Segmentation de reseau
KRISTOU
-
brupala Messages postés 115335 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 115335 Date d'inscription Statut Membre Dernière intervention -
bonjour a tous
je susi en satge dans une entreprise de telecom et il m'ai demander de faire une segmentation du reseau. alors tout de suite de pense aux VLAN et aux sous reseaux.
mais voila j'aimerais savoir pour le cas des VLAN par sous reseaux comment decider que tels groupes de travail ne se trouavant pas forcemetn sur lememe switch se fera attribuer les adresses dans une plages ki fera partie d'un tel VLAN.peut etre je m'exprime mal mais entre les vlan par port par adresse mac et par sous reseau je ne sais pas s'il est possible ke ils coexistent tous en ensemble suivant les cas?
merci pour vos reponses
je susi en satge dans une entreprise de telecom et il m'ai demander de faire une segmentation du reseau. alors tout de suite de pense aux VLAN et aux sous reseaux.
mais voila j'aimerais savoir pour le cas des VLAN par sous reseaux comment decider que tels groupes de travail ne se trouavant pas forcemetn sur lememe switch se fera attribuer les adresses dans une plages ki fera partie d'un tel VLAN.peut etre je m'exprime mal mais entre les vlan par port par adresse mac et par sous reseau je ne sais pas s'il est possible ke ils coexistent tous en ensemble suivant les cas?
merci pour vos reponses
A voir également:
- Segmentation de reseau
- Opérateur de réseau mobile - Guide
- Mot de passe reseau - Guide
- Cable reseau du player freebox - Forum Freebox
- Messenger en attente de réseau ✓ - Forum Facebook
- Entrée dans le réseau des pic - Forum Consommation & Internet
9 réponses
oui il ya des switchs L3.
les groupes de travails sont deja mis par etages dans les immeubles et par etage on a un ou plusieurs groupes de travail et 2 switches. dont je peux deja faire une segmentation par ports en supposant cela. puis il ya une ferme de serveurs windows et unix je compte ls mettre dans le mme VLAN et jai lu un article sur les VLAN prives alors je me demandais sil jen e pouvais pas les separes en VLAN prive enfin kils nai pas besoin de voir le traffic des autres puisque il ne communique presque pas les uns avec les autres.
jai etudier la communication entre ces serveurs pour les utilisatuers je me dis ke les personnes ressources humaines par exemple communique avec tout le monde. alors y a il une autre analyse du traffic a faire? je ne my connais pas trop alors votre aide m'ai precieuse.
par exemple dans un immeuble on a du 10.253.8.1/22 comment redecouper ca en disons 5 VLANS ? je m'embrouille un peu avec ces calculs.
on a des routeurs cisco 7507 des 3750 et dautres plus petis mais ceux ki relie les LAN sont ceux la.
me proposer vous une autre facon de segmenter un reseau? toute contribution est vraiment la bienvenue
et puis etant donner ke je devais aussi travailler sur la securite du LAN avez vous deja entendu parler du NAC CISCO?
les groupes de travails sont deja mis par etages dans les immeubles et par etage on a un ou plusieurs groupes de travail et 2 switches. dont je peux deja faire une segmentation par ports en supposant cela. puis il ya une ferme de serveurs windows et unix je compte ls mettre dans le mme VLAN et jai lu un article sur les VLAN prives alors je me demandais sil jen e pouvais pas les separes en VLAN prive enfin kils nai pas besoin de voir le traffic des autres puisque il ne communique presque pas les uns avec les autres.
jai etudier la communication entre ces serveurs pour les utilisatuers je me dis ke les personnes ressources humaines par exemple communique avec tout le monde. alors y a il une autre analyse du traffic a faire? je ne my connais pas trop alors votre aide m'ai precieuse.
par exemple dans un immeuble on a du 10.253.8.1/22 comment redecouper ca en disons 5 VLANS ? je m'embrouille un peu avec ces calculs.
on a des routeurs cisco 7507 des 3750 et dautres plus petis mais ceux ki relie les LAN sont ceux la.
me proposer vous une autre facon de segmenter un reseau? toute contribution est vraiment la bienvenue
et puis etant donner ke je devais aussi travailler sur la securite du LAN avez vous deja entendu parler du NAC CISCO?
Salut,
les cas d'utilisation des vlans par protocole ou par adresse mac sont très marginaux .
commence par faire des vlans par port, ce sera beaucoup plus simple, quitte à faire évoluer ensuite certaines parties du réseau vers d'autres modes d' affectation au vlan.
il faut plutôt d'abord voir la taille du réseau, les protocoles utilisés , la répartion géographique des traffics , bref faire une analyse des traffics dans le réseau afin d'optimiser .
ensuite tout dépend aussi du matériel dont tu disposes : nombre de ports routeurs, switch L3 ou pas ...
les cas d'utilisation des vlans par protocole ou par adresse mac sont très marginaux .
commence par faire des vlans par port, ce sera beaucoup plus simple, quitte à faire évoluer ensuite certaines parties du réseau vers d'autres modes d' affectation au vlan.
il faut plutôt d'abord voir la taille du réseau, les protocoles utilisés , la répartion géographique des traffics , bref faire une analyse des traffics dans le réseau afin d'optimiser .
ensuite tout dépend aussi du matériel dont tu disposes : nombre de ports routeurs, switch L3 ou pas ...
merci de repondre si vite
en fait le reseau est assez grand avec bcp re serveurs d'applications et d'utilisateurs. et presentement certains LAN sont en /22 ce ki fait le moindre pb affecte tout le monde. alors je pensait a faire vraiment une segmentationpar ports et resegmenter aussi en plus petis sous reseau cesta dire attribuer a chaque VLAN une plage ou un sous reseau. mais je me demande si cest possible.
et puisle PB de DHCP se posant je ne sais pas sil faille le mettre dans le Default VLAN et surtout kon parle dun reseau WAN ici plus unpetit LAN. un routeur faisant aussi le DHCP??? est ce une solution. on parle d'environ 1000 utilisateurs.
merci bcp pour votre aide
en fait le reseau est assez grand avec bcp re serveurs d'applications et d'utilisateurs. et presentement certains LAN sont en /22 ce ki fait le moindre pb affecte tout le monde. alors je pensait a faire vraiment une segmentationpar ports et resegmenter aussi en plus petis sous reseau cesta dire attribuer a chaque VLAN une plage ou un sous reseau. mais je me demande si cest possible.
et puisle PB de DHCP se posant je ne sais pas sil faille le mettre dans le Default VLAN et surtout kon parle dun reseau WAN ici plus unpetit LAN. un routeur faisant aussi le DHCP??? est ce une solution. on parle d'environ 1000 utilisateurs.
merci bcp pour votre aide
1000 utilisateurs,
ah oui, ça commence à faire .
si tu fais des vlans, forcément, ils devront contenir des réseaux ip différents et ces réseaux différents devront etre reliés par routage.
Tout dépend du type de traffic et des protocoles réseau utilisés , mais 200 utilisateurs par vlan est une norme habituelle .
pour le dhcp, pas de souci, les routeurs dignes de ce nom savent servir de relais dhcp .
Essaie de différentier les vlans par service, par type d'activité : tu mets les clients , leurs imprimantes et les serveurs qui supportent leurs données dans le même vlan, pour éviter de charger inutilement le routeur .
est-ce que l'architecture du réseau est remise en cause à cette occasion ?
as tu des switchs niveau3 ?
ah oui, ça commence à faire .
si tu fais des vlans, forcément, ils devront contenir des réseaux ip différents et ces réseaux différents devront etre reliés par routage.
Tout dépend du type de traffic et des protocoles réseau utilisés , mais 200 utilisateurs par vlan est une norme habituelle .
pour le dhcp, pas de souci, les routeurs dignes de ce nom savent servir de relais dhcp .
Essaie de différentier les vlans par service, par type d'activité : tu mets les clients , leurs imprimantes et les serveurs qui supportent leurs données dans le même vlan, pour éviter de charger inutilement le routeur .
est-ce que l'architecture du réseau est remise en cause à cette occasion ?
as tu des switchs niveau3 ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Comme j'ai dit plus haut: il vaut mieux mettre un serveur et les utilisateurs qui y sont connectés dans le m^me vlan (du moins ceux qui s'y connectent le plus).
si des serveurs "servent" tout le monde , on peut les mettre dans un vlan backbone, tout comme l'accès internet , par exemple .
disons, que tu as ton réseau 10.253.8.0 /22 :
supposons que tu le divises en 8 fois /25 (126 adresses chacun) :
gardes 10.253.8.0/25 comme backbone .
ensuite , répartis tes postes en réseaux 10.253.8.128 /25, 10.253.9.0/25, 10.253.9.128/25 ..... jusquà 10.253.11.128 /25
tu peux aussi faire des vlsm (subnets de longueur variable).
mais tant qu'à renuméroter, pour favoriser la migration et limiter les risques d'erreur, je te conseille de plutôt reprendre de nouvelles plages d'adresses privées non utilisées actuellement .
ça permettra d'éviter les risques de confusion entre postes migrés et non migrés en faisant le nouveau réseau en 10.100.8.0 par exemple.
sinon, je n'ai jamais eu l'occasion de travailler via le network admission control .
c'est plutôt du domaine IPS .
si des serveurs "servent" tout le monde , on peut les mettre dans un vlan backbone, tout comme l'accès internet , par exemple .
disons, que tu as ton réseau 10.253.8.0 /22 :
supposons que tu le divises en 8 fois /25 (126 adresses chacun) :
gardes 10.253.8.0/25 comme backbone .
ensuite , répartis tes postes en réseaux 10.253.8.128 /25, 10.253.9.0/25, 10.253.9.128/25 ..... jusquà 10.253.11.128 /25
tu peux aussi faire des vlsm (subnets de longueur variable).
mais tant qu'à renuméroter, pour favoriser la migration et limiter les risques d'erreur, je te conseille de plutôt reprendre de nouvelles plages d'adresses privées non utilisées actuellement .
ça permettra d'éviter les risques de confusion entre postes migrés et non migrés en faisant le nouveau réseau en 10.100.8.0 par exemple.
sinon, je n'ai jamais eu l'occasion de travailler via le network admission control .
c'est plutôt du domaine IPS .
merci mais il ya kelke chose que jai pas compris.
mais tant qu'à renuméroter, pour favoriser la migration et limiter les risques d'erreur, je te conseille de plutôt reprendre de nouvelles plages d'adresses privées non utilisées actuellement .
ça permettra d'éviter les risques de confusion entre postes migrés et non migrés en faisant le nouveau réseau en 10.100.8.0 par exemple
ques que ce la veut dire? stp tu peut me parler des routeur ki servent ki de DHCP comment cela ce fait il?
merci encore pour ton aide "voili voilou voila" (lol)
mais tant qu'à renuméroter, pour favoriser la migration et limiter les risques d'erreur, je te conseille de plutôt reprendre de nouvelles plages d'adresses privées non utilisées actuellement .
ça permettra d'éviter les risques de confusion entre postes migrés et non migrés en faisant le nouveau réseau en 10.100.8.0 par exemple
ques que ce la veut dire? stp tu peut me parler des routeur ki servent ki de DHCP comment cela ce fait il?
merci encore pour ton aide "voili voilou voila" (lol)
kristou,
ccmcharte ecriture#ecriture
c'est pas clair l'histoire de renuméroter suivant une nouvelle plage afin de réduire la confusion entre ancien réseau et nouveau ?
si tu découpes en vlan il faut forcément renuméroter et reconfigurer les machines , donc pour que ce soit plus clair , je te propose de de faire dans une nouvelle plage d'adresses .
des routeurs peuvent-etre serveur dhcp (mais il vaut mieux un vrai serveur avec un disque dur) ou bien relais dhcp vers un serveur dhcp (ou proxy dhcp si tu veux ) afin de renvoyer les trames dhcp discover, qui sont des broadcast, donc bloqués par les routeurs vers le serveur dhcp sur un autre réseau que le leur .
chez cisco, c'est fait par la commande ip helper-add .... au niveau interface .
ccmcharte ecriture#ecriture
c'est pas clair l'histoire de renuméroter suivant une nouvelle plage afin de réduire la confusion entre ancien réseau et nouveau ?
si tu découpes en vlan il faut forcément renuméroter et reconfigurer les machines , donc pour que ce soit plus clair , je te propose de de faire dans une nouvelle plage d'adresses .
des routeurs peuvent-etre serveur dhcp (mais il vaut mieux un vrai serveur avec un disque dur) ou bien relais dhcp vers un serveur dhcp (ou proxy dhcp si tu veux ) afin de renvoyer les trames dhcp discover, qui sont des broadcast, donc bloqués par les routeurs vers le serveur dhcp sur un autre réseau que le leur .
chez cisco, c'est fait par la commande ip helper-add .... au niveau interface .
je considere selon laquelle un routeur ou switch L3 telsque les 3550 et les 3750 puissen faire du DHCP. mais comment faire pour qu'il sache que tels range dois etre attribuer a telVLAN ? je n'arrive pas a voir comment faire. stp si tu as une idée avec les lignes de commandes ce serait la bienvenue.
serait il possible en outre de faire une gestionde ces VLANs par le serveur ACS ?
autre probleme : je pensait a faire donc une segmentation par port mais etant donner quil ny a pas de communication de poste a poste dans la compagnie mais plus des mails qui transitent tous ^par un serveur de messagerie, est ce que cette apporche de segmenttation est la miux indiquée? si non laquelle me conseiller vous?
merci pour vos reponses
serait il possible en outre de faire une gestionde ces VLANs par le serveur ACS ?
autre probleme : je pensait a faire donc une segmentation par port mais etant donner quil ny a pas de communication de poste a poste dans la compagnie mais plus des mails qui transitent tous ^par un serveur de messagerie, est ce que cette apporche de segmenttation est la miux indiquée? si non laquelle me conseiller vous?
merci pour vos reponses
le relais dhcp se configure au niveau de l'interface de routage, donc de l'interface vlan à ce niveau le routeur n' aps à hésiter pour le réseau ip à renseigner: c'est celui de l'interface où se situe la commande pas un autre.
La gestion des vlans se fait sur les switchs uniquement .
c'est quoi le serveur ACS ?
le traffic mail est un traffic dérisoire, il intervient en principe très peu dans le choix de l'architecture du réseau .
le serveur mail peut etre situé dans une dmz, aucune importance .
La gestion des vlans se fait sur les switchs uniquement .
c'est quoi le serveur ACS ?
le traffic mail est un traffic dérisoire, il intervient en principe très peu dans le choix de l'architecture du réseau .
le serveur mail peut etre situé dans une dmz, aucune importance .
