Demande conseil et avis sur un schema réseau - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 22-08-2008 à 14:31:36
Oui, tu fais des VLAN et un scope par VLAN sur le serveur DHCP.
Marsh Posté le 24-08-2008 à 22:33:49
Merci
Tu me conseillerais quoi comme matos pour le routeur / firewall (en dehors des Cisco) ?
Côté switch chez nous c'est obligatoirement HP.
Marsh Posté le 25-08-2008 à 22:28:09
Pour une trentaine de poste un petit fortinet avec une licence antivirus et antispam serait pas mal je pense. Une solution pas trop couteuse avec la sécurité un filtrage antivirus et antispam sans mettre de proxy en place !
Pour la topologie logique :
INTERNET ----- FIREWALL ------- SWITCH HP ------ VLAN 2
------ VLAN 3
------ VLAN X
------ VLAN serveur (pour l'AD).
Si l'exchange doit recevoir les mails de l'extérieur directement (serveur SMTP pour l'entreprise, il faudrait peut-être le mettre ne DMZ du Firewall plutôt que sur un VLAN...
Voila pour mon avis...
Marsh Posté le 26-08-2008 à 18:21:04
Merci
Pour la trentaine de poste c'est à confirmer.
Pour exchange la redirection du port SMTP depuis le parfeu vers le switch n'est pas suffisante ?
Vu le budget le serveur AD fera aussi serveur exchange J'aimerai éviter de le coller sur la DMZ
Marsh Posté le 26-08-2008 à 18:33:19
Pour la redirection de ports ca fonctionnera mais je disait ca pour isoler les serveur public des autres... Mais bon si tu fait tout avec le meme serveur, fait le comme ca. Fait bien attention au règls de firewall et au ACL sur le switch.
AU niveau sécurité je ne pense pas que ca pose de soucis majeur le fait qu'n serveur public soit sur un VLAN meme si ca ne permet pas une utilisation "logique" du Firewall. A confirmer par les pros de la sécurité !!
Marsh Posté le 13-10-2008 à 19:26:14
Mon projet avance : on va réaliser la configuration.
D'après HP un switch 2510 (48 ports) suffit largement pour notre projet.
C'est un swith niveau 2 et là je suis surpris : c'est possible ça d'assigner des adresses IP via mon seul serveur sur un swicth niveau 2 J'aurai pensé qu'un switch niveau 3 aurai été nécessaire non ?
Marsh Posté le 13-10-2008 à 21:13:17
pas compris la question.
PAr contre, le cout du serveur mail en interne, mais dans un autre vlan, c'est une catastrophe en terme de sécu.
Si tu veux bien faire, tu mets une passerelle en DMZ (soit applicance, soit une machine linux avec un postfix) qui reçoit les connexions, et les forwarde vers l'exchange en interne.
Marsh Posté le 13-10-2008 à 22:54:16
Je vais reprendre le schéma donné plus haut :
Pour la topologie logique :
INTERNET ----- FIREWALL ------- SWITCH HP ------ VLAN 2
------ VLAN 3
------ VLAN X
------ VLAN serveur (pour l'AD).
Le switch fourni pour le projet est un procurve 2510 : switch de niveau 2.
Je peux donc créer mes VLAN mais pas faire de routage.
Il est clair que je n'ai pas d'expérience sur ce type de montage c'est pourquoi je vous demande des conseils éclairés
Le projet est résumé au premier post, le serveur sera un SBS (je peux lui ajouter une carte réseau et utiliser ISA server au pire).
Concernant la sécurité je pensais qu'un simple firewall entre internet et le serveur suffirait ?
Marsh Posté le 13-10-2008 à 22:59:24
pour le FW, tu penses a quoi ?
Parce que si switch layer 2, il faut penser a ce que qqun fasse du routage, et ca pourrait etre le FW, s'il tient la route.
Et dans tous les cas, si tu dois recevoir des connexion de l'extérieur, il te FAUT une DMZ avec une paserelle, au moins pour splitter les connexions entrantes ...
Pour le FW, appliance ? passerelle home made avec un PC ? routeur soho à 2 balles ?
Si tu l'as pas, et que tu dois en acheter un, vérifie qu'il supporte le 802.1q (trunking) comme ca tu pourras simplement le connecter au switch ..
Marsh Posté le 13-10-2008 à 23:18:38
Merci pour ta réponse.
Au départ on doit me fournir un Netgear DGFV338 (à mon avis il ne supporte pas le 802.1q).
Concernant la sécurité j'aborderai le sujet quand je serai pleinement rassuré côté switch.
C'est la première fois que je met en oeuvre des vlans alors je me pose des questions.
J'imagine que le port du switch où sera relié le routeur devra avoir un statut spécifique permettant de voir tous les VLAN ?
EDIT : peut être que je me plante complétement dans le schéma réseau à adopter pour ce projet ?
Marsh Posté le 13-10-2008 à 23:23:10
avant de dire qu'il ne supporte pas le 802.1q, as-tu seulement regardé de quoi il s'agissait ??
Si t'as pas envie de chercher un peu, arrete de suite ...
Marsh Posté le 13-10-2008 à 23:30:10
trictrac a écrit : avant de dire qu'il ne supporte pas le 802.1q, as-tu seulement regardé de quoi il s'agissait ?? |
Oui je sais ce que c'est ! Le transport des tags VLAN sur une trame standard (arrêtes moi si je me trompe )
En gros je définie sur mon switch un port trunk taggé et hop mon autre appareil doit comprendre ce qu'il reçoit et donc savoir gérér les VLAN (je viens peut être de répondre à ma question là non ?)
Marsh Posté le 13-10-2008 à 23:39:56
Petite précision : je reçois le switch demain, je n'ai donc pas manipé encore dessus.
Je vais donc quand même tester un petit peu tout ça avant de t'ennuyer avec des questions qui trouverons réponse pendant mes tests.
La seule chose dont je suis sur en effet c'est qu'il va me falloir un routeur supportant la gestion des VLAN afin d'établir mes communications inter-vlan.
Marsh Posté le 18-10-2008 à 13:45:36
certains switches peuvent faire du routage intervlan. C'est un peu bête d'utiliser un router on the stick
Marsh Posté le 18-10-2008 à 13:52:00
Oui je sais J'ai réussi à faire changer pour le projet le switch par un HP 2610 !
Tout fonctionne impec dessus : reste les acl à programmer et hop
Merci pour votre réponse.
Marsh Posté le 19-10-2008 à 11:15:23
Pour le firewall je te conseille un USG100 de ZyXEL pour 550 euros HT gère les VLan DMZ port Giga 2 ports Wan il peut etre doubler pour faire de l'actif passif.
Je te cache pas que je bosse pour ZyXEL mais vu ta demande ça correspond bien.
Marsh Posté le 22-08-2008 à 13:44:49
Bonjour à tous,
N'étant pas habitué a construire le type de topologie qui suit je viens vers vous pour avoir des avis et conseils
Voilà ce que l'on me demande :
1 serveur contrôleur de domaine / exchange / stockage / DNS (il y aura environ 30 postes sur le réseau)
1 accès internet
3 LAN différents ne devant pas se voir entre eux mais utilisant le même accès internet et le même contrôleur de domaine.
J'ai pensé faire ceci :
- accès internet et serveur sur le même lan : 192.168.0.0
- accès internet réalisé par un routeur / firewall
- routes gérées par le routeur bien sur et le firewall paramétré pour empêcher les lan 192.168.1.0 / 192.168.2.0 / 192.168.3.0 de se voir.
- matos relié sur un switch
Là où mon expérience va me manquer c'est de la façon où je vais gérer le DHCP pour les lan
J'imagine qu'il faudra que je créé des VLAN pour que ça soit plus propre ?
Merci d'avance
Message édité par Falconpage le 22-08-2008 à 13:45:15