Séparer reseau applicatif et internet. Acces VPN

Séparer reseau applicatif et internet. Acces VPN - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 02-09-2009 à 00:45:40    

Bonjour,
 
 
Avant tout, je ne savais pas trop ou mettre ce post, alors si il est pas a la bonne place hésitez pas à le déplacer... Et dans ce cas désolé.
 
 
Situation actuelle
- Nous avons un serveur mac os x 10.3.9 avec 2 ports ethernet qui est utilisé comme serveur 4D. Sur ce serveur nous avons deux serveurs 4D (bdd).
- Nous avons un reseau ethernet avec une majorité de postes Mac 10.4.x et 10.5.x et quelques windows. Une 12 de postes en tou
- Tous ces postes sont des clients 4D et se connectent donc aux serveurs 4D sur le serveur mac.
- Nous avons un modem/routeur pour la connexion internet Speed Touch 609.  
- Nous avons un switch 10/100mb Linksys EF4116.  
- Tout est relié au switch. Les postes client et le serveur accèdent à internet via ce modem/routeur.
 
Un petit shéma fait trés rapidement montre en gros le reseau
http://netipro.com/img/Network-OLD.jpg
 
 
Problématique
Nous aimerions, séparer le reseau en deux réseaux (ou sous reseau / Vlan). Un pour les connexions internet et l'autre pour les connexions de l'applicatif (donc connexion aux serveurs 4d qui sont sur le serveur mac). Pourquoi ?
1-Par mesure de securité  
2- Pour créer un reseau en 1Gb/s pour la partie applicative
3- Pour accéder depuis l'exterieur sur les serveurs 4d qui sont sur le serveur mac. Pour cela nous pensons donc mettre en place un vpn
4- Pour vraiment reserver la bande passante du reseau aux données applicatives, et l'autre a l'internet
 
Nous ne pouvons pas envisager de tirer de nouveaux cables (des postes clients, vers l'armoire avec serveur, routeur, switch). Par contre nous pouvons (devrions) acheter un nouveau switch managé 10/100/1000
 
Par exemple, et encore une fois encore trés trés schématiquement, voila ce que nous pensons faire
http://netipro.com/img/Network-NEW.jpg
 
Il manque sur ce schema le materiel necessaire...
Mais on voit que le reseau devrait etre séparé et que depuis l'exterieur on peut accéder au serveur. Le serveur devrait aussi pouvoir accéder au net (quoi que...)
 
 
Les Questions
1- Que pensez vous de cette topologie ? ça tient la route ?  
2- Devrions nous plutot garder la topologie existante, tout mettre en Gb/s et mettre un vpn ?
3- Pour cette solution, de quel matériel aurions nous besoin ? 1 autre switch en Gb/s... Que l'on brancherait comment ?
4- le speed touch 609 fait vpn, non ? sinon comment le configurer l'accés externe vers le serveur en vpn ? quel materiel ?
5- Une autre solution ? des idées ?
 
 
Vous l'avez compris nous ne sommes pas des spécialistes du reseau... Vos conseils nous serons donc trés utile.
 
Par avance merci


Message édité par pfo69 le 02-09-2009 à 01:37:55
Reply

Marsh Posté le 02-09-2009 à 00:45:40   

Reply

Marsh Posté le 02-09-2009 à 02:09:02    

Salut,
 
Le deuxième schéma, que j'appellerais la topologie "logique", tiens relativement bien la route.  
 
- Commutation : remplace le switch 100Mb par un giga, et met en place des vlans :
  - 192.168.1.0/24 : internet
  - 192.168.100.0/24 : 4D (+autres...)
 
Entre tes vlans tu peux mettre de la qos afin de prioriser tes flux applicatifs, leur réserver de la bp, etc, de la même manière qu'on le ferait avec de la VoIP. Pas de cablage à faire, juste un switch à changer et un peu de conf.
 
- vpn : il faut utiliser le mode "télétravail" du st609
Il s'agit en fait d'ipsec en mode transport si je me souvient bien. Pas de problème de configuration pour les clients windows, tu insères le cd du st609 et en trois clics c'est fait, par contre pour les macs il faut un client ipsec. saipocommenfofaire...


---------------
/* no comment */
Reply

Marsh Posté le 02-09-2009 à 03:40:13    

Oui mais en y reflechissant ça pose un pbm pour le vlan.
 
LE MEME poste client doit pouvoir accéder à la fois au serveur applicatif et au net. Le VLAN on le fait au niveau du switch (mes cours infos sont tellement loin) et on le fait au niveau des ports du switch c'est ça ?
 
alors comment séparer la meme machine cliente pour qu'elle accede a deux vlan (disons le vlan internet et le vlan serveur) ??
 
Je finis par me demander si on est sur la bonne voie et si on complique pas les choses  ??
 
Sinon je ne m'embete pas, j'achete un switch giga managé et je passe tout en giga !
 
Pour le ST609, impossible de trouver le cd d'origine, et impossible de trouver de la doc. Par ex comment configure le temps le firewall ?
Quel modem/routeur Adsl avec 4 tunnels vpn mini + dhcp +ddns (pas de wifi) conseillerez vous ?
 
Merci !


Message édité par pfo69 le 02-09-2009 à 03:40:26
Reply

Marsh Posté le 02-09-2009 à 13:58:45    

solution : vlan taggé (802.1q si je me souviens bien), tu déclares la machine cliente comme appartenant au vlan internet et au vlan serveur.
 

Reply

Marsh Posté le 02-09-2009 à 14:02:00    

Sinon que pensez vous de faire comme ça :
 
- 1 reseau applicatif giga, avec switch giga, modem routeur adsl + vpn 6 connexions mini
- 1 reseau internet via un wifi N  
 
Comme ça les deux reseaux seraient séparés facilement.
- Le reseau applicatif via de l'eth giga (switch cisco SWR2016, modem routeur bewan 6104). Adressage 192.168.1.x
- Le reseau internet via un wifi N ou meme G (airport extreme ou timecapsule 1T0, modem routeur bewan 6104). Adressage 192.168.100.x (ou 10.0.0.x)
 
Je bloque les connexions internet via 192.168.1.x, sauf pour un vpn entrant sur le serveur
 
C'est faisable ça...
 
Qu'en pensez vous ?

Reply

Marsh Posté le 02-09-2009 à 14:16:23    

je ne vois pas l'intérêt d'avoir deux réseaux physiquement séparés alors que les vlans font cela très facilement...

Reply

Marsh Posté le 02-09-2009 à 15:00:00    

jmushuaia a écrit :

je ne vois pas l'intérêt d'avoir deux réseaux physiquement séparés alors que les vlans font cela très facilement...


 
Ok donc, si je me souviens bien...
 
Sur le switch on  crée deux vlanids
On met chaque port dans chacun de ces VLANs, c'est ça ???
 
On peut bien dire, par exemple que le port 10 appartient au vlan 1 et au vlan 2 ?
 
Est ce que l'adressage IP doit changer pour chaque vlan ?
Sur le routeur adsl, on aura le dhcp d'activé, donc il doit pouvoir définir des adresses reseaux selon le vlan ? je me trompe pas ?
On aura aussi un vpn sur le routeur, avec 6 connexions entrantes max, je devrais l'associer au vlan applicatif en definissant la plage d'adresse locale du vlan applicatif, exact ?
 
Bon maintenant, quel matériel choisir. Je pensais a :
- Routeur/adsl + vpn + pas de wif = bewan 6104
- Switch Giga c16 ports manageable, Cisco SWR2016 (il faut que je verifie qu'il fasse bien du Qos)
 
Merci pour l'aide apportée

Reply

Marsh Posté le 02-09-2009 à 15:06:57    

chaque vlan correspond à un réseau logique (adresse ip différente)
le routeur n'accorde des @ip par dhcp qu'au vlan internet par exemple
pour le materiel, je ne connais pas donc pas d'avis...

Reply

Marsh Posté le 02-09-2009 à 16:15:53    

Ok merci...
 
Vous conseilleriez quoi comme matériel ?

Reply

Marsh Posté le 02-09-2009 à 21:42:31    

désolé mais je ne suis pas assez pro pour donner des conseils la dessus...

Reply

Marsh Posté le 02-09-2009 à 21:42:31   

Reply

Marsh Posté le 03-09-2009 à 10:03:43    

jmushuaia a écrit :

solution : vlan taggé (802.1q si je me souviens bien), tu déclares la machine cliente comme appartenant au vlan internet et au vlan serveur.
 


 
Avec le 802.1q on peut faire appartenir le meme pc dans deux vlans différents, meme si le pc n'a qu'une seule carte reseau ?
Ou alors il faut que le pc ai une carte qui fasse de la virtualisation ou avoir deux ports eth sur le pc ?

Reply

Marsh Posté le 03-09-2009 à 10:40:53    

en 802.1q, si la carte reseau est compatible, tu peux lui assigner autant de vlans que tu veux (65536 max en fait)
tu configures dessus les tags dont tu as besoin (un tag = un numero de vlan)
la plupart des cartes recentes sont compatibles
a+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed