J'ai l'architecture qui est la suivante:
 
Un bâtiment central avec le cœur de réseau et la ferme de serveur : CISCO 4500 sur lequel est relié 7 LS -> des sites distants sur lesquels sont aussi reliés des LS ->  encore des sites distants
 
En gros il y a une notions de hiérarchie. Le propriétaire du réseau souhaite alléger sa facture télécom et pour cela il va supprimer ces LS en raccordant les sites distants au xDSL.  
 
Il faut savoir que :  
 
-Il y a des serveurs dans ces sites distants qui vont migrer au DSI du batiments central.
-A l'origine toute personne voulant se connecter à Internet passait par la DSI (batiment central) ou derrière un firewall on a une LS 2Mb vers internet.
 
Mes questions sont donc:
 
-Quelle est la solution pour relier tous les sites distants à la DSI en gardant une bonne sécurité dans la transaction des flux? => VPN je pense ?
-Pour l'accès internet est il judicieux de toujours les faire passer par la DSI ou chaque site se débrouille avec son accès xDSL?
 
Merci bcp de l'attention que vous porterez à ce poste.

Je gère actuellement le même système là où je bosse.
A savoir : plusieurs établissements distants, et nous au Siège.
Chaque ets à une connection internet (ADSL) avec VPN jusqu'au Siège.
Donc quand ils vont sur le net, ils font plus ou moins ce qu'ils veulent.
Donc pour l'acès à Internet, ca veut dire aussi multiplier les mêmes règles de sécurité.
Une fois que tu relies tes sites distants au site central, tu gères la sécurité à partir de ton firewall.
Au moins, dès que tu veux mettre en place quelquechose, tu ne dois pas le répliquer sur tous les sites.
(par exemple : blocage des ports emule and co, sur un seul fw, pas sur tous les fw etc...)
perso, je réfléchis en ce sens, car si je dois vérifier tous les fw à chaque fois, c'est perte de temps et risque d'erreur.

Si on te demande de réflechir sur ce genre de devoir, le mieux serait de le faire plutôt que de demander directement sur un forum.

il a peut être pas les connaissances pour

Moi aussi j'ai pas les connaissances pour, mais rien n'empeche d'y réfléchir.
On est pas toujours tout seul non plus, on a souvent des prestataires de service (ou hotline de logiciels) qui peuvent nous renseigner.

Les profs sont là pour aider.
Après là je trouve qu'il n'y a pas assez de détail (même si la solution VPN est la solution, la partie accès au net là il manque des éléments)

 
C'est ce que je fais. Je demande juste l'avis à d'autres personnes et je vois que cela rejoint ce que j'avais pensé puisque dans mon post ya l'élément de réponse que je pensais apporter.
 
J'ai une partie des connaissances pour mais l'autre je dois l'apprendre en lisant des articles sur le sujet, questionnant des personnes qui ont mis en place ce genre de solution car le réseau ca s'apprend plus "sur le tas" que dans les livres et je préfère avoir un retour sur expérience d'une solution que j'avais pensé envisager plus qu'un paragraphe dans un tutorial/article sur le sujet qui reste très objectif et ne s'appuie pas réellement sur l'utilisation de ce type d'architecture.

 
 
Merci beaucoup, c'est ce que je voulais lire! je pensais envisager ca mias il me semblait "étrange" que les flux internet passe par le siege même s'il est vrai que cela permet de centraliser la gestion de ceux ci.
 

 
pour moi il y a pas de solutions toutes faites.
Ca dépend du matos à disposition (on peut synchroniser des confs par exemple), des compétences des personnes en chaque point, du nombre de personnes à chaque siège, des vitesses de connexion, des besoins.
Tu peux avoir des branches avec peu de personnes et aucun admins où tout sera renvoyé vers le central mais aussi avoir des sites un peu plus important où là il serait avantageux d'offrir un accès direct. Par ailleurs si le site principal n'a plus de NET tu peux basculer le traffic vers un autre.

Oui tu as raison. Globalement cest traffic tres faible. Une entre 5 et 20 personne / site distant et ss applications nécessitant un grand besoin en BP.

Ok donc dans ce cas en effet pour des raisons de simplicité autant tout faire partir sur le site central.

p-e voir aussi du coté de ICAP.

Heu ... mais tu es sur un forum PRO, donc les profs tu oublies aussi .... tu sais, l'informatique ca existe aussi en entreprise, pas qu'à l'école ...

 
Sauf que c'est pour un truc d'école...

Pour ma part, je pense réaliser un jour cette solution car :
- le VPN est déjà utilisé pour certaines applis (finances & grh)
- les lignes adsl font au moins 1 Mb chacune et maxi 15 users par ets (parfois 2).
- il y a un projet de déménagement (donc autant réfléchir à améliorer le système)
- ce système peut être intéressant au niveau sécurité, filtrage, antivirus, etc ..
- possibilité d'avoir des serveurs secondaires dans les etablissements. (AD, Antivirus centralisé)
 
Je pense centraliser par cette solution au moins 2 opérations : identification & sécurité.
Comme ça, tu gères les connexions entrantes et sortantes via le Firewall, et tu centralises tout ça.
Par exemple : les connexions de prestataires de service (maintenance) et redirection vers le serveur.
Comme je suis obligé de passer par le VPN pour les applis, autant que ca sert à autre chose.
(car je ne me vois pas multiplier les solutions, et quelque part, ca serait une perte d'argent inutile)
 
Ceci dit, si y'a des LS, ca veut dire que tout passait par le site central aussi.

je vous suggére la freebox qui est la plus robuste, bref vous prenez un compte chez free en dégroupage total et un compte chez orange en non dégroupé ou en dégroupage partiel.
Pour le reste :
 

 
Comme ca l'a été dit je trouve que c'est la meilleur des solutions

 
    une freebox remplacera jamais une LS, faut pas rêver !
D'ailleurs, s'il y a LS, c'est qu'il doit y avoir du trafic sensible.
La LS ne se justifie pas par son débit (faible la plupart du temps).
Amha, si tu fais en entreprise, on te vire illico presto !

Chez nous c'est un site central avec un acces net fibre. Et des agences avec des sdsl geré par un operateur et un VPN national. Tout passe par le site central a travers un proxy et un firewall.
Toute la securité est centralisée. Par contre il faut des lignes qui tiennent le coup suivant le nombre d'utilisateurs pour chaque agence.

Concernant les freebox c'est utile pour un acces au net simple, j'ai des clients qui ont ce type d'architecture. Une sdsl 2mbits pour les serveurs mail etc (toute la partie sensible), et une freebox pour l'acces internet des utilisateurs. Ca permet de limiter les couts d'acces au net pour un tres grand nombre d'utilisateurs (en plein paris avec une freebox on peux alimenter sans probleme plusieurs dizaines d'utilisateurs pour de la consultation web), le rapport prix/utilisateur est imbattable. La securité est moindre mais l'acces web n'est pas aussi sensible que les mails par exemple.

Mouaip, tu laisses quand même la porte ouverte à ton réseau via une freebox aussi ...
A moins d'être bétonné derrière bien sur ...

ah ben oui, y'as un firewall specifique derriere la freebox qui ne laisse rien rentrer du tout, juste le surf en sortie. Désolé ca me parraissais evident, je ne l'ai pas signalé. Que ca soit une freebox , une SDSL ou une LS ne change rien a ce niveau la.
L'idée est juste de separer les acces 'classique' et ceux plus sensibles pour l'activité de l'entreprise.

Ce qui est évident pour toi, ne l'est pas forcément pour les autres
(c'est l'un des principes de base si on pourrait dire)
Mais c'est quand même bien de le préciser, ca enlève des doutes