Projet pépinière d'entreprise : informatique et téléphonie

[kalistyan]

J'aurais besoin de vos conseils, remarques et autres pour ce projet.

La pépinière est composée de 24 sociétés, réparti sur un RDC et deux étages. Afin de faciliter le câblage, nous pensions installer un switch/niveau. Côté serveur, il n'y en aurait que 2 qui offrirait différents services (mail, fax, données, etc...) pour séparer les entreprises, 1 réseau pour chacune d'entre elle devrait faire l'affaire ? à moins que les sous réseau puisse apporter un plus... ?

Petit résumé :

> Serveur : 192.168.254.0
> Société 1 : 192.168.10.0
> Société 2 : Ip : 192.168.20.0
> Etc...

Questions :

La mise en place d'un proxy vous semble nécessaire ?

L'adresse IP sera géré de manière automatique, comment sécurisé la demande ? pour éviter que le DHCP donne une adresse à n'importe quel client qui se connectera à la première prise mural qu'il trouvera... je pensais aux adresses MAC, mais lourd comme solution, non ?

Bien d'autres à venir...

[gizmo78]

je vais peut être dire des conneries alros excuse moi

un proxy peut faciliter le surf si la connexion est pas très grosse mais sinon je penses - à moins que je connaise pas toutes les fonctions d'un proxy -

Il y aura 24 sociétés au même endroit? car pour l'adressage tu crées sur le switch un vla,/entreprise et tu relis la carte réseau dans ce vlan et hop pas de conflict, non?

[Dream49]

je vais peut être dire des conneries alros excuse moi

un proxy peut faciliter le surf si la connexion est pas très grosse mais sinon je penses - à moins que je connaise pas toutes les fonctions d'un proxy -

Il y aura 24 sociétés au même endroit? car pour l'adressage tu crées sur le switch un vla,/entreprise et tu relis la carte réseau dans ce vlan et hop pas de conflict, non?

avec un seul serveur dhcp... donc vlan/routeur on the stick & agent relay DHCP par sous interface je pensais

[gizmo78]

ca te dérangerais de traduire un ti peu? car pas tout compris la

sauf si ca dérange Kalistyan

[Dream49]

Euh vi je peux expliquer ...

En gros un routeur pour le routage inter vlan (car les 24 entreprises utilisent les même serveurs et la même connection internet)
Ensuite mettre un agent relay dhcp sur chaqu'une de ses sous interface (vlan) pour que le routeur puisse renvoyer à chaque vlan son propre plan d'adressage

donc 26 vlans (24 entreprise + 1 vlan téléphonie + 1 vlan serveur)

[kalistyan]

je vais peut être dire des conneries alros excuse moi

un proxy peut faciliter le surf si la connexion est pas très grosse mais sinon je penses - à moins que je connaise pas toutes les fonctions d'un proxy -

Il y aura 24 sociétés au même endroit? car pour l'adressage tu crées sur le switch un vla,/entreprise et tu relis la carte réseau dans ce vlan et hop pas de conflict, non?

Oui, les 24 sociétés sur un seul site.

Concernant les VLAN, j'y ai bien sûr pensé mais n'ayant pas d'expérience dans ce domaine...

[Ryu_wm]

ben si vous posez du cisco je pourrai aider ou filer de la doc

L'adresse IP sera géré de manière automatique, comment sécurisé la demande ? pour éviter que le DHCP donne une adresse à n'importe quel client qui se connectera à la première prise mural qu'il trouvera... je pensais aux adresses MAC, mais lourd comme solution, non ?

1° règle ( la plus lourde ) gerer les baux dhcp par @mac, mais dans ces cas là un dhcp ça ne sert plus à grand chose

2° règle : dhcp libre ( plage par vlan ça se gère très bien ) mais ports shutdown sur les équipements actifs si pas de station connectée, ça oblige juste à se connecter en admin sur le switch si y'a une station qui se rajoute dans un bureau pour ouvrir le port

3° règle : dhcp libre, ports eq. actifs ouverts par defaut, mais identification des utilisateurs via serveur tacacs ( par exemple ), ça rajoute une grosse couche authentif par contre

[lionel57]

24 societes , je suppose qu elles n ont rien avoir entre elles ?

je serai partisan d un adressage ip manuel, avec autant de reseau differents que de sociétés

sinon tu vas avoir des intrusions et de l espionnage a gogo ....

si tu mets tout le monde en 192.168, ca ne sert a rien
ils se partagent la meme plage ip

tu en mets un en 192.168
l autre en 186.80. ....

[Dream49]

ben si vous posez du cisco je pourrai aider ou filer de la doc

L'adresse IP sera géré de manière automatique, comment sécurisé la demande ? pour éviter que le DHCP donne une adresse à n'importe quel client qui se connectera à la première prise mural qu'il trouvera... je pensais aux adresses MAC, mais lourd comme solution, non ?

1° règle ( la plus lourde ) gerer les baux dhcp par @mac, mais dans ces cas là un dhcp ça ne sert plus à grand chose

2° règle : dhcp libre ( plage par vlan ça se gère très bien ) mais ports shutdown sur les équipements actifs si pas de station connectée, ça oblige juste à se connecter en admin sur le switch si y'a une station qui se rajoute dans un bureau pour ouvrir le port

3° règle : dhcp libre, ports eq. actifs ouverts par defaut, mais identification des utilisateurs via serveur tacacs ( par exemple ), ça rajoute une grosse couche authentif par contre

bon bah ca va j'pense comme toi j'ai dis la même chose sur msn, 802.1X

24 societes , je suppose qu elles n ont rien avoir entre elles ?

je serai partisan d un adressage ip manuel, avec autant de reseau differents que de sociétés

sinon tu vas avoir des intrusions et de l espionnage a gogo ....

si tu mets tout le monde en 192.168, ca ne sert a rien
ils se partagent la meme plage ip

tu en mets un en 192.168
l autre en 186.80. ....

euh 192.168.10.x et 192.168.20.x spa le même réseau avec un masque en 24 hein

[kalistyan]

+1

D'un autre côté lionel57 à posté à 05:53:08

Merci Ryu_wm

La mise en place d'un "802.1X" est vraiement lourde ?

Edit : ah oui c'est du lourd il faut mettre en place un serveur RADIUS

[Dream49]

+1

D'un autre côté lionel57 à posté à 05:53:08

Merci Ryu_wm

La mise en place d'un "802.1X" est vraiement lourde ?

Edit : ah oui c'est du lourd il faut mettre en place un serveur RADIUS

ca dépent ce qu'on appel lourd :d disons que radius et ldap sont de rigueur avec du matériel (switch le supportant)

[Ryu_wm]

j'avoue que ce n'est pas la solution la plus simple à gerer meme quand on admin physiquement le site, alors à distance ...
c'est efficace mais comme toute sécurité elle impose beaucoup de travail en amont pour l'admin et qq contraintes pour les utilisateurs

perso, je pense que la solution N°2 est la plus appropriée

[micha30000]

Pourquoi une classe C ? Te fais pas chier, prend du 10.0.0.0 /8.

Pour le contrôle des ports, avec du Cisco tu peux faire du port-security (la première machine qui se connecte sur tel port marque son adresse MAC en dur dans le switch, si une autre machine s'y connecte on choisi l'action : disable / alerte / chéplukoi).

Sinon tu peux aussi mettre par défaut tous les ports sur un VLAN qui tape en DMZ ou dans un coin paumé du réseau et tu donnes l'accès seulement après demande formelle

Pour le proxy, ça peut être relativement intéressant... Comme un WSUS si ton rôle est également de fournir ce genre de service. Ca permet de gagner pas mal en bande passante.

[kalistyan]

J'ai pris une classe C car cela correspond au besoin du client, que peut m'apporter de plus une classe A ?

[micha30000]

Je te dis ça parce qu'on a une classe C aussi, et que finalement on était 70 personnes l'an dernier et on sera 150 à la fin 2008 et on est déjà à court d'IP (oscillos et divers matos + fixe ET portable pour certaines personnes etc).

Puis pour faire 25 sous-réseaux, c'était plus facile à compter : 10.1.0.0, 10.2.0.0 etc... (oui je suis un feignant ).

[Ryu_wm]

Pourquoi une classe C ? Te fais pas chier, prend du 10.0.0.0 /8.

attention tout de meme à ne pas prévoir trop large, car si un jour y'a besoin d'un accès VPN depuis l'exterieur il faut que les plages IP internes soient super bien taillées

[micha30000]

Enfin c'est un détail à la limite.

Mais je pense que les VLANs + routage c'est une bonne solution.

[mururoa]

+1 micha30000 : plutôt partir en 10.x.x.x parce que 255 équipements réels ou virtuels ayant besoin d'adresses IP ça peut venir assez vite. Surtout que tu as en principe au moins 2/3 @ par serveur (admin, production, sauvegarde).
Ne pas s'imaginer qu'il n'y aura pas de travail administratif de gestion du réseau qui va s'ajouter à la configuration et au monitoring. Centralise toutes les demandes d'IP. Gère les mac ET les vmac.

[Ryu_wm]

un détail ... jusqu'au jour où tu a besoin de mettre du vpn et que tu t'aperçois que tu vas avoir des lan qui se chevauchent