Refonte d'un reseau informatique. Des avis svp !

Le
big_orneau
Bonjour

Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis
Il y a en gros 150 personnes : 100 permanents et 50
etudiants/docteurs.


1/ L'existant :

Actuellement, le plan d'adressage est un peu bizarre. Nos
prédecesseurs n'ont pas crées de plan en fait :o

On a 4 VLANS. Trois qui possedent un adressage privé (172.20.x.x) et
un public. 75% des machines appartiennent a ce dernier Ce qui est
une heresie ! Une structure en amont s'occupe du filtrage mais notre
reseau informatique est loin d'etre securisé.

Au niveau service, heu, ben on a un PDC sous NT4 des serveurs de
licences, un WINS et des serveurs de calculs (matlab). C'est un peu
la catastrophe :-/

On est en train de mettre un place un PDC samba sous openldap, on
pense mettre aussi un DHCP (avec association aux adresses mac) et DNS
dynamique.

Cote materiel actif, nos equipements sont vieux (encore qqu hubs !) et
mal adapté. On doit tout racheter. Mais l'equipement de tete qui n'est
pas a nous est un Switch HP administrable. C'est par lui qu'arrive la
fibre optique qui vient au campus.

Je pense tout basculer en adresse privé et je me pose des questions a
propros des vlans et des sous reseaux.



2/ Le nouveau plan d'adressage : questions

a/ Cas 1 : pas de sous reseau

Dans ce cadre est il necessaire de creer des sous reseaux ? Je sais
que certains vont sauter au plafond mais j'aimerais qd meme une
reponse ;) La simplicite serait de prendre une classes non routable de
type B. Cela serait egalement plus simple pour mettre en place le dhcp
et le dns. Bien sur les sous reseaux limitent le broadcast mais
j'aimerais des avis de personnes qui ont un peu d'experience sur cette
question (c mon 1er emploi au passage..)

b/ Avec des sous reseaux

Si l'on cree des sous reseaux, je pense partir sur une classe B avec
des sous reseaux. Creer des sous reseaux sur un classe C est possible
mais je pense que ca serait un peu juste (ai je tort ?) On mettrait
ces sous reseau dans des VLANS pour des raisons de moyens.

3 vlans (par port) du genre :
Classe B : 172.16.0.0 avec 255 sous reseaux de 254 pcs.
- 1 vlan permanents : 172.16.1.0/ 255.255.255.0 (150 pcs)
- 1 vlan etudiants : 172.16.2.0 / "" (50 pcs)
- 1 vlan public pour les qqu personnes qui s'en servent : 193.*.*.*

Est ce valide ? Ce systeme meme s'il reduit le broadcast est plus
compliqué a mettre en place. Pour des raisons de moyens, c'est notre
switch niveau 3 qui administrerait les VLANS. Il faudrait deja un
relai dhcp pour que le client obtiennent une adresse IP des vlans.
Pour le DNS interne, je ne sais pas ce que cela implique, je n'en ai
jamais fait avec des VLANSs. D'autre part, notre swith lvl 3
deviendrait vraiment le point sensible du reseau et creerait un goulot
(c'est du 10/100 seulement) alors que nos nouveaux serveurs ont une
carte 1000mbps.

Bref je me pose pas mal de questions et j'aimerais avoir qqu avis
"d'anciens" :-)

merci

  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
kurtz le pirate
Le #637739
In article (hfrfc) wrote:

Bonjour

Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis...
Il y a en gros 150 personnes : 100 permanents et 50
etudiants/docteurs.

...

Bref je me pose pas mal de questions et j'aimerais avoir qqu avis
"d'anciens" :-)

merci



quelques remarques :

- deja, j'ai l'impression que tu confonds vlan et sous-réseaux. je ne
comprends pas ce que tu veux dire par <<On mettrait ces sous-reseaux
dans des VLANS pour des raisons de moyens>>

- ensuite, si j'ai bien compris, tu a une "arrivé du campus" à 100mbps
pour 150 personnes ? un peu juste la.

- pdc sous nt4. il est vraiment temps de migrer !

- la mise ne place d'un dns et d'un dhcp sont vraiment indispensable.
et réserve une plage d'@ fixe pour tes serveurs.

- vires tes hubs (oui je sais... le budget...), achetes des switchs

- bien sur il faut utiliser une classe d'@ip privées mais si tu as
peur d'être juste, prends une classe a au cas ou ;)

- comment est géré la sécurité vis à vis de l'extérieur ? firewall ?
tu as des erveurs accéssible de l'extérieur ?

- combien as-tu d'@ip pubique ?


bon courage


Phil
Le #637737
(hfrfc) écrivait
news::

Bonjour
Bonjour aussi



Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis...

<je coupe la description>



2/ Le nouveau plan d'adressage : questions

a/ Cas 1 : pas de sous reseau

C'est le plus simple en effet. Ca dependra du traffic et de la

confidentialité désirée. Dans ce cas , tout le monde verra tout le monde.

b/ Avec des sous reseaux

3 vlans (par port) du genre :
Classe B : 172.16.0.0 avec 255 sous reseaux de 254 pcs.
- 1 vlan permanents : 172.16.1.0/ 255.255.255.0 (150 pcs)
- 1 vlan etudiants : 172.16.2.0 / "" (50 pcs)
- 1 vlan public pour les qqu personnes qui s'en servent : 193.*.*.*


Cela parait le plus raisonnable. Un serveur dhcp avec reservation
d'adresse par mac adress, un ou des relais dhcp et ca roule.


Est ce valide ? Ce systeme meme s'il reduit le broadcast est plus
compliqué a mettre en place. Pour des raisons de moyens, c'est notre
switch niveau 3 qui administrerait les VLANS. Il faudrait deja un
relai dhcp pour que le client obtiennent une adresse IP des vlans.
Pour le DNS interne, je ne sais pas ce que cela implique, je n'en ai
jamais fait avec des VLANSs. D'autre part, notre swith lvl 3
deviendrait vraiment le point sensible du reseau et creerait un goulot
(c'est du 10/100 seulement) alors que nos nouveaux serveurs ont une
carte 1000mbps.
Cela depend surtout si il y a du routage inter-vlan.

Les serveurs seront à 100Mbs. Si il sont vraiment tres sollicités, il
faudra alors revoir le reseau, creer un backbone en giga, et toussa.

Bref je me pose pas mal de questions et j'aimerais avoir qqu avis
"d'anciens" :-)
donc quelques avis, a completer et/ou corriger par d'autres .


merci
De rien






--
Phil

Dominique Blas
Le #637736
Bonjour

Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis...
Il y a en gros 150 personnes : 100 permanents et 50
etudiants/docteurs.



A mon avis c'est un projet type pour un spécialiste.
Oui, je sais, le budget mais c'est à vous de voir si vous souhaitez un
réseau << à jour >> ou la poursuite de l'ancienne situation.
Aujourd'hui la tendance est à la VLANisation (*) car tout switch pro
dispose de la gestion des VLAN et c'est ce qui de plus simple au final
pour gérer la circulation des flux et une certaine qualité de service.
En ce qui concerne la sécurité c'est un leurre mais qui leurre la
plupart des utilisateurs donc pourquoi pas.

Mais tout reste envisageable si vous disposez de liaisons inter-campus
vous pouvez aller jusqu'à les chiffrer les chiffrer.


On est en train de mettre un place un PDC samba sous openldap, on
pense mettre aussi un DHCP (avec association aux adresses mac) et DNS
dynamique.


Le SMB sous LDAP est un bon choix tant qu'il est assorti d'une interface
séduisante (tout le monde ne cause pas forcément le ldapadd ou
ldapmodify dans le texte).


Cote materiel actif, nos equipements sont vieux (encore qqu hubs !) et
mal adapté. On doit tout racheter. Mais l'equipement de tete qui n'est
pas a nous est un Switch HP administrable. C'est par lui qu'arrive la
fibre optique qui vient au campus.

Je pense tout basculer en adresse privé et je me pose des questions a
propros des vlans et des sous reseaux.


Pour ma part j'ai tendance à numéroter tout en IPv6 désormais quitte à
conserver des secteurs en IPv4 et placer des translateurs.
Toutefois,dans votre cas, ce n'est absolument pas envisageable étant
donné la proportion de vieux Windows qui trâinent.
Dommage.


2/ Le nouveau plan d'adressage : questions

a/ Cas 1 : pas de sous reseau

Dans ce cadre est il necessaire de creer des sous reseaux ? Je sais
que certains vont sauter au plafond mais j'aimerais qd meme une
reponse ;) La simplicite serait de prendre une classes non routable de
type B. Cela serait egalement plus simple pour mettre en place le dhcp
et le dns. Bien sur les sous reseaux limitent le broadcast mais
j'aimerais des avis de personnes qui ont un peu d'experience sur cette
question (c mon 1er emploi au passage..)


Les broadcasts peuvent se filtrer sur les switches. Toutefois, pour
simplifier, on a l'habitude de scinder au niveau 3 les différents types
de flux. Ne serait-ce que pour leur appliquer des politiques de trafic
et de sécurité différentes. C'est plus simple de raisonner à un niveau
élevé (applicatif si possible) qu'à un niveau faible.
Ensuite il faut voir la répartion au sein de l'établissement des
différents flux concernés car, si c'est pour créer des VLAN qui,
systématiquement, parcourent l'ensemble du campus et sont routés entre
eux à un seul endroit ... ce n'est pas très élégant ni très économique
en bande passante. Mais ça se fait.

Ce qui se pratique également c'est de penser de manière hiérarchisée.
Par exemple avoir une épine dorsale à très haut débit (1G voire 10Gbit/s
désormais) sous la forme d'une boucle (voire double boucle).
La boucle évite qu'un seul switch/routeur en panne pénalise l'ensemble
du réseau.
Puis une distribution verticale dans chaque bâtiment desservi puis,
enfin, une irrigation capillaire horizontale à partir de switches d'étage.
Cetet structure facilite les mouvements de personnel, les dépannages et
migrations.

[...]

jamais fait avec des VLANSs. D'autre part, notre swith lvl 3
deviendrait vraiment le point sensible du reseau et creerait un goulot
goulet !

(c'est du 10/100 seulement) alors que nos nouveaux serveurs ont une
carte 1000mbps.


Au final, c'est difficile de répondre précisément. C'est bien pour cela
qu'on réalise des audits !
C'est plus simple de fournir des solutions adaptées lorsqu'on a toutes
les billes en main à savoir :
budget !
délai de mise en place,
cartographie du site (géographie et liaisons existantes),
cartographie des flux,
cartographie des usages présents et à venir dans les 2 et 3 ans.

Je pense que vous devriez interroger vos collègues d'autres universités
(ce n'est pas ce qui manque en France). Certains campus vont très loin
tant en terme d'infrastructure (boucle optique, sans-fil, liaisons à 10
Gbit/s) que d'adressage (IPv6 systématique) et d'admnistration.

db

(*) Il ne faut pas confondre VLAN et sous-réseaux, l'un n'implique pas
l'autre et vice-versa. On peut très bien avoir des VLAN et ponter entre
chacun. Mais il est vrai qu'il est plus courant de router (l'histoire de
la facilité de synthèse exposée plsu haut).



db

big_orneau
Le #637735
Pour repondre aux differentes questions :

@ kurtz le pirate : - je fais bien la difference entre vlan et sous
reseaux. Simplement vu que nous n'avons pas de routeurs pour relier
les differents sous reseaux, la solution la plus economique est de se
servir de notre switch lvl 3 qui gere les vlans. Ainsi on peut faire
communiquer les differents sous reseaux grace a ce seul equipement.

- Pour la connexion vers le campus, on ne s'en occupe pas et nos
problemes ne se situent pas la. Nos problemes sont vraiment internes,
a l'interieur de notre lan.

- On a bcp d'@publiques... Mais ca va changer. Un filtrage est
effectué en amont. Nos serveurs gerent des services internes
uniquement (pas de mail, ni de web, car gérés en amont par une autre
structure)

@DB : Dans notre structure tout marche en client/serveur.
L'autentification (samba/ldap), les serveurs de licences, les
calculateurs (+le futur dhcp et dns). Les permanents lancent a
distance des calcules sur les serveurs. Quant aux salles de tp, elles
communiquent avec les serveurs de calculs mais font egalement du
calcul en local. Ce qui fait que ces ressources vont etre souvent
sollicitées...
D'ou ma question ??? Est ce ** REELLEMENT ** efficace de vouloir tout
compartimenter en vlans alors qu'il va y avoir bcp de traffic
intervlan au final ?? (pour atteindre les serveurs).


Pour le budget, on est en train de refaire le cablage deja (+/- 30000
euros). Donc niveau equipements actifs ca va etre chaud....

On est relié a l'exterieur en fibre optique (pas de VPN ou autre),
sinon tout se joue en interne. Pour les usages a venir, je ne pense
pas que ca va changer cad : salles de TP (50 etudiants) , lancement de
calculs a distance sur les serveurs... On va mettre en place une
solution de clonage et d'av serveur.

En fait on est un petit labo est les experiences des autres
universites ne nous aident pas forcement.


PS : notre switch de tete est un HP 2524
voila ;)
zrd
Le #637733
Bonjour,

C'est ce qui m'est tombe dessus en stage y a quelques annees.

Pour finir et obtenir une reponse (je me suis pose les memes questions que
toi)
j'ai etudie les flux, une station avec sniffer que tu trimballe sur le
reseaux.
Les resultats t'ameneront vers la reponse : comment scinder.
Apres : cf le budget, comme d'hab.
Mais switcher le reseau me parait un minimum.

Ok pour la classe IP prive, mais en classe B tu vas peut etre te retrouver
vite bloquer.
Pourquoi mettre du DHCP partout, si t'as des postes fixes, vraiment fixes >
IP fixes
(perso je trouve ca plus facile pour s'y retrouver)
Regroupes tes IP par "utilisation", la serie des imprimantes, la serie des
serveurs, la serie d'interconnexion...

y aura sans doute plus specialiste que moi

++
none
Le #650568
hfrfc wrote:
Bonjour

Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis...
Il y a en gros 150 personnes : 100 permanents et 50
etudiants/docteurs.


1/ L'existant :

Actuellement, le plan d'adressage est un peu bizarre. Nos
prédecesseurs n'ont pas crées de plan en fait :o

On a 4 VLANS. Trois qui possedent un adressage privé (172.20.x.x) et
un public. 75% des machines appartiennent a ce dernier... Ce qui est
une heresie ! Une structure en amont s'occupe du filtrage mais notre
reseau informatique est loin d'etre securisé.

Au niveau service, heu, ben on a un PDC sous NT4... des serveurs de
licences, un WINS et des serveurs de calculs (matlab...). C'est un peu
la catastrophe :-/

On est en train de mettre un place un PDC samba sous openldap, on
pense mettre aussi un DHCP (avec association aux adresses mac) et DNS
dynamique.

Cote materiel actif, nos equipements sont vieux (encore qqu hubs !) et
mal adapté. On doit tout racheter. Mais l'equipement de tete qui n'est
pas a nous est un Switch HP administrable. C'est par lui qu'arrive la
fibre optique qui vient au campus.

Je pense tout basculer en adresse privé et je me pose des questions a
propros des vlans et des sous reseaux.



2/ Le nouveau plan d'adressage : questions

a/ Cas 1 : pas de sous reseau

Dans ce cadre est il necessaire de creer des sous reseaux ? Je sais
que certains vont sauter au plafond mais j'aimerais qd meme une
reponse ;) La simplicite serait de prendre une classes non routable de
type B. Cela serait egalement plus simple pour mettre en place le dhcp
et le dns. Bien sur les sous reseaux limitent le broadcast mais
j'aimerais des avis de personnes qui ont un peu d'experience sur cette
question (c mon 1er emploi au passage..)

b/ Avec des sous reseaux

Si l'on cree des sous reseaux, je pense partir sur une classe B avec
des sous reseaux. Creer des sous reseaux sur un classe C est possible
mais je pense que ca serait un peu juste (ai je tort ?) On mettrait
ces sous reseau dans des VLANS pour des raisons de moyens.

3 vlans (par port) du genre :
Classe B : 172.16.0.0 avec 255 sous reseaux de 254 pcs.
- 1 vlan permanents : 172.16.1.0/ 255.255.255.0 (150 pcs)
- 1 vlan etudiants : 172.16.2.0 / "" (50 pcs)
- 1 vlan public pour les qqu personnes qui s'en servent : 193.*.*.*

Est ce valide ? Ce systeme meme s'il reduit le broadcast est plus
compliqué a mettre en place. Pour des raisons de moyens, c'est notre
switch niveau 3 qui administrerait les VLANS. Il faudrait deja un
relai dhcp pour que le client obtiennent une adresse IP des vlans.
Pour le DNS interne, je ne sais pas ce que cela implique, je n'en ai
jamais fait avec des VLANSs. D'autre part, notre swith lvl 3
deviendrait vraiment le point sensible du reseau et creerait un goulot
(c'est du 10/100 seulement) alors que nos nouveaux serveurs ont une
carte 1000mbps.

Bref je me pose pas mal de questions et j'aimerais avoir qqu avis
"d'anciens" :-)

merci


Sinon tu peux aussi m'embaucher par exemple.

Bye

Soeur Anne
Le #650567
Dans le post :421fced3$0$20001$,
none" <""highleaf"@(none) <""highleaf"@(none)"> nous a dit :

Sinon tu peux aussi m'embaucher par exemple.


T'as pas tout lu, pourtant t'as tout quoté :-(

j'aimerais des avis de personnes qui ont un peu d'experience sur
cette
question (c mon 1er emploi au passage..)



va pas te filer sa place, si ? :-)

Pour y répondre ... ben ça dépasse mes modestes compétences, désolé

--
Soeur Anne


Michel Billaud
Le #644551
(hfrfc) writes:

Bonjour

Je compte refaire le reseau d'une structure (un labo d'une universite)
de 200 pcs (60% windows le reste unix/linux) et j'aimerais qqu avis...
Il y a en gros 150 personnes : 100 permanents et 50
etudiants/docteurs.


[vlan, adresses, dhcp, etc.]

Tout ça c'est prématuré, à mon avis.

La première étape est de définir les besoins, et la politique de
sécurité qui ira avec. Les permanents partagent-ils des données avec
les étudiants ? Ont-ils les mêmes droits ? Peut-on se connecter
depuis l'extérieur ? Quels services sont offerts par vos serveurs (à
l'intérieur, à l'extérieur ?). Permettez-vous le raccordement de
portables ? L'utilisation du Wifi ? De l'intérieur, peut on accèder à
tous les services extérieurs, ou seulement à certains, en passant
obligatoirement par des points de contrôle pour ftp/web/mail ? etc.

Une fois que vous avez ça, faites valider officiellement par les
utilisateurs et la hiérarchie. Vous en aurez besoin, parce que le
jour où vous commencerez la mise en place, tout le monde viendra
pleurer que ça ne va pas du tout, on peut plus bosser, c'était mieux
avant etc. et vous verrez apparaitre les bornes wifi sauvages, les
câbles clandestins, les modems sous les bureaux etc. Donc premier
point, constat sur l'existant, relevé des besoins, politique de
sécurité et accord consensuel sur la nécessité et les objectifs du
changement.

Ensuite, place à la technique.

MB
--
Michel BILLAUD
LABRI-Université Bordeaux I tel 05 4000 6922 / 05 5684 5792
351, cours de la Libération http://www.labri.fr/~billaud
33405 Talence (FRANCE)

Poster une réponse
Anonyme