Architecture Reseau VOIP/DATA choix L2/3 VPN [Maquette] - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 17-07-2008 à 08:23:51
tu as des masques en /48 toi?
Ton cœur de réseau devrait être doublé ou au pire, si pas les moyens avoir un switch identique de spare (et configurer aussi identiquement)
VLAN voix et VLAN Data oui après plus de vlan dépendra ce que tu voudras faire et séparer.
Le VPN: soit opensource soit proprio (sur le routeur cisco) peut importe
Vu la taille de ta boite je me pencherai sur des solutions opensource (firewall: pfsense - vpn: openssl).
Pour l'asterisk: tu peux prendre aussi des solutions avec maintenance style Trixbox - Elastik - ...
WAN: j'espère que c'est du sdsl... As tu une ligne dédiée pour la voip ou tout est mélangé.
Après pour les maintenances: GTR 4h sur les switchs - routeur - sdsl - serveurs
Marsh Posté le 17-07-2008 à 14:33:25
Bonjour edouardj
Image rectifiée
-Pour le coeur reseau, effectivement... je peux redonder les alims à moindre frais mais pas plus et rajouter une GTR 4h.
Pour le spare préconfiguré il en faudrait 2... (48 et 24POE) . TOUT DEPEND du type de switch necessaire! L2 ou L3????. car les prix sont
Rappel: j'ai séparé la VOIX des DATA physiquement même pour les WAN qui sont des connections cable modem (moyenne 14000kb/s et 927kb/s). Pour la VOIP Testé sur ce lien http://myvoipspeed.visualware.com/
Les Wan tiennent la route de 10 à 30 connections avec une Qos non définie... mais sur une solution abordable.
-VLAN VOIX et VLAN DATA, je me pose encore la question de l'intérêt car les réseaux sont séparés physiquement, sauf sur le router.
Je peux aussi doubler le routeur si necessaire? et même question L2 ou L3?
-VPN, il y a plusieurs facons de se connecter (gestion des accés, soft poste client... puis fiabilité et facilité de déploiement...) Pour éviter d'avoir à utiliser un serveur j'aimerai que se soit intégré au routeur (comme le firewall).
Enfin le VPN c'est juste une facon de me connecter à distance aux applications. L'appli c'est de la VOIP plus le retour des fiches Mysql depuis une deuxieme IP (2 WAN). Je dois monter 2 tunnels? une connection SSH via un portail de connection est elle suffisante?
-Merci pour les liens : firewall: pfsense - vpn: openssl. Sauf erreur openssl necessite une machine hote.... j'aimerais éviter et rester sur le routeur.
-l'asterisk est packagé par le vendeur de la solution, donc normalement pas trop de problème de MAJ.
Il faut juste que je capte les faiblesses et les options disponibles pour essayer de trouver un bon compromis.
Merci pour ces infos et conseils pour le coeur de réseau.
Bonne journée
Marsh Posté le 18-07-2008 à 12:39:00
Tu as encore un prob avec ton schéma: une ip c'est x.x.x.x/x (en gros laisse un /24 partout)
En général on double le coeur du réseau et les switchs d'accès sont en double attachement (spanning tree VRRP etc..). Après tout dépend de ton budget bien évidemment. Je mettrai des L3 pour le coeurs et L2 pour les switchs d'accés.
Même si tu as séparé physiquement Voix et Data je mettrai tout ça sur les mêmes switchs mais avec des Vlan et une Qos basique (au lieu d'utiliser le mini switch du telip ben tu dédies un rj45 à chaque fois). Après tu sépares les wan: 1 data et l'autre voix
Pour le VPN ben ça dépend ce que tu veux vraiment faire. Sur Pfsense et Ipcop tu peux créer simplement des VPN Ipsec LAN2LAN mais tu peux aussi configurer des vpn SSL pour les clients roadwarriors (addon zerina pour Ipcop et Psfsense intégré par défaut).
Je ne connais pas bien encore Pfsense mais c'est apparemment plus pro qu'Ipcop et tu peux faire du loadbalancing et failover (wan et autre machines) etc... mais plus dur à configurer.
Donc si tu veux faire communiquer 2 agences entre elles par exemple (à l'aide d'un wan dédié) ben tu montes un vpn Ipsec. C'est facile et ça marche très bien.
Rem; openVPN (désolé je me suis trompé la 1ère fois) peut être sur une seule machine mais comme je l'ai dit il y a un addon pour ipcop (zerina) qui te permet d'avoir tout sur la même machine.
Pourquoi ne pas mettre sur chaque wan un routeur et faire du loadbalancing/failover dessus
Pour ton asterisk, qu'est ce que tu prends?
Suis désolé mais j'ai quand même du mal à saisir ce que tu veux exactement faire. Ce n'est pas très clair même avec ton schéma.
D'ailleurs tes FAI te forunissent une liaison wifi pour les 2 wan + adsl? Je ne comprends pas bien.
Refais ton schéma avec tes postes etc et peut être qu'on y verra mieux.
Marsh Posté le 18-07-2008 à 12:41:22
tiens il y a aussi Vyatta que j'ai découvert comme firewall/routeur
Marsh Posté le 18-07-2008 à 17:26:15
Bonjour,
Petit rappel.. et un nouveau diagramme sur les conseils de edouardj grace à qui je suis un peu moins seul
Encore merci pour tes conseils.
Les objectifs:
1/ Création d’un Intranet accessible à distance.
2/ Réduire à l’essentiel l’infrastructure réseau. Choisir la solution VPN /FIREWALL et gérer (si possible) le failover/load balancing des 2 WAN. Choisir le type de réseau (VLAN, niveaux, Qos…) Editer le plan d’adressage et son diagramme.
3/Tester la solution qui sera consolidée ultérieurement.
L’application :
Type « Relation Client » multimédia (voix, fax, email) et VOIP:
Pour résumer, chaque poste reçoit et émet des appels voix sur ip à travers un serveur Asterisk relié à une base de données (fichier client MySql).
Tout le groupe de travail (collaborateurs distants, nomades et siège) ont les mêmes fonctionnalités.
Il s’agit donc de réunir tout ce petit monde sur la même plateforme de travail.
Etat des lieux :
VAN : câble/Modem :
-WAN1 VOIP = 25Mo/1Mo connection cable/modem,
-WAN2 DATA = 25Mo/1Mo connection cable/modem,
Séparation des 2 WAN du siège en les spécialisant :
-1 INTERNET,
-2 APPLICATION VOIP/CRM et VPN.
Je laisse tomber la troisième WAN adsl pour l’instant (3Mo/300Ko)
La bande passante pour « APPLICATION VOIP/CRM/VPN » doit assurer le travail de 20 personnes maxi.
Donc oublions le codec G711 (80 kbit/s) pour passer au G729 ou G729.1 (entre 8 kbit/s et 32 kbit/s)
Actuellement les routeurs du FAI n’ont pas la fonction VPN.
Cœur de Réseau
Il n’est pas monté et je cherche une solution simple, efficace et pas exotique (avec du matériel connu et reconnu) pour par exemple :
- 2 x Routeur QoS / VPN / FIREWALL / L2 web administrable + redondance alim. Configurés en fail over/ load balancing.
- 1 x Switch 48 ports VLAN 1/2/3/4/5 ? 10/100/1000 web administrable + redondance alim
Solutions :
J’ai reçu 3 offres dont je ne capte pas le contour et la pertinence :
1/ La moins chère : +/-1000€
-1xSwitch - Allied Telesis AT FS750/24POE WebSmart Switch - Commutateur -
24 ports dont 12 ports POE- EN, Fast EN - 10Base-T, 100Base-TX +
2x10/100/1000Base-T/SFP (mini-GBIC)(uplink) - 1U
http://www.alliedtelesyn.fr/produc [...] 273&lid=98
-Routeur (agrégation 2WAN+VPN+Qos+Firewall) - Linksys 10/100 8-port vpn router rv082 - routeur - en, fast en
http://www-fr.linksys.com/servlet/ [...] 6213489B07
En utilisant ce matériel RV082 (avec une seule MAC) je vais perdre une de mes 2 IP fixes, car mon FAI associe la MAC router à l’IPfixe…. 1MAC pour 2 IP cela ne va pas le faire. Donc préférence au double routeur + failover/load balancing notamment pour l’upload. Mais là je n’ai pas la compétence pour choisir le protocole.
Le switch est pas cher, il est L2 mais bon…. celui là ou un autre….
2/ Un truc à 10.000€
Secure Services Gateway 5 with RS-232
Aux backup, 256 MB memory
SVC-ND-SSG5 1
J-Care NextDay Support for SSG-5
NS-R8A-010 1
NetScreen-Remote VPN Client 8 for
Windows 95/98/ME/NT/2000/XP, 10 user
SVC-COR-VPN-10 1
Core Support for VPN-10
Catalyst 3560 24 10/100/1000T + 4 SFP + IPB Image 2
Catalyst 3560 24 10/100 PoE + 2 SFP + IPB Image 1
Servicios profesionales instalación
A ce prix, j’ai droit au petit dessin … c’est n’importe quoi ! et à l’explication suivante :
« Le client Dispose de 1 ligne à internet par technologie ADSL et une autre par CÂBLE, souhaite équilibrer le trafic entre toutes les deux en plus de les sécuriser.
Conception de la solution.
… des nécessités posées par le client nous recommandons l'installation d'une solution basée appliance firewall du fabricant Netscreen. Celui-ci sera installé dans les bureaux que le client dispose à XXXXXX en séparant les deux lignes à internet du client de son réseau local en empêchant de cette manière le vol d'information ainsi que d'attaques qui peuvent provenir de l'extérieur en plus de parvenir à équilibrer les lignes d'internet par un seul équipement. De manière additionnelle le hardware offert permettra de finir des tunnels VPN par l'installation d'un software client basé en Windows. Dans le but de pouvoir doter du rendement du réseau attendu par le client, on recommande l'installation d'un commutateur de 24 ports 10-100-1000 de niveau 3 ce qui permettra de segmenter le réseau « utilisateurs » et « employés » à niveau 2 (remarque le routing entre ces deux réseaux sera effectué par le commutateur, le firewall sera utilisé pour l’inspection seul du trafic d'internet). »
Bon ils ont zappé les 2 connections cable, j’ai aucune idée de la compatibilité SIP / IAX ni de la performance, ni des interfaces utilisateurs (VPN) pas de plan de récupération ni de back up…. Bref NON
3/Enfin un autre truc à 10000€
L'installation consistera à approvisionner et Installer le Router/Firewall Cisco et Configurer le Réseau
1. Installation physique des Switches dans rack.
2. Configuration IP De base des switches.
3. Configuration VLANs dans switches de réseau
4. Configuration de Priorisation de Trafic VoIP dans switches.
• Configuration du Router.
Il inclut les activités suivantes :
1. Connexion du router au réseau.
2. Configuration IP De base.
3. Configuration IP Avancée : VoIP - Optimisation et priorización du trafic.
4. Configuration IP Avancée : VLAN´s Routing.
5. Configuration IP Avancée : CEF pour équilibre de trafic entre les 3 interfaces de connexion WAN (Internet).
6. Configuration IP Avancée : Politiques de sécurité Firewall.
7. Configuration IP VPN´s Avancée : jusqu'à un maximum de 5 connexions avec d'autres routers ou utilisateurs.
• CISCO2811 Router Cisco 2811: 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP
BASE,64F/256D
• CD28N-ASK9 Cisco 2800 ADVANCED SECURITY Feature Pack.
• HWIC-1ADSL 1-port ADSLoPOTS HWIC.
• HWIC-4ESW 4-port 10/100BaseT Ethernet Switch Interface Card.
Bon soit je suis difficile soit je suis idiot ou ya un truc qui cloche : pas de switch, aucune stratégie ou réflexion, aucune définition du contour, pas d’info sur linterface utilisateur…. Bref pas clair.
Alors NON
Conclusions
Moi ces offres me font fuire j'ai juste besoin de :
Pouvoir accéder à mes appli de l’extérieur en toute sécurité,
Que se soit compatible avec la VOIP pour ne pas perdre en qualité de service,
Que ce soit facile à mettre en place et à administrer,
Il faut m’expliquer le principe général et les alternatives éventuelles, argumenter ses choix,
Editer le plan d’adressage et son diagramme,
Et que soit disponible un back up pour le rétablissement éventuel du service ou sa modification par télémaintenance.
Tout cela à un prix raisonnable.
Pour répondre à edouarj
"En général on double le coeur du réseau et les switchs d'accès sont en double attachement (spanning tree VRRP etc..). Après tout dépend de ton budget bien évidemment"
Oui le budget Edouarj! Pour l'instant ont va gentiment monter le réseau pour que cela marche, et aprés ont consolidera.... c'est qu'il faut tout acheter en même temps... serveurs, pc.....
"Je mettrai des L3 pour le coeurs et L2 pour les switchs d'accés. Même si tu as séparé physiquement Voix et Data je mettrai tout ça sur les mêmes switchs mais avec des Vlan et une Qos basique (au lieu d'utiliser le mini switch du telip ben tu dédies un rj45 à chaque fois). Après tu sépares les wan: 1 data et l'autre voix
"
Ok donc "tout sur le même switch" = un seul switch ? 48 ports 10/100/1000 même sans Poe et L3 ou L2. Ensuite faut il comprendre: un poste IP=1 rj45=1VLAN avec une Qos basique?
"Pour le VPN ben ça dépend ce que tu veux vraiment faire. Sur Pfsense et Ipcop tu peux créer simplement des VPN Ipsec LAN2LAN mais tu peux aussi configurer des vpn SSL pour les clients roadwarriors (addon zerina pour Ipcop et Psfsense intégré par défaut)."
Ben c'est plutôt le roadwarrior qui m'interresse, cette solution doit pouvoir fonctionner dans tous les cas de figure. Je vais me renseigner sur la différence entre Ipsec et SSL. Il n'y a pas d'agence fixe c'est plutôt des sous-traitants ponctuels. Au pire je recycle un pc pour y installer Pfsense ou Ipcop.
"Je ne connais pas bien encore Pfsense mais c'est apparemment plus pro qu'Ipcop et tu peux faire du loadbalancing et failover (wan et autre machines) etc... mais plus dur à configurer."
Loadbalancing/failover entre wan et ou VLAN depuis un firewall? tu peux préciser? Je peux load balancer certaines VLAN en fonction du traffic des WAN? Je vais jeter 3 yeux sur leur site.
"Donc si tu veux faire communiquer 2 agences entre elles par exemple (à l'aide d'un wan dédié) ben tu montes un vpn Ipsec. C'est facile et ça marche très bien. "
OK, si cela suppose un gain notable de performance, sinon je suis plutôt pour un VPN SSL (plus souple)
"Rem; openVPN (désolé je me suis trompé la 1ère fois) peut être sur une seule machine mais comme je l'ai dit il y a un addon pour ipcop (zerina) qui te permet d'avoir tout sur la même machine. "
Bon là il faut que je matte sérieusement les produits donc:
-openVPN + zerina,= VPN SSL
-Pfsense= firewall + load balancing ou/et failover, ca semble être exactement ce que je recherche!
"Pourquoi ne pas mettre sur chaque wan un routeur et faire du loadbalancing/failover dessus "
Ben OK, dis mois quel router et comment le configurer j'aimerais juste que cela fonctionne en Upload/download et pouvoir choisir les VLAN a loadbalancer. Dans ce cas quel est l'utilité de Pfsense, firewall?
"Pour ton asterisk, qu'est ce que tu prends?"
Ben a part que c'est un 1.4 modifié par l'éditeur j'ai pas d'autre infos. Je sais aussi qu'il utilise Freepbx et vicidial et enfin qu'il couple vtiger (CRM)... c'est plutôt un soluce à ampilage mais c'est déjà en production.... alors faisons confiance
[i]Suis désolé mais j'ai quand même du mal à saisir ce que tu veux exactement faire. Ce n'est pas très clair même avec ton schéma.
D'ailleurs tes FAI te forunissent une liaison wifi pour les 2 wan + adsl? Je ne comprends pas bien.
Refais ton schéma avec tes postes etc et peut être qu'on y verra mieux.[/i]
Bon et maintenant c'est plus clair?
Remerciements
Marsh Posté le 25-07-2008 à 08:20:57
Salut,
tu demandes beaucoup de choses en fait...
As tu les compétences pour monter ça tout seul si tu finis par trouver l'architecture et le matériel ? (et à le maintenir?)
Sinon rapproche toi vers des sociétés style SSII & co. (je peux te fournir un nom d'une boite sérieuse par mail si tu veux (config et vente)
Dans ce que tu veux faire il n'y a rien d'insurmontable AMHA mais par contre pas la peine de te pencher sur Ipcop alors il faudra utiliser (si tu souhaites faire ça en open source) Pfsense. Sinon prends des routeurs cisco avec les cartes qui vont bien.
Si tu sépares tes WAN je mettrai d'un côté le data (et surf web donc ou sinon tu passes par l'adsl pour le surf puisque tu as 3 wans) et l'autre (seule!!) la voix
Un 3560 (avec poe pourquoi pas) de chez cisco en coeur. (Tu prends une GTR de 4h dessus)
Rem: zerina utilise openvpn
Marsh Posté le 27-07-2008 à 19:28:58
edouardj a écrit : Salut, |
Bonjour,
Oui je suis pas la NASA et la solution existe sans passer par une usine à gas.
Un peu de Qos 802.1p sur des VLAN 802.1q
Bon en ce moment j'en suis là:
J'abandonne PFsense & Co = trop difficile à administrer, pour un petit Linksys RV082.
Détails de la partie réseau LAN du siège administratif
Pré-requis :
Afin de garantir un fonctionnement optimal et compte tenu de la sensibilité d’une infrastructure de ToIP, un
câblage au minimum catégorie 5E est recommandé.
Compte tenu des éléments fournis , nous recommandons la mise en place d’un switch 10/100 de niveau 2 administrable disposant éventuellement de port Ethernet PoE et permettant la mise en place de 2 VLAN. Nous conseillons pour cela le Linksys SFE2000P .
- VLAN 1 : Téléphonie sur IP
- VLAN 2 : Données
Téléphonie sur IP
Le VLAN 1 devra être réservé uniquement aux éléments effectuant de la Téléphonie sur IP. Il devra être déclaré
avec une priorité haute afin de garantir la bande passante réservée pour les échanges avec le serveur Asterisk.
Le protocole SIP 2.0 à été retenu pour la partie ToIP avec le codec G711a/u (alaw / ulaw) pour les
communications entre le serveur ASTERISK et les téléphone IP sur le LAN. Le codec G711 consomme environ
79.63 Kbps dans chaque sens.
Compte tenu de ces éléments et du nombre de posse prévu sur le LAN (environ 10 pour commencé et 30 au
maximum), la contrainte de la QoS sur le LAN est un élément non indispensable mais néanmoins intéressant
pour une meilleures qualité d’écoute.
Les équipements réseau qui seront déclarés dans ce VLAN sont :
- Le serveur Asterisk
- Le serveur de BDD (Il est serveur Asterisk de secours en cas de panne)
- Les Téléphone SIP
- Le routeur
VLAN 2 : Données
Le VLAN 2 sera réservé aux flux de données à savoir :
- Echange WEB avec le serveur de BDD pour le CRM
- Navigation Internet
- Broadcast Netbios / DNS / Microsoft
- Supervision / Statistiques application Call
- Partage de fichiers
- Sauvegardes et réplications
Toutes ces applications sont de gros consommateurs de bande passante, c’est pourquoi le VLAN 2 sera déclaré
avec une priorité basse.
Détails de la partie réseau WAN du siège administratif
Equilibrage de charge et redondance
Compte tenu de la criticité des applications de part l’utilisation des liens internet pour l’aspect téléphonie au
travers de Trunk SIP, nous recommandons la mise en place d’un système d’équilibrage de charge et surtout de
redondance en cas de défaillance de liens.
Pour cela nous avons retenu l’architecture suivante :
En effet, vous disposerez de 2 liens cable/modem avec les caractéristiques suivantes 25Mbps / 1 Mbps.
Pour permettre l’équilibrage de charge et garantir la disponibilité des liens, nous proposons la mise en
place du routeur linksys RV082 raccordé sur les 2 modems.
Interconnexion avec les sites distants et clients itinérants
Afin de permettre l’accès a votre SI depuis l’extérieur, il s’avère important de mettre en place un réseau
VPN/IPsec. Le routeur que nous avons retenus (Linksys RV082) permet la mise en place de 100 VPN « Branch
Office » et dispose de toutes les garanties en matière de VPN
- PPTP Built-in PPTP server supporting 5 PPTP clients
- Encryption DES, 3DES, AES-128, AES-192, AES-256
- Authentication MD5, SHA1
- IKE Support Internet Key Exchange
- IPSec NAT-Traversal Supported for Gateway-to-Gateway and Client-to-Gateway tunnels
- Advanced Options DPD, Split DNS, VPN backup
- VPN Pass-through PPTP, L2TP, IPSec
De même il est possible de mettre en place au travers d’un client VPN (Ex: TheGreenBOW) des VPN avec des
postes itinérants (Maxi 50).
Ce VPN permettra aux sites distants d’accéder uniquement à l’application DigiCONTACTS. Cette contrainte
nécessitera peut-être la mise en place d’un 3ème VLAN.
Optimisation des communications réseau entre les sites distants (agences / provider) et le site central.
Toujours dans le but de garantir la qualité du service de téléphonie, il sera peut-être intéressant par la suite de
mettre en place un système de gestion de la QoS. Les équipements choisi sur le site central (Switch
administrable niveau 2 et routeur Linksys RV082) permettent une gestion simple de cette QoS dans un premier
temps entres les différentes agences et par la suite si les équipements du provider de ToIP le permettent
jusqu’au « registrar » SIP
Bon tout cela me semble trés bien? et reste dans un budget trés abordable (+/-1500€)
Quen pensez vous???
Marsh Posté le 28-07-2008 à 16:38:54
oui pourquoi pas.
Par contre au lieu d'un switch Linksys, je prendrai un switch HP L3 avec GTR
Marsh Posté le 17-07-2008 à 03:09:31
Bonjour,
Ben comme les temps sont durs je suis obligé de déssiner mon réseau...
Mais là j'ai du mal:
Voilà mes prochaines étapes à réaliser:
Objectifs:
0/ Choisir le matériel (routeur et switch – pour une armoire 17U 30cm profondeur déjà montée) L2 ou L3 et la Marque CISCO, HP, DELL, 3com…pour :
1/load balancing de nos 2 connexions WAN 1 et 2 download/upload et back up sur la WAN ADSL. Prioriser les paquets de voix et si nécessaire les accès VPN distants.
2/configurer la sécurité de notre réseau (Firewall), objectif : invisibilité de l’extérieur.
3/Choisir et former un accès distant VPN et séparer (VLAN) les groupes d'utilisateurs/applications si nécessaire.
Pour information:
Il s'agit d'un petit call center. Le réseau filaire vient d'être réalisé en séparant VOIX et DATA.
Voici l'architecture générale:
Et là mon armoire
Bon aprés mes jolis dessins du jour, j'y vois plus clair, mais maintenant je dois décider du matos, j'ai une offre pas clair pour cela:
• CISCO2811 Router Cisco 2811: 2811 w/ AC PWR,2FE,4HWICs,2PVDMs,1NME,2AIMS,IP
BASE,64F/256D
• CD28N-ASK9 Cisco 2800 ADVANCED SECURITY Feature Pack.
• HWIC-1ADSL 1-port ADSLoPOTS HWIC.
• HWIC-4ESW 4-port 10/100BaseT Ethernet Switch Interface Card.
Visiblement routeur+firewall, mais c'est tellement mal bouclé que j'ai pas confiance, aucun objectif ni engagement...bref je le sent pas.
Pourquoir celà et pas autre chose?
En plus il manque les switch, le VPN, et pour la maintenance ben rien de proche donc je flippe car j'ai pas envie de passer mes journées sur les forums Il faut absolument que j'appréhende le projet si je comprend l'objectif et le diagramme de la solution restera qu'à le mettre en place.
Donc oublions cette proposition. Comment vous le monteriez ce réseau?
VLAN ou pas? L2 ou L3? Quel client VPN si le VPN est essentiel... je ne suis pas une banque... bref toute ces questions sans le recul c'est pas évident...
Merci à l'avance pour vos avis Et n’hésitez pas à me questionner si il manque des informations.
Bonne journée
Message édité par yepii le 27-07-2008 à 19:34:57