2 sous-réseaux indépendants et 1 connexion internet commune

Le
Emmanuel Thiry
Bonjour,

Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.

On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des
2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x

Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.

Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.

Que pensez-vous de cette configuration ?
Peut-on s'en sortir avec des machines spécialisées disponibles dans le
commerce ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?

Merci pour vos idées

Manu
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Channels
Le #878807
Bonjour,

Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.

On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des 2
autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x

Reste à savoir comment connecter entre eux "internet" et "administratif" d'un
côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.

Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.

Que pensez-vous de cette configuration ?
Peut-on s'en sortir avec des machines spécialisées disponibles dans le
commerce ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?

Merci pour vos idées

Manu


Bonjour,

Une vielle machine linux, 3 cartes reseau et iptables.

--
Les fautes d'orthographes sus-citées sont déposées auprès de leurs
propriétaires respectifs.
Aucune responsabilité n'est engagée sur la lisibilité du message ou les
éventuels dommages qu'ils peuvent engendrer

Pascal Hambourg
Le #870993
Salut,


Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.

On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des
2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x


Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.

Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.

Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.

Que pensez-vous de cette configuration ?


Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.

A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à
mettre en oeuvre.

Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?


Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.

SiO
Le #870992
Pascal Hambourg wrote:
Salut,


Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines
Windows. Nous avons aussi un accès internet partagé grâce à un routeur
(qui est géré par notre FAI). Toutes ces machines sont dans un
sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.

On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet
distincts des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x


Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.

Reste à savoir comment connecter entre eux "internet" et
"administratif" d'un côté et "internet" et "études" de l'autre sans
que "administratif" et "études" ne puisse se voir.

Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et
un second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.

Que pensez-vous de cette configuration ?


Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.

A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à
mettre en oeuvre.

Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?


Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.



Bonjour,
Voici mes questions:

1) Quel est votre budget?
2) Quel type d'équipement est utilisé coté LAN présentement (Switch,
hub, fabriquant, modèle.
3) Quel type de router est utilisé pour votre internet? Avec quel type
de modem?



Dans le meilleur des mondes je suggèrerais ceci:

1xRouter (avec deux cartes Fast ou Gig Ethernet, pas 3)
1xSwitch 24/48 ports (ou plus dépendant du nombre total d'employés)


Côté LAN, vous configurez votre switch avec deux VLAN. Le premier pour
l'administratif, le second pour l'étude. Vous utilisez un port Fast ou
Gig en mode TRUNK relié à l'interface Gig ou Fast de votre router aussi
configuré en TRUNK.

Sur le router vous configurez ces 2 VLAN sur le trunk. Vous retirez
tout routage dynamique. Vous configurez une route par défault (0.0.0.0)
qui pointe vers votre 2e interface Fast ou Gig branchée au Modem de
votre FAI. Celle-ci devra être configurée d'après les specs. de votre
FAI (cable, DSL, Adresse ip FIXE ou DHCP, etc.)

Une fois ceci fait, vous allez devoir configurer du NAT sur l'interface
face au FAI.

En ce qui concerne vos serveur DHCP, vous n'en avez besoin qu'un seul.
Vous le placez dans un VLAN autre que vous allez créer. Ensuite sur
chacun des interfaces VLAN du router, vous configurez des IP-HELPER.
Ceci redirige les requetes DHCP ou vous voulez, pas nécessaire d'avoir
un serveur DHCP sur le Segment local. Dans la configuration de ce
serveur, vous pouvez configurer des plages d'adresses disponibles
d'après la source de la requête (le VLAN en question). Suffit d'ajouter
une route sur le router qui pointe à ce nouveau VLAN (donc nouveau
segment IP).

Si vous disposez d'une switch-router, vous pouvez faire la même chose et
vous sauvez du hardware.


----

Si vous n'avez aucun budget, et que vous disposez de vieux équipements
LAN et d'un simple router maison (ex: Dlink ou LinkSys) alors je suggère
en effet linux avec le router/firewall nommé SHOREWALL. Dans ce cas
pour sauver de l'argent, vous pouvez utilise 3 simples cartes ethernet.
Les cartes ethernet qui font du Trunk pour serveur existement, mais
c'est couteux. Par contre vous aurez besoin quand même d'avoir deux
LAN, donc soit une switch avec 2 VLAN, ou 2 Switch distincte
physiquement parlant.

Voilà.
Bonne chance.

Si vous avez des questions, n'hésitez pas.

SiO


Emmanuel Thiry
Le #870984
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x


Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.


très juste


Emmanuel Thiry
Le #870792
"SiO" 0vmBi.12700$
Pascal Hambourg wrote:
Salut,


Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines Windows.
Nous avons aussi un accès internet partagé grâce à un routeur (qui est
géré par notre FAI). Toutes ces machines sont dans un sous-réseau unique
en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.

On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x


Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.

Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif"
et "études" ne puisse se voir.

Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.

Que pensez-vous de cette configuration ?


Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.

A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à mettre
en oeuvre.

Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD
?


Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.



Bonjour,
Voici mes questions:

1) Quel est votre budget?
2) Quel type d'équipement est utilisé coté LAN présentement (Switch, hub,
fabriquant, modèle.
3) Quel type de router est utilisé pour votre internet? Avec quel type de
modem?


Dans le meilleur des mondes je suggèrerais ceci:

1xRouter (avec deux cartes Fast ou Gig Ethernet, pas 3)
1xSwitch 24/48 ports (ou plus dépendant du nombre total d'employés)


Côté LAN, vous configurez votre switch avec deux VLAN. Le premier pour
l'administratif, le second pour l'étude. Vous utilisez un port Fast ou
Gig en mode TRUNK relié à l'interface Gig ou Fast de votre router aussi
configuré en TRUNK.

Sur le router vous configurez ces 2 VLAN sur le trunk. Vous retirez tout
routage dynamique. Vous configurez une route par défault (0.0.0.0) qui
pointe vers votre 2e interface Fast ou Gig branchée au Modem de votre FAI.
Celle-ci devra être configurée d'après les specs. de votre FAI (cable,
DSL, Adresse ip FIXE ou DHCP, etc.)

Une fois ceci fait, vous allez devoir configurer du NAT sur l'interface
face au FAI.

En ce qui concerne vos serveur DHCP, vous n'en avez besoin qu'un seul.
Vous le placez dans un VLAN autre que vous allez créer. Ensuite sur chacun
des interfaces VLAN du router, vous configurez des IP-HELPER. Ceci
redirige les requetes DHCP ou vous voulez, pas nécessaire d'avoir un
serveur DHCP sur le Segment local. Dans la configuration de ce serveur,
vous pouvez configurer des plages d'adresses disponibles d'après la source
de la requête (le VLAN en question). Suffit d'ajouter une route sur le
router qui pointe à ce nouveau VLAN (donc nouveau segment IP).

Si vous disposez d'une switch-router, vous pouvez faire la même chose et
vous sauvez du hardware.


----

Si vous n'avez aucun budget, et que vous disposez de vieux équipements LAN
et d'un simple router maison (ex: Dlink ou LinkSys) alors je suggère en
effet linux avec le router/firewall nommé SHOREWALL. Dans ce cas pour
sauver de l'argent, vous pouvez utilise 3 simples cartes ethernet. Les
cartes ethernet qui font du Trunk pour serveur existement, mais c'est
couteux. Par contre vous aurez besoin quand même d'avoir deux LAN, donc
soit une switch avec 2 VLAN, ou 2 Switch distincte physiquement parlant.

Voilà.
Bonne chance.

Si vous avez des questions, n'hésitez pas.

SiO


Pour répondre aux questions :

1) budget : Le moins possible ;-)
Mais bon s'il faut acheter du matériel, on achètera

2) équipement LAN actuel : deux switches Netgear FS726T (24 ports 10/100 + 2
ports Giga) et des tas de petits switches et hubs 8 ports (plus des point
d'accès wifi)

3) équipement internet : le modem est un ECI HiFocus ANET3 et le routeur un
SpeedStream 5711. Ces matériels sont prétés et gérés par Orange, nous
n'avons aucun contrôle dessus

Je constate que les Netgear FS726T gèrent VLAN et trunk donc je vais me
documenter dessus.


En tout cas un grand merci pour ces suggestions, elles ouvrent des pistes
que je connaissais pas.
Je vais digérer tout ça et reviendrais en cas de besoin.

Manu



SiO
Le #868162
Emmanuel Thiry wrote:
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas

modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.


très juste




Bonjour,

Petite note suite à cette précision.
Attention au double NAT. Si votre FAI fait déja le NAT à l'intérieur de
ses équipements, ne faites pas du NAT devant inutilement. Ceci serait
fonctionnel, mais la performance serait affectée et certains problèmes
peuvent survenir.

Maintenant que vous parlez de WI-FI, je suggèrerais de mettre tout ce
qui est WI-FI dans un VLAN distinct. Ceci aiderait à votre gestion et
pourrait vous aider à gérer votre sécurité (access-list plus restrictif
pour ce vlan par exemple).

Et si vous utilisez beaucoup de Switch, et plus particulièrement des
switch "stupide/dummy", faites bien attention de ne pas créer de boucle
avec la câblage. Les switch plus intelligentes peuvent gérer les
boucles (spanning-tree) mais pas les switchs ou hub dummy. Une boucle
peut écraser votre réseau très rapidement.

Bonne chance!



Emmanuel Thiry
Le #867944
"SiO" TI1Ci.39903$
Emmanuel Thiry wrote:
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas

modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.


très juste


Bonjour,

Petite note suite à cette précision.
Attention au double NAT. Si votre FAI fait déja le NAT à l'intérieur de
ses équipements, ne faites pas du NAT devant inutilement. Ceci serait
fonctionnel, mais la performance serait affectée et certains problèmes
peuvent survenir.


Nous avons peu de machines qui doivent être accessibles depuis l'extérieur.
Je pense les mettre dans le même VLAN que le routeur internet.

Maintenant que vous parlez de WI-FI, je suggèrerais de mettre tout ce qui
est WI-FI dans un VLAN distinct. Ceci aiderait à votre gestion et
pourrait vous aider à gérer votre sécurité (access-list plus restrictif
pour ce vlan par exemple).


Je le note.

Et si vous utilisez beaucoup de Switch, et plus particulièrement des
switch "stupide/dummy", faites bien attention de ne pas créer de boucle
avec la câblage. Les switch plus intelligentes peuvent gérer les boucles
(spanning-tree) mais pas les switchs ou hub dummy. Une boucle peut écraser
votre réseau très rapidement.


Pas de souci. Les switches stupides ne dersevent que des machines en bout de
brin et il n'y a pas de boule.

Bonne chance!


Merci encore.
Pour l 'instant je pars une semaine en vacances. Je reprendrai le dossier à
mon retour.

Manu







Publicité
Poster une réponse
Anonyme