Salut,
 
Je récupère la gestion d'un réseau, où il y a un "énorme" vlan où quasi tout est dedans serveur, imp, borne wifi, postes de travail etc..  
 
Il y a d'autres vlan pour d'autre équipement, la passerelle pour chaque vlan, est l'IP de l'interface vlan du switch ( vlan 2 : 0.254 vlan 3 1.254 etc..) du coup chaque vlan communique entre eux.
 
Il y a un firewall matériel (stormshield).
 
Est ce la bonne solution de créer autant de vlan que nécessaire, et que la passerelle de chaque vlan soit l'interface du stormshield, et de gérer les règles d'accès entre vlans directement sur le firewall ?
 
merci pour vos conseils.
 
 

si le stormshield est assez puissant pour, oui

Combien y a t'il de machines en tout dans les différents VLAN ?
 
Comme le dit Je@n, c'est le rôle du Stormshield de gérer ce genre de cas de figure.
Tu devras donc créer chaque VLAN dans le parefeu et faire en sorte qu'il soit la passerelle par défaut pour toutes les machines.
 
Une fois fait, tu devras faire attention à bien supprimer les différentes IP du switch dans les différents VLAN pour éviter qu'un utilisateur accède aux autre VLAN si sa machine a tjs le switch comme passerelle par défaut

Salut,
 
merci pour vos réponses.
 
Comme je disais, il y a actuellement une énorme plage d'adresse, le masque est en /17. les adresses vont de 0.0 à 103.0  
 
J'ai déjà mes poste dans la plage 102.0, les serveurs virtuels en 100.0  etc.. etc..  
 
Je souhaite conserver ces adresses, et modifier seulement les masques de sous réseaux. Est ce que cela va poser problèmes ? notamment pour les controleurs de domaines.
 
merci

Seules les IP au sein d'un même sous réseau pourront communiquer entre elles.
Pour communiquer avec d'autres sous réseaux, elles devront passer par une passerelle.

Attention, la segmentation en sous réseaux n'est pas un gage de sécurité.

 
Oui je sais bien cela au niveau communication et sécurité .
 
Je pensais plutôt à d’autre problèmes notamment sur les contrôleurs de domaine

suffit de bien configurer ses sites&subnets

Faire de l'inter-vlan avec un Stormshield c'est prendre un sacré risque en terme de performances.
Les Stormshield c'est plus positionné pour le trafic LAN-WAN

regarde le tiering ad pour construire ton reseau

Avoir des VLANS est une bonne chose si il y a les règles firewall qui vont avec, car si c est pour faire du Any/Any entre tes vlans alors c'est quasi inutile.
 
Aprés tout est une question de besoin, un exemple de segmentation simple serait un VLAN USER pour les PC des utilisateurs, VLAN GUEST pour les invités et les smartphones qui ne donne. accés qu'a internet, un VLAN SERVEUR pour les VM sur les quelles on ouvrira que les ports nécessaires pour accéder aux services rendus par ces serveur, un VLAN ADMIN pour le service IT qui dispose de plus de droits sur le VLAN SERVEUR, on peut ensuite ajouter d'autres VLAN en fonction des besoins (VLAN DMZ, VLAN dédié à une chinoiserie dont tu te méfies du comportement) etc...
 
Bien sur il faut les switchs qui vont bien et un firewall digne de se nom ( le stormshield est fait pour ca)
 
Mais comme le dit Faboss, les VLAN seules ne font pas la sécurité, il doit y avoir des règles entre eux, et plus il y a de VLAN, plus il y aura de règles à maintenir et donc souvent c est du temps à y allouer pour les administrer.