Comment relier 2 reseau interne a un NAS? Résolu/Fermé

Question

Bonjour,

Dans mon entreprise on m'a demander de voir comment je pourrais relier 2 reseaux locaux pour utiliser un même NAS. 
Je m'explique: 
1er reseau: le réseau de l'entreprise constitué de plusieurs switch,pc, le serveur de l'entreprise, un NAS et enfin un routeur connecté au net. 

2eme réseau: le réseau de nos clients, constitué de 4  serveurs de base de donnée. (1 serveur par client) et un autre routeur connecté au net. 

Actuellement, il n'y a pas de sauvegarde viable des données clients. Le but étant d'utiliser le NAS situé sur le réseau de l'entreprise pour sauver (avec le soft robocopy par le port 445) les bases de données de nos 4 clients. 

Quelle est d'après vous le meilleur moyen pour créer ce lien tout en gardant le maximum d'indépendance et de securité entre les 2 réseau? routeur, pont, switch? 

1ère solution envisagée:Si le NAS à 2 cartes réseau, est-il possible de le raccorder à 2 VLAN différent? genre carte réseau 1 relié au VLAN1 (réseau entreprise) et carte réseau 2 Relié au VLAN2 (réseau clients). Et utiliser un firewall pour n'accepter que les connections venant des 4 serveurs des client et rien d'autre. 

2ème solution: J'ai aussi commencé à regarder une solution à base de routeur. (Dans l'entreprise nous avons un cisco 851 et un netgear de base de dispo) 
Est-ce possible de réaliser cette tache avec ce type de matériel matériel? Il faudrait pouvoir fermer tout les ports hormis le 445 sur le routeur. Et peut-être ne pas répondre à un ping provenant du réseau des serveur Clients car en cas de piratage du réseau des client il faut protéger au maximum le réseau de l'entreprise. De même il faudrait bloquer sur le routeur toutes les adresses IP ou MAC autre que ceux du NAS et des 4 serveurs de nos clients (ce seront les seuls équipement à utiliser ce routeur de liaison). 

des shémats vallent mieux que des mots:
Voilà un pdf avec le réseau actuel + 3 solution envisagé. 
http://lsda26.free.fr/actuel_et_solution.pdf 

La troisième étant la solution demandant le moins de routeur mais implique de lourde modification du réseau actuel avec un paramétrage des 6 vlan sur le routeur. De plus, ce système ne tolère aucune panne du routeur car sinon tout sera bloqué! 

C'est pour cela que je me demandais si la solution 1 (NAS avec 2 carte reseau+FireWALL) ou bien la solution 2 (routeur "pont" + ACL]) Avec ou sans VLAN
Ce serais surement les plus simple à mettre en place sans couper l'accès aux client à leur serveur. 
De même couper l'entreprise du net semble très difficile... 

Sur le 851, il y a la gestion des ACLs mais pas des Vlan, alors a quoi sert donc les ACL dans ce cas?
Au filtrage en tre le lan et le wan seulement? 
Peut-on brancher le NAS sur une prise RJ du routeur 851, le switch entreprise sur une autre prise RJ du router, et enfin le switch du réseau client sur une troisième prise RJ du routeur et utiliser les ACLs pour filtrer l'accès aux diffèrents réseaux et au NAS?

J'ai l'impression que pour mettre en place la solution 2 avec des VLAN il me faudrait un 860 minimum.
Peut-on mettre en place la solution 2 sans VLAN? COmment faire? est-ce que le 751 suffit?

http://lsda26.free.fr/guide_produits_2007.pdf 
http://lsda26.free.fr/ds_850.pdf 
http://lsda26.free.fr/ds_860.pdf 

J'attends avec plaisir vos conseils et propositions. 

Merci pour votre indulgence car je débute dans le reseau.

Super_carotte · Accepted Answer

Ah OK, je pensai que les serveurs étaient à des point géographiquement éloignés.

Bon dans ce cas, si tout les serveur sont dans la même salle, je pense que le plus simple est de faire ainsi:

Serveurs client sur leur propre réseau (j'imagine que c'est déjà le cas car tu m'a dis que les 2 réseaux étaient bien séparés

Tu place ton NAS dans un réseau logiquement different des 2 autres réseaux
(ex, si les autres sont en 192.168 tu met ton NAS en 172.16)

ça donnerai ça:

serveurs_client(192.xxxxx) | firewall | NAS(172.16.xxxxx) | Firewall | serveur_entreprise_lan

Aisni ça repond a ce besoin que tu exprimai: "Quelle est d'après vous le meilleur moyen pour créer ce lien tout en gardant le maximum d'indépendance et de securité entre les 2 réseau?" grace au reseau different les 2 reseaux ne communiqueront jamais entre eux si tu configure bien tes 2 nouveaux firewall.

Apres pour ce qui est de la sécurité, j'imagine que tu sais quoi faire:
- autoriser les connexions que de certaines personnes (serveurs qui doivent envoyer leurs data au nas et une plage d'adresse reservé aux admin. enfin je ne connai pas ton archi mais la partie sécu est facile: bloque absolument tout et n'autorise que ce que tu veux laisser passé.

Super_carotte · Answer

Personnelement j'opterai pour une solution plus simple qui utiliserai le VPN avec IPSEC.

Je mettrai une DMZ sur le LAN de l'entreprise mere, et dans cette DMZ: Un serv VPN et un serveur de stockage (pas besoin d'une bête a ce niveau. (et dans la DMZ t'en profite pour y placer tout tes serveur web, mail etc...)

Et ensuite tu place ton NAS dans l'intranet (qui est un coin bien sécurisé) et tu fait des sauvegarde incrémentiel de ton serv qui est dans la DMZ a celui qui est dans le LAN.

ça te permet de verifier ce que les clients t'envoient (donc de degager virus et autre) lorsque les données sont stockées sur le serv de la DMZ avant de les placées dans le NAS intranet.

ça évite egalement d'avoir des client qui se connectent directement a ton intranet.

Pour le VPN: un roadwarrior suffit, et t'en profite pour octroyer une ip fixe pour chaquun des serveurs qui envoi ses données a ton serveur qui est dans la DMZ.
ça te permet de filtrer les clients qui auront acces a ton serveur de la DMZ via ton parefeu.

Te semble t'il y avoir des faiblesses dans cette solution?

lsda · Answer

Ben je me suis peut-etre mal expliqué, mais je vois pas l'intérêt de faire du vpn, car les serveurs des clients sont dans la même pièce que le nas et le serveur de l'entreprise. C'est donc tout en locale et dans nos locaux. Les client ont accès à leurs données sur leur serveur respectif serveurs clients et la liaison ne se fait pas par la même ligne adsl que c'elle de l'entreprise. Il y a 2 lignes adsl. De plus les donnés stockées sur les serveurs clients sont des données remonté de nos équipements installé chez eux uniquement.

Donc je sais pas si ta solution avec le vpn est bien aproprié dans ce cas?
Sinon il va falloire que tu me ré explique plus lentement car j'ai pas tout compris ce que tu voulais faire :).
Je précise que je suis nouvel etudiant en informatique...

Lsda26 · Answer

Salut super carotte!
J'en ai parlé avec mon prof de cisco i l m'a conseillé de prendre la solution avec le NAS + firewall sur les 2 cartes réseaux car apparemment le transfert devrait être plus rapide (moins de couches reseau à traverser et temps de traitement des données par un routeur en moins) et beaucoup plus simple à mettre en place que la solution avec un routeur+ACLs (sans VLAN). De plus on à exactement le même résultat.
Si besoin, sous le windows serveur 2003 du NAS je pourrai activer le routage entre les 2 cartes reseau si besoin est.

Qu'est qui justifie ton choix de prendre se type de configuration (NAS+FW)?
Je te pose cette question car sur le forum de labo-cisco, on me conseillait de partir sur la solution routeur + ACLs car pour eux un firewall s'utilise rarement sur un réseau interne.

Super_carotte · Answer

Héhé je suis content que ton prof ai choisis ma solution ^^

"sur le forum de labo-cisco, on me conseillait de partir sur la solution routeur + ACLs" c'est vrai que ça fait joli de mettre en place un routeur+ACLs et avec du VLAN c'est la cerise sur le gateau.
Mais la theorie et la pratique sont deux choses bien differentes. Dit toi bien que pour mettre une telle solution il te faudra de l'argent (meteriel etc...) de temps (BEAUCOUP de temps) et surtout un point tres important: ce sera a toi ou a ton equipe de maintenir la solution.

Et je peux t'assurer que trouver la source du probleme et la solution du probleme quand t'as une panne sur une archi complexe, c'est vraiment la gelere des fois... alors faisons simple mais efficace.

Apres, comme l'a dit ton prof, le debit utile sera je pense meilleure avec cette solution, tout dépendra du type de firewall que tu mettra en place (statefull, stateless)

Autre point, avec du firewall, (donc une solution simple) tu trouveras plus de personnes capable de t'aider en cas de probleme (communauté internet, collegues de bureau etc...).

Enfin je pense que c'est aussi a ce genre de choses que ton prof pensai lorsqu'il t'a fait pars de son opinion.

Une petite précision toutefois: ne prend pas tout ce que je dis pour parole d' évangile, je suis encore étudiant en informatique moi aussi (en licence pro réseau et telecom). Fait toujours appel a ton esprit critique, prend la solution qui te semble la mieux et creuse la.
Par exemple, la, il va encore falloir que tu fasse pas mal de recherche au niveau de ce qu'est un pare feu.
Car il y a pare feu et pare feu...
Tu peux en faire un qui autorise que certaines personne a envoyer des données mais il sera tres faible en sécurité ou tu peux en mettre un en place qui fasse une analyse fine de l'ensemble des paquets qui transit par lui.

Enfin, tu as encore du boulot^^

Hésite pas a venir poser des questions et
"Merci pour votre indulgence car je débute dans le reseau." bonne chance dans tes études!

Super_carotte · Answer

en haut a droite de ton premier message il y a des cases a cocher.

Comment relier 2 reseau interne a un NAS?

6 réponses

Discussions similaires