Re: [FRnOG] [TECH] Découpage réseau - vlan
Bonjour, Pour exemple, et je ne dis pas qu'il est parfait .. mais ils évoluent vers du mieux, voici la timeline de l'évolution : On possède actuellement une 20ene de stack sur un site (stockage+usine+bureau) avec une topologie en étoile. il y 6 ans l'entreprise avait 400 IP dans un réseau 129.200.0.0/16 le tout dans 1 vlan puis nous sommes passé pour les pc, vm, serveurs dans un 10.x.x.x/20 la video en 10.x.x.x/23 et d'autres équipements spécifique 10.x.x.x/23 et les prestataires individuellement en 10.x.x.x/26 ou 27 Les vlan sont donc par type d'utilisation, donc les vlan's sont redescendu sur les stack si nécessaire, le prochain pas à passer et de scinder les pc, vm serveurs car on compte environ 1000 IP dans ce vlan :/ .. Actuellement, nous ne savons pas comment découper le /20 .. la seule chose de sur, c'est que les serveurs et les vm's utilisateurs auront chacun leurs vlan's voila, je pense que cela piquera les yeux de certaines/certains, mais soyez indulgent, il est trés dure de faire évoluer le réseau d'une usine de production ,jérôme Le 13 juin 2016 à 06:04, Phil Regnaulda écrit : > Gabriel De Miranda (gzigoto) writes: > > Au final je me dis que la bonne granularité, c'est un vlan par stack, > > associé à un /23. > > Bonne règle à mon avis. +1, quoi :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Gabriel De Miranda (gzigoto) writes: > Au final je me dis que la bonne granularité, c'est un vlan par stack, > associé à un /23. Bonne règle à mon avis. +1, quoi :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut, Dans le mode "un vlan par service", au final le réseau doit refléter l'organisation RH de l'entreprise. Si un nouveau service est créé, si deux services fusionnent, changent de nom etc... le réseau doit s'adapter en conséquence. Et ça c'est valable que tu fasses de l'authentification d'utilisateurs en 802.1X ou de l'authentification d'adresses MAC toute bête. Dans un contexte d'entreprise pas trop grosse et où les services ne bougent pas beaucoup, c'est gérable. Mais dans un environnement de centre de recherche par exemple, ou d'université, c'est beaucoup plus dynamique, tu as des unités scientifiques qui se créent pour 3 ou 5 ans et qui disparaissent après. Et là au fil des ans, gérer le mapping "vlan / unité" est tellement compliqué qu'au bout d'un certain temps ça finit fatalement par se désynchroniser, tes vlans ne représentent plus correctement tes services. Pour le mode "géographique", un vlan par bâtiment ça fonctionne mais quand tu as des gros bâtiments (avec par exemple 3 stacks de 8 switchs, pour plusieurs centaines d'utilisateurs), tu dois passer sur des gros subnets (genre un /22 pour ton bâtiment). Moi je suis resté sur l'idée à l'ancienne où il vaut mieux rester sur des /24 ou /23 au maximum. Un vlan par étage c'est pareil, ce n'est pas forcément homogène car tu peux avoir un étage avec de gros open spaces et beaucoup de prises réseau, et un autre avec une grande zone de stockage logistique et donc très peu de prises. Au final je me dis que la bonne granularité, c'est un vlan par stack, associé à un /23. Si un stack peut contenir au maximum 8 switchs de 48 ports (c'est assez répandu comme limite parmi les constructeurs), ça te fait 400 prises réseau maximum, et ton /23 est suffisamment grand. Et d'ailleurs ça serait plutôt deux /23 par stack si tu as de la ToIP (un subnet pour les ordinateurs et un autre pour les téléphones) En plus ça permet d'avoir quasiment la même configuration sur chaque stack, seuls les 2 vlans varient d'un stack à l'autre Gabriel 2016-06-12 21:50 GMT+02:00 Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net>: > On Sun, Jun 12, 2016, at 12:06, David Ponzone wrote: > > Donc en clair, si généralement un service est dans un bâtiment, sauf > > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste > > maitrisé, et il y a peu de chance que ça change radicalement. > > Deja les exceptions generent le plus de travail. Et que "ca reste > maitrise", j'ai tendance a dire que c'est du jamais vu : "tiens, service > X il restent que 3 personnes, et si on les deplace a cote du service Z > (lire dans les memes bureaux), ou il y a un peu de place". > > En plus, le "VLAN par service" ca reste du "securite par le reseau", qui > est plutot du "intelligent core, dumb edge", donc pas la meilleure idee. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
On Sun, Jun 12, 2016, at 12:06, David Ponzone wrote: > Donc en clair, si généralement un service est dans un bâtiment, sauf > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste > maitrisé, et il y a peu de chance que ça change radicalement. Deja les exceptions generent le plus de travail. Et que "ca reste maitrise", j'ai tendance a dire que c'est du jamais vu : "tiens, service X il restent que 3 personnes, et si on les deplace a cote du service Z (lire dans les memes bureaux), ou il y a un peu de place". En plus, le "VLAN par service" ca reste du "securite par le reseau", qui est plutot du "intelligent core, dumb edge", donc pas la meilleure idee. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
On Sun, Jun 12, 2016, at 11:48, Bruno LEAL DE SOUSA wrote: > Tu penses qu'en multipliant les Vlan's on diminue les perfs ?? Ce n'est pas en multipliant les VLAN, mais en les faisant par service. Du coup effort de gestion en plus, erreurs, utilisateurs mecontents, Passer d'open bar a "VLAN par service avec restrictions d'acces", ca finit rarement bien. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
[...] > Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela > devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse" > à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau > sans trop de raison, on essayé de les désactiver au maximum sur les postes, > applis, imprimantes, etc... Tant mieux, si vous pouvez le faire :) > Je vois que vous utilisez une attribution dynamique en fonction de l'adresse > mac.. > Pourquoi pas utiliser des outils connectés à l'AD ? Je parle d'un reseau ou il y'a a peu pres ~3000 postes dont 60% sont des MACs (et le users sont admins dessus), donc AD... Rajoutez a ca, le bring your own bidule :) > En effet, pour ce qui est du 802.1x nous avons déjà mis en place la > solution, elle est juste pas très utilisée en attendant la division réseau. > Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a > l'avantage d'être connecté et complètement integré à l'Active Directory. > Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de > l'utilisateur ou de l'ordinateur par exemple. > Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons des > comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et > ensuite c'est le switch qui va generer une demande d'authentification en > utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et vlan > attribué. En effet, a partir du moment ou on maitrise les postes, on a plus de lattitudes. Youssef --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Découpage réseau - vlan
> David Ponzone a écrit : > Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le L2. > Donc des VLAN à part pour le site secondaire et du routage entre les 2. +1 Je plussoie. > Phil Regnauld a écrit : > Ok - en gros, la division par VLAN c'est: > - essayer de limiter à maximum 200 clients / VLAN > - plutôt avoirs une classification de vlans, par exemple 1xx = > postes, 2xx = téléphonie, 3xx = serveurs, 4xx = wifi, ... +1 Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Ok je vois ! Je pensais oui mettre un serveur DHCP centralisé et redondé avec ensuite des DHCP-Relay Agents pour acheminer les petites requettes DHCP. Je vais réflechir à tout ça :) Le 12 juin 2016 à 14:07, David Ponzonea écrit : > Tu as un autre moyen de voir les choses, qui t'évitera en plus de toucher > à la base d'authentif 8021.x en cas de changement de bureau. > > Plus de L2 entre les bâtiments. Donc un routeur L3 par bâtiment et un > serveur DHCP par bâtiment. Le serveur DHCP peut en fait être centralisé > mais il faut qu'il soit capable de taper dans des pools différents en > fonction du bâtiment. > Un VLAN par service, donc dans le 802.1x, les modifs seront peu fréquentes. > Et dans chaque bâtiment, tous les > VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments > dans le backbone. > Ça fait un pool /24 par service et par bâtiment, ou plus grand si > nécessaire. > Si tu les choisis bien pour que chaque service est un préfixe commun sur > l'ensemble des bâtiments, ça te rendra les choses plus facile pour les ACL. > > Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en > promenant le chien donc j'ai pu oublier quelque chose :) > > > > David Ponzone > > > > Le 12 juin 2016 à 12:44, Bruno LEAL DE SOUSA a > écrit : > > Merci beaucoup pour ces réponses. > > Oui effectivement on est plus dans un mode office-mobile où les gens > bougent assez souvent et les services déménagent souvent de bureaux.. > En gros si je veux pas avoir trop de soucis et faire un découpage par > service, il faudrait que je mette en place du 802.1x et que je propage mes > vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu.. > C'est pas top quand même de devoir propager tous ces vlan's sur toutes les > piles... > > D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne > serait pas plus pertinent ? > > Merci. > A+ > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of Bidouille-IT :http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - Lao Tzu > Le 12 juin 2016 12:23, "Phil Regnauld" a écrit : > >> David Ponzone (david.ponzone) writes: >> > Oui, la question dans le cas présent, c’est combien de services y >> a-t-il et à quel point sont-ils éparpillés sur le campus ? >> > Donc en clair, si généralement un service est dans un bâtiment, sauf >> quelques exceptions, et qu’il y a15-20 services, je pense que ça reste >> maitrisé, et il y a peu de chance que ça change radicalement. >> > Si par contre, c’est plutôt 50 services tous présents dans les 30 >> bâtiments, avec une politique mobile-office (pas mal de gens qui se >> baladent un peu partout sur le campus, ou qui changent de bâtiments sans >> changer de service), alors là, c’est peut-être un peu plu délicat. >> >> Oui, on est bien d'accord. La solution du mobile office c'est >> justement >> (à mon avis) de traiter tout le monde pareil et ne pas espérer >> avoir >> une politique trop dynamique - ça casse souvent, et vouloir mettre >> des ACLs interservice dans ce contexte: AIE!) >> >> Voir PacketFence, par exemple, pour ce genre de chose, mais c'est >> pas exactement léger :) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ >> > -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - *Lao Tzu* --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut Youssef ! Merci beaucoup pour ton retour d'experience très très intéressant ! En effet je pense on est dans le même cas.. Pour ce qui est du Broadcast et des applis qui fontionnent avec... Cela devrait pas trop poser de problèmes parce qu'on a toujours fait "la chasse" à ce type de fonctionnement.. Les protocoles qui broadcast tout le réseau sans trop de raison, on essayé de les désactiver au maximum sur les postes, applis, imprimantes, etc... Je vois que vous utilisez une attribution dynamique en fonction de l'adresse mac.. Pourquoi pas utiliser des outils connectés à l'AD ? En effet, pour ce qui est du 802.1x nous avons déjà mis en place la solution, elle est juste pas très utilisée en attendant la division réseau. Nous après une étude, on a decidé d'utiliser NPS de Windows Serveur. Cela a l'avantage d'être connecté et complètement integré à l'Active Directory. Ainsi nous pourrons filtrer et attribuer un vlan en fonction du groupe de l'utilisateur ou de l'ordinateur par exemple. Pour ce qui est des peripheriques non compatibles 802.1x, nous utilisons des comptes "fantomes" créé dans l'AD avec l'adresse mac du peripherique et ensuite c'est le switch qui va generer une demande d'authentification en utilisant que l'adresse MAC. Si ça match c'est OK => accès au réseau et vlan attribué. Je pensais si non faire une sorte de "mix" en ce qui concerne la division réseau. Je pourrais faire par batiment et ensuite avoir 2/3 vlan's spécifiques utilisés que pour des cas ou services particuliers. Le LAN étendu avec plein de vlan's me semble assez lourd à gérer. Merci à tous ! A+ Le 12 juin 2016 à 15:23, Phil Regnaulda écrit : > Youssef Ghorbal (youssef.ghorbal) writes: > > > > On s'est pose les memes questions en terme de decoupage reseau : par > > batiment ? par entite ? > > Si on veut regarder vers l'avenir, c'est par bâtiment, je dirais. > > Le concept du domaine de diffusion comme frontière du groupe > de travail est mort... > > > Par contre, il faut accepter (et faire accepter) que les > > protocoles en broadcast ne vont pas fonctionner (entre batiment > > j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un > > serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien > > marche pour les membres de l'entite qui sont dans le meme batiment > > mais pas pour les autres, ca peut creer de la confusion (et de > > l'incomprehension des utilisateurs) > > Malheureusement, oui - mais ça devient un cauchemard au niveau > gestion si il faut tenir compte de ça. En théorie, l'appartenance > dynamique à un VLAN basée sur une authentification 802.1x / EAP/TLS > va permettre ce genre de découpage, mais bonjour les problèmes > d'interopérabilité et le débuggage... > > > Il faut aussi prendre en compte > > que ds ce scenario si tu envisage de faire qq filtrage par IP (genre > > authoriser le service bidule a acceder au site machin, ou interdire le > > service truc a acceder au serveur toto) la il faut avoir un sous > > reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca > > passe, mais si tu as 250 entites et 50 batiments la gymnastique > > devient complexe. > > Ça ne fonctionne en pratique nulle part (de ce que j'ai pu voir). > > > Autre piste, tu met tous les postes du batiment A ds > > le meme VLAN > > (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un > > autre debat) > > Le filtrage au niveau IP est peu fiable, ça fait longtemps qu'on ne > peut plus se permettre d'associer une IP à un utilisateur. Il faut > faire confiance à une forte authentification au niveaux des > services > et applications. > > > - Decoupage par entite/service : ca necessite un LAN etendu sur tous > > le "campus", tous les vlans sont sur toutes les stacks. Les protocoles > > de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN > > (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus > > de 50 batiments. > > Et (question honnête) - est-ce que vous pensez pouvoir continuer > avec ce modèle si le réseau grandit 2-3 fois ? > > > de tous les postes, gerer une base radius avec etc etc (PacketFence & > > consors). Pareil, si tu gere que des postes fixes, tu peux faire les > > confs sur les switchs en statiques et a la mimine, mais des que tu as > > une grande volatilite (des postes et des entites) ca devient > > ingerable. > > Au revoir le mobile office... > > > Qq remarques : > > - L'experience montre que tot ou tard tu vas tomber sur un use case ou > > ton decoupage par batiment ne fera pas l'affaire et que tois le > > "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais > > ca peut arriver. > > C'est souvent inévitable, mais tenter d'en faire une exception > plutôt > que la règle. > > > > - Le fait de devoir creer les VLANs sur tous les switchs peut etre > > alleger par les
Re: [FRnOG] [TECH] Découpage réseau - vlan
Youssef Ghorbal (youssef.ghorbal) writes: > > On s'est pose les memes questions en terme de decoupage reseau : par > batiment ? par entite ? Si on veut regarder vers l'avenir, c'est par bâtiment, je dirais. Le concept du domaine de diffusion comme frontière du groupe de travail est mort... > Par contre, il faut accepter (et faire accepter) que les > protocoles en broadcast ne vont pas fonctionner (entre batiment > j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un > serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien > marche pour les membres de l'entite qui sont dans le meme batiment > mais pas pour les autres, ca peut creer de la confusion (et de > l'incomprehension des utilisateurs) Malheureusement, oui - mais ça devient un cauchemard au niveau gestion si il faut tenir compte de ça. En théorie, l'appartenance dynamique à un VLAN basée sur une authentification 802.1x / EAP/TLS va permettre ce genre de découpage, mais bonjour les problèmes d'interopérabilité et le débuggage... > Il faut aussi prendre en compte > que ds ce scenario si tu envisage de faire qq filtrage par IP (genre > authoriser le service bidule a acceder au site machin, ou interdire le > service truc a acceder au serveur toto) la il faut avoir un sous > reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca > passe, mais si tu as 250 entites et 50 batiments la gymnastique > devient complexe. Ça ne fonctionne en pratique nulle part (de ce que j'ai pu voir). > Autre piste, tu met tous les postes du batiment A ds > le meme VLAN > (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un > autre debat) Le filtrage au niveau IP est peu fiable, ça fait longtemps qu'on ne peut plus se permettre d'associer une IP à un utilisateur. Il faut faire confiance à une forte authentification au niveaux des services et applications. > - Decoupage par entite/service : ca necessite un LAN etendu sur tous > le "campus", tous les vlans sont sur toutes les stacks. Les protocoles > de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN > (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus > de 50 batiments. Et (question honnête) - est-ce que vous pensez pouvoir continuer avec ce modèle si le réseau grandit 2-3 fois ? > de tous les postes, gerer une base radius avec etc etc (PacketFence & > consors). Pareil, si tu gere que des postes fixes, tu peux faire les > confs sur les switchs en statiques et a la mimine, mais des que tu as > une grande volatilite (des postes et des entites) ca devient > ingerable. Au revoir le mobile office... > Qq remarques : > - L'experience montre que tot ou tard tu vas tomber sur un use case ou > ton decoupage par batiment ne fera pas l'affaire et que tois le > "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais > ca peut arriver. C'est souvent inévitable, mais tenter d'en faire une exception plutôt que la règle. > - Le fait de devoir creer les VLANs sur tous les switchs peut etre > alleger par les fonctionnalites que peuvent proposer les swicths. Par > exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui > coller les uplinks) quand un poste est authorise sur le reseau (le > Radius envoie cette infos) mais ca creer une adherence par rapport au > constructeur ce qui n'est pas toujours souhaitable si tu as un mix de > constructeur sur ton reseau. Cf. interop. ci-dessus. Et, ça peut effondrer le coeur (ou vous rendre plus vulnérable à $bigvendeur qui va tenter de vous convaincre d'acheter un truc à 10x le prix et surdimensionné pour pouvoir continuer à évoluer avec cette architecture). > Pour le moment, nous somme dans le scenario 2 (decoupage par entite) > on a un LAN etendu et de l'attribution dynamique de VLAN base sur > adresse MAC (et de l'auto creation de VLAN parce que le constructeur > sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la > totalite du parc. On utilise des outils maison pour gere cette base > d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche > de type IPAM ne gerent malheureusement pas ce use case (aucun ne > supporte du L2, les VLANs, Radius etc) Intéressant. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
La ou je travaille actuellement on a traite exactement la meme problematique. Plusieurs entites (services/departements,) plusieurs batiments, des stacks par batiment et un coeur qui relient tous ces batiments. Avec la subtilite qu'une entite peut etre eclatee sur un ou plusieurs batiments. On s'est pose les memes questions en terme de decoupage reseau : par batiment ? par entite ? - Decoupage par batiment : comme ca a deja ete aborde, on peut faire du L3 par batiment, pas la peine de se prende la tete avec des LANs etendus, on a l'avantage de toute la flexibilite des protocoles de routages etc. Par contre, il faut accepter (et faire accepter) que les protocoles en broadcast ne vont pas fonctionner (entre batiment j'entend). Exemple, dans l'entite machin, ils ont un petit NAS ou un serveur de licence ou une Time Capsule, etc etc. Ce truc va tres bien marche pour les membres de l'entite qui sont dans le meme batiment mais pas pour les autres, ca peut creer de la confusion (et de l'incomprehension des utilisateurs) Il faut aussi prendre en compte que ds ce scenario si tu envisage de faire qq filtrage par IP (genre authoriser le service bidule a acceder au site machin, ou interdire le service truc a acceder au serveur toto) la il faut avoir un sous reseau par entite par baitment. Si tu as 3 entites et 4 batiments ca passe, mais si tu as 250 entites et 50 batiments la gymnastique devient complexe. Autre piste, tu met tous les postes du batiment A ds le meme VLAN (et tu passes sur un filtrage par utilisateur, groupes, ce qui est un autre debat) - Decoupage par entite/service : ca necessite un LAN etendu sur tous le "campus", tous les vlans sont sur toutes les stacks. Les protocoles de broadcasts fonctionnent, mais tu a tous les incovenhients du LAN (etendu). Ca fonctionne chez nous avec des plus de 300 vlans et plus de 50 batiments. Le plus important ici, est que tu dois gerer un protocle d'attribution de VLAN dynamique pour que les postes atterissent dans le bon VLAN quand ils accedent au reseau (802.1x ou du MAC based vlan etc) ceci necessiste de connaitre les adresses MAC de tous les postes, gerer une base radius avec etc etc (PacketFence & consors). Pareil, si tu gere que des postes fixes, tu peux faire les confs sur les switchs en statiques et a la mimine, mais des que tu as une grande volatilite (des postes et des entites) ca devient ingerable. Qq remarques : - L'experience montre que tot ou tard tu vas tomber sur un use case ou ton decoupage par batiment ne fera pas l'affaire et que tois le "porcifier" pour avoir un LAN etendu entre batiment. C'est rare mais ca peut arriver. Je peux donner par exemple les reseaux d'alarmes temperature par exemple ou les gens qui ont imagine le soft ne se sont pas pose la question et partent du principe que toutes les sondes doivent etre ds le meme reseau (un exemple parmi d'autres) - 802.1x necessite une tres grande maitrise des postes. Sur le papier c'est "supporte" par les OS du marche mais quand on rentre ds les details, c'est l'enfer. Pareil, tot ou tard, tu vas tomber sur ZE equipement qui ne sais pas faire et tu vas devoir enforcer le port en statique sur le switch (ou tu vas te rendre compte que les 250 imprimantes recemment achete ne font pas de 802.1x :) ) L'alternative est de se contenter de l'adresse MAC et des fonctionnlite des swicths de type "MAC Authentication Bypass sur Cisco, ou Netlogin sur Extreme etc) - Le fait de devoir creer les VLANs sur tous les switchs peut etre alleger par les fonctionnalites que peuvent proposer les swicths. Par exemple, il y'a des switchs qui proposent d'auto creer le VLAN (et lui coller les uplinks) quand un poste est authorise sur le reseau (le Radius envoie cette infos) mais ca creer une adherence par rapport au constructeur ce qui n'est pas toujours souhaitable si tu as un mix de constructeur sur ton reseau. Pour le moment, nous somme dans le scenario 2 (decoupage par entite) on a un LAN etendu et de l'attribution dynamique de VLAN base sur adresse MAC (et de l'auto creation de VLAN parce que le constructeur sais faire) On ne fais pas de 802.1x parce qu'on ne maitrise pas la totalite du parc. On utilise des outils maison pour gere cette base d'adresse MAC ce qui n'est pas tres confortable. Les outils du marche de type IPAM ne gerent malheureusement pas ce use case (aucun ne supporte du L2, les VLANs, Radius etc) Bon courage ! Youssef Ghorbal 2016-06-12 12:44 GMT+02:00 Bruno LEAL DE SOUSA: > Merci beaucoup pour ces réponses. > > Oui effectivement on est plus dans un mode office-mobile où les gens > bougent assez souvent et les services déménagent souvent de bureaux.. > En gros si je veux pas avoir trop de soucis et faire un découpage par > service, il faudrait que je mette en place du 802.1x et que je propage mes > vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu.. > C'est pas top quand même de devoir propager tous ces vlan's sur toutes les > piles... > > D'où la question
Re: [FRnOG] [TECH] Découpage réseau - vlan
David Ponzone (david.ponzone) writes: > Et dans chaque bâtiment, tous les > VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments dans > le backbone. Ça revient à faire la base de planification des bâtiments/sites avec un préfixe (2xy) - mais on peut en effet faire ça avec le même VLAN présent à plusieurs endroits. Il vaut mieux préserver l'unicité des VLAN ids. C'est dommage pour faire une topologie automatique par contre. > Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en > promenant le chien donc j'ai pu oublier quelque chose :) :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Tu as un autre moyen de voir les choses, qui t'évitera en plus de toucher à la base d'authentif 8021.x en cas de changement de bureau. Plus de L2 entre les bâtiments. Donc un routeur L3 par bâtiment et un serveur DHCP par bâtiment. Le serveur DHCP peut en fait être centralisé mais il faut qu'il soit capable de taper dans des pools différents en fonction du bâtiment. Un VLAN par service, donc dans le 802.1x, les modifs seront peu fréquentes. Et dans chaque bâtiment, tous les VLAN sont dispos mais ils restent locaux, et routage entre les bâtiments dans le backbone. Ça fait un pool /24 par service et par bâtiment, ou plus grand si nécessaire. Si tu les choisis bien pour que chaque service est un préfixe commun sur l'ensemble des bâtiments, ça te rendra les choses plus facile pour les ACL. Il y a peut-être des problèmes techniques avec ce modèle, j'ai écrit ça en promenant le chien donc j'ai pu oublier quelque chose :) David Ponzone > Le 12 juin 2016 à 12:44, Bruno LEAL DE SOUSAa > écrit : > > Merci beaucoup pour ces réponses. > > Oui effectivement on est plus dans un mode office-mobile où les gens bougent > assez souvent et les services déménagent souvent de bureaux.. > En gros si je veux pas avoir trop de soucis et faire un découpage par > service, il faudrait que je mette en place du 802.1x et que je propage mes > vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu.. > C'est pas top quand même de devoir propager tous ces vlan's sur toutes les > piles... > > D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne > serait pas plus pertinent ? > > Merci. > A+ > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of Bidouille-IT :http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - Lao Tzu > > Le 12 juin 2016 12:23, "Phil Regnauld" a écrit : >> David Ponzone (david.ponzone) writes: >> > Oui, la question dans le cas présent, c’est combien de services y a-t-il >> > et à quel point sont-ils éparpillés sur le campus ? >> > Donc en clair, si généralement un service est dans un bâtiment, sauf >> > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste >> > maitrisé, et il y a peu de chance que ça change radicalement. >> > Si par contre, c’est plutôt 50 services tous présents dans les 30 >> > bâtiments, avec une politique mobile-office (pas mal de gens qui se >> > baladent un peu partout sur le campus, ou qui changent de bâtiments sans >> > changer de service), alors là, c’est peut-être un peu plu délicat. >> >> Oui, on est bien d'accord. La solution du mobile office c'est >> justement >> (à mon avis) de traiter tout le monde pareil et ne pas espérer avoir >> une politique trop dynamique - ça casse souvent, et vouloir mettre >> des ACLs interservice dans ce contexte: AIE!) >> >> Voir PacketFence, par exemple, pour ce genre de chose, mais c'est >> pas exactement léger :) >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Merci beaucoup pour ces réponses. Oui effectivement on est plus dans un mode office-mobile où les gens bougent assez souvent et les services déménagent souvent de bureaux.. En gros si je veux pas avoir trop de soucis et faire un découpage par service, il faudrait que je mette en place du 802.1x et que je propage mes vlans bureautiques sur toutes les piles.. Ce qui m'embête un peu.. C'est pas top quand même de devoir propager tous ces vlan's sur toutes les piles... D'où la question que je me posais.. Est-ce qu'un découpage par bâtiment ne serait pas plus pertinent ? Merci. A+ -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of Bidouille-IT :http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - Lao Tzu Le 12 juin 2016 12:23, "Phil Regnauld"a écrit : > David Ponzone (david.ponzone) writes: > > Oui, la question dans le cas présent, c’est combien de services y a-t-il > et à quel point sont-ils éparpillés sur le campus ? > > Donc en clair, si généralement un service est dans un bâtiment, sauf > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste > maitrisé, et il y a peu de chance que ça change radicalement. > > Si par contre, c’est plutôt 50 services tous présents dans les 30 > bâtiments, avec une politique mobile-office (pas mal de gens qui se > baladent un peu partout sur le campus, ou qui changent de bâtiments sans > changer de service), alors là, c’est peut-être un peu plu délicat. > > Oui, on est bien d'accord. La solution du mobile office c'est > justement > (à mon avis) de traiter tout le monde pareil et ne pas espérer > avoir > une politique trop dynamique - ça casse souvent, et vouloir mettre > des ACLs interservice dans ce contexte: AIE!) > > Voir PacketFence, par exemple, pour ce genre de chose, mais c'est > pas exactement léger :) > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
David Ponzone (david.ponzone) writes: > Oui, la question dans le cas présent, c’est combien de services y a-t-il et à > quel point sont-ils éparpillés sur le campus ? > Donc en clair, si généralement un service est dans un bâtiment, sauf quelques > exceptions, et qu’il y a15-20 services, je pense que ça reste maitrisé, et il > y a peu de chance que ça change radicalement. > Si par contre, c’est plutôt 50 services tous présents dans les 30 bâtiments, > avec une politique mobile-office (pas mal de gens qui se baladent un peu > partout sur le campus, ou qui changent de bâtiments sans changer de service), > alors là, c’est peut-être un peu plu délicat. Oui, on est bien d'accord. La solution du mobile office c'est justement (à mon avis) de traiter tout le monde pareil et ne pas espérer avoir une politique trop dynamique - ça casse souvent, et vouloir mettre des ACLs interservice dans ce contexte: AIE!) Voir PacketFence, par exemple, pour ce genre de chose, mais c'est pas exactement léger :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Bruno LEAL DE SOUSA (bruno.ld.sousa) writes: > > Quand je pensais à diviser par service je pensais plus à un vlan par > Direction ce qui me fait une dizaine de vlan clients.. Ok - en gros, la division par VLAN c'est: - essayer de limiter à maximum 200 clients / VLAN - si le découpage administratif s'aligne plus ou moins sur le découpage géographique -> pas de problème - tenter d'avoir le(s) même(s) vlans partout c'est chercher les emmerdes - plutôt avoirs une classification de vlans, par exemple 1xx = postes, 2xx = téléphonie, 3xx = serveurs, 4xx = wifi, ... - ensuite si on a un bâtiment A et B avec des postes câblés, du wifi, des serveurs (normalement prêt du coeur), du wifi, ... on pourra alors définir ses VLANs comme suit: A B postes11x 12x tlf 21x 22x wifi 41x 42x Le second chiffre sera le site/location/bâtiment Le dernier chiffre peut servir pour un bâtiment avec plusieurs étages (par exemple) - faire attention à ne pas surdécouper! 4 VLANs / location c'est peut-être trop, et 1 VLAN peut tout à fait suffir dans un campus petit, mais laisser la place pour grandir! - si on a des étages avec un grand nombre d'utilisateurs, on peut choisir de faire un VLAN / étage - mais probablement pas besoin si on a par exemple un un bâtiment de 4 étages et 50 postes / étage. Mais bon, venant du milieu universitaire j'ai peut-être une vision simpliste :) Pour le contexte, voici le genre de formation qu'on effectue sur la conception des réseaux de campus: https://nsrc.org/workshops/2016/nsrc-tein-mmren/wiki/Agenda (Lundi - Mercredi sont pertinents) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Oui, la question dans le cas présent, c’est combien de services y a-t-il et à quel point sont-ils éparpillés sur le campus ? Donc en clair, si généralement un service est dans un bâtiment, sauf quelques exceptions, et qu’il y a15-20 services, je pense que ça reste maitrisé, et il y a peu de chance que ça change radicalement. Si par contre, c’est plutôt 50 services tous présents dans les 30 bâtiments, avec une politique mobile-office (pas mal de gens qui se baladent un peu partout sur le campus, ou qui changent de bâtiments sans changer de service), alors là, c’est peut-être un peu plu délicat. > Le 12 juin 2016 à 11:59, Phil Regnaulda écrit : > > Bruno LEAL DE SOUSA (bruno.ld.sousa) writes: >> Salut ! >> >> Tu penses qu'en multipliant les Vlan's on diminue les perfs ?? >> C'est le contraire normalement non ? Car on diminue les domaines de >> diffusion. > > Je me suis mal expliqué je pense - je veux dire qu'avoir un même > VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire > du L2 au travers du coeur. Ça va augmenter la quantité de traffic > (domaines de diffusion justement) que le coeur va voir, au lieu de > se limiter à router. > > Ça demande plus au coeur de devoir traiter N vlans en L2 que de > faire du OSPF (ou IS-IS) - voir du statique si c'est une simple > topo en étoile avec 1 statique vers chaque équipement au bord. > > Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc > éviter de le traîner partout dans le campus. > > Maintenant, Olivier parlait de séparation par services ce que j'ai > peut-être mal interprété, mais souvent j'ai vu cette recommandation > être implémenté par une utilisation inapproprié des VLANs. Il faut > essayer de limiter le nombre de VLANs qui traversent le coeur. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
D'accord je comprends mieux ! Oui oui je suis d'accord avec toi.. Il faut diviser mais pas exagérer ! Il est important je pense d'avoir un bon ratio de nombre de vlan par rapport à la quantité de postes et son coeur de réseau. Quand je pensais à diviser par service je pensais plus à un vlan par Direction ce qui me fait une dizaine de vlan clients.. A+ -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of Bidouille-IT :http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - Lao Tzu Le 12 juin 2016 11:58, "Phil Regnauld"a écrit : > Bruno LEAL DE SOUSA (bruno.ld.sousa) writes: > > Salut ! > > > > Tu penses qu'en multipliant les Vlan's on diminue les perfs ?? > > C'est le contraire normalement non ? Car on diminue les domaines de > > diffusion. > > Je me suis mal expliqué je pense - je veux dire qu'avoir un même > VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire > du L2 au travers du coeur. Ça va augmenter la quantité de traffic > (domaines de diffusion justement) que le coeur va voir, au lieu de > se limiter à router. > > Ça demande plus au coeur de devoir traiter N vlans en L2 que de > faire du OSPF (ou IS-IS) - voir du statique si c'est une simple > topo en étoile avec 1 statique vers chaque équipement au bord. > > Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc > éviter de le traîner partout dans le campus. > > Maintenant, Olivier parlait de séparation par services ce que j'ai > peut-être mal interprété, mais souvent j'ai vu cette recommandation > être implémenté par une utilisation inapproprié des VLANs. Il faut > essayer de limiter le nombre de VLANs qui traversent le coeur. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Bruno LEAL DE SOUSA (bruno.ld.sousa) writes: > Salut ! > > Tu penses qu'en multipliant les Vlan's on diminue les perfs ?? > C'est le contraire normalement non ? Car on diminue les domaines de > diffusion. Je me suis mal expliqué je pense - je veux dire qu'avoir un même VLAN présent sur plusieurs sites/bâtiments implique qu'on va faire du L2 au travers du coeur. Ça va augmenter la quantité de traffic (domaines de diffusion justement) que le coeur va voir, au lieu de se limiter à router. Ça demande plus au coeur de devoir traiter N vlans en L2 que de faire du OSPF (ou IS-IS) - voir du statique si c'est une simple topo en étoile avec 1 statique vers chaque équipement au bord. Sinon, oui, le VLAN limite la taille du domaine de diffusion, donc éviter de le traîner partout dans le campus. Maintenant, Olivier parlait de séparation par services ce que j'ai peut-être mal interprété, mais souvent j'ai vu cette recommandation être implémenté par une utilisation inapproprié des VLANs. Il faut essayer de limiter le nombre de VLANs qui traversent le coeur. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Olivier Doucet (webmaster) writes: > > Pour répondre à Phil sur les perfs, il me semble que cela dépend beaucoup > des équipements et de la connectivité entre les bâtiments non ? Oui bien sûr! Je voulais juste souligner que, si on pense que le réseau va grandir beaucoup, on risque de se retrouver coincé par le choix de l'architecture initiale, et on finit par acheter les solutions rustines de $bigvendor pour continuer à fonctionner. L'avantage de l'approche classique avec routage dans le coeur est qu'elle ne fait pas appel à des fonctionnalités avancées et/ou propriétaires. Ensuite ça dépend tu type de réseau, mais souvent je vois des clients installer des ACLs un peu partout dans le réseau, sans vraiment avoir une bonne explication de pourquoi ils ont besoin de ça. Surtout quand il n'y a pas de politique sécurité bien définie, ni les outils appropriés pour gérer ça. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut ! Tu penses qu'en multipliant les Vlan's on diminue les perfs ?? C'est le contraire normalement non ? Car on diminue les domaines de diffusion. Merci. A+ -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of Bidouille-IT :http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - Lao Tzu Le 12 juin 2016 11:45, "Phil Regnauld"a écrit : > Olivier Doucet (webmaster) writes: > > > > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par > service > > > ou par batiment ? > > > > IMO plutôt un découpage par service. Ta config sera un peu plus > compliquée > > certes, mais si tu arrives à ranger les postes bureautiques comme il faut > > avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les > > ressources non partagées entre services justement : des partages réseaux, > > ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a > > accès a plus de choses que les autres :) > > Au delà d'une certaine taille (et 1500 postes c'est pas rien), le > découpage > par VLANs / service (dynamique ou pas) devient un vrai tas de > spaghetti, et > la performance tend à s'effondrer. Ça reste plus facile à > dimensionner vers > le haut en restant à un découpage par location/bâtiments/étage. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut ! Merci pour ta réponse aussi. Oui oui les liaisons interbatiments sont assurées par des liens fibre multimode OM2/OM3 avec des connexions 2x1Gig pour la plupart et 2x10Gig sur quelques cas. Pourquoi tu conseille pas un L2 avec 50Mbps ? Une deuxième ligne 50Mbps est prévue pour fin d'année. Tu parles du routage.. Justement je me disais ce serait bien de faire du routage sur le site distant aussi non ? Car aujourd'hui le routage est uniquement fait sur le site principal. Merci A+ -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of Bidouille-IT :http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - Lao Tzu Le 12 juin 2016 11:32, "David Ponzone"a écrit : > Tu ne parles pas de la connexion qui relie les bâtiments du site principal > donc je suppose que c'est au moins du GigE qui n'est pas limitant (upgrade > en LAG/multiGigE/10Gig possible). > A priori un VLAN par service semble logique. > > Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le > L2. Donc des VLAN à part pour le site secondaire et du routage entre les 2. > > David Ponzone > > > > Le 12 juin 2016 à 01:33, bruno a écrit : > > Hello les barbus du réseau ! > > Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas > évolué sur le plan logique. > Résultat un vlan pour presque tout qui regrouppe plus de 1500 > postes/serveurs etc.. ! > > Je souhaite donc tout remettre à plat et procéder à une bonne division > réseau, etc.. > > En gros, j'ai : > - 30 stacks de switchs avaya sur le site principal > - 3 stacks sur un site distant > - Le site principal est divisé en plusieurs batiments (environ 1 par stack) > - Dispose d'une Lan2Lan couche 2 de 50Mégas pour relier les deux sites > > Je bosse actuellement sur le redecoupage de ce réseau en plusieurs > vlan's.. et je me demendais.. Pour les postes bureautiques.. Est-ce que je > fais plus un découpage par batiment ou bien par service (aidé par un le > protocole 802.1x pour assigner le bon vlan aux bonnes personnes) ? > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service > ou par batiment ? > > Merci à tous pour vos retours ! > > A+ > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - *Lao Tzu* > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Bruno LEAL DE SOUSA (bruno.ld.sousa) writes: > Salut ! > Merci pour ta réponse. > Quand tu dis «Cela te permettra d'isoler les ressources non partagées entre > services justement : des partages réseaux, ce genre de choses... » tu > penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par > défaut si le routage intervlan est activé, les ressources seront quand même > accessibles par tout le monde. Yep - ACLs au bord, routage inter-vlan dans le coeur, pas de L2 au travers du réseau si possible, et coupe-feu devant les services critiques, mais pas dans le coeur ou au bord. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Le 12 juin 2016 à 11:40, Bruno LEAL DE SOUSAa écrit : > Salut ! > Merci pour ta réponse. > Quand tu dis «Cela te permettra d'isoler les ressources non partagées > entre services justement : des partages réseaux, ce genre de choses... » tu > penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par > défaut si le routage intervlan est activé, les ressources seront quand même > accessibles par tout le monde > Si tu réserves des plages IP par service, cela te facilite la vie pour les ACLs. Même si le routage inter-vlan est actif, tu peux déjà plus facilement mettre des règles sur les partages réseaux que si tout le monde était mélangé. Pour répondre à Phil sur les perfs, il me semble que cela dépend beaucoup des équipements et de la connectivité entre les bâtiments non ? Olivier > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of Bidouille-IT :http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - Lao Tzu > Le 12 juin 2016 11:31, "Olivier Doucet" a écrit : > >> Salut, >> >> Le 12 juin 2016 à 01:33, bruno a écrit : >> >>> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a >>> pas évolué sur le plan logique. >>> Résultat un vlan pour presque tout qui regrouppe plus de 1500 >>> postes/serveurs etc.. ! >>> >>> Je souhaite donc tout remettre à plat et procéder à une bonne division >>> réseau, etc.. >>> >> >> >>> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par >>> service ou par batiment ? >>> >> >> IMO plutôt un découpage par service. Ta config sera un peu plus >> compliquée certes, mais si tu arrives à ranger les postes bureautiques >> comme il faut avec 802.1x justement, ça sera parfait. Cela te permettra >> d'isoler les ressources non partagées entre services justement : des >> partages réseaux, ce genre de choses... Et pourquoi pas un VLAN avec le >> service SI qui a accès a plus de choses que les autres :) >> >> >> Olivier >> >> >> >> >> >>> >>> Merci à tous pour vos retours ! >>> >>> A+ >>> >>> -- >>> Bruno LEAL DE SOUSA >>> IT System and Network Administrator >>> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com >>> >>> « Failure is the foundation of success, and the means by which it is >>> achieved. » - *Lao Tzu* >>> >> >> --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Olivier Doucet (webmaster) writes: > > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service > > ou par batiment ? > > IMO plutôt un découpage par service. Ta config sera un peu plus compliquée > certes, mais si tu arrives à ranger les postes bureautiques comme il faut > avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les > ressources non partagées entre services justement : des partages réseaux, > ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a > accès a plus de choses que les autres :) Au delà d'une certaine taille (et 1500 postes c'est pas rien), le découpage par VLANs / service (dynamique ou pas) devient un vrai tas de spaghetti, et la performance tend à s'effondrer. Ça reste plus facile à dimensionner vers le haut en restant à un découpage par location/bâtiments/étage. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut ! Merci pour ta réponse. Quand tu dis «Cela te permettra d'isoler les ressources non partagées entre services justement : des partages réseaux, ce genre de choses... » tu penses par exemple à la mise en place d'Acl ou un firewall ? Parce que par défaut si le routage intervlan est activé, les ressources seront quand même accessibles par tout le monde. A+ -- Bruno LEAL DE SOUSA IT System and Network Administrator Co-founder and editor of Bidouille-IT :http://bidouilleit.com « Failure is the foundation of success, and the means by which it is achieved. » - Lao Tzu Le 12 juin 2016 11:31, "Olivier Doucet"a écrit : > Salut, > > Le 12 juin 2016 à 01:33, bruno a écrit : > >> Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a >> pas évolué sur le plan logique. >> Résultat un vlan pour presque tout qui regrouppe plus de 1500 >> postes/serveurs etc.. ! >> >> Je souhaite donc tout remettre à plat et procéder à une bonne division >> réseau, etc.. >> > > >> Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par >> service ou par batiment ? >> > > IMO plutôt un découpage par service. Ta config sera un peu plus compliquée > certes, mais si tu arrives à ranger les postes bureautiques comme il faut > avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les > ressources non partagées entre services justement : des partages réseaux, > ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a > accès a plus de choses que les autres :) > > > Olivier > > > > > >> >> Merci à tous pour vos retours ! >> >> A+ >> >> -- >> Bruno LEAL DE SOUSA >> IT System and Network Administrator >> Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com >> >> « Failure is the foundation of success, and the means by which it is >> achieved. » - *Lao Tzu* >> > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Tu ne parles pas de la connexion qui relie les bâtiments du site principal donc je suppose que c'est au moins du GigE qui n'est pas limitant (upgrade en LAG/multiGigE/10Gig possible). A priori un VLAN par service semble logique. Entre les 2 sites, avec seulement 50Mbps, j'aurais tendance à éviter le L2. Donc des VLAN à part pour le site secondaire et du routage entre les 2. David Ponzone > Le 12 juin 2016 à 01:33, brunoa écrit : > > Hello les barbus du réseau ! > > Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas > évolué sur le plan logique. > Résultat un vlan pour presque tout qui regrouppe plus de 1500 postes/serveurs > etc.. ! > > Je souhaite donc tout remettre à plat et procéder à une bonne division > réseau, etc.. > > En gros, j'ai : > - 30 stacks de switchs avaya sur le site principal > - 3 stacks sur un site distant > - Le site principal est divisé en plusieurs batiments (environ 1 par > stack) > - Dispose d'une Lan2Lan couche 2 de 50Mégas pour relier les deux sites > > Je bosse actuellement sur le redecoupage de ce réseau en plusieurs vlan's.. > et je me demendais.. Pour les postes bureautiques.. Est-ce que je fais plus > un découpage par batiment ou bien par service (aidé par un le protocole > 802.1x pour assigner le bon vlan aux bonnes personnes) ? > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service ou > par batiment ? > > Merci à tous pour vos retours ! > > A+ > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of Bidouille-IT : http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - Lao Tzu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Découpage réseau - vlan
Salut, Le 12 juin 2016 à 01:33, brunoa écrit : > Je reprends aujourd'hui un réseau qui a grossi assez vite mais qui n'a pas > évolué sur le plan logique. > Résultat un vlan pour presque tout qui regrouppe plus de 1500 > postes/serveurs etc.. ! > > Je souhaite donc tout remettre à plat et procéder à une bonne division > réseau, etc.. > > Qu'est-ce que vous en pensez ? Vous préferez plus un découpage par service > ou par batiment ? > IMO plutôt un découpage par service. Ta config sera un peu plus compliquée certes, mais si tu arrives à ranger les postes bureautiques comme il faut avec 802.1x justement, ça sera parfait. Cela te permettra d'isoler les ressources non partagées entre services justement : des partages réseaux, ce genre de choses... Et pourquoi pas un VLAN avec le service SI qui a accès a plus de choses que les autres :) Olivier > > Merci à tous pour vos retours ! > > A+ > > -- > Bruno LEAL DE SOUSA > IT System and Network Administrator > Co-founder and editor of *Bidouille-IT* : http://bidouilleit.com > > « Failure is the foundation of success, and the means by which it is > achieved. » - *Lao Tzu* > --- Liste de diffusion du FRnOG http://www.frnog.org/