Architecture réseau pour 220 utilisateurs - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 24-03-2016 à 01:24:31
pour les switchs je connais assez bien HP (en OS comware, les procurve je connais pas), ça marche bien et c'est moins cher que cisco (enfin en moyenne, après les prix dépendent de ton fournisseur). En référence en switch 100Mb uplink 1G tu as les 3600 et en switch 1G uplink 10G tu as les 5130. Tous sont stackables et existent en POE ou non POE. Combien de prises il te faut, réparties sur combien de salles ?
tu comptes les attribuer suivant quel critère, tes 30 vlans ?
Et en firewall puisqu'apparement tu ne souhaites rien faire de très compliqué et que tu maîtrises déjà iptables je te conseillerais bien de rester là dessus.
Marsh Posté le 24-03-2016 à 07:41:52
Merci de ton retour pour les switches. Sur le nombre je ne suis pas certain encore cela va dépendre des travaux de l'électricien. On va aller dans un grand open space et à premiere vue le point of présence va être à plus de 100 metres de prises les plus éloignées donc on partirait sur un petit rack mural en plus. Je pense 3 switch 48p, deux dans le POE et 1 dans le rack distant. Les switch distribuent essentiellement des telephones VOIP donc pas besoin de beaucoup de bande passante, c'est surtout la latence qui va etre prépondérante. On travaille uniquement sur des laptop, tous connectés en wifi et je suis surpris de voir que cela fonctionne plutôt bien. Apres on utilise des AP Ruckus haut de gamme qui supportent aisément 50 devices connectés, passé 75 par contre les gens se plaignent un peu parfois.
J'ai insisté pour avoir une prise DATA/employé car j'ai vraiment pas envie de me lancer dans l'aventure de téléphone VOIP sur le WIFI et ni des softphone. Donc 220 prises RJ 45 mais pour l'instant une 60 de téléphones connectés. le ratio étant environ un téléphone pour deux employés je pense que 3 switches c'est pas déconnant puis vu le budget un switch de plus ou de moins cela ne va pas changer grand chose.
Pour les VLANs, deux vlans dédiés video conf et VOIP avec une QoS 5/6, un vlan Wifi Guest et ensuite un certain nombre (10/20/30) pour répartir les employés. Pas de critère spécifique pour les employés l'idée c'est juste d'éviter le /23 que l'ont utilise actuellement dans lequel les laptop broadcastent joyeusement pour la plus grande peine de access point. Je pense créer un certain nombre de /27 et répartir les comptes de Radius la dedans.
Pour le Firewall c'est pas tant que j'aime pas IPtables, je trouve ça plutot cool même, mais c'est surtout que le serveur actuel fait : Routeur, firewall, IPBX, RADIUS, DNS, DHCP, DKIM(postfix), VPN (OpenVPN). Le soucis à concentrer autant de service c'est évidement la fiabilité de l'ensemble, même si cela tourne plutot bien on est tous effrayé de changer le moindre truc par peur de tout faire planter. Il y a des trucs qui commencent à bugger un peu et avec 400 jours d'uptime personne n'a envie de le reboot par peur de passer la nuit à le réparer en cas de soucis . Donc l'idée d'acquérir un firewall c'est d'enlever les services de routage, firewall, vpn (DHCP?) du serveur et les confier à une autre appliance. Aussi je pense à pousser un peu plus loin la conf actuelle, Avoir deux IP publiques de NAT pour les VLAN corporate et un ip publique dédié au vlan guest (notre IP publique est white listé chez nos clients et nos instances EC2) et mettre en place du bandwidth management car actuellement c'est open bar. Donc réguler la bande passante pour les employés et définir des minimum pour la VOIP et Videoconf.
Marsh Posté le 24-03-2016 à 07:48:39
tout va dependre de tes compétences. Qu'elle est la raison de ne pas vouloir rebooter le linux ? peur les service ne se relancent pas ou juste pas l'envie?
pour les switch j'ai une infra full dell et ca tourne plutot bien, maintenant comme dit plus haut les cisco peuvent etre abordable si tu trouves un revendeur qui ne t'entubes pas. Car les remises sur du cisco peuvent être très intéressantes.
pour le firewall un pfsense fait tres bien le job et te permet de gérer les choses via une interface web donc plus user friendly qu'iptable.
je ne sais pas si il y a in projet de changement pour les bornes wifi, mais cisco avec ses modeles wapxxx permet de gerer un cluster jusqu'a 5 bornes sans controleur, ce qui assez economique.
Marsh Posté le 24-03-2016 à 15:51:58
Peur que les services redémarrent pas ou que l'os redémarre pas. Les 6 consoles tty sont plantés, il y a un truc qui merde et j'arrive pas à comprendre quoi, j'ai vérifié les fichiers impliqués (init et getty) à une fresh install et ils sont bons. Le dhcp ne veut plus s'arrêter ou se relancer via service stop/restart/reload. Le PID est toujours présent malgré que service renvoit 0. Obligé de lui envoyer un kill -9. Cette situation est antérieure à mon arrivée j'ai passé des heures à vérifier les fichiers, à googler tout ce que je pouvais et rien de probant . On a un second server qui est sensé etre en HA à côté mais il n'a jamais été configuré pour, et j'ai pas le temps de bosser dessus j'ai déjà bien assez de projet sur le grill (notamment celui-ci).
Merci pour les retours hardware, c'est un peu l'idée pour le firewall avoir un truc un peu plus users friendly et déjà intégré. A un moment on envisageait de monter un site to site VPN avec un de nos clients pour éviter que mes utilisateurs passe par des Cisco Anyconnect sur leur laptop qui pose des soucis de fiabilité (déconnexion intempestive). Mais je me voyais pas jouer avec openswan ou autre pendant des heures pour arriver à le faire marcher. Puis avec un peu de chance leurs ip privées overlappé les notre et j'aurais du m'infliger des lignes et des lignes de conf Iptables en pour NATer les ip en question.
Les bornes wifi sont des Ruckus 7982 on en a déjà 5 avec un contrôleur (deux en fait mais le deuxième des juste posé sur le premier pas de HA configuré) et je prévois de monter à 10, 50 devices par bornes ça tourne 75 ça commence à lagger.
Marsh Posté le 24-03-2016 à 16:47:54
ReplyMarsh Posté le 24-03-2016 à 18:19:15
splinter_five0 a écrit : Sinon en Routeur/firewall/vpn il y a Stormshield |
Je suis en amérique du nord, ils ne vendent pas là bas
Marsh Posté le 24-03-2016 à 20:18:49
Citation : Pour les VLANs, deux vlans dédiés video conf et VOIP avec une QoS 5/6, un vlan Wifi Guest et ensuite un certain nombre (10/20/30) pour répartir les employés. Pas de critère spécifique pour les employés l'idée c'est juste d'éviter le /23 que l'ont utilise actuellement dans lequel les laptop broadcastent joyeusement pour la plus grande peine de access point. Je pense créer un certain nombre de /27 et répartir les comptes de Radius la dedans. |
si le problème c'est les broadcasts qui partent dans les airs c'est peut-être tes bornes que tu devrais mettre dans un ou des vlans à part, et garder le reste de ton réseau dans un seul vlan, ça me paraîtrait plus logique comme ça. A toi de voir.
ahbahlut a écrit : |
OK donc c'est plus une question de séparation des rôles que de changement de fournisseur de firewall. Tu peux essayer pfsense en effet, pour monter un VPN site à site c'est pas trop compliqué.
Pour le bandwidth management je ne m'y connais pas trop à toi de voir, par contre attention y'a des tas d'implémentations possibles plus ou moins efficaces et/ou faciles à configurer donc valide bien que la solution considérée fait ce que tu veux avant de t'engager dessus. C'est un sujet très vaste.
Marsh Posté le 29-03-2016 à 21:52:53
Tu as en effet plus qu'intérêt de clusteriser tes services et de les éclater. Il ne fait pas bon de regrouper tous les oeufs dans le même panier.
Marsh Posté le 30-03-2016 à 16:42:20
fmj a écrit : Tu as en effet plus qu'intérêt de clusteriser tes services et de les éclater. Il ne fait pas bon de regrouper tous les oeufs dans le même panier. |
+1 j'allais le proposer.
Et on le voit bien avec le fameux serveur linux qui fait tout !
Marsh Posté le 30-03-2016 à 19:20:34
Misssardonik a écrit : si le problème c'est les broadcasts qui partent dans les airs c'est peut-être tes bornes que tu devrais mettre dans un ou des vlans à part, et garder le reste de ton réseau dans un seul vlan, ça me paraîtrait plus logique comme ça. A toi de voir. |
Je pense que tu parles de l'adresse IP de management des AP, elles sont déjà dans un vlan séparé (VLAN management). Non le but là de répartir les laptops dans des réseaux plus petits, en fait derriere un unique BSSID se cacherait plusieurs réseau dans lesquels seraient répartis les devices. Quand je sniffe les paquets je vois passer un paquet de broadcast liés à dropbox et son local sync et Bonjour de apple.
Ouais pour le bandwidth management je suis pas certain de bien comprendre comment cela fonctionne j'ai lu en travers une doc des Cisco ASA et PFsense et j'ai vu que cela n'avait pas l'air d'etre la mer à boire à monter tant que la feature est implémentée.
Lone Morgen a écrit : Pas de multiwan? |
Nope on est en plein centre ville et je suis en train de négocier une fibre noire 1Gbps relié à l’IXP de ma ville. Par contre la question du fail over reste ouverte.
fmj a écrit : Tu as en effet plus qu'intérêt de clusteriser tes services et de les éclater. Il ne fait pas bon de regrouper tous les oeufs dans le même panier. |
Oui oui c’est le plan, là c’est plutôt dangereux comme situation. En plus on a pas de vrai backup, enfin on a puppet qui tourne et les principaux fichiers sur Git mais pas de Rsync ou autre.
Marsh Posté le 30-03-2016 à 19:23:43
Juste pour revenir sur la question vous direz +1 pour l'architecture?
Je note pour les switches dell et les firewall PFsense! Merci
Marsh Posté le 31-03-2016 à 00:00:11
ahbahlut a écrit : |
non c'est ce que je voulais dire aussi. Etonnant que ça te pose problème cela dit, sur un de mes sites j'ai des pics de 200 devices en wifi et 600 filaires le tout sur le même vlan et ça fonctionne. Enfin bon ça dépend de d'autres critères je suppose, typologie d'utilisation, usage de certains logiciels etc.
ahbahlut a écrit : |
Sauf qu'il n'y a pas de standard qui définisse formellement ce qu'est le bandwidth management, selon les implémentations ça peut aussi bien relever du gadget inutile que de l'usine à gaz puissante mais difficile à appréhender, que de n'importe quoi entre ces deux extrêmes.
ahbahlut a écrit : |
ça serait plus prudent d'en prendre deux. Tant qu'à faire avec deux chemins distincts mais même si c'est pas possible ça a quand même un intérêt d'en avoir deux, rien que pour éviter le SPOF des équipements à chaque bout de la fibre.
Par contre si quelqu'un essaye de te vendre une fibre noire 1Gbps méfie-toi, une fibre noire par définition n'est pas vendue pour un débit donné (enfin dans la limite des X canaux DWDM que la physique permet quoi ).
Marsh Posté le 24-03-2016 à 00:26:43
Bonjour,
TL;DR : Design d’un nouveau réseau, max : ~220 utilisateurs, ~450 devices sur le wifi, 100 VoIP phones, 10 devices Video Conference. Besoin de conseils pour l’architecture et le choix du matériel.
Ma boite déménage dans le courant de l’été, je suis IT Admin et donc je prends en charge la conception du réseau pour le nouveau bureau. C’est l’occasion d’acheter du nouveau matériel, de refaire une architecture cohérente avec le nombre d’utilisateurs.
On utilise beaucoup services type Cloud, donc rien n’est hébergé en interne excepté quelques trucs qui pour des raisons historiques sont là (Radius & IPBX)
Il y a actuellement 120 employés dans la boite, les prochains locaux sont prévus pour 220 personnes max.
L’architecture actuelle est toute bête:
Internet <—> Server_Linux <—-> Switch_48P <—->Bornes_wifi/Phones
Le server linux fait office de routeur, Firewall (Iptables), DHCP, DNS, IPBX, RADIUS, et quelques bidules.
Le switch est un vieux Netgear outdated et très pénible à configurer. Le server c’est un linux avec 400jours d’uptime que personne ne veut rebooter. Par contre le Wifi on a 5 access point Ruckus qui fonctionnent super bien avec un Zone Director (outdated) qui fonctionne bien aussi.
Comme architecture je pense à un truc comme ça:
/ Firewall -- Switch 48P --|- Bornes Wifi
/ | | |- Télephones IP
Internet HA stack |- Imprimantes
\ | | |- Zone Director
\ Firewall -- Switch 48P --|- Servers
J'ai pas une énorme expérience en matière d'architecture mais je pense que cette config doit être suffisante pour notre usage.
Les firewalls assureront le role de routage/NAT
Les switch seront à la fois coeur de réseau et distribution.
Je souhaite mettre en place dynamic VLAN assignment avec le Radius (ce qui aujourd'hui nous fait défault) donc faut compter sur un trentaine de VLAN
Que pensez vous de cette architecture? Est-ce cohérent avec nos besoins ou pensez vous que je fais fausse route? Plusieurs autres solutions existes mais réclament plus de matériels. Exemple confier le routage à un router. Garder le linux en firewall, séparer switch de distribution et de coeur de réseau.
J'aimerais avoir vos avis sur les différentes marques de switch/firewall que vous recommandez. Switch je connais que Cisco mais c'est très cher et me semble pas etre justifié (2960x 48p POE -> 5k Euro), donc pourquoi pas Dell/HP?
Firewall je ne connais aucune marque, juste fait de l'IPtables. A première vue les WatchGuard, SonicWall et PFsense semblent me convenir. On s'en fout un peu d'avoir une appliance UTM on a rien en local et on ne veut bloquer l'access a aucun sites.
Merci de vos avis!