Interface réseau d'une PME

[superstarz]

Bonjour,

J'ai besoin de faire une installation réseau pour une PME, cependant nous avons quelques doutes sur le matériel nécessaires.

Nous nous sommes orientés vers, 1 switch pour chaque service, et un routeur faisant le noeud de l'ensemble de ces switch.
Ensuite, nous avons besoin d'installer un serveur contenant des données sensible, alors nous pensons le raccorder au routeur en interne.

Les questions paraissent simple mais il y a surement plein d'autre manières différente d'installer un réseau pour ce genre de boite et assez peu de ressource sur le net.

Donnez moi vos conseils !

Merci d'avance !

[Cybher]

salut,

c'est assez vague comme question. tout dépend déjà du nombre de personnes et de comment tu veux segmenter ton réseau
plusieurs services peuvent être par exemple sur le même switch mais sur des vlan différents (ou bien sur le même vlan si tu le souhaites)

Tu peux aussi avoir un switch central, et les switchs de périphérie relié à ce switch central. on pourrait alors imaginer que le serveur serait relié au switch central.

enfin il y plusieurs possibilités

[superstarz]

Oui, c'était mon idée de base, avoir un switch avec différentes vlan, mais c'est une technologies cisco et le prix des switchs cisco font peur.
Est ce que je me trompe ?

Le routeur est-il indispensable ? Nous avions l'intention de le mettre pour 3 raisons, pour ne pas relié directement un switch ou le server au réseau internet (possible ça ?), pour avoir un par feu matériel intéressant, et enfin pour avoir accès à des configuration réseau beaucoup plus poussé que celle que propose un switch (notamment au niveau des routes).

Que pensez-vous ?

Enfin, la boite doit comporter 3-4 service, avec au maximum 4 personnes par service, donc bon, si on voit un peut plus large, il faut qu'on compte le réseau pour 25 personnes environs

[zeclad01]

Bonjour,

Qu'elle est ta formation en la matière ?
Tu t'attaques à quelque chose de conséquent.

Comment fonctionne t-il aujourd'hui ?

Pour te relier à internet, est-ce un lien SDSL ? ADSL ?
Quel est ton provider (FAI) ? Disposes-tu d'une box pour ta PME ?

Tu disposeras d'une adresse IP Publique pour l'interface côté FAI.
Il te faut donc un plan d'adressage privé pour ta PME.

Ensuite, veux-tu que ce plan d'adressage soit fixe ou dynamique (sans DHCP ou avec DHCP) ?
Tu vas devoir mettre en place du NAT au niveau de ton routeur ou de ta box si tu en disposes d'une.

Ton serveur doit-il être accessible de l'extérieur ?

Des ACL devront être mises en places pour choisir le traffic entrant/sortant au niveau du routeur (ou de la box).

Des VLAN peuvent être mis en place pour séparer les traffics, il faudra donc utiliser un port trunk de tes switchs vers le routeur.
Et non ce n'est pas propriétaire CISCO.

Voilà une première vision avant d'avoir tes réponses.

[superstarz]

Citation:

Envoyé par zeclad01

Bonjour,

1Qu'elle est ta formation en la matière ?
Tu t'attaques à quelque chose de conséquent.

2Comment fonctionne t-il aujourd'hui ?

3Pour te relier à internet, est-ce un lien SDSL ? ADSL ?
Quel est ton provider (FAI) ? Disposes-tu d'une box pour ta PME ?

4Tu disposeras d'une adresse IP Publique pour l'interface côté FAI.
Il te faut donc un plan d'adressage privé pour ta PME.

5Ensuite, veux-tu que ce plan d'adressage soit fixe ou dynamique (sans DHCP ou avec DHCP) ?
Tu vas devoir mettre en place du NAT au niveau de ton routeur ou de ta box si tu en disposes d'une.

6Ton serveur doit-il être accessible de l'extérieur ?

7Des ACL devront être mises en places pour choisir le traffic entrant/sortant au niveau du routeur (ou de la box).

8Des VLAN peuvent être mis en place pour séparer les traffics, il faudra donc utiliser un port trunk de tes switchs vers le routeur.
Et non ce n'est pas propriétaire CISCO.

Voilà une première vision avant d'avoir tes réponses.

Bonjour et merci de votre réponse

J'ai séparer ton post en numéro comme ça c'est plus pratique pour répondre
Pour mettre les choses au clair, il s’agit pour l'instant d'une étude
1. Je n'ai qu'un CCNA 1
2. Rien n'est fait.
3. Connexion ADSL, Je pense qu'il serait judicieux d'utiliser notre propre routeur qu'une box grand public.
4. Oui , avec un routeur ?
5. Nous ne souhaitons pas de DHCP.Pour le nat, oui nous allons en avoir besoin, c'est pour cette raison que pour l'instant nous partons vers un routeur faisant la liaison intranet/internet. Cybher me suggérer un gros switch central, un switch peut faire ça ?
6. Nous ne souhaitons pas que le server soit accessible depuis l'extérieur
7. Oui oui on ne s'est pas encore penché la dessus.
8. c'est sur ce point que je me pose encore des questions ...

[zeclad01]

La connexion au FAI à partir d'un routeur est assez hasardeuse suivant le FAI choisi. Il va falloir configurer correctement l'interface côté FAI (je n'ai jamais essayé de supprimer définitivement une box) ou conserver la box et l'utiliser en mode bridge.

L'utilisation des VLAN sera utile pour toi si tu souhaites isoler les services, mettre en place des ACL, faire de la QoS ... etc.

Un switch de niveau 2 ne fait que de la commutation (il s'arrête donc à la couche 2 du modèle OSI).
Un switch de niveau 3 fait de la commutation (et donc aussi du niveau 2) (il s'arrête donc à la couche 3 du modèle OSI). Un switch de ce niveau a donc les mêmes fonctions qu'un routeur : il route. Cependant, sauf erreur de ma part, il ne fait pas de NAT/PAT (à vérifier).

Si tu ne veux pas de DHCP, il faudra passer sur tous les postes et faire la configuration IP de chaque poste.

Si tu n'as pas de DHCP je suppose que tu n'auras pas de serveur DNS ?

[Cybher]

salut,

à mon avis, tu n'auras besoin de NAT que pour sortir sur internet, donc qui pourrait se faire au niveau de la box du FAI (pas d'intérêt de le faire au niveau des switchs)
Après, vu le nombre de machines, je ne suis pas sur que tu aies besoin de segmenter ton réseau en VLAN.

[superstarz]

Tout d'abord, merci de vos réponses !

@Zeclad.

L'idée de la box en mode bridge est une bonne solution, qui me permet ensuite de mettre seulement un switch car je n'aurais pas besoin de NAT que fera déjà la box.

Citation:

Envoyé par Cybher

salut,

à mon avis, tu n'auras besoin de NAT que pour sortir sur internet, donc qui pourrait se faire au niveau de la box du FAI (pas d'intérêt de le faire au niveau des switchs)
Après, vu le nombre de machines, je ne suis pas sur que tu aies besoin de segmenter ton réseau en VLAN.

Et bien, comment isoler les services dans ce cas ? l'hypothèse d'utiliser des vlans me paraissait intéressante.

Ensuite, de raccorder le server au switch (ou au routeur principale) ne vous parait pas une bonne idée ? Pour la sécurité des données non ?

[Cybher]

salut,

si tu met ta box en mode bridge, elle ne fait pas de nat. Il faut la mettre en mode routeur pour cela.
en mode bridge, il te faudra un autre équipement qui fera le routage/nat (routeur ou firewall)

après si tu veux isoler tes services, en effet il faut utiliser des VLANS. Après pour une vingtaine de postes, cela n'est pas non plus indispensable sauf si tu veux que tes différents services aient des droits d'accès différents par exemple

[superstarz]

Citation:

Envoyé par Cybher

salut,

si tu met ta box en mode bridge, elle ne fait pas de nat. Il faut la mettre en mode routeur pour cela.
en mode bridge, il te faudra un autre équipement qui fera le routage/nat (routeur ou firewall)

après si tu veux isoler tes services, en effet il faut utiliser des VLANS. Après pour une vingtaine de postes, cela n'est pas non plus indispensable sauf si tu veux que tes différents services aient des droits d'accès différents par exemple

Concernant la box, la mettre seulement en mode bridge ne sert donc a rien.
Oui je souhaite isoler les services notamment au niveau des droits d'accès.

Je vous propose donc un schéma ou je suis partie de mon idée de base que j'ai remodeler en fonction de vos post :



Bien sur, les "service1" et "service 2", ne sont pas des équipements réseau, simplement une représentation pour le schéma.


Que pensez-vous de mon installation, relié le server au switch et non à la box est bien un gage de sécurité ?
Avez vous une idée optimisé dans mon cas d'utilisation ?

Merci d'avance


PS : Pas de blague sur mon schéma, Paint n'est pas photoshop

[MikaLan]

Salut

Je pense que pour toi l'idéal serais d'utilise un firewall je t'ai fait un petit schéma

[IMG][/IMG]

BaT