Mon post sur le choix d'un routeur cisco a l'air de susciter de
l'intérêt et des doutes dans mon esprit alors je vous soumet mon cas
pour avis :-)
J'ai un réseau de classe C. Il s'agit d'un imprimerie avec des postes
windows, des serveurs windows, des macs mais également des machines
industrielles connectées qui reçoivent leurs ordres d'impression
depuis quelques machines.
Au départ, je pensais scinder le réseau en deux pour séparer les
machines des postes.
Certains me disent vlan, d'autres séparation d'adresse réseau et
d'autres séparation physiques avec certains postes connectés au deux.
Quel est votre avis svp ? sachant que les machines communiquent peu et
le réseau sert surtout à recevoir les ordres d'impression.
Je tiens a préciser que je compte mettre en place une supervision sur
tout le réseau sachant que les machines gèrent snmp. Je ne sais pas si
cela va influer sur votre choix mais je le dis quand meme
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
GuiGui
In article , says...
Bonjour,
Mon post sur le choix d'un routeur cisco a l'air de susciter de l'intérêt et des doutes dans mon esprit alors je vous soumet mon cas pour avis :-)
J'ai un réseau de classe C. Il s'agit d'un imprimerie avec des postes windows, des serveurs windows, des macs mais également des machines industrielles connectées qui reçoivent leurs ordres d'impression depuis quelques machines.
Au départ, je pensais scinder le réseau en deux pour séparer les machines des postes.
Certains me disent vlan, d'autres séparation d'adresse réseau et d'autres séparation physiques avec certains postes connectés au deux.
Quel est votre avis svp ? sachant que les machines communiquent peu et le réseau sert surtout à recevoir les ordres d'impression.
Je tiens a préciser que je compte mettre en place une supervision sur tout le réseau sachant que les machines gèrent snmp. Je ne sais pas si cela va influer sur votre choix mais je le dis quand meme
Merci beaucoup pour vos critiques.
Daniel
Bonjour,
La mise en oeuvre d'une supervision implique que cette machine ait acces aux deux réseaux. Personellement, d'un point de vue sécurité je n'aime pas que des machines du réseau aient un acces à plusieurs réseaux. Je préfère isoler les réseaux et mettre des règles de routage en 1 seul point, c'est plus facile à contrôler que plein de ponts potentiels. Après, je dirais plutôt des vlans, ce qui permet d'optimiser les coûts d'infra (ne pas multiplier les switchs). Le problème potentiel, c'est une machine qui a un problème et plante les switchs, donc risque qu'une machine bureautique plante le réseau d'impression, mais si les switchs sont correctement paramétrés (et suffisemment paramétrables) il ne devrait pas y avoir de casse. Pour ce genre d'installation, je privilégierait des switchs très configurables (genre Cisco catalyst), même en ne mettant que des switchs 100Mb/s là où pour le même prix on aurait facilement des switchs gigabit. Le plus important c'est de pouvoir contrôler finement les protocoles et garantir la sécurité. Si tu n'est pas un spécialiste, passer par un intégrateur qui pourra faire une configuration pointue, documentée (c'est très important!), et faire un peu de formation est préférable (même si c'est pas donné). Ce spécialiste pourra te prémunir contre les risques de plantages dus à des défauts sur certaines machines. Au vu de ce que tu décrits, je couperais le réseau en 4 vlans au moins : machines d'imprimerie, serveurs & stockage, machines d'édition et mise en page (je suppose que les macs sont pour ça ?), machines bureautique. Eventuellemnt, ajouter un vlan DMZ pour poser un serveur FTPS (dépot des fichiers par les clients) si c'est pas hébergé ailleurs.
In article <a068v75s06b81nkrk7s6m0d7oo1683e0r7@4ax.com>,
apple@onlypie.de says...
Bonjour,
Mon post sur le choix d'un routeur cisco a l'air de susciter de
l'intérêt et des doutes dans mon esprit alors je vous soumet mon cas
pour avis :-)
J'ai un réseau de classe C. Il s'agit d'un imprimerie avec des postes
windows, des serveurs windows, des macs mais également des machines
industrielles connectées qui reçoivent leurs ordres d'impression
depuis quelques machines.
Au départ, je pensais scinder le réseau en deux pour séparer les
machines des postes.
Certains me disent vlan, d'autres séparation d'adresse réseau et
d'autres séparation physiques avec certains postes connectés au deux.
Quel est votre avis svp ? sachant que les machines communiquent peu et
le réseau sert surtout à recevoir les ordres d'impression.
Je tiens a préciser que je compte mettre en place une supervision sur
tout le réseau sachant que les machines gèrent snmp. Je ne sais pas si
cela va influer sur votre choix mais je le dis quand meme
Merci beaucoup pour vos critiques.
Daniel
Bonjour,
La mise en oeuvre d'une supervision implique que cette machine ait acces
aux deux réseaux. Personellement, d'un point de vue sécurité je n'aime
pas que des machines du réseau aient un acces à plusieurs réseaux. Je
préfère isoler les réseaux et mettre des règles de routage en 1 seul
point, c'est plus facile à contrôler que plein de ponts potentiels.
Après, je dirais plutôt des vlans, ce qui permet d'optimiser les coûts
d'infra (ne pas multiplier les switchs). Le problème potentiel, c'est
une machine qui a un problème et plante les switchs, donc risque qu'une
machine bureautique plante le réseau d'impression, mais si les switchs
sont correctement paramétrés (et suffisemment paramétrables) il ne
devrait pas y avoir de casse.
Pour ce genre d'installation, je privilégierait des switchs très
configurables (genre Cisco catalyst), même en ne mettant que des switchs
100Mb/s là où pour le même prix on aurait facilement des switchs
gigabit. Le plus important c'est de pouvoir contrôler finement les
protocoles et garantir la sécurité.
Si tu n'est pas un spécialiste, passer par un intégrateur qui pourra
faire une configuration pointue, documentée (c'est très important!), et
faire un peu de formation est préférable (même si c'est pas donné). Ce
spécialiste pourra te prémunir contre les risques de plantages dus à des
défauts sur certaines machines.
Au vu de ce que tu décrits, je couperais le réseau en 4 vlans au moins :
machines d'imprimerie, serveurs & stockage, machines d'édition et mise
en page (je suppose que les macs sont pour ça ?), machines bureautique.
Eventuellemnt, ajouter un vlan DMZ pour poser un serveur FTPS (dépot des
fichiers par les clients) si c'est pas hébergé ailleurs.
Mon post sur le choix d'un routeur cisco a l'air de susciter de l'intérêt et des doutes dans mon esprit alors je vous soumet mon cas pour avis :-)
J'ai un réseau de classe C. Il s'agit d'un imprimerie avec des postes windows, des serveurs windows, des macs mais également des machines industrielles connectées qui reçoivent leurs ordres d'impression depuis quelques machines.
Au départ, je pensais scinder le réseau en deux pour séparer les machines des postes.
Certains me disent vlan, d'autres séparation d'adresse réseau et d'autres séparation physiques avec certains postes connectés au deux.
Quel est votre avis svp ? sachant que les machines communiquent peu et le réseau sert surtout à recevoir les ordres d'impression.
Je tiens a préciser que je compte mettre en place une supervision sur tout le réseau sachant que les machines gèrent snmp. Je ne sais pas si cela va influer sur votre choix mais je le dis quand meme
Merci beaucoup pour vos critiques.
Daniel
Bonjour,
La mise en oeuvre d'une supervision implique que cette machine ait acces aux deux réseaux. Personellement, d'un point de vue sécurité je n'aime pas que des machines du réseau aient un acces à plusieurs réseaux. Je préfère isoler les réseaux et mettre des règles de routage en 1 seul point, c'est plus facile à contrôler que plein de ponts potentiels. Après, je dirais plutôt des vlans, ce qui permet d'optimiser les coûts d'infra (ne pas multiplier les switchs). Le problème potentiel, c'est une machine qui a un problème et plante les switchs, donc risque qu'une machine bureautique plante le réseau d'impression, mais si les switchs sont correctement paramétrés (et suffisemment paramétrables) il ne devrait pas y avoir de casse. Pour ce genre d'installation, je privilégierait des switchs très configurables (genre Cisco catalyst), même en ne mettant que des switchs 100Mb/s là où pour le même prix on aurait facilement des switchs gigabit. Le plus important c'est de pouvoir contrôler finement les protocoles et garantir la sécurité. Si tu n'est pas un spécialiste, passer par un intégrateur qui pourra faire une configuration pointue, documentée (c'est très important!), et faire un peu de formation est préférable (même si c'est pas donné). Ce spécialiste pourra te prémunir contre les risques de plantages dus à des défauts sur certaines machines. Au vu de ce que tu décrits, je couperais le réseau en 4 vlans au moins : machines d'imprimerie, serveurs & stockage, machines d'édition et mise en page (je suppose que les macs sont pour ça ?), machines bureautique. Eventuellemnt, ajouter un vlan DMZ pour poser un serveur FTPS (dépot des fichiers par les clients) si c'est pas hébergé ailleurs.
xavier
GuiGui wrote:
ajouter un vlan DMZ pour poser un serveur FTPS (dépot des fichiers par les clients) si c'est pas hébergé ailleurs.
Je suppose que ton clavier a fourché ? FTP(S) est un protocole obsolète, inutilement -et c'est un euphémisme- compliqué, ainsi qu'une plaie pour les firewalls.
Alors que SFTP est un protocole moderne, sûr, et dont le client est dispo sur toutes les archi.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
GuiGui <guigui@nospam.local> wrote:
ajouter un vlan DMZ pour poser un serveur FTPS (dépot des
fichiers par les clients) si c'est pas hébergé ailleurs.
Je suppose que ton clavier a fourché ? FTP(S) est un protocole obsolète,
inutilement -et c'est un euphémisme- compliqué, ainsi qu'une plaie pour
les firewalls.
Alors que SFTP est un protocole moderne, sûr, et dont le client est
dispo sur toutes les archi.
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
ajouter un vlan DMZ pour poser un serveur FTPS (dépot des fichiers par les clients) si c'est pas hébergé ailleurs.
Je suppose que ton clavier a fourché ? FTP(S) est un protocole obsolète, inutilement -et c'est un euphémisme- compliqué, ainsi qu'une plaie pour les firewalls.
Alors que SFTP est un protocole moderne, sûr, et dont le client est dispo sur toutes les archi.
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)