Discussion :

[slack457]

Bonjour, je m'excuse pour le titre qui n'est vraiment pas explicite...

J'aimerai avoir vos conseils sur un principe de fonctionnement.

Imaginez un réseaux relativement simple avec un serveur (qui fait uniquement Firewall) qu'on appellera "S1"
S1 se situe entre le réseau interne et le routeur (qui sort sur internet)

le réseau interne contient 3 sous réseaux qui ne doivent pas communiquer entre eux.

chaque sous-réseaux contient 1 serveur, et 8 postes clients.

Je pense à 2 solution pour différencier les 3 sous-réseaux.

solution 1 :
le serveur S1 aura 4 cartes réseaux (1 pour internet, et 1 pour chaque sous-réseaux)

solution 2 :
le serveur S1 aura 2 cartes réseaux (1 pour internet, et l'autre pour le réseau interne, qui arrivera sur un SWITCH.
Et sur ce SWITCH, il y aura toutes les machines du réseaux interne.
Et les réseaux seront différenciés grâce à des VLAN

[Cybher]

salut,

les deux solutions sont possibles

Après tes sous-réseaux ne doivent jamais communiquer entre eux, ou bien cela peut évoluer?
est ce que le nombre de sous réseaux interne peut évoluer? si c'est le cas, il est plus facile de rajouter un vlan sur un switch que de rajouter une carte sur ton firewall.

[slack457]

a oui effectivement...

en fait, un réseau sera la DMZ, donc il faudra que les 2 autres réseaux puissent y accéder.

A priori, il ne devrait pas y avoir de réseaux supplémentaire par la suite.

Et est-ce qu'il y aurait une 3ème solution possible pour séparer les réseaux ? Comme utiliser les masques de sous-réseaux ?

Voila je voudrais établir un nouveau réseau et je me pose des questions sur la meilleure façon de faire...
Et par "meilleure" j'essaie de penser à : "facile" 'efficace" "agréable" "évolutive"...
Tout ce à quoi on pourrait penser, et après avoir peser le pour et le contre, prendre une décision adaptée.

[ram-0000]

Dans ce que tu annonces au début, il y a une contrainte de sécurité : isoler des réseaux.

La façon la plus efficace d'isoler des réseaux, c'est avec des VLAN ou alors un routeur avec plusieurs cartes réseau comme tu l'as dit au début.

Jouer avec les masques réseau sur le même réseau physique, c'est jouer avec le feu. Tu n'es pas à l'abri d'un petit malin qui modifie son masque et son adresse et qui par conséquent change de réseau sans changer de prise réseau.

[slack457]

d'accord, je crois que j'y vois plus clair...

compter uniquement sur les masques pour séparer les réseaux n'est pas fiable,

les VLAN sont plus adaptés lorsqu'il est possible qu'on doivent ajouter d'autres sous-réseaux dans le futur,

mais puisque mon réseau n'accueillera jamais plus de 3 sous-réseaux je pense que je vais opter pour une machine avec plusieurs cartes réseaux.

Comme ça pas besoin d'acheter des SWITCH VLAN et pas besoin de les configurer.

Merci

[spawntux]

Bonjour,

Dans un souci de sécurité je choisirai plus le Firewall plutot que la solution VLAN tu auras un reel controle, des logs et tout ce qu'il te faut.

Bien cordialement

[slack457]

super, merci à tous

[polo(31)]

au contraire mon je te conseillerai plutôt les VLANs (avec un trunk sur ta DMZ), après tout dépend de la sécurité que tu recherche, si par exemple tes users sont sur windows avec un AD tu a d'autre possibilité pour contrôlé leurs accès,

je te déconseille égale les masques différents, pas parce que un user peut bidouillé sa config IP, mais plus parce que si tu a du VLSM (masque a longueur variable) ca ne changera rien, et tu risque de t'embrouillait par la suite (du genre que les 2 réseau client ne ce voit pas mais avoir tout de même accès a ta DMZ)