remplacement reseau périphérie et coeur

remplacement reseau périphérie et coeur - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 15-06-2010 à 16:41:15    

Bonjour,
 
J ai en projet de remplacer tous les équipements composant le réseau de la société:
10 commutateurs non manageables.
Le réseau est reparti sur 8 étages + 1 salle serveur.
Chaque étage a son propre subnet géré par une box sous linux.
Le tout routé via un routeur central sous linux.
1 firewall multiwan pour les connexions internet et vpn.
 
J aimerai implémenter des vlans avec authentification par mac adresse et serveur radius afin de déployer par la suite du wifi.
Moins de routage et plus d'optimisation des transferts et qu'une personne qui se connecte au premier étage comme au 8e soit toujours dans le même Vlan.
 
voici ce que j'ai retenu
- 1 commutateur niveau 2 par étage dit de périphérie (procurve 2510-48)
- 1 commutateur coeur de réseau (procurve 2910al) qui gère le routage et les ACL
- 2 commutateurs 2510G-48 pour les serveurs.
 
Chaque commutateur de périphérie (2510*) sera relié avec un agrégat de 2 liens cuivre GBps sur le 2910al.
le firewall sera relié sur le même switch que les serveurs.
 
les vlans que je souhaite implémenter :
10 - serveur-public
20 - serveur-prive
30 - vlan-imprimante
40 - Vlan-vidéo-surveillance
50 - vlan-users
60 - vlan-users-critic
70 - management (équipement de management et management des switchs)
80 - Vlan-invité
100 - vlan-admin
 
Mes questions :
 
Est ce que le 2910al permet de faire ce que je souhaite ? (les 5400zl et autre 8200 étant hors budget)
(routage et ACL par acl j'entends le fait de pouvoir définir quel vlan a accès a quel autre.
tel vlan est complètement isolé)
 
Est ce qu'un utilisateur se connectant depuis n'importe quel switch sera bien affecté au bon vlan ?
 
A quel niveau géré l'authentification par mac-address : base de données dans le commutateur 2910al ou bien dans l'AD, les 2 ?
 
Que me conseillez vous car j'aime bien avoir un autre son que celui de l'avant vente
 
 

Reply

Marsh Posté le 15-06-2010 à 16:41:15   

Reply

Marsh Posté le 15-06-2010 à 16:51:53    

il faut que tu fasses du 802.1x avec assignation automatique de vlan en fonction de la mac


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 15-06-2010 à 18:21:22    

Deja les 2510 sont EOS donc tu remplaces par du 2610. Prend plutot un 3500 qu'un 2910 pour ton "coeur"


---------------
Jujudu44
Reply

Marsh Posté le 16-06-2010 à 08:15:33    


dreamer18 a écrit :

il faut que tu fasses du 802.1x avec assignation automatique de vlan en fonction de la mac


 
ok pour le 802.1X pour les pc/mac.
pour les équipements statiques (imprimante/camera) qui ne supporte pas le 802.1X je les affecte dans des vlans par port.
 

jujudu44 a écrit :

Deja les 2510 sont EOS donc tu remplaces par du 2610. Prend plutot un 3500 qu'un 2910 pour ton "coeur"


 
2510 out ? ils vont être remplacé par les 2520 ?
2610 ok ca peut me permettre de gérer les ACL sur les switch de périphérie ?!
 
pour le 3500, tu me le conseilles car ses performances sont meilleures ?
 
 
merci pour vos réponses

Reply

Marsh Posté le 16-06-2010 à 09:54:15    

L'authentification par adresse MAC est très simple à contourner.  
(il suffit d'écouter sur le réseau et de configurer une adresse MAC déjà connue).
 
Pour du wifi tu devrais regarder vers des solutions un peu plus sécurisées.
(le certificat c'est le mieux mais la mise en place de la PKI peut s'avérer compliquée).  
 

Reply

Marsh Posté le 16-06-2010 à 10:45:01    

pkc a écrit :

L'authentification par adresse MAC est très simple à contourner.  
(il suffit d'écouter sur le réseau et de configurer une adresse MAC déjà connue).
 
Pour du wifi tu devrais regarder vers des solutions un peu plus sécurisées.
(le certificat c'est le mieux mais la mise en place de la PKI peut s'avérer compliquée).  
 


 
C est pour ca que je voulais faire une double authentification.
Adresse mac/radius + groupe dans l'ad.
 
Pour le wifi je pense passez par un controleur type MSM710

Reply

Marsh Posté le 17-06-2010 à 13:05:39    

Le 2910 supporte pas le VRRP alors que le 3500 oui via lic Premium. Ca justifie le choix sans parler du reste


---------------
Jujudu44
Reply

Marsh Posté le 18-06-2010 à 00:03:36    

jujudu44 a écrit :

Le 2910 supporte pas le VRRP alors que le 3500 oui via lic Premium. Ca justifie le choix sans parler du reste


 
tu entends quoi par "sans parler du reste" ?
 
 
en tout cas merci a vous d alimenter le forum S&R Pro et pour vos conseils.

Reply

Marsh Posté le 18-06-2010 à 07:16:47    

le 2910 c'est de l'entrée de gamme L2 alors que les 3500 sont bien plus évolués (routages, QoS...)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 18-06-2010 à 15:09:14    

Non l'entree de gamme L2 c'est le 2610, le 2910 est un L2+ avec un vrai bout de L3 dedans. Mais bon c'est du HP et c'est vraiment pas ma tasse de thé meme si bcp de clients en ont chez eux :x


---------------
Jujudu44
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed