Bonjour à tous et à toutes,
 
Après avoir fait des recherches sur Internet, je me permet de venir poster ce message sur le forum.
je n'ai pas réussi à trouver de réponse à ma question, ou alors ça me semblait ambigu.
j'espère que quelqu'un pourra m'aider.
 
Voila je présente le contexte.
Imaginons un fournisseur de VoIP qui a des clients qui lui sont relié par des lignes sdsl (pas d'Internet, mais des liaisons spécialisées).
Donc les clients sont reliés au fournisseur via un routeur cisco, puis via un SBC (parefeu/routeur voip).
 
Si l'on part du principe que nous gérons le réseau de lignes SDSL (tous les clients passeraient via nos équipements), je dois donc prévoir l'isolation de chacun d'entre eux.
 
Ma question est comment gérer l'isolation des clients ?
J'ai deux pistes pour faire des VLAN de niveau 3 :
- les subinterfaces
- les VRF
 
Ci dessous les schémas des deux architectures.
 

 

 
Ensuite mon autre question c'est l'isolation entre le SBC et le routeur, les deux étant reliés par un seul lien.
Donc je ne sais pas si je dois propager les VLAN jusqu'au SBC ou non ?
Par défaut le routeur empêche t'il aussi les VLAN de communiquer entre eux (routage inter vlan).
Concrétement les clients doivent parler avec le softswitch et pas entre eux.
Mes pistes sont t'elles bonnes ?
 
Si je ne suis pas assez clair, n'hésitez pas à me le faire savoir
Bonne journée

Tes lignes SDSL in fine arrivent en Ethernet au format RJ45 via un DSLAM ?
 
Comme ça quoi :
 
http://www.cisco.com/en/US/prod/co [...] 08940.html
 

 
Si c'est le cas tu mets tout le monde dans le même subnet et si tout arrive sur un seul switch tu fais du "protected port" (private vlan edge) c'est même supporté sur un 2960; sinon du vrai private vlan avec tout le monde en isolated.

Merci pour cette première réponse
 
Je met une architecture un peu plus claire.
Les SDSL passent par un réseau GBE.
Les clients auraient un switch level 3 de type CISCO ME 3400, idem pour nous.
Chaque ME est relié au GBE.
Donc entre le GBE et nous, nous avons un lien avec tous les flux des clients.
 
Voici l'architecture :

 
Dans ce type de configuration, le Private VLAN marcherait ?
Entre le SBC et le ME, je mettrais un primary VLAN et entre le ME et le GBE un isolated (tout comme entre les ME des entreprises et le GBE).
 
Du coup je pense que le private vlan edge ne pourrait pas s'appliquer ici vu qu'il n'y a qu'un seul lien partagé entre le GBE et notre ME ?

Je ne comprends pas un truc; tes clients sont en L2 ou en L3 ?
 
Où se trouvent les points de routage. Si t'es en L2 du client jusqu'à ton équipement sur l'équipement qui fédère toutes les lignes tu peux faire du PVLAN; sinon si tout est routé tu vas devoir te taper des access-lists

Nous allons utiliser le niv. 3 avec les ME, à la fois coté nous que coté client.
Cela nous permettra, par exemple, de faire du HSRP pour de la haute disponibilité (deux équipements chez chaque clients, pareil pour nous).  
Donc chaque client aura une adresse IP (d'où ma question sur le PVlan ou sur la nécessité de faire des sous réseau).
Par contre entre les clients et nous, il n'y a que du niv. 2 (GBE).
 
Merci pour l'aide

Voici un schéma peut être plus clair.
 

 
Donc en bas on voit bien les switchs level 3 des clients qui auraient chacun une adresse IP (même réseau ou sous réseau ?).
Et en haut le notre qui aurait la/les siennes.
 
Le lien passe par le GB Ethernet, et donc reste entièrement en niveau 2.
On voit aussi que l'ensemble des flux arrivent sur un port unique du ME coté chez nous.
 
Du coup à la base je me disais que j'allais devoir faire des VLANs avec des réseaux/sous réseaux différents.
Mais peut être que le PVLAN marcherait, même si je n'en suis pas sur.
 

Non; si tu routes chez tes clients tu vas faire un gros subnet d'interco avec des routes statiques; les routeurs chez les clients n'ayant que des default routes configurées.
 
C'est toi qui impose le plan d'adressage de tes équipements chez le client ?

Effectivement c'est moi qui impose le plan d'adressage des équipements chez le client entre eux et nous.
Cependant les default routes n’empêcheraient pas la communication niveau 2 si je ne me trompe pas.
N'y aurait t'il pas du coup des failles de ce coté là ?

Non, pas si tes équipements routent il faut juste que tes clients ne puissent pas prendre la main sur tes équipements pour ajouter des routes vers les autres clients. Au pire sur ton réseau L2 pour le coup tu peux faire du private Vlan

D'accord super merci pour ces infos