Bien le bonjour,
 
Actuellement stagiaire informaticien spécialité réseaux en entreprise, je suis chargé de proposer un plan de segmentation du réseau.
 
Problème, on m'a posé une question théorique auquel je n'ai pas de réponse concrète : y a-t-il un intérêt à créer un VLAN juste pour le trafic SNMP?
 
Je m'explique :
 
Le réseau actuel, sur une plage d'adresses en /16, utilise grosso modo un tiers de la plage d'adresses (pour ce que je sais) et quasiment pas segmenté, on me demande de proposer plusieurs plans pour remédier à cela. Je compte créer ,quel que soit le plan, un VLAN de management pour les switchs et routeurs du réseau, ainsi que postes administrateurs. Initialement , je songeais que le trafic SNMP serait sur ce VLAN.
 
Cependant, il m'a été demandé, vu qu'il y a un trafic SNMP assez conséquent de prévu via des demandes automatiques de serveurs (NAGIOS par exemple), s'il ne serai pas plus utile de séparer le trafic SNMP sur un VLAN à part, pour que les manipulations sur le VLAN de management ne soient pas impactées s'il y a un encombrement important à cause de ce trafic (en mettant une priorité plus forte sur le VLAN de management, avec la QoS).
 
Je sais que cela reste très théorique, et intuitivement j'ai songé que non, pas besoin d'un VLAN SNMP séparé, mais je n'ai quasiment rien trouvé pour appuyer mon intuition comme quoi le trafic SNMP ne serait pas assez important pour causer un encombrement. Donc, séparer le trafic SNMP sur un VLAN dédié, est-ce vraiment utile?
 
Merci!

je n'en vois pas vraiment l'interet, une requete snmp ne représente que quelques octets. A moins de lancer des milliers de check en simultanés (ce qui en pratique est quasiment impossible sauf si tu administres des centaines de milliers de hosts/services), tu ne satureras jamais une interface giga.

Merci de la réponse, ça me fait une interrogation de moins.

Si le snmp charge vraiment le réseau, le mieux à mon avis est de configurer de la QoS avec bande passante max à la sortie du serveur Nagios pour éviter une saturation.
 
mais comme indiqué ci-dessus le snmp n'est pas très gros, à moins d'avoir beaucoup d'équipements à interroger, et le blocage se fera plutôt en termes de ressources sur le nagios ou en temps de collcte qu'en charge réseau.
 
si il existe déjà un réseau d'admin il peut servir pour du snmp, mais c'est vraiment luxueux de créer un réseau pour ça.

ça dépend aussi de quelle version du SNMP, et du niveau de sécurité ... avant la v2 les flux SNMP ne sont pas cryptés, donc ça révèle l'archi de ton réseau... D'où l'intérêt qu'on peut voir sur un VLAN.

Le SNMP c'est plus propre de le mettre sur un VLAN de management, mais comme dit plus haut, ce qui saturera en premier c'est forcément le serveur de supervision (et aussi le processeur d'un switch si tu le requêtes trop lourdement, il peut se mettre à ramer mais ça sera une question de puissance de calcul, pas de débit)

C'est plus "propre" de séparer tes flux de supervision du reste.
C'est pas ultra obligatoire non plus hein, mais au niveau sécurité on pourrait arguer qu'on peut observer la topologie de ton réseau voire connaitre les stats d'utilisation de certains serveurs.
 
Tout ceci est bien sur valable si tu utilises SNMPv1, comme beaucoup j'imagine.

Je pense qu'il y a eu un léger malentendu Jab Hounet.
 
Je suis totalement d'accord à l'idée de séparer les flux de supervisions du reste (Vlan de management donc), la question était de savoir si séparer le flux SNMP des flux de supervision vallait le coup, due à un encombrement possible bien qu'improbable.
 
J'ai eu ma réponse, et merci pour cela, il n'y a donc que très peu d'intérêt à faire cette séparation.
 
Par contre, le SNMP est en v2 (v2c plus exactement je crois), mais il n'est pas crypté non? j'ai cru lire que le SNMP n'est crypté qu'en v3.

En effet si c'est ça le problème, ce n'en est pas un : comme dit plus haut la saturation viendra du point de concentration i.e. du serveur de sup.
 
Tu parles de trafic SNMP important, mais tu en es à combien en débit lissé par lien? Parce que, classiquement, pour un poll par noeud toutes les 5 minutes ça va pas chercher bien loin...

En fait, SNMP c'est de la supervision.
Ca a tout à faire sur ton VLAN de management que tu utilises pour te connecter en admin sur tes serveurs, vraiment sans souci.