Bonjour,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des 2
autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif" d'un
côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on s'en sortir avec des machines spécialisées disponibles dans le
commerce ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Merci pour vos idées
Manu
Bonjour,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des 2
autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif" d'un
côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on s'en sortir avec des machines spécialisées disponibles dans le
commerce ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Merci pour vos idées
Manu
Bonjour,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des 2
autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif" d'un
côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on s'en sortir avec des machines spécialisées disponibles dans le
commerce ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Merci pour vos idées
Manu
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des
2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des
2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Je gère un petit réseau local d'entreprise avec un serveur DHCP et plusieurs
serveurs Windows (NT4, 2000, 2003) et deux domaines Windows. Nous avons
aussi un accès internet partagé grâce à un routeur (qui est géré par notre
FAI). Toutes ces machines sont dans un sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties : d'un
côté les services administratifs et de l'autre les études. Chaque partie
aurait son domaine Windows et son serveur DHCP, et un PC d'une partie
n'aurait aucun moyen de voir un PC d'une autre partie. Il faut cependant que
tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts des
2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif" et
"études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines
Windows. Nous avons aussi un accès internet partagé grâce à un routeur
(qui est géré par notre FAI). Toutes ces machines sont dans un
sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet
distincts des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.Reste à savoir comment connecter entre eux "internet" et
"administratif" d'un côté et "internet" et "études" de l'autre sans
que "administratif" et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et
un second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à
mettre en oeuvre.Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines
Windows. Nous avons aussi un accès internet partagé grâce à un routeur
(qui est géré par notre FAI). Toutes ces machines sont dans un
sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet
distincts des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
Reste à savoir comment connecter entre eux "internet" et
"administratif" d'un côté et "internet" et "études" de l'autre sans
que "administratif" et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et
un second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à
mettre en oeuvre.
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines
Windows. Nous avons aussi un accès internet partagé grâce à un routeur
(qui est géré par notre FAI). Toutes ces machines sont dans un
sous-réseau unique en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet
distincts des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.Reste à savoir comment connecter entre eux "internet" et
"administratif" d'un côté et "internet" et "études" de l'autre sans
que "administratif" et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et
un second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à
mettre en oeuvre.Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD ?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
Pascal Hambourg wrote:Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines Windows.
Nous avons aussi un accès internet partagé grâce à un routeur (qui est
géré par notre FAI). Toutes ces machines sont dans un sous-réseau unique
en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif"
et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à mettre
en oeuvre.Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD
?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
Bonjour,
Voici mes questions:
1) Quel est votre budget?
2) Quel type d'équipement est utilisé coté LAN présentement (Switch, hub,
fabriquant, modèle.
3) Quel type de router est utilisé pour votre internet? Avec quel type de
modem?
Dans le meilleur des mondes je suggèrerais ceci:
1xRouter (avec deux cartes Fast ou Gig Ethernet, pas 3)
1xSwitch 24/48 ports (ou plus dépendant du nombre total d'employés)
Côté LAN, vous configurez votre switch avec deux VLAN. Le premier pour
l'administratif, le second pour l'étude. Vous utilisez un port Fast ou
Gig en mode TRUNK relié à l'interface Gig ou Fast de votre router aussi
configuré en TRUNK.
Sur le router vous configurez ces 2 VLAN sur le trunk. Vous retirez tout
routage dynamique. Vous configurez une route par défault (0.0.0.0) qui
pointe vers votre 2e interface Fast ou Gig branchée au Modem de votre FAI.
Celle-ci devra être configurée d'après les specs. de votre FAI (cable,
DSL, Adresse ip FIXE ou DHCP, etc.)
Une fois ceci fait, vous allez devoir configurer du NAT sur l'interface
face au FAI.
En ce qui concerne vos serveur DHCP, vous n'en avez besoin qu'un seul.
Vous le placez dans un VLAN autre que vous allez créer. Ensuite sur chacun
des interfaces VLAN du router, vous configurez des IP-HELPER. Ceci
redirige les requetes DHCP ou vous voulez, pas nécessaire d'avoir un
serveur DHCP sur le Segment local. Dans la configuration de ce serveur,
vous pouvez configurer des plages d'adresses disponibles d'après la source
de la requête (le VLAN en question). Suffit d'ajouter une route sur le
router qui pointe à ce nouveau VLAN (donc nouveau segment IP).
Si vous disposez d'une switch-router, vous pouvez faire la même chose et
vous sauvez du hardware.
----
Si vous n'avez aucun budget, et que vous disposez de vieux équipements LAN
et d'un simple router maison (ex: Dlink ou LinkSys) alors je suggère en
effet linux avec le router/firewall nommé SHOREWALL. Dans ce cas pour
sauver de l'argent, vous pouvez utilise 3 simples cartes ethernet. Les
cartes ethernet qui font du Trunk pour serveur existement, mais c'est
couteux. Par contre vous aurez besoin quand même d'avoir deux LAN, donc
soit une switch avec 2 VLAN, ou 2 Switch distincte physiquement parlant.
Voilà.
Bonne chance.
Si vous avez des questions, n'hésitez pas.
SiO
Pascal Hambourg wrote:
Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines Windows.
Nous avons aussi un accès internet partagé grâce à un routeur (qui est
géré par notre FAI). Toutes ces machines sont dans un sous-réseau unique
en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif"
et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à mettre
en oeuvre.
Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD
?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
Bonjour,
Voici mes questions:
1) Quel est votre budget?
2) Quel type d'équipement est utilisé coté LAN présentement (Switch, hub,
fabriquant, modèle.
3) Quel type de router est utilisé pour votre internet? Avec quel type de
modem?
Dans le meilleur des mondes je suggèrerais ceci:
1xRouter (avec deux cartes Fast ou Gig Ethernet, pas 3)
1xSwitch 24/48 ports (ou plus dépendant du nombre total d'employés)
Côté LAN, vous configurez votre switch avec deux VLAN. Le premier pour
l'administratif, le second pour l'étude. Vous utilisez un port Fast ou
Gig en mode TRUNK relié à l'interface Gig ou Fast de votre router aussi
configuré en TRUNK.
Sur le router vous configurez ces 2 VLAN sur le trunk. Vous retirez tout
routage dynamique. Vous configurez une route par défault (0.0.0.0) qui
pointe vers votre 2e interface Fast ou Gig branchée au Modem de votre FAI.
Celle-ci devra être configurée d'après les specs. de votre FAI (cable,
DSL, Adresse ip FIXE ou DHCP, etc.)
Une fois ceci fait, vous allez devoir configurer du NAT sur l'interface
face au FAI.
En ce qui concerne vos serveur DHCP, vous n'en avez besoin qu'un seul.
Vous le placez dans un VLAN autre que vous allez créer. Ensuite sur chacun
des interfaces VLAN du router, vous configurez des IP-HELPER. Ceci
redirige les requetes DHCP ou vous voulez, pas nécessaire d'avoir un
serveur DHCP sur le Segment local. Dans la configuration de ce serveur,
vous pouvez configurer des plages d'adresses disponibles d'après la source
de la requête (le VLAN en question). Suffit d'ajouter une route sur le
router qui pointe à ce nouveau VLAN (donc nouveau segment IP).
Si vous disposez d'une switch-router, vous pouvez faire la même chose et
vous sauvez du hardware.
----
Si vous n'avez aucun budget, et que vous disposez de vieux équipements LAN
et d'un simple router maison (ex: Dlink ou LinkSys) alors je suggère en
effet linux avec le router/firewall nommé SHOREWALL. Dans ce cas pour
sauver de l'argent, vous pouvez utilise 3 simples cartes ethernet. Les
cartes ethernet qui font du Trunk pour serveur existement, mais c'est
couteux. Par contre vous aurez besoin quand même d'avoir deux LAN, donc
soit une switch avec 2 VLAN, ou 2 Switch distincte physiquement parlant.
Voilà.
Bonne chance.
Si vous avez des questions, n'hésitez pas.
SiO
Pascal Hambourg wrote:Salut,
Je gère un petit réseau local d'entreprise avec un serveur DHCP et
plusieurs serveurs Windows (NT4, 2000, 2003) et deux domaines Windows.
Nous avons aussi un accès internet partagé grâce à un routeur (qui est
géré par notre FAI). Toutes ces machines sont dans un sous-réseau unique
en 192.168.0.x.
Mon boss voudrait séparer physiquement notre réseau en deux parties :
d'un côté les services administratifs et de l'autre les études. Chaque
partie aurait son domaine Windows et son serveur DHCP, et un PC d'une
partie n'aurait aucun moyen de voir un PC d'une autre partie. Il faut
cependant que tout le monde puisse continuer accéder à internet.
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.Reste à savoir comment connecter entre eux "internet" et "administratif"
d'un côté et "internet" et "études" de l'autre sans que "administratif"
et "études" ne puisse se voir.
Je pense que nous avons deux possibilités :
- soit 2 routeurs, un premier entre "internet" et "administratif" et un
second entre "internet" et "études"
- soit 1 routeur capable de gérer le trafic entre les 3 réseaux.
Que pensez-vous de cette configuration ?
Que du bien. ;-)
Note : si le routeur internet ne permet pas l'ajout de routes statiques
ou dynamiques, il faudra que le ou les nouveaux routeurs fassent du
"masquerading" (NAT source) pour les deux sous-réseaux situés derrière.
A part ça, un pont filtrant serait une autre solution ne nécessitant pas
de découpage en sous-réseau, mais peut-être un peu plus délicate à mettre
en oeuvre.Peut-on aussi le faire en utilisant un vieux PC avec un Linux ou un BSD
?
Oui. Ça peut éventuellement être une étape transitoire pour tester la
solution avant de mettre en place un équipement définitif.
Bonjour,
Voici mes questions:
1) Quel est votre budget?
2) Quel type d'équipement est utilisé coté LAN présentement (Switch, hub,
fabriquant, modèle.
3) Quel type de router est utilisé pour votre internet? Avec quel type de
modem?
Dans le meilleur des mondes je suggèrerais ceci:
1xRouter (avec deux cartes Fast ou Gig Ethernet, pas 3)
1xSwitch 24/48 ports (ou plus dépendant du nombre total d'employés)
Côté LAN, vous configurez votre switch avec deux VLAN. Le premier pour
l'administratif, le second pour l'étude. Vous utilisez un port Fast ou
Gig en mode TRUNK relié à l'interface Gig ou Fast de votre router aussi
configuré en TRUNK.
Sur le router vous configurez ces 2 VLAN sur le trunk. Vous retirez tout
routage dynamique. Vous configurez une route par défault (0.0.0.0) qui
pointe vers votre 2e interface Fast ou Gig branchée au Modem de votre FAI.
Celle-ci devra être configurée d'après les specs. de votre FAI (cable,
DSL, Adresse ip FIXE ou DHCP, etc.)
Une fois ceci fait, vous allez devoir configurer du NAT sur l'interface
face au FAI.
En ce qui concerne vos serveur DHCP, vous n'en avez besoin qu'un seul.
Vous le placez dans un VLAN autre que vous allez créer. Ensuite sur chacun
des interfaces VLAN du router, vous configurez des IP-HELPER. Ceci
redirige les requetes DHCP ou vous voulez, pas nécessaire d'avoir un
serveur DHCP sur le Segment local. Dans la configuration de ce serveur,
vous pouvez configurer des plages d'adresses disponibles d'après la source
de la requête (le VLAN en question). Suffit d'ajouter une route sur le
router qui pointe à ce nouveau VLAN (donc nouveau segment IP).
Si vous disposez d'une switch-router, vous pouvez faire la même chose et
vous sauvez du hardware.
----
Si vous n'avez aucun budget, et que vous disposez de vieux équipements LAN
et d'un simple router maison (ex: Dlink ou LinkSys) alors je suggère en
effet linux avec le router/firewall nommé SHOREWALL. Dans ce cas pour
sauver de l'argent, vous pouvez utilise 3 simples cartes ethernet. Les
cartes ethernet qui font du Trunk pour serveur existement, mais c'est
couteux. Par contre vous aurez besoin quand même d'avoir deux LAN, donc
soit une switch avec 2 VLAN, ou 2 Switch distincte physiquement parlant.
Voilà.
Bonne chance.
Si vous avez des questions, n'hésitez pas.
SiO
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
Emmanuel Thiry wrote:On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
Bonjour,
Petite note suite à cette précision.
Attention au double NAT. Si votre FAI fait déja le NAT à l'intérieur de
ses équipements, ne faites pas du NAT devant inutilement. Ceci serait
fonctionnel, mais la performance serait affectée et certains problèmes
peuvent survenir.
Maintenant que vous parlez de WI-FI, je suggèrerais de mettre tout ce qui
est WI-FI dans un VLAN distinct. Ceci aiderait à votre gestion et
pourrait vous aider à gérer votre sécurité (access-list plus restrictif
pour ce vlan par exemple).
Et si vous utilisez beaucoup de Switch, et plus particulièrement des
switch "stupide/dummy", faites bien attention de ne pas créer de boucle
avec la câblage. Les switch plus intelligentes peuvent gérer les boucles
(spanning-tree) mais pas les switchs ou hub dummy. Une boucle peut écraser
votre réseau très rapidement.
Bonne chance!
Emmanuel Thiry wrote:
On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
Bonjour,
Petite note suite à cette précision.
Attention au double NAT. Si votre FAI fait déja le NAT à l'intérieur de
ses équipements, ne faites pas du NAT devant inutilement. Ceci serait
fonctionnel, mais la performance serait affectée et certains problèmes
peuvent survenir.
Maintenant que vous parlez de WI-FI, je suggèrerais de mettre tout ce qui
est WI-FI dans un VLAN distinct. Ceci aiderait à votre gestion et
pourrait vous aider à gérer votre sécurité (access-list plus restrictif
pour ce vlan par exemple).
Et si vous utilisez beaucoup de Switch, et plus particulièrement des
switch "stupide/dummy", faites bien attention de ne pas créer de boucle
avec la câblage. Les switch plus intelligentes peuvent gérer les boucles
(spanning-tree) mais pas les switchs ou hub dummy. Une boucle peut écraser
votre réseau très rapidement.
Bonne chance!
Emmanuel Thiry wrote:On aurait donc 3 sous-réseaux, chacun avec ses brins ethernet distincts
des 2 autres :
- le sous-réseau "internet" en 192.168.1.x
- le sous-réseau "administratif" en 192.168.2.x
- le sous-réseau "études" en 192.168.3.x
Si le routeur internet est géré par le FAI et que vous ne pouvez pas
modifier sa configuration directement, autant laisser le sous-réseau
"internet" en 192.168.0.x.
très juste
Bonjour,
Petite note suite à cette précision.
Attention au double NAT. Si votre FAI fait déja le NAT à l'intérieur de
ses équipements, ne faites pas du NAT devant inutilement. Ceci serait
fonctionnel, mais la performance serait affectée et certains problèmes
peuvent survenir.
Maintenant que vous parlez de WI-FI, je suggèrerais de mettre tout ce qui
est WI-FI dans un VLAN distinct. Ceci aiderait à votre gestion et
pourrait vous aider à gérer votre sécurité (access-list plus restrictif
pour ce vlan par exemple).
Et si vous utilisez beaucoup de Switch, et plus particulièrement des
switch "stupide/dummy", faites bien attention de ne pas créer de boucle
avec la câblage. Les switch plus intelligentes peuvent gérer les boucles
(spanning-tree) mais pas les switchs ou hub dummy. Une boucle peut écraser
votre réseau très rapidement.
Bonne chance!