous remerciant mille fois encore !! :)
 

n°152106
Zaxe
J'ai aqua-poney
Posté le 17-02-2018 à 15:39:33  profilanswer
 

Minute papillon sur les adresse IP !
 
C'est un /29 si tu as 6 IP.
Dans les fait ca veut dire 4 IP adressable car la premier IP du pool est l'adresse réseau et la dernière IP du pool celle du broadcast.
 
Il faut prendre un /28 qui offre 12 IP utilisables. Mais plus onéreux.


---------------
En dépit de son handicap racial cet homme est extrêmement valable à mes yeux. "Hunter S. Thompson - Las Vegas parano"
n°152118
Priareos
Gruiiiiiik
Posté le 19-02-2018 à 09:46:11  profilanswer
 

Si c'est /29 c'est 6 hosts + network + broadcast.

n°152119
skoizer
tripoux et tête de veau
Posté le 19-02-2018 à 10:15:05  profilanswer
 

Hello
pas besoin de X ip wan. Mais chaque société aura une passerelle differente.  
entre ta box et tes X société tu peux mettre un Stormshield
Attention ce n'est pas un réseau internet public, dans le cadre d'une entreprise privé ce n'est pas la même chose.  
Il permet de tout logguer.  
de faire du multi wan (par exemple un adsl pour le secours)
de segmenter les differents reseau.
de faire de l'ips
de la QOS
antivirus  
etc...
 
Tu devras aussi partager le cout de maintenance de ce Firewall/routeur avec les autres partenaire.
Mais il y gagnerons en securité.
 
Zaxe, tu te trompe dans tes calculs de plage
255 . 255 . 255 . 248 = 29 (1111 1111 . 1111 1111 . 1111 1111 . 1111 1000 )
pour le reseau exemple 90.2.2.0
90.2.2.0 = reseau (dernier octet 0000 0000 )
tu as de dispo :
90.2.2.1 (dernier octet 0000 0001 )
90.2.2.2 (dernier octet 0000 0010 )
90.2.2.3 (dernier octet 0000 0011 )
90.2.2.4 (dernier octet 0000 0100 )
90.2.2.5 (dernier octet 0000 0101 )
90.2.2.6 (dernier octet 0000 0110 )
90.2.2.7 = brodcast (dernier octet 0000 0111 )


Message édité par skoizer le 19-02-2018 à 10:16:36

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°152274
dimitri222
Posté le 22-02-2018 à 18:52:54  profilanswer
 

Bonsoir et merci mille fois pour ces réponses !
 
Je viens de laisser un message au commercial Orange pour confirmation, mais apparemment, il est possible de commander autant d'IP que nous voudrons.  
 
Je n'avais pas pensé au broadcast Zaxe, merci pour cette piqûre de rappel !
 
Donc en considérant ce que tu dis Skoizer, avec ce firewall Stormshield je pourrai le connecter directement sur la box Fibre d'orange (ou bien même peut-il la remplacer ?) et ensuite en existe t'il avec des modules fibre afin de tirer une desserte jusque dans chaque société ? (arrivée sur un switch avec module fibre)

mood
Publicité
Posté le 22-02-2018 à 18:52:54  profilanswer
 

n°152278
nnwldx
Posté le 22-02-2018 à 20:18:09  profilanswer
 

Tu dois avoir moyen de te passer de la box d'Orange en configurant un vlan, mais ce n'est peut être pas forcément une bonne idée.
Pour la fibre cela arrivera plus sur un switch qui sera ensuite connecté au firewall.

n°152284
skoizer
tripoux et tête de veau
Posté le 23-02-2018 à 08:26:54  profilanswer
 

il te faudra toujours le modem routeur orange.
 
cela ferait comme cel
INTERNET-->MODEM/ROUTEUR ORANGE--> plage ip avec VLAN --> ROUTEUR UTM (stormshield ou autre) --> vers tes differentes societés
 
tu peux mettre des modules fibre sur le stormshield.
Ou tu peux brancher le stormshield sur un commutateur et tu utilise la fibre des commutateurs. Tu as plusieurs ports sur les stormshiel, tu tagger les ports
 
les modems opérateur, tu n'as pas beaucoup de possibilité de configuration lan. Mieux vaut passer par un équipement que tu maîtrise.
 
essaye de contacter un revendeur.


Message édité par skoizer le 23-02-2018 à 08:27:38

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°152285
dimitri222
Posté le 23-02-2018 à 08:38:20  profilanswer
 

Très bien, je vais appeler mon fournisseur aujourd'hui pour demander ce qu'il me propose !
 
Je vous remercie beaucoup pour votre temps et votre réactivité, et vous tiens au courant de l'avancement du projet.
 
Bonne journée :))

n°152314
Zaxe
J'ai aqua-poney
Posté le 23-02-2018 à 20:44:15  profilanswer
 

Priareos a écrit :

Si c'est /29 c'est 6 hosts + network + broadcast.


J'ai été trop vite.


---------------
En dépit de son handicap racial cet homme est extrêmement valable à mes yeux. "Hunter S. Thompson - Las Vegas parano"
n°152315
Priareos
Gruiiiiiik
Posté le 23-02-2018 à 22:23:14  profilanswer
 

Ça arrive, rien de grave.

n°160746
dimitri222
Posté le 19-02-2019 à 22:33:40  profilanswer
 

Bonsoir à tous les amis !
 
Après plusieurs mois sans évolution, je suis désolé de ne pas avoir donné de nouvelles, mais il y a du nouveau et je me permets donc de déterrer ce post :)
 
Le choix a été fait d'une fibre dédiée 500mbps qui sera répartie sur ma société et 4 autres.
 
Après coup de fil à notre fournisseur, celui-ci m'a parlé des solutions Watchguard, dont le seul firewall coûte près de 5000€...
 
Sachant que nous ne souhaitions pas investir autant d'argent dans ce projet (nous devons également tirer des fibres entre les bâtiments plus pas mal d'à côté), auriez-vous une idée d'architecture permettant de gérer la sécurité et la QOS (pour dédier 100Mbps par société) sans pour autant dépenser autant en infra ?
 
Ma vision aurait été d'arriver à quelque chose comme ça :
 
https://image.noelshack.com/fichiers/2019/08/2/1550610912-schema.jpg
 
Fibre 500Mbps ->un routeur/firewall principal (genre fortigate 50e? Stormshield ?)-> 5 liens SFP vers 5 routeurs secondaires ayant chacun son IP publique.  
Fais-je fausse route ?
 
Merci encore pour vos lumières...

n°160762
Micko77666
Posté le 20-02-2019 à 09:06:26  profilanswer
 


C'est hors de prix, chez nous, nous sommes sur un Cluster fortinet 90E ça te coute bien moins chers !  
 
Perso je partirai sur un Fortinet 101E (dans les 2000€) tu peux faire ce que tu veux avec après.

n°160763
ShonGail
En phase de calmitude ...
Posté le 20-02-2019 à 09:18:40  profilanswer
 

Attention, y'a pas que le prix d'acquisition.
Faut regarder le coût des licences pour activer les fonctions voulues sur l'appliance, également le prix des clients VPN, etc.
 

Micko77666 a écrit :


nous sommes sur un Cluster fortinet 90E ça te coute bien moins chers !  


 
Ca marche bien le cluster fortigate ?
Dur à mettre en place ?
Cela double le coût des licences ?

n°160765
skoizer
tripoux et tête de veau
Posté le 20-02-2019 à 09:29:38  profilanswer
 

si c'est pour mettre un équipement de securité ou personne ne gére rien...
c'est une trés mauvaise solution.
pas d'argent et pas de compétence. Tes choix sont limités.
 
pour ma part, je mettrai une fibre par société...

Message cité 1 fois
Message édité par skoizer le 20-02-2019 à 09:30:44

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°160768
clockover
That's the life
Posté le 20-02-2019 à 09:38:31  profilanswer
 

Cela dépend du budget, des compétences, de la proximité des sociétés et du dimensionnement de celles-ci.
 
Un "bête" ZyWall USG fait le travail pour 400-500€ si c'est des petites sociétés (0-10 personnes).  
Par contre la gestion du WAN sera sur le même équipement pour toutes les sociétés.


Message édité par clockover le 20-02-2019 à 09:39:59
n°160770
Micko77666
Posté le 20-02-2019 à 10:09:08  profilanswer
 

Ca marche bien le cluster fortigate ?  
Dur à mettre en place ?  
Cela double le coût des licences ?  
 
Au total nous avons 24 Fortigate chez nous, du 60E pour les petits sites, et un cluster 100D et un Cluster 101E. Franchement rien à redire ça marche au top. Et à configurer moins de 5min. Les licences sont par équipements (donc même en cluster faut acheter x2).
 
Après pour le projet de Dimitri, selon le nombre de personne tu as chez Fortinet de 600€ à ... no limit. Et pour les licences, il y a pas d'obligation de les prendre :)

n°160781
dimitri222
Posté le 20-02-2019 à 14:21:20  profilanswer
 

La société principale chez qui arrive la fibre compte 12 employés et même chose pour les autres (entre 5 et 10 personnes max par société), soit au total entre 30 et 60 personnes seront derrière le firewall.
 
En terme de compétence, je suis administrateur système et il m’arrive de configurer des équipements divers  type routeurs VPN, ponts radios et smart switches, mais je n’ai pas d’expérience en terme de sécurité avancée, trafic shaping, load balancing, etc... et surtout concernant cette volumétrie d’utilisateurs...
 
Du coup, la solution Fortinet 50e  semble possible d’apres toi Micko77666 ? les 5 interfaces LAN distribueraient 5 routeurs secondaires via des convertisseurs SFP/ ethernet dans mon idée...
 
Que préconisez-vous comme routeur secondaire derrière le fortinet ? J’utilisais beaucoup les routeurs firewall prosafe de netgear à présent abandonnés, je dois donc également creuser cela.
 
Merci mille fois pour votre temps encore une fois !

n°160785
Micko77666
Posté le 20-02-2019 à 15:41:00  profilanswer
 

Tu peux prendre un 60D ou un 90E (chez nous le 90E gère un lien Giga avec 120 users).
 
Tu as deux entrées WAN (pour du load balancing ou spare), et tu as 12 ports LAN.
 
Donc tu peux très bien imaginer :
 
https://image.noelshack.com/fichiers/2019/08/3/1550673650-schem.jpg
 
Avec une bande passante allouée par port qui va sur les switchs d'entreprise, et aussi la gestion de IP publiques (avec les VLAN etc..)
 
Pour le prix tu as FirewallShop par exemple : http://www.firewallshop.fr/site/fortigate-90e.htm   (le support est assuré par eux et non par Fortinet directement)


Message édité par Micko77666 le 20-02-2019 à 15:42:38
n°160834
logre
Posté le 21-02-2019 à 16:28:54  profilanswer
 

Revendeur non officiel + site web en http  :o  
 
Tiré du site :

Citation :

Maintenance et licence :
 
Le CLIENT s'engage à fournir à ADN les login, mot de passe et autres informations pour permettre à ADN d'activer directement les services et licence. Dans le cas de refus du CLIENT, ADN s'engage a rembourser le CLIENT sous 90 jours moins un coût de gestion d'un montant forfaitaire de 30 % du montant H.T. de la commande.


 
 :lol:

n°160857
Micko77666
Posté le 22-02-2019 à 09:54:14  profilanswer
 


J'ai déjà commandé dessus pas eu de soucis (même suite à un soucis sur mon forti)

n°160864
dimitri222
Posté le 22-02-2019 à 12:51:51  profilanswer
 

Je suppose que les demandes de logins ne concernent que des services spécifiques en terme d'authentification proxy ou autre, mais dans mon cas je me chargerai de la configuration...
 
Après demande au service client du site de si je pouvais envisager un Fortigate 80E à la place du 300E, voici leur réponse : "Vous pouvez prendre un Fortigate 80 E mais :
 
Le débit du Fortigate 80 E est de : 250 Mbit/s
Le débit du Fortigate 300 E est de : 3 000 Mbit/s"
 
Après vérification, le débit dont ils parlent est le "Débit Protection IPS + Controle d'applications + Antivirus", pensez-vous qu'il ne s'agisse que d'un argument commercial ?
 
@Micko77666, tu disposes d'un lien fibre Gigabit sur un Fortigate 90e, qui affiche un débit de 210Mbit/sec, peux-tu me confirmer si la vitesse de connexion ne s'en trouve pas affectée ?

n°160865
Micko77666
Posté le 22-02-2019 à 13:48:22  profilanswer
 


Aucun soucis pour nous sur dé débit en tout cas.

n°160873
logre
Posté le 22-02-2019 à 17:23:36  profilanswer
 

Moi j'ai du mal à comprendre comment on peut faire confiance à une boite avec des closes aussi louche; D’où ils doivent mettre les licences eux mêmes???? et le refund à 70% du prix si tu refuse XD
 
 
Bref, pour ce qui est de l'histoire de débit il faut voir deux choses : tu as le débit firewall pure, qui peut monter jusqu'a 4gbps sur ces boites et le débit Threat Protection ou nextgen blabla, qui correspond comme tu l'indique au débit avec les options IPS / AV etc... Pour info, ces fonctionnalités la sont soumise à des licences supplémentaire
 
Si tu ne prends pas ces fonctionnalités, tu pourra monter jusqu'a 4gbps, avec toutes ces fonctionnalités activés, sur l'ensemble de tes flux tu dépassera pas les 250 Mbps.  
 
Si tu t'y connais et que vous avez les moyen, oriente toi vers de l'IPS configuré correctement sur du 80E ca devrait aller. Si tu n'y connais rien, ne prends pas les licences tu t'en servira pas :) et tu aura un débit "fw" largement suffisant
 
 
 

n°160892
fred34
Posté le 25-02-2019 à 08:43:46  profilanswer
 

Salut,
 
Au delà de l'aspect matériel/réseau, il faut également penser aux contraintes légales. En effet, avec cette solution, tu deviens fournisseur d'accès avec les obligations qui vont avec (logs, sécurité, disponibilité, ...).
 
Par ex :  
Qui sera responsable
- si une des sociétés effectue du piratage ?  
- si le lien tombe pendant 24h, empêchant les sociétés de travailler ?
- si une société accède aux données d'une autre société car le réseau n'est pas assez sécurisé/isolé ?
 
Sur le cours terme, quand tout va bien, ça peut être une source d'économie, mais sur le long terme,...
 
@+
 
Fred


---------------
http://leblogdundsi.lesprost.fr/
n°160951
dimitri222
Posté le 28-02-2019 à 11:59:02  profilanswer
 

@Micko77666, quelles sont les options en terme de licence / sécurité que tu utilises ou préconises ?
 
@logre : Effectivement, je vais très certainement partir sur la solution du 80E avec les options IPS de base, mais sais-tu si cela implique une licence supplémentaire ?
 
@fred34 : Concernant l'enregistrement des lois, j'attends effectivement le devis d'un revendeur qui propose d'implémenter cela. Pour la coupure de lien, on a une GTR à 4h et un routeur 4G prévu en cas de soucis  pour le backup, et concernant la sécurité, nous devrons faire en sorte par un jeu de VLAN de bien isoler les sous-réseaux effectivement ; je te remercie pour ces précisions :)
 

n°160952
Micko77666
Posté le 28-02-2019 à 12:01:01  profilanswer
 


Pour la partie log, tu peux les envoyer directement chez Fortinet, tu as de base dans les 4 ou 5Go gratuit, que tu peux augmenter via un forfait (je ne me souviens plus des tarifs).  
 
Ca peut permettre déjà de sauvegarder ailleurs tes logs, et donc d'avoir une traçabilité en cas de contrôle.

n°160967
logre
Posté le 01-03-2019 à 10:22:23  profilanswer
 

dimitri222 a écrit :

@Micko77666, quelles sont les options en terme de licence / sécurité que tu utilises ou préconises ?
 
@logre : Effectivement, je vais très certainement partir sur la solution du 80E avec les options IPS de base, mais sais-tu si cela implique une licence supplémentaire ?
 
@fred34 : Concernant l'enregistrement des lois, j'attends effectivement le devis d'un revendeur qui propose d'implémenter cela. Pour la coupure de lien, on a une GTR à 4h et un routeur 4G prévu en cas de soucis  pour le backup, et concernant la sécurité, nous devrons faire en sorte par un jeu de VLAN de bien isoler les sous-réseaux effectivement ; je te remercie pour ces précisions :)
 


 
Si tu veux l'IPS, il y a bien une licence supplémentaire à souscrire tu peux la prendre via une licences type FOrtiguard (qui prends IPS AV webfilter ...) ou via une licences IPS seule. Sans licences, pas de MAJ des bases de données.

n°160978
exeral
Posté le 01-03-2019 à 13:20:07  profilanswer
 

skoizer a écrit :


pour ma part, je mettrai une fibre par société...


[:ariakan:3]
 
faut voir le contexte, quelle fibre tu avoir, par quel presta, etc..
mais ne serait-il pas plus simple de tirer un cable de 20 fibres plutot que juste 1 que vous vous repartagez ?
 
pour moi ça sent un peu le truc à emmerde ce setup. ça marche pas -> tu te recup les plaintes de tout le monde.
 

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Partage d'un accès fibre entre plusieurs sociétés

 

Sujets relatifs
Garder la TNT avec l'installation fibre coaxial de SFR?Fibre en coaxial ? Votre aide SVP. Anrnaque ?
Accès aux services Google ERR_CONNECTION_TIMED_OUT[RESOLU]installation Windows 10 pro sur plusieurs portables identiques
Un domaine vers plusieurs serveursNas Synology Ds212J pas accès
Fibre et routeur Cisco sans Livebox d'OrangeEdgeRouter et accès depuis internet
gestion accès NAS 
Plus de sujets relatifs à : Partage d'un accès fibre entre plusieurs sociétés


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR