Discussion :

[Cyrano.B]

Bonjour a tous
je suis novice en admin reseau et j'ai un reseau a configurer.
Voila l'environnement :

Un parc des 30 serveurs fonctionnant sous windows et linux centOS (90%/10%)
3 contrôleurs de domaine. (1 Wk3 et 2 2k8)
350 PCs du parc fonctionnant sous W7
Les PC à usage pédagogique contiennent une machine virtuelle linux.
Les Home directory des utilisateurs sont stockés sur un serveur de fichier sous W2K8
Les utilisateurs ne stockent pas de données en local sur les postes.
L’Activ Directory contient 2500 utilisateurs
Vsphere 5.1, 3 esx et une baie Equalogic composent l'infrastructure de virtualisation de serveur
Le parc réseau se compose de switchs Cisco (2950, 2960, 5700, Nexus), Extrem, Microsens et HP (2624)

Voila ce que je voudrais faire:

Le nouveau bâtiment abritera 2 entités.
L’architecture cible prévoit 800 microswitchs Microsens situés au plus proche de l’utilisateur. Ces microswtichs seront connecté au cœur de réseau avec une infrastructure de fibres optiques irriguant le bâtiment depuis une unique salle technique réseau et serveur
Le cœur de réseau doit concentrer la liaison vers les 800 switchs

Je voudrais avoir:
un lan ETUDIANTS
un lan PROFESSEURS
un lan ADMINISTRATION

une DMZ avec bastion

une communication (VLAN probablement) entre PROFESSEURS <----> ETUDIANTS sans acces des etudiants aux PC des professeurs evidemment
une communication (VLAN probablement) entre ETUDIANTS <----> ADMINISTRATION sans acces des etudiants aux PC des de l'administration evidemment
une communication (VLAN probablement) entre PROFESSEURS <----> ADMINISTRATION

une acces depuis l'exterieur aux postes de chaque etudiant et de chaque professeur avec des VPN permettant l'acces au Web in intranet et au Serveur de Mails

Merci pour votre aide car je patauge un peu (voire un peu beaucoup.....!!!)

Cyrano

[Invité]

Salut,

avec une infra comme ça, vous avez quand même des prestataires ou un minimum d'expertise en local ?

Parce que, pour aller de là :

je suis novice en admin reseau et j'ai un reseau a configurer.

à là :

Le nouveau bâtiment abritera 2 entités.
L’architecture cible prévoit 800 microswitchs Microsens situés au plus proche de l’utilisateur. Ces microswtichs seront connecté au cœur de réseau avec une infrastructure de fibres optiques irriguant le bâtiment depuis une unique salle technique réseau et serveur
Le cœur de réseau doit concentrer la liaison vers les 800 switchs

avouons que le chemin est parsemé d'embûches

Dans mon jargon, j'appelle ça un projet
Qui nécessite beaucoup beaucoup de travail en amont.

Quand tu écris "j'ai un réseau à configurer", tu veux dire quoi exactement ?

Tu travailles quand même avec des Ingés, des CdP ? Enfin, rassures-nous, ils t'ont quand même pas mis tout seul sur ce coup ?

Steph

[Cyrano.B]

si !! je suis tout seul

[Invité]

si !! je suis tout seul

Ah okay

Très honnêtement, essaies de tirer un minimum de budget...
Au moins pour l'étude. Que quelqu'un d'expérimenté puisse pondre un HLD (High Level Design) digne de ce nom pour te donner des fils conducteurs.
Parce que là, c'est pas une Livebox qu'on déploie dans un salon, c'est le SI d'une entreprise. Dans ton descriptif, tu peux pas imaginer le nombre de détails collatéraux que ça nécessite de collecter pour accoster ces 800 miniswitches sur un coeur de réseau (le(s) coeur(s) de réseau, c'est le Nexus ? Nexus 7000 ?).

Steph

[JML19]

Bonsoir

La première question que tu dois te poser c'est où tu placeras les serveurs.

Ceci est fonction de leurs utilisations.

Je ne conseille pas une centralisation des serveurs.

Par contre je conseille une centralisation de la distribution.

Chaque Switch doit être relié à une armoire de brassage.

Le serveur doit être près du Switch où il est le plus utilisé.

[Cyrano.B]

merci les gars!
j'ai deja un debut!!

[Cyrano.B]

je crois que je vais pas y arriver sans votre aide!!!

d'abord je ne comprends pas pourquoi on a besoin de 800 switchs MicroSense pour 350 eleves!
Je veux bien qu'il y ait de la redondance mais la quand meme, c'est peut etre un peu trop!

Est ce qu'on peut avoir :

un firewall avec:
une carte reseau sur le reseau interne
une carte reseau sur les serveurs communs auxquels on peut acceder de l'exterieur (serveur Web et Serveur de messagerie par exemple)
une carte reseau connectée a internet ???????????

et pis je sais pas quoi encore!!!!!!!!!!!!!!!!
Merci d'avance
C.

[elssar]

Bonsoir,

Tu devrais sérieusement penser à prendre réunion avec ton directeur pour revoir ce projet. Un aussi grand parc à design ou redesign seul sans avoir de compétences, ça risque d'être une catastrophe.

Je sais que c'est parfois difficile, mais il faut savoir dire non aux demandes ubuesques des directeurs. Par plus tard qu'en début d'année, j'ai avec mes collègues catégoriquement refusé de recâbler 2 étages. Car nous avons du faire comprendre à notre chef, que non poser des câbles dans un mur c'est un job à temps plein, avec des normes à connaitre et des certifs.

En tout cas, comprends qu'une infra comme ça, c'est monstrueusement complexe.. On va avoir du mal à t'aider, moi quand j'ai redesign le réseau de mon entreprise, j'ai passé plusieurs mois dessus (bon j'avais d'autres tâches à côté) à cartographier le réseau, les configs, à déterminer les vecteurs d'améliorations, établir un schéma, faire des tests etc etc, et mon infra est 2* plus petites que la tienne, et j'ai des compétences que je considère comme correcte.

Pour en revenir à tes questions, oui il est étrange d'avoir besoin d'autant de microswitch, surtout que le plus important c'est la redondance sur le coeur du réseau, car si il tombe, tout tombe, ce n'est pas le cas pour les micro switch, qui font tomber 4-5 utilisateurs.

Quant à ta question sur le firewall, bien sur que oui, un firewall qui n'a pas au moins un accès pour le wan, un pour le lan et une dmz c'est pas vraiment un firewall

[JML19]

Bonjour

Le nombre de micro Switch cela dépend de la distance entre les utilisateurs si tu peux centraliser ou non.

[Cyrano.B]

j'ai pose des questions au directeur et il a eu l'air un peu surpris. On le serait a moins.

comment construit on un Vlan? en ai je besoin?
je ne comprends pas pourquoi il y a 3 controleurs de domaine Windows. Peut on faire la meme chose voire mieux avec du Linux?

est ce que je peux mettre 4 micro switchs (4x8=32ports) pour une classe de 25 eleves?
Comment implementer le spannig tree? et la redondance dans une classe?
Est ce que je peux mettre un switch Cisco chappeauttant les 4 micro switchs d'une classe ce qui me ferait, disons 3 switchs Cisco, et faire communiquer ces Switchs entre eux?

Vous voyez que j'ai progresse en reseau ce week-end!!!!
Mais je dois surement dire des betises quelque part.

Merci pour votre aide.

C.

[Miistik]

Bonjour,

Comment dire ?

Tu n'es clairement pas apte à gérer ce projet là en tout cas seul.

j'ai pose des questions au directeur et il a eu l'air un peu surpris. On le serait a moins.

comment construit on un Vlan? en ai je besoin?
je ne comprends pas pourquoi il y a 3 controleurs de domaine Windows. Peut on faire la meme chose voire mieux avec du Linux?

est ce que je peux mettre 4 micro switchs (4x8=32ports) pour une classe de 25 eleves?
Comment implementer le spannig tree? et la redondance dans une classe?
Est ce que je peux mettre un switch Cisco chappeauttant les 4 micro switchs d'une classe ce qui me ferait, disons 3 switchs Cisco, et faire communiquer ces Switchs entre eux?

Vous voyez que j'ai progresse en reseau ce week-end!!!!
Mais je dois surement dire des betises quelque part.

Merci pour votre aide.

C.

Un Vlan permet de segmenter un réseau local en limitant d'une part la portée des broadcast et en sécurisant un réseau en séparant les flux.
Cela apporte une amélioration de la gestion du réseau.

Tu en auras certainement besoin pour séparer le service administratif de l'école des élèves et des professeurs.
En gros, il faudra contrôler les flux des professeurs vers le service administratif et interdire l'accès des élèves à ce réseau (vlan).

Pour les 3 contrôleurs de domaines, il y a certainement une raison, essayes de voir avec l'ancienne personne qui gérait le réseau.
Il y a certainement un cluster + le dernier pour une raison particulière.

Pour le spanning tree, cela évite les boucles réseau (chose que l'on crée volontairement en insérant de la redondance physique). Le spanning va permettre de contrôler cela.

Concernant le fait que 32 ports peuvent suffir pour une classe de 25 élèves, cela dépend. Combien de pc disposent la classe ? La classe est-elle redondée sur 2 switch de couche accès différents etc ...

Ce projet est assez poussé techniquement tant au niveau architecture que configuration.

Je vous conseille vivement de lancer un appel d'offres à une société externe (vous y gagnerez beaucoup au final).

[JML19]

Bonjour

En réseau on dit qu'il ne faut pas emmener un flux là où il n'a rien à y faire.

Cela coute plus cher de faire une architecture où les flux sont concentrés sur les Switch qui mettent en relation les stations et les serveurs qui travaillent ensemble.

Il faut faire attention aux distances des câbles dans le cas où tous les Switch sont centralisés dans un local technique dans des armoires 19 pouces.

L'avantage réside même si le cout est supérieure au départ par l'évolution facile de l'ensemble.

Lorsqu'il y a des modifications à faire il n'y a qu'à modifier le jarretièrage.

C'est cette technique que j'ai employé lorsque j'ai fait mes différents réseaux.

La connexion entre les bâtiments se font en fibre optique même entre les endroits où la prise de terre n'est pas la même.

Il faut aussi prévoir les alimentations 220 volts et les onduleurs pour les secours possibles.

Il est possible de se passer de fibre optique lorsque la terre est différente, mais dans ce cas il faut aussi tirer les câbles alimentation pour que tout soit pris dans la même armoire d'alimentation.

Voici un exemple de centralisation des Switch tout en séparant les flux.



Exemple d'armoire de brassage 19 pouces



Voici un exemple d'utilisation de câble à la place de fibre optique dans le cas où la terre de l'installation électrique est différente.

[Invité]

Ce que j'ai du mal à comprendre, c'est que vous voulez accueillir 800 arrivées optiques redondées vers des coeurs de réseau, donc nécessité d'augmenter la densité de ports en rajoutant des linecards mais vous n'avez pas 1 cent pour vous payer un expert dans la gestion de ce projet

1) Quelle est la population exacte des étudiants ? Je dis ça parce que dans un échantillon de 400 étudiants ados, il y aura au moins 4 ou 5 geeks qui vont planter ton réseau pour frimer devant les meufs. En d'autres termes, question sécu, avez-vous veillé à bien verrouiller votre infra ?

2) Etes-vous conscients des effets de bords provoqués par des flat networks L2 de plusieurs milliers de MAC addresses ?

3) Est-ce que le(s) coeur(s) de réseau qui reçoivent ces nouveaux flux sont bien dimensionnés ? Supposes qu'à un instant t, chacun de tes 800 miniswitches envoie 4 ou 5 Mb/s de données. Es-tu sûr que la switching/routing fabric de tes coeurs de réseau saura gérer cet "extra 4 Gb/s" ? Dans le cas contraire, vous êtes-vous interrogés sur la mise en place d'une stratégie de QoS pour éviter que les coeurs ne droppent des "paquets importants" ? Avez-vous une vue assez claire de la cartographie des flux utilisateurs ?

4) Côté VPN, avez-vous réfléchi aux avantages/inconvénients de poser le terminateur VPN à tel ou tel endroit ?

5) Je vois aussi qu'il y a du storage... Quelle est votre politique à ce sujet ? Vu que les utilisateurs ne stockent rien en local, est-ce que ça veut dire qu'il va falloir tirer des volumes depuis l'Equalogic jusqu'aux desktops des utilisateurs ? Avez-vous une idée de la capacité à dédier pour ça ?

J'arrête là, parce que pour démarrer un tel projet, j'aurais encore 25 ou 30 questions
Tout ça pour dire que ce genre d'extension se fait avec méthode et qu'il faut beaucoup de données tangibles.

Une autre façon de faire serait de connecter un miniswitch sur le coeur de réseau et simuler de façon réaliste du traffic utilisateur pour localiser les problématiques. Mais ce qui va marcher pour 100 ou 150 miniswitches risque d'écrouler ton réseau quand tu vas en déployer 800 Il va donc falloir agrémenter ton maquettage avec des outils pour simuler de la charge physique sur des liens...

Le mieux est encore de dire à ton boss que pour ce type de projet, vous aurez besoin de ressources externes pour vous accompagner.

Steph

[Cyrano.B]

Merci a tous pour votre aide. C'est vraiment sympa.
Moi je suis expert en admin systemes et reseau, surtout en Tivoli. Je ne suis pas architecte reseau.
Le directeur pense que je peux tout faire!! c'est tres gentil de sa part a moins qu'il ne veuille prouver mon incompetence!!!!

Que veut dire exactement la phrase :

Le cœur de réseau doit concentrer la liaison vers les 800 switchs capillaires, délivrer du réseau 10Gb aux serveurs et permettre la connexion fibre vers les opérateurs.

posez moi toutes les questions que vous pensez utiles afin que je puisse, d'abord les comprendre, et ensuite les poser au directeur.

Un grand merci a tous
C.

[JML19]

Je pense que tu dois avoir un accès 10 gigas/bits où va se concentrer tout les Switch.

Ce réseau 10 gigas bits doit être connecté vers l'extérieur.

Il est possible de faire un réseau de 800 PC mais si chacun sort au même endroit cela va coincer.

Il faut pour établir correctement un réseau maitriser les flux de donnée.

Savoir qui cause avec qui qui accède à tel serveur et qu'elle sera de débit utilisé.

Car il faudra surement une hiérarchie dans les débits.

Par exemple une liaison 1 giga bit peut desservir des liaisons 100 mégas bit mais pas beaucoup d'autre liaison de même type de 1 giga bit.

Il faut calculer où seront les gros débits et configurer les liaisons en conséquence.

[Cyrano.B]

hello everybody.

j'ai eu quelques infos de mon directeur:

L'effectif élèves est de 1000.
Nous conservons les élèves dans le SI quelque temps après leur obtention de diplôme.
L'école, pour fonctionner a besoin d'enseignants et d'administratifs.
Le bâtiment n'hébergera pas que l'école.
Je vous confirme la présence de 800 Microswitchs et d'au moins 30 serveurs utilisés par l'école (de fichier, d'application et d’infrastructure)
Les 3 entités utiliseront le même réseau et les équipements cités dans la fiche.
Elles seront isolées de façon logique

est ce que ca peut aider?

Merci
C.

[JML19]

Si tu as 800 microswitchs ils arriveront tous dans des armoires de brassage.

Cela fera des bandeaux pour 800 prises RJ 45.

Il faut savoir où tu vas mettre cela, si tu pourras regrouper et là où tu auras besoin de câble ou de fibre optique.

Il te faudra faire un plan de situation avec la disposition et les liaisons.

En exemple un plan que j'ai fait pour développer un réseau LAN et WAN.

[Cyrano.B]

Merci, Merci,,,,,!
vous etes vraiment sympas.

Mon directeur commence a comprendre, je crois!
A force de demandes d'informations, il voit que le projet n'est peut etre pas aussi simple qu'il l'imaginait

en fait j'ai 3 entites logiques: les profs, l'administration et les eleves qui doivent pouvoircommuniquer entre elles. Mais les droits des eleves sur les autres entites n'est que de, par exemple, encoyer des e-mails et ils ne peuvent acceder aux servers de l'administration.
L'administration doit pouvoir acceder a ces servers mais pas aux servers des eles ou des profs.etc............


est ce que pour faire communiquer le ou les swithchs Cisco (ceux qui chappeautent les microswitchs) avec les Cisco d'une autre entite j'ai besoin d'un VLAN?

[elssar]

Bonjour,

Chaque switch un peu évolué possède un default vlan (le vlan 1) , et chaque port est automatiquement dedans de base. Si tu en viens à config des vlan, tu vas assigner des ports à tes vlan.

Il restera ensuite les ports qui permettent de relier les switch entre eux, ainsi que les ports non utilisés. (dans le vlan par défaut)

Pour accroitre la sécurité, on créé souvent un vlan particulier avec un numéro au hasard, qui va contenir ces ports trunk.

Tu trouveras la réponse sur Internet en tapant vlan natif.

Concernant les ports non utilisés, il faut bien penser à shutdown manuellement les ports et/ou les assigner à un vlan parking pour éviter qu'une personne se plug dessus et ai accès au réseau.

[JML19]

Bonjour

Tu fais de l'administration réseau en séparant tes réseaux ou par l'utilisation de VLAN.

Pour séparer tes réseaux tu peux mettre des routeurs pour créer des réseaux différents et administrer leurs liaisons potentiels en administrant les routeurs.

Voici un exemple simple avec deux routeurs et un accès internet :