Discussion :

[Skyxia]

Bonjour,

J'ai ici une topologie assez classique :



Et j'aimerais savoir si par rapport à celle-ci l'adressage correspond bien (par rapport à mes VLANs) :



Et deuxièmement, comment devrais-je configurer mon routeur ainsi que mon firewall par rapport à tous cela ?

Merci d'avance

Cordialement, Skyxia.

[Invité]

Salut,

quelques remarques à chaud.

1) Les gateways de tous ces subnets devront être portées par le 2911. Ceci implique qu'il va falloir tirer un trunk 802.1q entre le switch et le 2911. Ça signifie également que le routage inter-VLAN sera effectué par ce routeur.

2) Il va falloir introduire un autre sous-réseau IP, ce sera le réseau d'interco entre le 2911 et l'ASA (le 2911 devra donc avoir une default route pointant vers l'IP de l'ASA).

3) En termes de config sur l'ASA, le point important consiste à appliquer les security-levels usuels : security-level 100 sur l'interface connectée au 2911 (internal), security-level 50 sur l'interface de dmz et security-level 0 sur celle connectée au Cloud (outside). Tu devrais pouvoir trouver pas mal d'exemples de configuration sur le net.

4) Il faudra évidemment configurer autant de routes statiques sur l'ASA qu'il y a de réseaux internes. Le next hop de toutes ces routes sera l'IP du 2911 connectée à l'ASA. Une autre façon de faire si tu veux t'amuser pourra aussi consister à activer un protocole de routage dynamique entre le 2911 et l'ASA (RIPv2/OSPF).

5) Concernant le Wifi, il faudrait introduire un wlc (wireless lan controller). Parce que ça risque d'être compliqué de gérer ces différents réseaux wifi qui appartiennent à des zones de confiance différentes...

Ces remarques devraient te permettre de bien amorcer ce lab !

-VX

[Skyxia]

Merci beaucoup pour tes réponses,

J'ai repensé un peu, cela ne serait-il pas déjà mieux de faire ceci ?



Cordialement.

[Invité]

Non, on ne met pas un "VLAN DMZ" en coupure comme ça...
Tu gardes ton design d'origine, tu rajoutes simplement un wlc sur ton switch 2960...

-VX

[becket]

Ma question peut sembler triviale mais à quoi sert le 2911 ?

- Soit il n’intègre pas d'acl et il ne fait que segmenter le domaine de broadcast.
- Soit il intègre des acl et il fait double emploi avec le firewall qui devrait être sa default gw

[Skyxia]

J'ai regardé le modèle du routeur que j'ai il intègre le firewall directement. (Cisco 871W)
Ok pour les modifs, du coup je vais garder ce schéma là :




avec cet adressage (?) :

[Invité]

Salut,

le 871W est un Wireless AP qui peut aussi servir de contrôleur/firewall... Un peu light, enfin c'est mon avis.
Ce serait plus logique de garder le 2911 pour porter tes LAN internes...
Et pourquoi pas utiliser le 871W pour remplacer ton AccessPoint et son wlc...

-VX

[Invité]

Ma question peut sembler triviale mais à quoi sert le 2911 ?

- Soit il n’intègre pas d'acl et il ne fait que segmenter le domaine de broadcast.
- Soit il intègre des acl et il fait double emploi avec le firewall qui devrait être sa default gw

Effectivement, on pourrait remonter tout le L3 sur le firewall et sortir le 2911 de la map...
Là, on rentre dans des points de détails qui seront plus liés aux besoins réels de l'entreprise, à sa "posture" vis-à-vis de la sécu et au coût versus les contraintes.

Un RSSI psycho-rigide (comme j'en rencontre parfois ) imposera de dissocier les LAN internes et demandera à positionner une interco L3 vers le firewall.
Ou bien d'autres invoqueront que s'il y a une maintenance forcée sur le firewall, au moins on garantit un minimum de continuité de service (en préservant le routage inter-VLAN).

-VX