Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Architecture Discussion :

Architecture multi VLANs


Sujet :

Architecture

  1. #1
    Membre confirmé
    Architecture multi VLANs
    Bonjour,

    J'ai ici une topologie assez classique :



    Et j'aimerais savoir si par rapport à celle-ci l'adressage correspond bien (par rapport à mes VLANs) :



    Et deuxièmement, comment devrais-je configurer mon routeur ainsi que mon firewall par rapport à tous cela ?

    Merci d'avance

    Cordialement, Skyxia.

    Quelle prétention de prétendre que l'informatique est récente : Adam et Eve avaient déjà un Apple !

    Si mon message t'a été d'une bonne aide et si tu as réussis alors n'oublie pas de marquer ton sujet comme

    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  2. #2
    Invité
    Invité(e)
    Salut,

    quelques remarques à chaud.

    1) Les gateways de tous ces subnets devront être portées par le 2911. Ceci implique qu'il va falloir tirer un trunk 802.1q entre le switch et le 2911. Ça signifie également que le routage inter-VLAN sera effectué par ce routeur.

    2) Il va falloir introduire un autre sous-réseau IP, ce sera le réseau d'interco entre le 2911 et l'ASA (le 2911 devra donc avoir une default route pointant vers l'IP de l'ASA).

    3) En termes de config sur l'ASA, le point important consiste à appliquer les security-levels usuels : security-level 100 sur l'interface connectée au 2911 (internal), security-level 50 sur l'interface de dmz et security-level 0 sur celle connectée au Cloud (outside). Tu devrais pouvoir trouver pas mal d'exemples de configuration sur le net.

    4) Il faudra évidemment configurer autant de routes statiques sur l'ASA qu'il y a de réseaux internes. Le next hop de toutes ces routes sera l'IP du 2911 connectée à l'ASA. Une autre façon de faire si tu veux t'amuser pourra aussi consister à activer un protocole de routage dynamique entre le 2911 et l'ASA (RIPv2/OSPF).

    5) Concernant le Wifi, il faudrait introduire un wlc (wireless lan controller). Parce que ça risque d'être compliqué de gérer ces différents réseaux wifi qui appartiennent à des zones de confiance différentes...

    Ces remarques devraient te permettre de bien amorcer ce lab !

    -VX

  3. #3
    Membre confirmé
    Citation Envoyé par vxlan.is.top Voir le message
    Merci beaucoup pour tes réponses,

    J'ai repensé un peu, cela ne serait-il pas déjà mieux de faire ceci ?



    Cordialement.

    Quelle prétention de prétendre que l'informatique est récente : Adam et Eve avaient déjà un Apple !

    Si mon message t'a été d'une bonne aide et si tu as réussis alors n'oublie pas de marquer ton sujet comme

    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  4. #4
    Invité
    Invité(e)
    Non, on ne met pas un "VLAN DMZ" en coupure comme ça...
    Tu gardes ton design d'origine, tu rajoutes simplement un wlc sur ton switch 2960...

    -VX

  5. #5
    Expert confirmé
    Ma question peut sembler triviale mais à quoi sert le 2911 ?

    - Soit il n’intègre pas d'acl et il ne fait que segmenter le domaine de broadcast.
    - Soit il intègre des acl et il fait double emploi avec le firewall qui devrait être sa default gw

  6. #6
    Membre confirmé
    J'ai regardé le modèle du routeur que j'ai il intègre le firewall directement. (Cisco 871W)
    Ok pour les modifs, du coup je vais garder ce schéma là :




    avec cet adressage (?) :


    Quelle prétention de prétendre que l'informatique est récente : Adam et Eve avaient déjà un Apple !

    Si mon message t'a été d'une bonne aide et si tu as réussis alors n'oublie pas de marquer ton sujet comme

    Je vous invite à consulter mes billets dans mon blog :
    Cisco IOS & Sécurité basique
    Audit réseaux dans un SI

    [Smartphone] [Android] 8 conseils pour vous sécuriser un minimum !

  7. #7
    Invité
    Invité(e)
    Salut,

    le 871W est un Wireless AP qui peut aussi servir de contrôleur/firewall... Un peu light, enfin c'est mon avis.
    Ce serait plus logique de garder le 2911 pour porter tes LAN internes...
    Et pourquoi pas utiliser le 871W pour remplacer ton AccessPoint et son wlc...

    -VX

  8. #8
    Invité
    Invité(e)
    Citation Envoyé par becket Voir le message
    Ma question peut sembler triviale mais à quoi sert le 2911 ?

    - Soit il n’intègre pas d'acl et il ne fait que segmenter le domaine de broadcast.
    - Soit il intègre des acl et il fait double emploi avec le firewall qui devrait être sa default gw
    Effectivement, on pourrait remonter tout le L3 sur le firewall et sortir le 2911 de la map...
    Là, on rentre dans des points de détails qui seront plus liés aux besoins réels de l'entreprise, à sa "posture" vis-à-vis de la sécu et au coût versus les contraintes.

    Un RSSI psycho-rigide (comme j'en rencontre parfois ) imposera de dissocier les LAN internes et demandera à positionner une interco L3 vers le firewall.
    Ou bien d'autres invoqueront que s'il y a une maintenance forcée sur le firewall, au moins on garantit un minimum de continuité de service (en préservant le routage inter-VLAN).

    -VX