Routage inter-vlan,switch N3, etherchannel
lsda26
-
lsda26 -
lsda26 -
Bonjour,
afin de présenter une PTI dans le cadre de mes études, je souhaiterai faire du routage inter-vlan+etherchannel avec un switch de niveau 3
Un shémat valant mieux que de longs discours.
http://lsda26.free.fr/Visio-shemat.pdf
Le but étant de faire de l'agrégation de lien entre chaque serveur et le switch afin de passer en 2Gbit et ainsi diminuer le temps de transfert des sauvegarde (ghost+dump BD)
Les contraintes:
- Seul le serveur de sauvegarde pourra accéder à tous les VLAN sinon les VLAN ne devront pas communiquer entre eux.
- Les serveur 1 et 2 devront pouvoir accéder au net par le routeur.
- team des 2 cartes réseau de chaque serveur
je ne sais pas trop par quoi commencer!
-Faut-il créer l'agrégation et après les VLAN?
-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.
-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?
-Faut-il pour que le serveur de sauvegarde puisse accéder au serveurs 1 et 2 créer un trunk?
-Comment combine t-on le VLAN et l'etherchannel en commande IOS.
-quel mode team dois-j prendre (static, dynamic, basic)? quel est la différence entre les 3 modes?
Que de questions en suspend!
Merci d'avance pour votre aide!
afin de présenter une PTI dans le cadre de mes études, je souhaiterai faire du routage inter-vlan+etherchannel avec un switch de niveau 3
Un shémat valant mieux que de longs discours.
http://lsda26.free.fr/Visio-shemat.pdf
Le but étant de faire de l'agrégation de lien entre chaque serveur et le switch afin de passer en 2Gbit et ainsi diminuer le temps de transfert des sauvegarde (ghost+dump BD)
Les contraintes:
- Seul le serveur de sauvegarde pourra accéder à tous les VLAN sinon les VLAN ne devront pas communiquer entre eux.
- Les serveur 1 et 2 devront pouvoir accéder au net par le routeur.
- team des 2 cartes réseau de chaque serveur
je ne sais pas trop par quoi commencer!
-Faut-il créer l'agrégation et après les VLAN?
-Je pensais faire du VLAN par port (N1) car il me semble pas faisable de faire du vlan dynamique combiné avec de l'etherchannel.
-Comment gérer le routeur pour qu'il soit accessible par les serveur 1 et 2? faut-il le mettre lui aussi dans un VLAN et autoriser le routage des vlan 2 et 3 net le routeur?
-Faut-il pour que le serveur de sauvegarde puisse accéder au serveurs 1 et 2 créer un trunk?
-Comment combine t-on le VLAN et l'etherchannel en commande IOS.
-quel mode team dois-j prendre (static, dynamic, basic)? quel est la différence entre les 3 modes?
Que de questions en suspend!
Merci d'avance pour votre aide!
A voir également:
- Routage inter-vlan,switch N3, etherchannel
- Android switch - Accueil - Android
- Smart switch pc - Télécharger - Divers Bureautique
- Switch off - Télécharger - Divers Utilitaires
- Logiciel switch - Télécharger - Conversion & Extraction
- Switch qwerty azerty - Guide
27 réponses
Merci pour ces précisions.
"un vlan , c'est un vlan, les niveaux 1 , 2 ou 3 ça n'existe pas, ça ne concerne que l'affectation des machines dans les vlans, pas le fonctionnement des switchs.
mais les vlans autrement que par port sont très difficiles à administrer, les constructeurs abandonnent les autres notions au profit du routage L3."
je voulait justement parler des autres attribution des port à un vlan. Mais je doit pas employer les bons termes :)
Je voulait parler de vlan dynamique
"VLAN dynamique : L'appartenance d'un port à un VLAN dynamique se configure à l'aide d'un serveur spécial appelé serveur VMPS (VLAN Membership Policy Server). Avec le serveur VMPS, vous affectez dynamiquement les ports de commutateur aux VLAN, en fonction de l'adresse MAC source du périphérique connecté au port. L'avantage de ce mode apparaît lorsque vous déplacez un hôte à partir d'un port se trouvant sur un commutateur du réseau vers un port se trouvant sur un autre commutateur du réseau : le commutateur affecte dynamiquement le nouveau port au VLAN correspondant à cet hôte." (source ccna3 cisco :) )
En fait, si je comprend ce qui est dit c'est que c'est les port du switch qui sont attribués à un vlan et pa la ou les machines qui sont derrière le port?
Ce qui veut dire que l'on ne peut pas mettre dans 2 vlan différents 2 pc branchés sur le même port du switch?
"un vlan , c'est un vlan, les niveaux 1 , 2 ou 3 ça n'existe pas, ça ne concerne que l'affectation des machines dans les vlans, pas le fonctionnement des switchs.
mais les vlans autrement que par port sont très difficiles à administrer, les constructeurs abandonnent les autres notions au profit du routage L3."
je voulait justement parler des autres attribution des port à un vlan. Mais je doit pas employer les bons termes :)
Je voulait parler de vlan dynamique
"VLAN dynamique : L'appartenance d'un port à un VLAN dynamique se configure à l'aide d'un serveur spécial appelé serveur VMPS (VLAN Membership Policy Server). Avec le serveur VMPS, vous affectez dynamiquement les ports de commutateur aux VLAN, en fonction de l'adresse MAC source du périphérique connecté au port. L'avantage de ce mode apparaît lorsque vous déplacez un hôte à partir d'un port se trouvant sur un commutateur du réseau vers un port se trouvant sur un autre commutateur du réseau : le commutateur affecte dynamiquement le nouveau port au VLAN correspondant à cet hôte." (source ccna3 cisco :) )
En fait, si je comprend ce qui est dit c'est que c'est les port du switch qui sont attribués à un vlan et pa la ou les machines qui sont derrière le port?
Ce qui veut dire que l'on ne peut pas mettre dans 2 vlan différents 2 pc branchés sur le même port du switch?
ok merci pour ton avis éclairé!
juste une question! tu as quoi comme formation et tu bosse dans koi pour avoir autant de connaissance dans tout les domaines? :)
juste une question! tu as quoi comme formation et tu bosse dans koi pour avoir autant de connaissance dans tout les domaines? :)
Bonjour brupala,
J'abuse encore un peu de ton aide précieuse :)
Ya eu quelque changement dans le réseau de ma boite, depuis nos conversations et j'ai un gros dilème sur le choix de solution pour mon projet.
En effet, pour remplacer le routeur sagem qui permettait l'accès au net à mes 6 serveurs, on va mettre un netasq U70 (je rappel que pour le momment mes serveur web sant touts dans un même sous réseau et que je vais mettre en place un serveur de stockage de ghost +dump des bdd de chaque serveur web).
Contrainte:
- Je voudrais empêcher qu'une personne piratant un des serveurs web, ne puisse joindre un autre serveur web (les serveurs hébergent des base de données de nos clients (qui son concurrents)).
- Les serveur WEB devront pouvoir déposer des ghosts et dump de leur base de donnée sur le serveur de sauvegarde et etre accéssibles par le net.
- Un netasq U70 est prévus d'être installé
Je n'arrive pas à trancher entre un isolement des serveurs par VLAN (couche2) comme tu m'avais expliqué ou par sous-réseau(couche 3)!!!
Et je ne sais pas encore ce qu'est capable de faire le U70 (d'après les pdf du site de netasq, apparament: jusqu'à 32 VLAN, rip, ospf, firwall, antivirus
Je pensais donc à 2 solutions:
1) vlan statique par port (couche 2): 1 switch de niveau 2 gérant les vlans, et le routage vers le net se ferais grâce netasq par l'intermédiaire (port trunkentre le netask et le switch?).
Sur le serveur de sauvegarde, il faudrait créer comme tu me le disais plu haut: 1 interface virtuel par serveur web situé chacun dans un vlan différent à joindre=> 6 interface virtuel et les attribuer chacune aux vlan concernés.
Sur le Netasq, créer des règles ACL pour interdire le routage entre les différent VLAN et laisser passer le traffic pour accéder au net.
coût de la solution: prix d'un switch gigabit gérant les vlans+ netasq déjà commandé par ma boite.
2) routage de niveau 3: Un switch de niveau 3 + ACLs qui autorisent le traffic de uniquement de 1 serveur avec son IP par le port et mettre chaque serveur dans un sous réseau différent.
Et relier le switch au netasq en gérant du routage RIP entre les 2.
=>Question prix, la solution pencherait plus en la faveur de la première solution (environ 1200€ pour un switch L2 et 2500€ pour un L3), en supposant que le netasq sache faire tout ça!
Mais question pertinence des 2 solutions, je n'arrive pas à faire la différence et justifier mon choix. Dans quel cas on utiliserais plutôt l'une que l'autre.
Car
Merci pour ton aide.
J'abuse encore un peu de ton aide précieuse :)
Ya eu quelque changement dans le réseau de ma boite, depuis nos conversations et j'ai un gros dilème sur le choix de solution pour mon projet.
En effet, pour remplacer le routeur sagem qui permettait l'accès au net à mes 6 serveurs, on va mettre un netasq U70 (je rappel que pour le momment mes serveur web sant touts dans un même sous réseau et que je vais mettre en place un serveur de stockage de ghost +dump des bdd de chaque serveur web).
Contrainte:
- Je voudrais empêcher qu'une personne piratant un des serveurs web, ne puisse joindre un autre serveur web (les serveurs hébergent des base de données de nos clients (qui son concurrents)).
- Les serveur WEB devront pouvoir déposer des ghosts et dump de leur base de donnée sur le serveur de sauvegarde et etre accéssibles par le net.
- Un netasq U70 est prévus d'être installé
Je n'arrive pas à trancher entre un isolement des serveurs par VLAN (couche2) comme tu m'avais expliqué ou par sous-réseau(couche 3)!!!
Et je ne sais pas encore ce qu'est capable de faire le U70 (d'après les pdf du site de netasq, apparament: jusqu'à 32 VLAN, rip, ospf, firwall, antivirus
Je pensais donc à 2 solutions:
1) vlan statique par port (couche 2): 1 switch de niveau 2 gérant les vlans, et le routage vers le net se ferais grâce netasq par l'intermédiaire (port trunkentre le netask et le switch?).
Sur le serveur de sauvegarde, il faudrait créer comme tu me le disais plu haut: 1 interface virtuel par serveur web situé chacun dans un vlan différent à joindre=> 6 interface virtuel et les attribuer chacune aux vlan concernés.
Sur le Netasq, créer des règles ACL pour interdire le routage entre les différent VLAN et laisser passer le traffic pour accéder au net.
coût de la solution: prix d'un switch gigabit gérant les vlans+ netasq déjà commandé par ma boite.
2) routage de niveau 3: Un switch de niveau 3 + ACLs qui autorisent le traffic de uniquement de 1 serveur avec son IP par le port et mettre chaque serveur dans un sous réseau différent.
Et relier le switch au netasq en gérant du routage RIP entre les 2.
=>Question prix, la solution pencherait plus en la faveur de la première solution (environ 1200€ pour un switch L2 et 2500€ pour un L3), en supposant que le netasq sache faire tout ça!
Mais question pertinence des 2 solutions, je n'arrive pas à faire la différence et justifier mon choix. Dans quel cas on utiliserais plutôt l'une que l'autre.
Car
Merci pour ton aide.
Salut,
Le netasq n' pas besoin de vlans pour faire son boulot de firewall, il filtre sur les couches supérieures.
Je ne vois pas bien pourquoi tu t'obstines sur les vlans alors que les solutions sont au L3.
pour l'écart de prix, le prix du matériel est un paramètre peanuts sur ton cas: un netasq, ça coûte combien en licences à côté ? il faut principalement tenir compte de l'extensibilité et de la facilité/souplesse d'administration / évolution qui sont des critères bien plus importants si on les chiffre en journée.homme
Le netasq n' pas besoin de vlans pour faire son boulot de firewall, il filtre sur les couches supérieures.
Je ne vois pas bien pourquoi tu t'obstines sur les vlans alors que les solutions sont au L3.
pour l'écart de prix, le prix du matériel est un paramètre peanuts sur ton cas: un netasq, ça coûte combien en licences à côté ? il faut principalement tenir compte de l'extensibilité et de la facilité/souplesse d'administration / évolution qui sont des critères bien plus importants si on les chiffre en journée.homme
oui mais pour que le firewall du netasq puisse filtrer, Ne faut-il pas que chaque serveur web ai une entrée attitré sur le netasq?
Si c'est le cas, je n'aurais pas assez de port sur le netasq (6 port uniquement et 2 seront déjà occupé par d'autre choses). D'où utilisation des vlans+le le firewall du netasq (si c'est faisable et si on reste au niveau 2), ou ou bien des sous réseaux avec un switch de niveau 3+ACLs.
Je ne pense pas que le firwall puisse etre utilisé pour bloquer le traffic entre les serveur. Si c'est possible je voudrais bien que tu m'explique comment et quelle solution et câblage il faut faire.
L'utilisation du firewall du netasq si tout les sous réseaux des serveurs web arrivent du switch l3 sur un seul port du netasq n'empchera pas le fait qu'au niveau du switch il faudra bloquer le routage entre les serveur web par des acls? Et ne faut-il pas que le trafic entre par un port du netasq et sorte par un autre pour pouvoir filtrer?
Pour ce qui est de la souplesse d'utilisation: Est-ce que ce que je dit te semble correcte ou bien j'oublis des choses?
Le jour ou un nouveau server client arrive, qu'est-ce qui est le plus simple à changer?
D'un coté avec la solution en VLan que tu m'avais proposé au debut du post, il faudra ajouter une interface virtuelle sur le serveur de sauvegarde (=>7interface virtuelles) pour le trunk avec le switch+créer un nouveau vlan sur le switch L2 et l'attribuer à un port+une interface virtuelle sur le netasq pour le trunk avec le switch L2 et modifier les ACLs (ou les règles du firewall si c'est possible) pour empêcher le trafic entre serveurs.
De l'autre coté: avec le routage avec un switch L3 il faut revoir les ACLs.
En sachant que les personnes qui auront à faire les manip ne connaisse pas les commandes cisco, il faudrat que je fasse une procédure de modification.
Pour la présentation de mon projet final, il faut bien que je compare techniquement les 2 solutions avec leurs avantages et inconvénients. Et justement j'ai du mal à dire si l'un est plus viable que l'autre.
Maintenant si les 2 solutions sont opérationnelles, Le coût va être un point clé pour convaincre ma direction d'une solution plutôt qu'une autre. Car quand on leur parle de facture de 2500€ pour un switch L3 (x2 pour en garder un de secours prêt à remplacer le premier) ca fait un peut tiquer :)
Si c'est le cas, je n'aurais pas assez de port sur le netasq (6 port uniquement et 2 seront déjà occupé par d'autre choses). D'où utilisation des vlans+le le firewall du netasq (si c'est faisable et si on reste au niveau 2), ou ou bien des sous réseaux avec un switch de niveau 3+ACLs.
Je ne pense pas que le firwall puisse etre utilisé pour bloquer le traffic entre les serveur. Si c'est possible je voudrais bien que tu m'explique comment et quelle solution et câblage il faut faire.
L'utilisation du firewall du netasq si tout les sous réseaux des serveurs web arrivent du switch l3 sur un seul port du netasq n'empchera pas le fait qu'au niveau du switch il faudra bloquer le routage entre les serveur web par des acls? Et ne faut-il pas que le trafic entre par un port du netasq et sorte par un autre pour pouvoir filtrer?
Pour ce qui est de la souplesse d'utilisation: Est-ce que ce que je dit te semble correcte ou bien j'oublis des choses?
Le jour ou un nouveau server client arrive, qu'est-ce qui est le plus simple à changer?
D'un coté avec la solution en VLan que tu m'avais proposé au debut du post, il faudra ajouter une interface virtuelle sur le serveur de sauvegarde (=>7interface virtuelles) pour le trunk avec le switch+créer un nouveau vlan sur le switch L2 et l'attribuer à un port+une interface virtuelle sur le netasq pour le trunk avec le switch L2 et modifier les ACLs (ou les règles du firewall si c'est possible) pour empêcher le trafic entre serveurs.
De l'autre coté: avec le routage avec un switch L3 il faut revoir les ACLs.
En sachant que les personnes qui auront à faire les manip ne connaisse pas les commandes cisco, il faudrat que je fasse une procédure de modification.
Pour la présentation de mon projet final, il faut bien que je compare techniquement les 2 solutions avec leurs avantages et inconvénients. Et justement j'ai du mal à dire si l'un est plus viable que l'autre.
Maintenant si les 2 solutions sont opérationnelles, Le coût va être un point clé pour convaincre ma direction d'une solution plutôt qu'une autre. Car quand on leur parle de facture de 2500€ pour un switch L3 (x2 pour en garder un de secours prêt à remplacer le premier) ca fait un peut tiquer :)
Il faudra que tu demandes à celui qui a commandé le netasq ce qu' il compte en faire exactement, mais pour moi, il est plus là pour protéger les serveurs des attaques venues du web que pour bloquer le trafic entre les serveurs (qui n' a pas lieu d'être).
De toute façon avec 32 vlans, tu ne vas pas aller bien loin en hébergement.
De toute façon avec 32 vlans, tu ne vas pas aller bien loin en hébergement.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pour protéger les serveur des attaque venu du web surement que ça a dû pesé dans la décision de le prendre, mais c'est aussi parce qu'il fallait pouvoir joindre tous nos serveur par le port 80 et plus sur les port 8080 ou autres, avec redirection nat/pat comme on fait pour le moment. Donc faire du nat statique (1 ip publique=1 server web
Mais c'est aussi pour offrir un accès VPN à des télétravailleurs.
Possible que le Netask soit sur-dimensionné par rapport aux besoin urgent qu'on avait et qu'il ai succombé au champs des sirènes (commercial).
"il est plus là pour protéger les serveurs des attaques venues du web que pour bloquer le trafic entre les serveurs (qui n' a pas lieu d'être). "
Pourquoi tu dit que ça n'a pas lieu d'être? Si qq'un prends le contrôle d'un des serveurs web (ça doit bien pouvoir se faire non. Les attaque dont tu parle n'en font pas partis?) il aurait accès après à tous les autre serveurs... Mais si c'est pas possible d'accéder au système du serveur à partir du site qu'il héberge et que ça ne craint rien, alors, il vaut mieux que laisse tombé cette partie de mon projet plutôt que présenter quelque chose qui ne sert a rien et qui aura coûté 6000€ à ma boite pour rien. Je pensais que c'était utile, et c'est pour ça que je pensais le proposer à ma boite. Mais comme personne ne s'y connais assez dans ma boite, je ne suis plus sur de l'utilité maintenant.
Mais si dans un contrat client on te demande à ce que le serveur soit dans un réseau séparé. tu le met dans un vlan ou un sous réseau?
Pour moi je pensais que le fait de cloisonner les serveurs dans un vlan ou un sous réseau répondait à la clause.
Mais c'est aussi pour offrir un accès VPN à des télétravailleurs.
Possible que le Netask soit sur-dimensionné par rapport aux besoin urgent qu'on avait et qu'il ai succombé au champs des sirènes (commercial).
"il est plus là pour protéger les serveurs des attaques venues du web que pour bloquer le trafic entre les serveurs (qui n' a pas lieu d'être). "
Pourquoi tu dit que ça n'a pas lieu d'être? Si qq'un prends le contrôle d'un des serveurs web (ça doit bien pouvoir se faire non. Les attaque dont tu parle n'en font pas partis?) il aurait accès après à tous les autre serveurs... Mais si c'est pas possible d'accéder au système du serveur à partir du site qu'il héberge et que ça ne craint rien, alors, il vaut mieux que laisse tombé cette partie de mon projet plutôt que présenter quelque chose qui ne sert a rien et qui aura coûté 6000€ à ma boite pour rien. Je pensais que c'était utile, et c'est pour ça que je pensais le proposer à ma boite. Mais comme personne ne s'y connais assez dans ma boite, je ne suis plus sur de l'utilité maintenant.
Mais si dans un contrat client on te demande à ce que le serveur soit dans un réseau séparé. tu le met dans un vlan ou un sous réseau?
Pour moi je pensais que le fait de cloisonner les serveurs dans un vlan ou un sous réseau répondait à la clause.
Décidément,
tu as du mal avec les vlans:
si tu mets chaque serveur dans un vlan séparé, tu les mets forcément dans un réseau séparé:
il n' y a pas d'autre moyen de relier des vlans et que mettre un routeur entre eux.
donc, vlans ou pas vlans, c'est pareil dans ton cas: il faut router, l'autre alternative à laquelle tu penses et qui ne te plait pas, à moi non plus est de mettre tout le monde dans le même réseau ip, donc le même vlan.
tu comprends ?
résumé une dernière fois:
vlans différents == réseaux ip différents (obligé si on doit les faire communiquer)
même réseau ip == même vlan (obligé)
un vlan == plusieurs réseaux ip (possible)
sinon, ce qui n' a pas lieu d' être, c'est le traffic direct entre les serveurs effectivement, d'où les access-list.
remarque au passage que les serveurs pourront quand même communiquer entre eux via leurs adresses internet, vu qu'ils en ont tous une, mais sur des ports que tu peux limiter dans le firewall/nat, le but que tu as raison de chercher est qu'il ne puissent pas du tout communiquer par leurs adresses privées d'où ma phrase de trafic qui n'a pas lieu d'être.
tu as du mal avec les vlans:
si tu mets chaque serveur dans un vlan séparé, tu les mets forcément dans un réseau séparé:
il n' y a pas d'autre moyen de relier des vlans et que mettre un routeur entre eux.
donc, vlans ou pas vlans, c'est pareil dans ton cas: il faut router, l'autre alternative à laquelle tu penses et qui ne te plait pas, à moi non plus est de mettre tout le monde dans le même réseau ip, donc le même vlan.
tu comprends ?
résumé une dernière fois:
vlans différents == réseaux ip différents (obligé si on doit les faire communiquer)
même réseau ip == même vlan (obligé)
un vlan == plusieurs réseaux ip (possible)
sinon, ce qui n' a pas lieu d' être, c'est le traffic direct entre les serveurs effectivement, d'où les access-list.
remarque au passage que les serveurs pourront quand même communiquer entre eux via leurs adresses internet, vu qu'ils en ont tous une, mais sur des ports que tu peux limiter dans le firewall/nat, le but que tu as raison de chercher est qu'il ne puissent pas du tout communiquer par leurs adresses privées d'où ma phrase de trafic qui n'a pas lieu d'être.
Ouf tu me rassure en me confortant dans l'idée qu'il n'est pas normal de laisser les serveurs dans un même sous réseau!
Désolé d'être aussi lourd, mais les questions que je me poses restent sans réponses.
Le fait qu'il faille un routeur pour faire communiquer 2 vlan, ça ok j'avais compris.
Le fait que pour routé des vlans entre eux, il fallait un réseau différent par VLAN, ok ça aussi j'avais compris.
J'aurais besoins d'un dernier avis sur ces solutions svp. après promis je ne t'embête plus!
Merci de m'aider à compléter les avantages et inconvénients de chacune des 2 solutions si j'oublie des choses pour justifier la solution a prendre:
http://lsda26.free.fr/solution%20routage.pdf
Solution 1:des VLAN+sous réseaux avec un switchL2 et le routage par le netasq, avec communication entre le serveur sauvegarde et les serveurs web uniquement en L2 ou alors en L3 (routage inter-vlan) si le serveur de sauvegarde est placé dans un VLAN. Solutions dont tu m'avait parlé plus haut dans le post).
-Avantage: switch de niveau 2 suffisant, plus rapide que la solution 2 car transfert vers le serveur de sauvegarde uniquement en L2 si il n'est pas mis dans un Vlan.
-Inconvénients: Plus lourd à mettre en place et maintenance ou extension pas simple pour qq'un qui ne maitrise pas la notion de vlan.
Solution 2: Tous les serveurs se trouvent dans des sous réseaux seul et sans VLAN. routé obligatoirement par un switch L3 avec ACLs.
-Avantages: plus simple à comprendre, à mettre en place, et à faire évoluer.
-Inconvénients: nécessite d'un switch L3 plus cher 2500€.
Merci pour ton aide est encore désolé de te monopoliser ton temps et surtout tes nerfs!
Désolé d'être aussi lourd, mais les questions que je me poses restent sans réponses.
Le fait qu'il faille un routeur pour faire communiquer 2 vlan, ça ok j'avais compris.
Le fait que pour routé des vlans entre eux, il fallait un réseau différent par VLAN, ok ça aussi j'avais compris.
J'aurais besoins d'un dernier avis sur ces solutions svp. après promis je ne t'embête plus!
Merci de m'aider à compléter les avantages et inconvénients de chacune des 2 solutions si j'oublie des choses pour justifier la solution a prendre:
http://lsda26.free.fr/solution%20routage.pdf
Solution 1:des VLAN+sous réseaux avec un switchL2 et le routage par le netasq, avec communication entre le serveur sauvegarde et les serveurs web uniquement en L2 ou alors en L3 (routage inter-vlan) si le serveur de sauvegarde est placé dans un VLAN. Solutions dont tu m'avait parlé plus haut dans le post).
-Avantage: switch de niveau 2 suffisant, plus rapide que la solution 2 car transfert vers le serveur de sauvegarde uniquement en L2 si il n'est pas mis dans un Vlan.
-Inconvénients: Plus lourd à mettre en place et maintenance ou extension pas simple pour qq'un qui ne maitrise pas la notion de vlan.
Solution 2: Tous les serveurs se trouvent dans des sous réseaux seul et sans VLAN. routé obligatoirement par un switch L3 avec ACLs.
-Avantages: plus simple à comprendre, à mettre en place, et à faire évoluer.
-Inconvénients: nécessite d'un switch L3 plus cher 2500€.
Merci pour ton aide est encore désolé de te monopoliser ton temps et surtout tes nerfs!
les 2 pages du pdf sont inversées:
Page 1 correspond à la solution avec routage pur de sous réseau grace à un switch L3 et du rip.
Page 2: avec des vlans (encore 2 solutions)
- solution a (tel que tu m'avais parlé):
Serveur de sauvegarde avec plusieurs 1 interfaces virtuelles (1 par vlan de serveur web), d'où le tad 802.1q entre le serveur de sauvegarde et le switch + un switch L2 et le routage vers le net se fera par le netasq en bloquant la communication entre les vlan des serveur web, (transfert des sauvegardes en full L2 et accès au net en L3)
-solution b: On place le serveur de sauvegarde dans un vlan séparé et le netasq s'occupe de router inter-vlan en empêchant la communication entre les vlan des serveur wen mais en autorisant vers le serveur de sauvegarde et le net.
=>transfert des sauvegardes et accès au net en par routage inter-vlan.
J'espère avoir été clair.
Donc j'attends tes commentaires sur ces 3 solutions.
merci
Page 1 correspond à la solution avec routage pur de sous réseau grace à un switch L3 et du rip.
Page 2: avec des vlans (encore 2 solutions)
- solution a (tel que tu m'avais parlé):
Serveur de sauvegarde avec plusieurs 1 interfaces virtuelles (1 par vlan de serveur web), d'où le tad 802.1q entre le serveur de sauvegarde et le switch + un switch L2 et le routage vers le net se fera par le netasq en bloquant la communication entre les vlan des serveur web, (transfert des sauvegardes en full L2 et accès au net en L3)
-solution b: On place le serveur de sauvegarde dans un vlan séparé et le netasq s'occupe de router inter-vlan en empêchant la communication entre les vlan des serveur wen mais en autorisant vers le serveur de sauvegarde et le net.
=>transfert des sauvegardes et accès au net en par routage inter-vlan.
J'espère avoir été clair.
Donc j'attends tes commentaires sur ces 3 solutions.
merci
c'est une des nombreuses limitations des vlans dynamiques: une fois les switch configuré dynamiquement pour affecter un vlan à un port pour une machine précise, ce port, comme un port statique ne servira plus pour un autre vlan sauf s'il est taggé.
le VMPS n' est guère utilisé (jamais vu en pratique personellement) et le sera de moins en moins: ça ne présente aucun intérêt par rapport à un dhcp ou à la stateless configuration d'ipv6, c'était bon à une époque où on était loin d'avoir du réseau ip à tous les niveaux, il vaut mieux l'oublier, tout comme il faudra oublier les vlans quand tout ne sera que routage ou commutation L3.