Remplacement de LS par connection xDSL

Remplacement de LS par connection xDSL - Télécom - Systèmes & Réseaux Pro

Marsh Posté le 17-11-2007 à 10:25:29    

J'ai l'architecture qui est la suivante:
 
Un bâtiment central avec le cœur de réseau et la ferme de serveur : CISCO 4500 sur lequel est relié 7 LS -> des sites distants sur lesquels sont aussi reliés des LS ->  encore des sites distants
 
En gros il y a une notions de hiérarchie. Le propriétaire du réseau souhaite alléger sa facture télécom et pour cela il va supprimer ces LS en raccordant les sites distants au xDSL.  
 
Il faut savoir que :  
 
-Il y a des serveurs dans ces sites distants qui vont migrer au DSI du batiments central.
-A l'origine toute personne voulant se connecter à Internet passait par la DSI (batiment central) ou derrière un firewall on a une LS 2Mb vers internet.
 
Mes questions sont donc:
 
-Quelle est la solution pour relier tous les sites distants à la DSI en gardant une bonne sécurité dans la transaction des flux? => VPN je pense ?
-Pour l'accès internet est il judicieux de toujours les faire passer par la DSI ou chaque site se débrouille avec son accès xDSL?
 
Merci bcp de l'attention que vous porterez à ce poste.


Message édité par raw42 le 17-11-2007 à 10:40:21
Reply

Marsh Posté le 17-11-2007 à 10:25:29   

Reply

Marsh Posté le 17-11-2007 à 12:03:16    

Je gère actuellement le même système là où je bosse.
A savoir : plusieurs établissements distants, et nous au Siège.
Chaque ets à une connection internet (ADSL) avec VPN jusqu'au Siège.
Donc quand ils vont sur le net, ils font plus ou moins ce qu'ils veulent.
Donc pour l'acès à Internet, ca veut dire aussi multiplier les mêmes règles de sécurité.
Une fois que tu relies tes sites distants au site central, tu gères la sécurité à partir de ton firewall.
Au moins, dès que tu veux mettre en place quelquechose, tu ne dois pas le répliquer sur tous les sites.
(par exemple : blocage des ports emule and co, sur un seul fw, pas sur tous les fw etc...)
perso, je réfléchis en ce sens, car si je dois vérifier tous les fw à chaque fois, c'est perte de temps et risque d'erreur.

Reply

Marsh Posté le 17-11-2007 à 12:08:49    

Si on te demande de réflechir sur ce genre de devoir, le mieux serait de le faire plutôt que de demander directement sur un forum.

Reply

Marsh Posté le 17-11-2007 à 12:28:30    

il a peut être pas les connaissances pour :/


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 17-11-2007 à 12:34:26    

Moi aussi j'ai pas les connaissances pour, mais rien n'empeche d'y réfléchir.
On est pas toujours tout seul non plus, on a souvent des prestataires de service (ou hotline de logiciels) qui peuvent nous renseigner.

Reply

Marsh Posté le 17-11-2007 à 12:36:07    

Les profs sont là pour aider.
Après là je trouve qu'il n'y a pas assez de détail (même si la solution VPN est la solution, la partie accès au net là il manque des éléments)

Reply

Marsh Posté le 17-11-2007 à 12:55:52    

Je@nb a écrit :

Si on te demande de réflechir sur ce genre de devoir, le mieux serait de le faire plutôt que de demander directement sur un forum.


 
C'est ce que je fais. Je demande juste l'avis à d'autres personnes et je vois que cela rejoint ce que j'avais pensé puisque dans mon post ya l'élément de réponse que je pensais apporter.
 
J'ai une partie des connaissances pour mais l'autre je dois l'apprendre en lisant des articles sur le sujet, questionnant des personnes qui ont mis en place ce genre de solution car le réseau ca s'apprend plus "sur le tas" que dans les livres et je préfère avoir un retour sur expérience d'une solution que j'avais pensé envisager plus qu'un paragraphe dans un tutorial/article sur le sujet qui reste très objectif et ne s'appuie pas réellement sur l'utilisation de ce type d'architecture.

Reply

Marsh Posté le 17-11-2007 à 12:58:14    

titides a écrit :

Je gère actuellement le même système là où je bosse.
A savoir : plusieurs établissements distants, et nous au Siège.
Chaque ets à une connection internet (ADSL) avec VPN jusqu'au Siège.
Donc quand ils vont sur le net, ils font plus ou moins ce qu'ils veulent.
Donc pour l'acès à Internet, ca veut dire aussi multiplier les mêmes règles de sécurité.
Une fois que tu relies tes sites distants au site central, tu gères la sécurité à partir de ton firewall.
Au moins, dès que tu veux mettre en place quelquechose, tu ne dois pas le répliquer sur tous les sites.
(par exemple : blocage des ports emule and co, sur un seul fw, pas sur tous les fw etc...)
perso, je réfléchis en ce sens, car si je dois vérifier tous les fw à chaque fois, c'est perte de temps et risque d'erreur.


 
 
Merci beaucoup, c'est ce que je voulais lire! je pensais envisager ca mias il me semblait "étrange" que les flux internet passe par le siege même s'il est vrai que cela permet de centraliser la gestion de ceux ci.
 

Reply

Marsh Posté le 17-11-2007 à 13:36:26    

raw42 a écrit :


 
C'est ce que je fais. Je demande juste l'avis à d'autres personnes et je vois que cela rejoint ce que j'avais pensé puisque dans mon post ya l'élément de réponse que je pensais apporter.
 
J'ai une partie des connaissances pour mais l'autre je dois l'apprendre en lisant des articles sur le sujet, questionnant des personnes qui ont mis en place ce genre de solution car le réseau ca s'apprend plus "sur le tas" que dans les livres et je préfère avoir un retour sur expérience d'une solution que j'avais pensé envisager plus qu'un paragraphe dans un tutorial/article sur le sujet qui reste très objectif et ne s'appuie pas réellement sur l'utilisation de ce type d'architecture.


 
pour moi il y a pas de solutions toutes faites.
Ca dépend du matos à disposition (on peut synchroniser des confs par exemple), des compétences des personnes en chaque point, du nombre de personnes à chaque siège, des vitesses de connexion, des besoins.
Tu peux avoir des branches avec peu de personnes et aucun admins où tout sera renvoyé vers le central mais aussi avoir des sites un peu plus important où là il serait avantageux d'offrir un accès direct. Par ailleurs si le site principal n'a plus de NET tu peux basculer le traffic vers un autre.

Reply

Marsh Posté le 17-11-2007 à 13:59:14    

Oui tu as raison. Globalement cest traffic tres faible. Une entre 5 et 20 personne / site distant et ss applications nécessitant un grand besoin en BP.

Reply

Marsh Posté le 17-11-2007 à 13:59:14   

Reply

Marsh Posté le 17-11-2007 à 14:02:34    

Ok donc dans ce cas en effet pour des raisons de simplicité autant tout faire partir sur le site central.

Reply

Marsh Posté le 17-11-2007 à 14:16:24    

p-e voir aussi du coté de ICAP.

Reply

Marsh Posté le 17-11-2007 à 15:10:57    

Je@nb a écrit :

Les profs sont là pour aider.

Heu ... mais tu es sur un forum PRO, donc les profs tu oublies aussi .... tu sais, l'informatique ca existe aussi en entreprise, pas qu'à l'école ...

Reply

Marsh Posté le 17-11-2007 à 15:12:55    

titides a écrit :

Heu ... mais tu es sur un forum PRO, donc les profs tu oublies aussi .... tu sais, l'informatique ca existe aussi en entreprise, pas qu'à l'école ...


 
Sauf que c'est pour un truc d'école...

Reply

Marsh Posté le 17-11-2007 à 15:25:11    

Pour ma part, je pense réaliser un jour cette solution car :
- le VPN est déjà utilisé pour certaines applis (finances & grh)
- les lignes adsl font au moins 1 Mb chacune et maxi 15 users par ets (parfois 2).
- il y a un projet de déménagement (donc autant réfléchir à améliorer le système)
- ce système peut être intéressant au niveau sécurité, filtrage, antivirus, etc ..
- possibilité d'avoir des serveurs secondaires dans les etablissements. (AD, Antivirus centralisé)
 
Je pense centraliser par cette solution au moins 2 opérations : identification & sécurité.
Comme ça, tu gères les connexions entrantes et sortantes via le Firewall, et tu centralises tout ça.
Par exemple : les connexions de prestataires de service (maintenance) et redirection vers le serveur.
Comme je suis obligé de passer par le VPN pour les applis, autant que ca sert à autre chose.
(car je ne me vois pas multiplier les solutions, et quelque part, ca serait une perte d'argent inutile)
 
Ceci dit, si y'a des LS, ca veut dire que tout passait par le site central aussi.

Reply

Marsh Posté le 08-04-2008 à 13:55:10    

je vous suggére la freebox qui est la plus robuste, bref vous prenez un compte chez free en dégroupage total et un compte chez orange en non dégroupé ou en dégroupage partiel.
Pour le reste :
 

Citation :

Coté materiel, en admenttant que j'ai pris FREE et LENEUF par exemple ...
Je configure leurs engins en mode BRIDGE, c'est a dire qu'il ne sont que des pauvres modems ...
J'utilise une machine peu puissante, avec 3 interfaces réseaux sous PFSENSE j'en dédis une au LAN les 2 autres, a mes deux FAI.
Je configure PFSENSE en activant le "CARP" me semble t'il qui lui permet de gérer le fonctionnant failover (voir loadbalancing) des liens ADSL.
Bien sur, il existe des "boitiers" tout fait fesant ceci ...


 
Comme ca l'a été dit je trouve que c'est la meilleur des solutions

Reply

Marsh Posté le 08-04-2008 à 20:51:53    

darkvinci a écrit :

je vous suggére la freebox qui est la plus robuste

 
 :lol:   une freebox remplacera jamais une LS, faut pas rêver !
D'ailleurs, s'il y a LS, c'est qu'il doit y avoir du trafic sensible.
La LS ne se justifie pas par son débit (faible la plupart du temps).
Amha, si tu fais en entreprise, on te vire illico presto !

Reply

Marsh Posté le 09-04-2008 à 15:53:53    

Chez nous c'est un site central avec un acces net fibre. Et des agences avec des sdsl geré par un operateur et un VPN national. Tout passe par le site central a travers un proxy et un firewall.
Toute la securité est centralisée. Par contre il faut des lignes qui tiennent le coup suivant le nombre d'utilisateurs pour chaque agence.

 

Concernant les freebox c'est utile pour un acces au net simple, j'ai des clients qui ont ce type d'architecture. Une sdsl 2mbits pour les serveurs mail etc (toute la partie sensible), et une freebox pour l'acces internet des utilisateurs. Ca permet de limiter les couts d'acces au net pour un tres grand nombre d'utilisateurs (en plein paris avec une freebox on peux alimenter sans probleme plusieurs dizaines d'utilisateurs pour de la consultation web), le rapport prix/utilisateur est imbattable. La securité est moindre mais l'acces web n'est pas aussi sensible que les mails par exemple.


Message édité par M4vrick le 09-04-2008 à 15:55:00

---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 09-04-2008 à 18:57:28    

Mouaip, tu laisses quand même la porte ouverte à ton réseau via une freebox aussi ...
A moins d'être bétonné derrière bien sur ...

Reply

Marsh Posté le 09-04-2008 à 22:30:32    

ah ben oui, y'as un firewall specifique derriere la freebox qui ne laisse rien rentrer du tout, juste le surf en sortie. Désolé ca me parraissais evident, je ne l'ai pas signalé. Que ca soit une freebox , une SDSL ou une LS ne change rien a ce niveau la.
L'idée est juste de separer les acces 'classique' et ceux plus sensibles pour l'activité de l'entreprise.


Message édité par M4vrick le 09-04-2008 à 22:33:15

---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 10-04-2008 à 10:33:16    

Ce qui est évident pour toi, ne l'est pas forcément pour les autres ;)
(c'est l'un des principes de base si on pourrait dire)
Mais c'est quand même bien de le préciser, ca enlève des doutes ;)

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed