Re: [FRnOG] [TECH] Découpage réseau - vlan

[Jerome Lien]

Bonjour,

Pour exemple, et je ne dis pas qu'il est parfait .. mais ils évoluent vers
du mieux, voici la timeline de l'évolution :

On possède actuellement une 20ene de stack sur un site
(stockage+usine+bureau) avec une topologie en étoile.

il y 6 ans l'entreprise avait 400 IP dans un réseau 129.200.0.0/16 le tout
dans 1 vlan
puis nous sommes passé pour les pc, vm, serveurs dans un 10.x.x.x/20
la video en 10.x.x.x/23 et d'autres équipements spécifique 10.x.x.x/23
et les prestataires individuellement en 10.x.x.x/26 ou 27

Les vlan sont donc par type d'utilisation, donc les vlan's sont redescendu
sur les stack si nécessaire, le prochain pas à passer et de scinder les pc,
vm serveurs car on compte environ 1000 IP dans ce vlan :/ ..
Actuellement, nous ne savons pas comment découper le /20 .. la seule chose
de sur, c'est que les serveurs et les vm's utilisateurs auront chacun leurs
vlan's

voila, je pense que cela piquera les yeux de certaines/certains, mais soyez
indulgent, il est trés dure de faire évoluer le réseau d'une usine de
production

,jérôme





Le 13 juin 2016 à 06:04, Phil Regnauld  a écrit :

> Gabriel De Miranda (gzigoto) writes:
> > Au final je me dis que la bonne granularité, c'est un vlan par stack,
> > associé à un /23.
>
> Bonne règle à mon avis. +1, quoi :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Gabriel De Miranda (gzigoto) writes:
> Au final je me dis que la bonne granularité, c'est un vlan par stack,
> associé à un /23.

Bonne règle à mon avis. +1, quoi :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Gabriel De Miranda]

Salut,

Dans le mode "un vlan par service", au final le réseau doit refléter
l'organisation RH de l'entreprise. Si un nouveau service est créé, si deux
services fusionnent, changent de nom etc... le réseau doit s'adapter en
conséquence.
Et ça c'est valable que tu fasses de l'authentification d'utilisateurs en
802.1X ou de l'authentification d'adresses MAC toute bête.
Dans un contexte d'entreprise pas trop grosse et où les services ne bougent
pas beaucoup, c'est gérable. Mais dans un environnement de centre de
recherche par exemple, ou d'université, c'est beaucoup plus dynamique, tu
as des unités scientifiques qui se créent pour 3 ou 5 ans et qui
disparaissent après. Et là au fil des ans, gérer le mapping "vlan / unité"
est tellement compliqué qu'au bout d'un certain temps ça finit fatalement
par se désynchroniser, tes vlans ne représentent plus correctement tes
services.

Pour le mode "géographique", un vlan par bâtiment ça fonctionne mais quand
tu as des gros bâtiments (avec par exemple 3 stacks de 8 switchs, pour
plusieurs centaines d'utilisateurs), tu dois passer sur des gros subnets
(genre un /22 pour ton bâtiment). Moi je suis resté sur l'idée à l'ancienne
où il vaut mieux rester sur des /24 ou /23 au maximum.
 Un vlan par étage c'est pareil, ce n'est pas forcément homogène car tu
peux avoir un étage avec de gros open spaces et beaucoup de prises réseau,
et un autre avec une grande zone de stockage logistique et donc très peu de
prises.
Au final je me dis que la bonne granularité, c'est un vlan par stack,
associé à un /23.
Si un stack peut contenir au maximum 8 switchs de 48 ports (c'est assez
répandu comme limite parmi les constructeurs), ça te fait 400 prises réseau
maximum, et ton /23 est suffisamment grand.
Et d'ailleurs ça serait plutôt deux /23 par stack si tu as de la ToIP (un
subnet pour les ordinateurs et un autre pour les téléphones)
En plus ça permet d'avoir quasiment la même configuration sur chaque stack,
seuls les 2 vlans varient d'un stack à l'autre

Gabriel

2016-06-12 21:50 GMT+02:00 Radu-Adrian Feurdean <
fr...@radu-adrian.feurdean.net>:

> On Sun, Jun 12, 2016, at 12:06, David Ponzone wrote:
> > Donc en clair, si généralement un service est dans un bâtiment, sauf
> > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste
> > maitrisé, et il y a peu de chance que ça change radicalement.
>
> Deja les exceptions generent le plus de travail. Et que "ca reste
> maitrise", j'ai tendance a dire que c'est du jamais vu : "tiens, service
> X il restent que 3 personnes, et si on les deplace a cote du service Z
> (lire dans les memes bureaux), ou il y a un peu de place".
>
> En plus, le "VLAN par service" ca reste du "securite par le reseau", qui
> est plutot du "intelligent core, dumb edge", donc pas la meilleure idee.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Radu-Adrian Feurdean]

On Sun, Jun 12, 2016, at 12:06, David Ponzone wrote:
> Donc en clair, si généralement un service est dans un bâtiment, sauf
> quelques exceptions, et qu’il y a15-20 services, je pense que ça reste
> maitrisé, et il y a peu de chance que ça change radicalement.

Deja les exceptions generent le plus de travail. Et que "ca reste
maitrise", j'ai tendance a dire que c'est du jamais vu : "tiens, service
X il restent que 3 personnes, et si on les deplace a cote du service Z
(lire dans les memes bureaux), ou il y a un peu de place".

En plus, le "VLAN par service" ca reste du "securite par le reseau", qui
est plutot du "intelligent core, dumb edge", donc pas la meilleure idee.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Radu-Adrian Feurdean]

On Sun, Jun 12, 2016, at 11:48, Bruno LEAL DE SOUSA wrote:

> Tu penses qu'en multipliant les Vlan's on diminue les perfs ??

Ce n'est pas en multipliant les VLAN, mais en les faisant par service.
Du coup effort de gestion en plus, erreurs, utilisateurs mecontents,

Passer d'open bar a "VLAN par service avec restrictions d'acces", ca
finit rarement bien.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Youssef Ghorbal]

[...]

> Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela
> devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse"
> à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau
> sans trop de raison, on essayé de les désactiver au maximum sur les postes,
> applis, imprimantes, etc...

Tant mieux, si vous pouvez le faire :)

> Je vois que vous utilisez une attribution dynamique en fonction de l'adresse
> mac..
> Pourquoi pas utiliser des outils connectés à l'AD ?

Je parle d'un reseau ou il y'a a peu pres ~3000 postes dont 60% sont
des MACs (et le users sont admins dessus), donc AD...
Rajoutez a ca, le bring your own bidule :)

> En effet, pour ce qui est du 802.1x nous avons déjà mis en place la
> solution, elle est juste pas très utilisée en attendant la division réseau.
> Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a
> l'avantage d'être connecté et complètement integré à l'Active Directory.
> Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de
> l'utilisateur ou de l'ordinateur par exemple.
> Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons des
> comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et
> ensuite c'est le switch qui va generer une demande d'authentification en
> utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et vlan
> attribué.

En effet, a partir du moment ou on maitrise les postes, on a plus de lattitudes.

Youssef


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Découpage réseau - vlan

[Michel Py]

> David Ponzone a écrit :
> Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le L2.
> Donc des VLAN à part pour le site secondaire et du routage entre les 2.

+1

Je plussoie.


> Phil Regnauld a écrit :
> Ok - en gros, la division par VLAN c'est:
> - essayer de limiter à maximum 200 clients / VLAN
> - plutôt avoirs une classification de vlans, par exemple 1xx = 
> postes, 2xx = téléphonie, 3xx = serveurs, 4xx = wifi, ...

+1

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Ok je vois !

Je pensais oui mettre un serveur DHCP centralisé et redondé avec ensuite
des DHCP-Relay Agents pour acheminer les petites requettes DHCP.

Je vais réflechir à tout ça :)

Le 12 juin 2016 à 14:07, David Ponzone  a écrit :

> Tu as un autre moyen de voir les choses, qui t'évitera en plus de toucher
> à la base d'authentif 8021.x en cas de changement de bureau.
>
> Plus de L2 entre les bâtiments. Donc un routeur L3 par bâtiment et un
> serveur DHCP par bâtiment. Le serveur DHCP peut en fait être centralisé
> mais il faut qu'il soit capable de taper dans des pools différents en
> fonction du bâtiment.
> Un VLAN par service, donc dans le 802.1x, les modifs seront peu fréquentes.
> Et dans chaque bâtiment, tous les
> VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments
> dans le backbone.
> Ça fait un pool /24 par service et par bâtiment, ou plus grand si
> nécessaire.
> Si tu les choisis bien pour que chaque service est un préfixe commun sur
> l'ensemble des bâtiments, ça te rendra les choses plus facile pour les ACL.
>
> Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en
> promenant le chien donc j'ai pu oublier quelque chose :)
>
>
>
> David Ponzone
>
>
>
> Le 12 juin 2016 à 12:44, Bruno LEAL DE SOUSA  a
> écrit :
>
> Merci beaucoup pour ces réponses.
>
> Oui effectivement on est plus dans un mode office-mobile où les gens
> bougent assez souvent et les services déménagent souvent de bureaux..
> En gros si je veux pas avoir trop de soucis et faire un découpage par
> service, il faudrait que je mette en place du 802.1x et que je propage mes
> vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu..
> C'est pas top quand même de devoir propager tous ces vlan's sur toutes les
> piles...
>
> D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne
> serait pas plus pertinent ?
>
> Merci.
> A+
>
> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of Bidouille-IT :http://bidouilleit.com
>
> « Failure is the foundation of success, and the means by which it is
> achieved. » - Lao Tzu
> Le 12 juin 2016 12:23, "Phil Regnauld"  a écrit :
>
>> David Ponzone (david.ponzone) writes:
>> > Oui, la question dans le cas présent, c’est combien de services y
>> a-t-il et à quel point sont-ils éparpillés sur le campus ?
>> > Donc en clair, si généralement un service est dans un bâtiment, sauf
>> quelques exceptions, et qu’il y a15-20 services, je pense que ça reste
>> maitrisé, et il y a peu de chance que ça change radicalement.
>> > Si par contre, c’est plutôt 50 services tous présents dans les 30
>> bâtiments, avec une politique mobile-office (pas mal de gens qui se
>> baladent un peu partout sur le campus, ou qui changent de bâtiments sans
>> changer de service), alors là, c’est peut-être un peu plu délicat.
>>
>> Oui, on est bien d'accord. La solution du mobile office c'est
>> justement
>> (à mon avis) de traiter tout le monde pareil et ne pas espérer
>> avoir
>> une politique trop dynamique - ça casse souvent, et vouloir mettre
>> des ACLs interservice dans ce contexte: AIE!)
>>
>> Voir PacketFence, par exemple, pour ce genre de chose, mais c'est
>> pas exactement léger :)
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>


-- 
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - *Lao Tzu*

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Salut Youssef !
Merci beaucoup pour ton retour d'experience très très intéressant !

En effet je pense on est dans le même cas..

Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela
devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse"
à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau
sans trop de raison, on essayé de les désactiver au maximum sur les postes,
applis, imprimantes, etc...

Je vois que vous utilisez une attribution dynamique en fonction de
l'adresse mac..
Pourquoi pas utiliser des outils connectés à l'AD ?

En effet, pour ce qui est du 802.1x nous avons déjà mis en place la
solution, elle est juste pas très utilisée en attendant la division réseau.
Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a
l'avantage d'être connecté et complètement integré à l'Active Directory.
Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de
l'utilisateur ou de l'ordinateur par exemple.
Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons
des comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et
ensuite c'est le switch qui va generer une demande d'authentification en
utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et
vlan attribué.

Je pensais si non faire une sorte de "mix" en ce qui concerne la division
réseau. Je pourrais faire par batiment et ensuite avoir 2/3 vlan's
spécifiques utilisés que pour des cas ou services particuliers.
Le LAN étendu avec plein de vlan's me semble assez lourd à gérer.

Merci à tous !

A+

Le 12 juin 2016 à 15:23, Phil Regnauld  a écrit :

> Youssef Ghorbal (youssef.ghorbal) writes:
> >
> > On s'est pose les memes questions en terme de decoupage reseau : par
> > batiment ? par entite ?
>
> Si on veut regarder vers l'avenir, c'est par bâtiment, je dirais.
>
> Le concept du domaine de diffusion comme frontière du groupe
> de travail est mort...
>
> > Par contre, il faut accepter (et faire accepter) que les
> > protocoles en broadcast ne vont pas fonctionner (entre batiment
> > j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
> > serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
> > marche pour les membres de l'entite qui sont dans le meme batiment
> > mais pas pour les autres, ca peut creer de la confusion (et de
> > l'incomprehension des utilisateurs)
>
> Malheureusement, oui - mais ça devient un cauchemard au niveau
> gestion si il faut tenir compte de ça. En théorie, l'appartenance
> dynamique à un VLAN basée sur une authentification 802.1x / EAP/TLS
> va permettre ce genre de découpage, mais bonjour les problèmes
> d'interopérabilité et le débuggage...
>
> > Il faut aussi prendre en compte
> > que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
> > authoriser le service bidule a acceder au site machin, ou interdire le
> > service truc a acceder au serveur toto) la il faut avoir un sous
> > reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
> > passe, mais si tu as 250 entites et 50 batiments la gymnastique
> > devient complexe.
>
> Ça ne fonctionne en pratique nulle part (de ce que j'ai pu voir).
>
> > Autre piste, tu met tous les postes du batiment A ds
> > le meme VLAN
> > (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
> > autre debat)
>
> Le filtrage au niveau IP est peu fiable, ça fait longtemps qu'on ne
> peut plus se permettre d'associer une IP à un utilisateur. Il faut
> faire confiance à une forte authentification au niveaux des
> services
> et applications.
>
> > - Decoupage par entite/service : ca necessite un LAN etendu sur tous
> > le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
> > de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
> > (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
> > de 50 batiments.
>
> Et (question honnête) - est-ce que vous pensez pouvoir continuer
> avec ce modèle si le réseau grandit 2-3 fois ?
>
> > de tous les postes, gerer une base radius avec etc etc (PacketFence &
> > consors). Pareil, si tu gere que des postes fixes, tu peux faire les
> > confs sur les switchs en statiques et a la mimine, mais des que tu as
> > une grande volatilite (des postes et des entites) ca devient
> > ingerable.
>
> Au revoir le mobile office...
>
> > Qq remarques :
> > - L'experience montre que tot ou tard tu vas tomber sur un use case ou
> > ton decoupage par batiment ne fera pas l'affaire et que tois le
> > "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
> > ca peut arriver.
>
> C'est souvent inévitable, mais tenter d'en faire une exception
> plutôt
> que la règle.
>
>
> > - Le fait de devoir creer les VLANs sur tous les switchs peut etre
> > alleger par les 

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Youssef Ghorbal (youssef.ghorbal) writes:
> 
> On s'est pose les memes questions en terme de decoupage reseau : par
> batiment ? par entite ?

Si on veut regarder vers l'avenir, c'est par bâtiment, je dirais.

Le concept du domaine de diffusion comme frontière du groupe
de travail est mort...

> Par contre, il faut accepter (et faire accepter) que les
> protocoles en broadcast ne vont pas fonctionner (entre batiment
> j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
> serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
> marche pour les membres de l'entite qui sont dans le meme batiment
> mais pas pour les autres, ca peut creer de la confusion (et de
> l'incomprehension des utilisateurs)

Malheureusement, oui - mais ça devient un cauchemard au niveau
gestion si il faut tenir compte de ça. En théorie, l'appartenance
dynamique à un VLAN basée sur une authentification 802.1x / EAP/TLS
va permettre ce genre de découpage, mais bonjour les problèmes
d'interopérabilité et le débuggage...

> Il faut aussi prendre en compte
> que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
> authoriser le service bidule a acceder au site machin, ou interdire le
> service truc a acceder au serveur toto) la il faut avoir un sous
> reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
> passe, mais si tu as 250 entites et 50 batiments la gymnastique
> devient complexe.

Ça ne fonctionne en pratique nulle part (de ce que j'ai pu voir).

> Autre piste, tu met tous les postes du batiment A ds
> le meme VLAN
> (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
> autre debat)

Le filtrage au niveau IP est peu fiable, ça fait longtemps qu'on ne
peut plus se permettre d'associer une IP à un utilisateur. Il faut
faire confiance à une forte authentification au niveaux des services
et applications.

> - Decoupage par entite/service : ca necessite un LAN etendu sur tous
> le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
> de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
> (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
> de 50 batiments.

Et (question honnête) - est-ce que vous pensez pouvoir continuer
avec ce modèle si le réseau grandit 2-3 fois ?

> de tous les postes, gerer une base radius avec etc etc (PacketFence &
> consors). Pareil, si tu gere que des postes fixes, tu peux faire les
> confs sur les switchs en statiques et a la mimine, mais des que tu as
> une grande volatilite (des postes et des entites) ca devient
> ingerable.

Au revoir le mobile office...

> Qq remarques :
> - L'experience montre que tot ou tard tu vas tomber sur un use case ou
> ton decoupage par batiment ne fera pas l'affaire et que tois le
> "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
> ca peut arriver.

C'est souvent inévitable, mais tenter d'en faire une exception plutôt
que la règle.


> - Le fait de devoir creer les VLANs sur tous les switchs peut etre
> alleger par les fonctionnalites que peuvent proposer les swicths. Par
> exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui
> coller les uplinks) quand un poste est authorise sur le reseau (le
> Radius envoie cette infos) mais ca creer une adherence par rapport au
> constructeur ce qui n'est pas toujours souhaitable si tu as un mix de
> constructeur sur ton reseau.

Cf. interop. ci-dessus.

Et, ça peut effondrer le coeur (ou vous rendre plus vulnérable à
$bigvendeur qui va tenter de vous convaincre d'acheter un truc à
10x le prix et surdimensionné pour pouvoir continuer à évoluer
avec cette architecture).

> Pour le moment, nous somme dans le scenario 2 (decoupage par entite)
> on a un LAN etendu et de l'attribution dynamique de  VLAN base sur
> adresse MAC (et de l'auto creation de VLAN parce que le constructeur
> sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la
> totalite du parc. On utilise des outils maison pour gere cette base
> d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche
> de type IPAM ne gerent malheureusement pas ce use case (aucun ne
> supporte du L2, les VLANs, Radius etc)

Intéressant.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Youssef Ghorbal]

La ou je travaille actuellement on a traite exactement la meme
problematique. Plusieurs entites (services/departements,) plusieurs
batiments, des stacks par batiment et un coeur qui relient tous ces
batiments. Avec la subtilite qu'une entite peut etre eclatee sur un ou
plusieurs batiments.

On s'est pose les memes questions en terme de decoupage reseau : par
batiment ? par entite ?

- Decoupage par batiment : comme ca a deja ete aborde, on peut faire
du L3 par batiment, pas la peine de se prende la tete avec des LANs
etendus, on a l'avantage de toute la flexibilite des protocoles de
routages etc. Par contre, il faut accepter (et faire accepter) que les
protocoles en broadcast ne vont pas fonctionner (entre batiment
j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un
serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien
marche pour les membres de l'entite qui sont dans le meme batiment
mais pas pour les autres, ca peut creer de la confusion (et de
l'incomprehension des utilisateurs) Il faut aussi prendre en compte
que ds ce scenario si tu envisage de faire qq filtrage par IP (genre
authoriser le service bidule a acceder au site machin, ou interdire le
service truc a acceder au serveur toto) la il faut avoir un sous
reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca
passe, mais si tu as 250 entites et 50 batiments la gymnastique
devient complexe. Autre piste, tu met tous les postes du batiment A ds
le meme VLAN
(et tu passes sur un filtrage par utilisateur, groupes, ce qui est un
autre debat)

- Decoupage par entite/service : ca necessite un LAN etendu sur tous
le "campus", tous les vlans sont sur toutes les stacks. Les protocoles
de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN
(etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus
de 50 batiments. Le plus important ici, est que tu dois gerer un
protocle d'attribution de VLAN dynamique pour que les postes
atterissent dans le bon VLAN quand ils accedent au reseau (802.1x ou
du MAC based vlan etc) ceci necessiste de connaitre les adresses MAC
de tous les postes, gerer une base radius avec etc etc (PacketFence &
consors). Pareil, si tu gere que des postes fixes, tu peux faire les
confs sur les switchs en statiques et a la mimine, mais des que tu as
une grande volatilite (des postes et des entites) ca devient
ingerable.

Qq remarques :
- L'experience montre que tot ou tard tu vas tomber sur un use case ou
ton decoupage par batiment ne fera pas l'affaire et que tois le
"porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais
ca peut arriver. Je peux donner par exemple les reseaux d'alarmes
temperature par exemple ou les gens qui ont imagine le soft ne se sont
pas pose la question et partent du principe que toutes les sondes
doivent etre ds le meme reseau (un exemple parmi d'autres)
- 802.1x necessite une tres grande maitrise des postes. Sur le papier
c'est "supporte" par les OS du marche mais quand on rentre ds les
details, c'est l'enfer. Pareil, tot ou tard, tu vas tomber sur ZE
equipement qui ne sais pas faire et tu vas devoir enforcer le port en
statique sur le switch (ou tu vas te rendre compte que les 250
imprimantes recemment achete ne font pas de 802.1x :) ) L'alternative
est de se contenter de l'adresse MAC et des fonctionnlite des swicths
de type "MAC Authentication Bypass sur Cisco, ou Netlogin sur Extreme
etc)
- Le fait de devoir creer les VLANs sur tous les switchs peut etre
alleger par les fonctionnalites que peuvent proposer les swicths. Par
exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui
coller les uplinks) quand un poste est authorise sur le reseau (le
Radius envoie cette infos) mais ca creer une adherence par rapport au
constructeur ce qui n'est pas toujours souhaitable si tu as un mix de
constructeur sur ton reseau.

Pour le moment, nous somme dans le scenario 2 (decoupage par entite)
on a un LAN etendu et de l'attribution dynamique de  VLAN base sur
adresse MAC (et de l'auto creation de VLAN parce que le constructeur
sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la
totalite du parc. On utilise des outils maison pour gere cette base
d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche
de type IPAM ne gerent malheureusement pas ce use case (aucun ne
supporte du L2, les VLANs, Radius etc)

Bon courage !

Youssef Ghorbal


2016-06-12 12:44 GMT+02:00 Bruno LEAL DE SOUSA :
> Merci beaucoup pour ces réponses.
>
> Oui effectivement on est plus dans un mode office-mobile où les gens
> bougent assez souvent et les services déménagent souvent de bureaux..
> En gros si je veux pas avoir trop de soucis et faire un découpage par
> service, il faudrait que je mette en place du 802.1x et que je propage mes
> vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu..
> C'est pas top quand même de devoir propager tous ces vlan's sur toutes les
> piles...
>
> D'où la question 

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> Et dans chaque bâtiment, tous les
> VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments dans 
> le backbone.

Ça revient à faire la base de planification des bâtiments/sites
avec un préfixe (2xy) - mais on peut en effet faire ça avec le même
VLAN présent à plusieurs endroits. Il vaut mieux préserver l'unicité
des VLAN ids.

C'est dommage pour faire une topologie automatique par contre.

> Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en 
> promenant le chien donc j'ai pu oublier quelque chose :)

:)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[David Ponzone]

Tu as un autre moyen de voir les choses, qui t'évitera en plus de toucher à la 
base d'authentif 8021.x en cas de changement de bureau.

Plus de L2 entre les bâtiments. Donc un routeur L3 par bâtiment et un serveur 
DHCP par bâtiment. Le serveur DHCP peut en fait être centralisé mais il faut 
qu'il soit capable de taper dans des pools différents en fonction du bâtiment.
Un VLAN par service, donc dans le 802.1x, les modifs seront peu fréquentes.
Et dans chaque bâtiment, tous les
VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments dans 
le backbone.
Ça fait un pool /24 par service et par bâtiment, ou plus grand si nécessaire.
Si tu les choisis bien pour que chaque service est un préfixe commun sur 
l'ensemble des bâtiments, ça te rendra les choses plus facile pour les ACL.

Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en 
promenant le chien donc j'ai pu oublier quelque chose :)



David Ponzone



> Le 12 juin 2016 à 12:44, Bruno LEAL DE SOUSA  a 
> écrit :
> 
> Merci beaucoup pour ces réponses.
> 
> Oui effectivement on est plus dans un mode office-mobile où les gens bougent 
> assez souvent et les services déménagent souvent de bureaux.. 
> En gros si je veux pas avoir trop de soucis et faire un découpage par 
> service, il faudrait que je mette en place du 802.1x et que je propage mes 
> vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu.. 
> C'est pas top quand même de devoir propager tous ces vlan's sur toutes les 
> piles...
> 
> D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne 
> serait pas plus pertinent ?
> 
> Merci. 
> A+
> 
> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of Bidouille-IT :http://bidouilleit.com
> 
> « Failure is the foundation of success, and the means by which it is 
> achieved. » - Lao Tzu
> 
> Le 12 juin 2016 12:23, "Phil Regnauld"  a écrit :
>> David Ponzone (david.ponzone) writes:
>> > Oui, la question dans le cas présent, c’est combien de services y a-t-il 
>> > et à quel point sont-ils éparpillés sur le campus ?
>> > Donc en clair, si généralement un service est dans un bâtiment, sauf 
>> > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste 
>> > maitrisé, et il y a peu de chance que ça change radicalement.
>> > Si par contre, c’est plutôt 50 services tous présents dans les 30 
>> > bâtiments, avec une politique mobile-office (pas mal de gens qui se 
>> > baladent un peu partout sur le campus, ou qui changent de bâtiments sans 
>> > changer de service), alors là, c’est peut-être un peu plu délicat.
>> 
>> Oui, on est bien d'accord. La solution du mobile office c'est 
>> justement
>> (à mon avis) de traiter tout le monde pareil et ne pas espérer avoir
>> une politique trop dynamique - ça casse souvent, et vouloir mettre
>> des ACLs interservice dans ce contexte: AIE!)
>> 
>> Voir PacketFence, par exemple, pour ce genre de chose, mais c'est
>> pas exactement léger :)
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Merci beaucoup pour ces réponses.

Oui effectivement on est plus dans un mode office-mobile où les gens
bougent assez souvent et les services déménagent souvent de bureaux..
En gros si je veux pas avoir trop de soucis et faire un découpage par
service, il faudrait que je mette en place du 802.1x et que je propage mes
vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu..
C'est pas top quand même de devoir propager tous ces vlan's sur toutes les
piles...

D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne
serait pas plus pertinent ?

Merci.
A+

--
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of Bidouille-IT :http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - Lao Tzu
Le 12 juin 2016 12:23, "Phil Regnauld"  a écrit :

> David Ponzone (david.ponzone) writes:
> > Oui, la question dans le cas présent, c’est combien de services y a-t-il
> et à quel point sont-ils éparpillés sur le campus ?
> > Donc en clair, si généralement un service est dans un bâtiment, sauf
> quelques exceptions, et qu’il y a15-20 services, je pense que ça reste
> maitrisé, et il y a peu de chance que ça change radicalement.
> > Si par contre, c’est plutôt 50 services tous présents dans les 30
> bâtiments, avec une politique mobile-office (pas mal de gens qui se
> baladent un peu partout sur le campus, ou qui changent de bâtiments sans
> changer de service), alors là, c’est peut-être un peu plu délicat.
>
> Oui, on est bien d'accord. La solution du mobile office c'est
> justement
> (à mon avis) de traiter tout le monde pareil et ne pas espérer
> avoir
> une politique trop dynamique - ça casse souvent, et vouloir mettre
> des ACLs interservice dans ce contexte: AIE!)
>
> Voir PacketFence, par exemple, pour ce genre de chose, mais c'est
> pas exactement léger :)
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

David Ponzone (david.ponzone) writes:
> Oui, la question dans le cas présent, c’est combien de services y a-t-il et à 
> quel point sont-ils éparpillés sur le campus ?
> Donc en clair, si généralement un service est dans un bâtiment, sauf quelques 
> exceptions, et qu’il y a15-20 services, je pense que ça reste maitrisé, et il 
> y a peu de chance que ça change radicalement.
> Si par contre, c’est plutôt 50 services tous présents dans les 30 bâtiments, 
> avec une politique mobile-office (pas mal de gens qui se baladent un peu 
> partout sur le campus, ou qui changent de bâtiments sans changer de service), 
> alors là, c’est peut-être un peu plu délicat.

Oui, on est bien d'accord. La solution du mobile office c'est justement
(à mon avis) de traiter tout le monde pareil et ne pas espérer avoir
une politique trop dynamique - ça casse souvent, et vouloir mettre
des ACLs interservice dans ce contexte: AIE!)

Voir PacketFence, par exemple, pour ce genre de chose, mais c'est
pas exactement léger :)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> 
> Quand je pensais à diviser par service je pensais plus à un vlan par
> Direction ce qui me fait une dizaine de vlan clients..

Ok - en gros, la division par VLAN c'est:

- essayer de limiter à maximum 200 clients / VLAN

- si le découpage administratif s'aligne plus ou moins sur
  le découpage géographique -> pas de problème

- tenter d'avoir le(s) même(s) vlans partout c'est chercher les
  emmerdes

- plutôt avoirs une classification de vlans, par exemple 1xx = 
  postes, 2xx = téléphonie, 3xx = serveurs, 4xx = wifi, ...

- ensuite si on a un bâtiment A et B avec des postes câblés, du wifi,
  des serveurs (normalement prêt du coeur), du wifi, ... on pourra
  alors définir ses VLANs comme suit:

 A   B
  postes11x 12x
  tlf   21x 22x
  wifi  41x 42x

  Le second chiffre sera le site/location/bâtiment
  Le dernier chiffre peut servir pour un bâtiment avec plusieurs étages
  (par exemple)

- faire attention à ne pas surdécouper! 4 VLANs / location c'est
  peut-être trop, et 1 VLAN peut tout à fait suffir dans un campus 
petit,
  mais laisser la place pour grandir!

- si on a des étages avec un grand nombre d'utilisateurs, on peut
  choisir de faire un VLAN / étage - mais probablement pas besoin si
  on a par exemple un un bâtiment de 4 étages et 50 postes / étage.

Mais bon, venant du milieu universitaire j'ai peut-être une vision
simpliste :)

Pour le contexte, voici le genre de formation qu'on effectue sur
la conception des réseaux de campus:

https://nsrc.org/workshops/2016/nsrc-tein-mmren/wiki/Agenda

(Lundi - Mercredi sont pertinents)


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[David Ponzone]

Oui, la question dans le cas présent, c’est combien de services y a-t-il et à 
quel point sont-ils éparpillés sur le campus ?
Donc en clair, si généralement un service est dans un bâtiment, sauf quelques 
exceptions, et qu’il y a15-20 services, je pense que ça reste maitrisé, et il y 
a peu de chance que ça change radicalement.
Si par contre, c’est plutôt 50 services tous présents dans les 30 bâtiments, 
avec une politique mobile-office (pas mal de gens qui se baladent un peu 
partout sur le campus, ou qui changent de bâtiments sans changer de service), 
alors là, c’est peut-être un peu plu délicat.


> Le 12 juin 2016 à 11:59, Phil Regnauld  a écrit :
> 
> Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
>> Salut !
>> 
>> Tu penses qu'en multipliant les Vlan's on diminue les perfs ??
>> C'est le contraire normalement non ? Car on diminue les domaines de
>> diffusion.
> 
>   Je me suis mal expliqué je pense - je veux dire qu'avoir un même
>   VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire
>   du L2 au travers du coeur. Ça va augmenter la quantité de traffic
>   (domaines de diffusion justement) que le coeur va voir, au lieu de
>   se limiter à router.
> 
>   Ça demande plus au coeur de devoir traiter N vlans en L2 que de
>   faire du OSPF (ou IS-IS) - voir du statique si c'est une simple
>   topo en étoile avec 1 statique vers chaque équipement au bord.
> 
>   Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc
>   éviter de le traîner partout dans le campus.
> 
>   Maintenant, Olivier parlait de séparation par services ce que j'ai
>   peut-être mal interprété, mais souvent j'ai vu cette recommandation
>   être implémenté par une utilisation inapproprié des VLANs. Il faut
>   essayer de limiter le nombre de VLANs qui traversent le coeur.
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

D'accord je comprends mieux !

Oui oui je suis d'accord avec toi.. Il faut diviser mais pas exagérer ! Il
est important je pense d'avoir un bon ratio de nombre de vlan par rapport à
la quantité de postes et son coeur de réseau.

Quand je pensais à diviser par service je pensais plus à un vlan par
Direction ce qui me fait une dizaine de vlan clients..

A+

--
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of Bidouille-IT :http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - Lao Tzu
Le 12 juin 2016 11:58, "Phil Regnauld"  a écrit :

> Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> > Salut !
> >
> > Tu penses qu'en multipliant les Vlan's on diminue les perfs ??
> > C'est le contraire normalement non ? Car on diminue les domaines de
> > diffusion.
>
> Je me suis mal expliqué je pense - je veux dire qu'avoir un même
> VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire
> du L2 au travers du coeur. Ça va augmenter la quantité de traffic
> (domaines de diffusion justement) que le coeur va voir, au lieu de
> se limiter à router.
>
> Ça demande plus au coeur de devoir traiter N vlans en L2 que de
> faire du OSPF (ou IS-IS) - voir du statique si c'est une simple
> topo en étoile avec 1 statique vers chaque équipement au bord.
>
> Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc
> éviter de le traîner partout dans le campus.
>
> Maintenant, Olivier parlait de séparation par services ce que j'ai
> peut-être mal interprété, mais souvent j'ai vu cette recommandation
> être implémenté par une utilisation inapproprié des VLANs. Il faut
> essayer de limiter le nombre de VLANs qui traversent le coeur.
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> Salut !
> 
> Tu penses qu'en multipliant les Vlan's on diminue les perfs ??
> C'est le contraire normalement non ? Car on diminue les domaines de
> diffusion.

Je me suis mal expliqué je pense - je veux dire qu'avoir un même
VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire
du L2 au travers du coeur. Ça va augmenter la quantité de traffic
(domaines de diffusion justement) que le coeur va voir, au lieu de
se limiter à router.

Ça demande plus au coeur de devoir traiter N vlans en L2 que de
faire du OSPF (ou IS-IS) - voir du statique si c'est une simple
topo en étoile avec 1 statique vers chaque équipement au bord.

Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc
éviter de le traîner partout dans le campus.

Maintenant, Olivier parlait de séparation par services ce que j'ai
peut-être mal interprété, mais souvent j'ai vu cette recommandation
être implémenté par une utilisation inapproprié des VLANs. Il faut
essayer de limiter le nombre de VLANs qui traversent le coeur.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Olivier Doucet (webmaster) writes:
> 
> Pour répondre à Phil sur les perfs, il me semble que cela dépend beaucoup
> des équipements et de la connectivité entre les bâtiments non ?

Oui bien sûr! Je voulais juste souligner que, si on pense que le réseau
va grandir beaucoup, on risque de se retrouver coincé par le choix 
de l'architecture initiale, et on finit par acheter les solutions
rustines de $bigvendor pour continuer à fonctionner.

L'avantage de l'approche classique avec routage dans le coeur est 
qu'elle
ne fait pas appel à des fonctionnalités avancées et/ou propriétaires.

Ensuite ça dépend tu type de réseau, mais souvent je vois des clients
installer des ACLs un peu partout dans le réseau, sans vraiment avoir
une bonne explication de pourquoi ils ont besoin de ça. Surtout quand
il n'y a pas de politique sécurité bien définie, ni les outils 
appropriés
pour gérer ça.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Salut !

Tu penses qu'en multipliant les Vlan's on diminue les perfs ??
C'est le contraire normalement non ? Car on diminue les domaines de
diffusion.

Merci.

A+

--
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of Bidouille-IT :http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - Lao Tzu
Le 12 juin 2016 11:45, "Phil Regnauld"  a écrit :

> Olivier Doucet (webmaster) writes:
> >
> > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par
> service
> > > ou par batiment ?
> >
> > IMO plutôt un découpage par service. Ta config sera un peu plus
> compliquée
> > certes, mais si tu arrives à ranger les postes bureautiques comme il faut
> > avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les
> > ressources non partagées entre services justement : des partages réseaux,
> > ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a
> > accès a plus de choses que les autres :)
>
> Au delà d'une certaine taille (et 1500 postes c'est pas rien), le
> découpage
> par VLANs / service (dynamique ou pas) devient un vrai tas de
> spaghetti, et
> la performance tend à s'effondrer. Ça reste plus facile à
> dimensionner vers
> le haut en restant à un découpage par location/bâtiments/étage.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Salut !
Merci pour ta réponse aussi.

Oui oui les liaisons interbatiments sont assurées par des liens fibre
multimode OM2/OM3 avec des connexions 2x1Gig pour la plupart et 2x10Gig sur
quelques cas.

Pourquoi tu conseille pas un L2 avec 50Mbps ? Une deuxième ligne 50Mbps est
prévue pour fin d'année.
Tu parles du routage.. Justement je me disais ce serait bien de faire du
routage sur le site distant aussi non ? Car aujourd'hui le routage est
uniquement fait sur le site principal.

Merci

A+

--
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of Bidouille-IT :http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - Lao Tzu
Le 12 juin 2016 11:32, "David Ponzone"  a écrit :

> Tu ne parles pas de la connexion qui relie les bâtiments du site principal
> donc je suppose que c'est au moins du GigE qui n'est pas limitant (upgrade
> en LAG/multiGigE/10Gig possible).
> A priori un VLAN par service semble logique.
>
> Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le
> L2. Donc des VLAN à part pour le site secondaire et du routage entre les 2.
>
> David Ponzone
>
>
>
> Le 12 juin 2016 à 01:33, bruno  a écrit :
>
> Hello les barbus du réseau !
>
> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas
> évolué sur le plan logique.
> Résultat un vlan pour presque tout qui regrouppe plus de 1500
> postes/serveurs etc.. !
>
> Je souhaite donc tout remettre à plat et procéder à une bonne division
> réseau, etc..
>
> En gros, j'ai :
> - 30 stacks de switchs avaya sur le site principal
> - 3 stacks sur un site distant
> - Le site principal est divisé en plusieurs batiments (environ 1 par stack)
> - Dispose d'une Lan2Lan couche 2 de 50Mégas pour relier les deux sites
>
> Je bosse actuellement sur le redecoupage de ce réseau en plusieurs
> vlan's.. et je me demendais.. Pour les postes bureautiques.. Est-ce que je
> fais plus un découpage par batiment ou bien par service (aidé par un le
> protocole 802.1x pour assigner le bon vlan aux bonnes personnes) ?
>
> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service
> ou par batiment ?
>
> Merci à tous pour vos retours !
>
> A+
>
> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com
>
> « Failure is the foundation of success, and the means by which it is
> achieved. » - *Lao Tzu*
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Bruno LEAL DE SOUSA (bruno.ld.sousa) writes:
> Salut !
> Merci pour ta réponse.
> Quand tu dis «Cela te permettra d'isoler les ressources non partagées entre
> services justement : des partages réseaux, ce genre de choses... » tu
> penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par
> défaut si le routage intervlan est activé, les ressources seront quand même
> accessibles par tout le monde.

Yep - ACLs au bord, routage inter-vlan dans le coeur, pas de L2 au 
travers
du réseau si possible, et coupe-feu devant les services critiques, mais
pas dans le coeur ou au bord.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Olivier Doucet]

Le 12 juin 2016 à 11:40, Bruno LEAL DE SOUSA  a
écrit :

> Salut !
> Merci pour ta réponse.
> Quand tu dis «Cela te permettra d'isoler les ressources non partagées
> entre services justement : des partages réseaux, ce genre de choses... » tu
> penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par
> défaut si le routage intervlan est activé, les ressources seront quand même
> accessibles par tout le monde
>

Si tu réserves des plages IP par service, cela te facilite la vie pour les
ACLs. Même si le routage inter-vlan est actif, tu peux déjà plus facilement
mettre des règles sur les partages réseaux que si tout le monde était
mélangé.

Pour répondre à Phil sur les perfs, il me semble que cela dépend beaucoup
des équipements et de la connectivité entre les bâtiments non ?

Olivier



> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of Bidouille-IT :http://bidouilleit.com
>
> « Failure is the foundation of success, and the means by which it is
> achieved. » - Lao Tzu
> Le 12 juin 2016 11:31, "Olivier Doucet"  a écrit :
>
>> Salut,
>>
>> Le 12 juin 2016 à 01:33, bruno  a écrit :
>>
>>> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a
>>> pas évolué sur le plan logique.
>>> Résultat un vlan pour presque tout qui regrouppe plus de 1500
>>> postes/serveurs etc.. !
>>>
>>> Je souhaite donc tout remettre à plat et procéder à une bonne division
>>> réseau, etc..
>>>
>>
>>
>>> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par
>>> service ou par batiment ?
>>>
>>
>> IMO plutôt un découpage par service. Ta config sera un peu plus
>> compliquée certes, mais si tu arrives à ranger les postes bureautiques
>> comme il faut avec 802.1x justement, ça sera parfait. Cela te permettra
>> d'isoler les ressources non partagées entre services justement : des
>> partages réseaux, ce genre de choses... Et pourquoi pas un VLAN avec le
>> service SI qui a accès a plus de choses que les autres :)
>>
>>
>> Olivier
>>
>>
>>
>>
>>
>>>
>>> Merci à tous pour vos retours !
>>>
>>> A+
>>>
>>> --
>>> Bruno LEAL DE SOUSA
>>> IT System and Network Administrator
>>> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com
>>>
>>> « Failure is the foundation of success, and the means by which it is
>>> achieved. » - *Lao Tzu*
>>>
>>
>>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Phil Regnauld]

Olivier Doucet (webmaster) writes:
> 
> > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service
> > ou par batiment ?
>
> IMO plutôt un découpage par service. Ta config sera un peu plus compliquée
> certes, mais si tu arrives à ranger les postes bureautiques comme il faut
> avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les
> ressources non partagées entre services justement : des partages réseaux,
> ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a
> accès a plus de choses que les autres :)

Au delà d'une certaine taille (et 1500 postes c'est pas rien), le 
découpage
par VLANs / service (dynamique ou pas) devient un vrai tas de 
spaghetti, et
la performance tend à s'effondrer. Ça reste plus facile à dimensionner 
vers
le haut en restant à un découpage par location/bâtiments/étage.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Bruno LEAL DE SOUSA]

Salut !
Merci pour ta réponse.
Quand tu dis «Cela te permettra d'isoler les ressources non partagées entre
services justement : des partages réseaux, ce genre de choses... » tu
penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par
défaut si le routage intervlan est activé, les ressources seront quand même
accessibles par tout le monde.

A+

--
Bruno LEAL DE SOUSA
IT System and Network Administrator
Co-founder and editor of Bidouille-IT :http://bidouilleit.com

« Failure is the foundation of success, and the means by which it is
achieved. » - Lao Tzu
Le 12 juin 2016 11:31, "Olivier Doucet"  a écrit :

> Salut,
>
> Le 12 juin 2016 à 01:33, bruno  a écrit :
>
>> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a
>> pas évolué sur le plan logique.
>> Résultat un vlan pour presque tout qui regrouppe plus de 1500
>> postes/serveurs etc.. !
>>
>> Je souhaite donc tout remettre à plat et procéder à une bonne division
>> réseau, etc..
>>
>
>
>> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par
>> service ou par batiment ?
>>
>
> IMO plutôt un découpage par service. Ta config sera un peu plus compliquée
> certes, mais si tu arrives à ranger les postes bureautiques comme il faut
> avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les
> ressources non partagées entre services justement : des partages réseaux,
> ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a
> accès a plus de choses que les autres :)
>
>
> Olivier
>
>
>
>
>
>>
>> Merci à tous pour vos retours !
>>
>> A+
>>
>> --
>> Bruno LEAL DE SOUSA
>> IT System and Network Administrator
>> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com
>>
>> « Failure is the foundation of success, and the means by which it is
>> achieved. » - *Lao Tzu*
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[David Ponzone]

Tu ne parles pas de la connexion qui relie les bâtiments du site principal donc 
je suppose que c'est au moins du GigE qui n'est pas limitant (upgrade en 
LAG/multiGigE/10Gig possible).
A priori un VLAN par service semble logique.

Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le L2. 
Donc des VLAN à part pour le site secondaire et du routage entre les 2.

David Ponzone



> Le 12 juin 2016 à 01:33, bruno  a écrit :
> 
> Hello les barbus du réseau !
> 
> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas 
> évolué sur le plan logique.
> Résultat un vlan pour presque tout qui regrouppe plus de 1500 postes/serveurs 
> etc.. !
> 
> Je souhaite donc tout remettre à plat et procéder à une bonne division 
> réseau, etc..
> 
> En gros, j'ai :
>   - 30 stacks de switchs avaya sur le site principal
>   - 3 stacks sur un site distant
>   - Le site principal est divisé en plusieurs batiments (environ 1 par 
> stack)
>   - Dispose d'une Lan2Lan couche 2 de 50Mégas pour relier les deux sites
> 
> Je bosse actuellement sur le redecoupage de ce réseau en plusieurs vlan's.. 
> et je me demendais.. Pour les postes bureautiques.. Est-ce que je fais plus 
> un découpage par batiment ou bien par service (aidé par un le protocole 
> 802.1x pour assigner le bon vlan aux bonnes personnes) ?
> 
> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service ou 
> par batiment ?
> 
> Merci à tous pour vos retours !
> 
> A+
> 
> -- 
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of Bidouille-IT : http://bidouilleit.com
> 
> « Failure is the foundation of success, and the means by which it is 
> achieved. » - Lao Tzu

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Découpage réseau - vlan

[Olivier Doucet]

Salut,

Le 12 juin 2016 à 01:33, bruno  a écrit :

> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas
> évolué sur le plan logique.
> Résultat un vlan pour presque tout qui regrouppe plus de 1500
> postes/serveurs etc.. !
>
> Je souhaite donc tout remettre à plat et procéder à une bonne division
> réseau, etc..
>


> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service
> ou par batiment ?
>

IMO plutôt un découpage par service. Ta config sera un peu plus compliquée
certes, mais si tu arrives à ranger les postes bureautiques comme il faut
avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les
ressources non partagées entre services justement : des partages réseaux,
ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a
accès a plus de choses que les autres :)


Olivier





>
> Merci à tous pour vos retours !
>
> A+
>
> --
> Bruno LEAL DE SOUSA
> IT System and Network Administrator
> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com
>
> « Failure is the foundation of success, and the means by which it is
> achieved. » - *Lao Tzu*
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/