Aller au contenu

VLAN dynamique (RADIUS) ou VLAN statique


Cocorino

Messages recommandés

Bonjour, 

Je dois ajouter des VLANs au réseau de mon entreprise. Je trouve que les deux solutions statique ou dynamique sont correctes. Mais mon supérieur aimerait l'avis d'autres personnes. 

Il faut savoir que l'entreprise à 2 routeurs, 61 commutateurs (ils n'ont pas tous 802.1x, dont des L3), 35 Bornes Wi-Fi Unifi, 19 Bornes DECT et environ 400 utilisateurs. Plusieurs utilisateurs se déplacent au sein de nos sites en Wi-Fi ou en Ethernet. Nous avons aussi un réseau VPN actif pour le télétravail.

Nous savons que le serveur RADIUS est compliqué à configurer mais pour notre part la mise en service de vlan statique est tout au temps compliquer.

Nous avons une grosse contrainte, durant la mise en service nous ne devons pas arrêter le réseau et toutes personnes travaillant sur le réseau. C'est pour cette raison qu'avant la mise en service nous aurons une maquette avec tout le matériel pour tous tester.

Pour vous quelle est la meilleure solution entre les VLANs statique ou dynamique, et quel est votre avis sur les deux. Si la meilleure solution est un serveur RADIUS comment cela fonctionne pour des bornes DECT.

Merci d'avoir pris le temps de lire

 

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Cocorino,

Ce site étant un site communautaire de passionnés de NAS de la marque Synology, demander ici des renseignements pour une entreprise de cette taille ne me semble pas du tout pertinent. Je ne peux que te conseiller de faire appel à un prestataire de conseil spécialisé dans les architectures et la sécurité des réseaux LAN.

Ceci dit, je vais essayer de t'aider car je travaille dans une entreprise de taille similaire dans laquelle j'ai mis en place des VLAN statiques (il y a longtemps maintenant).

il y a 25 minutes, Cocorino a dit :

Je dois ajouter des VLANs au réseau de mon entreprise.

Ceci est un choix technique. Qu'est-ce qui a motivé le choix de mettre en place des VLAN ? Quel est le besoin ?

S'agit-il de propager dynamiquement des VLAN à tous les switches du réseau et/ou d'attribuer dynamiquement un VLAN à chaque client ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @PiwiLAbruti,

Désolé, NAS-furum, est l'un des rares forums où le serveur RADIUS a été évoqué. 

il y a 24 minutes, PiwiLAbruti a dit :

Ceci est un choix technique. Qu'est-ce qui a motivé le choix de mettre en place des VLAN ? Quel est le besoin ?

La motivation est pour sécuriser notre réseau, d'une part pour séparer l'administration de nos utilisateurs ''standards'' , d'autre part pour éviter les connexions à notre réseau sans autorisation.

il y a 24 minutes, PiwiLAbruti a dit :

S'agit-il de propager dynamiquement des VLAN à tous les switches du réseau et/ou d'attribuer dynamiquement un VLAN à chaque client ?

Les deux sont possibles, mais chaque switch aura au minimum 3 à 4 VLAN diffèrent, donc je dirais une attribution dynamique à chaque client.

De plus, je suis nouveau dans ce métier donc les serveurs c'est tout nouveau. Donc je ne sais pas, tout ce qui est possible, ni les limites du serveur RADIUS.

 

Merci d'avoir répondu

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites


Bonjour @Cocorino,

Je rebondis ce que dis @PiwiLAbruti: mettre en place une architecture en demandant des avis sur un forum pas spécialisé sur la techno concernée, c'est un peu suicidaire pour une entreprise.
L'idée de "maquette" comme tu l'appelles peut être formalisée avec un POC, ou un serveur de pré-prod.
Et vous appuyer sur un consultant maîtrisant le sujet ne serait pas du luxe.

My two cents...

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Lelolo,

il y a 12 minutes, Lelolo a dit :

L'idée de "maquette" comme tu l'appelles peut être formalisée avec un POC, ou un serveur de pré-prod.

Concernant la preuve de concept cela est déjà en cours, mais nous devons obligatoirement passer par une maquette pour tester chacun de nos matériels (BW, Borne DECT, serveur, nas, ordinateur Windows 7 à 11, et nos switchs de diverses générations). Nous devons absolument pas nous planter lors de la mise en service de nos vlan donc aussi de notre serveur s'il s'agit de vlan dynamique.

il y a 12 minutes, Lelolo a dit :

un consultant maîtrisant le sujet ne serait pas du luxe

Malheureusement, nous ne pouvons pas nous le permette le covid à laisser des traces.

Merci de ta réponse

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Cocorino a dit :

De plus, je suis nouveau dans ce métier donc les serveurs c'est tout nouveau.

[...]

Malheureusement, nous ne pouvons pas nous le permette le covid à laisser des traces.

Dans ces conditions, je déconseille fortement l'utilisation de RADIUS car :

  • L'utilisation d'un service RADIUS pour l'atribution des VLAN aux clients rend l'accès au réseau dépendant de ce service. Si le service RADIUS n'est pas disponible, les clients ne pourront pas se connecter ou se retrouveront dans un VLAN par défaut (donc à priori pas le bon VLAN).
  • Il faut au minimum deux serveurs RADIUS répliqués et sauvegardés, et les héberger sur deux matériels différents pour assurer la continuité de service. Selon l'architecture du réseau, il peut être préférable de les placer à deux points différents du réseau.

Est-il fréquent qu'un même port réseau puisse être utilisé par des appareils devant appartenir à des VLAN différents ? Si oui, combien de ports sont concernés sur le total ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, PiwiLAbruti a dit :

Est-il fréquent qu'un même port réseau puisse être utilisé par des appareils devant appartenir à des VLAN différents ? Si oui, combien de ports sont concernés sur le total ?

La solution de deux serveurs est envisagée et même sur, nous avons déjà deux serveurs avec AD et leur propre NAS. 

oui, très fréquent.

Il y a plus de 200 ports dans ce cas (VLAN donnée / voix, ou VLAN donnée/voix/administration réseau, ou encore des minis SW qui sont voués à disparaître), nous avons 1/4 de nos matériels qui sont dédié à de l'administration (RH, chef de service, directeur, comptabilité, chercheur, etc.) donc ils ont chacun besoin de leurs vlan donnée et de voix (TEAMS ou Téléphonie IP)

physiquement il s'agit de 2,5 bâtiments + des services dispatcher sur le site.

De pus nous avons des connexions à distance avec VPN.

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Cocorino a dit :

Il y a plus de 200 ports dans ce cas

Ça me semble être beaucoup. Si je prends le cas d'un poste comptable (plutôt sédentaire donc), la prise qu'il utilise est toujours la même et ne va pas souvent être utilisée par une autre machine assignée à un autre VLAN ?

Est-ce que les postes VoIP utilisent une prise séparée de celle du PC, ou une même prise qui est prolongée vers le PC ? (la plupart des téléphones IP ont deux ports RJ45 au dos)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, Cocorino a dit :

Il faut savoir que l'entreprise à 2 routeurs, 61 commutateurs (ils n'ont pas tous 802.1x, dont des L3), 35 Bornes Wi-Fi Unifi, 19 Bornes DECT et environ 400 utilisateurs. Plusieurs utilisateurs se déplacent au sein de nos sites en Wi-Fi ou en Ethernet. Nous avons aussi un réseau VPN actif pour le télétravail.

une entreprise de cette taille qui n'a pas les moyens de se tourner vers un professionnel.
 pour rester poli, j'en reste pantois

 

Il y a 3 heures, Cocorino a dit :

De plus, je suis nouveau dans ce métier donc les serveurs c'est tout nouveau. Donc je ne sais pas, tout ce qui est possible, ni les limites du serveur RADIUS.

c'est tout à ton honneur de vouloir t'attaquer à un tel challenge. tu as quelqu'un pour t'aider ?
 

 

Il y a 5 heures, Cocorino a dit :

Mais mon supérieur aimerait l'avis d'autres personnes. 

l'avis de ce supérieur ne fait pas autorité ? quels sont ses compétences ?

si tu sais gérer la redondance entre 2 radius, les Vlan, les AD aussi je suppose et toute l'infra qui va avec... ton 'chef' est inutile mais si tu te plantes, tout te retombera sur le dos et à ton tour, tu seras Chercheur à l'ANPE
Il n'y a pas de honte à dire que l'on ne sait pas ni ne connait tout. la honte est à celui qui croit tout pouvoir résoudre et qui se vautre lamentablement. ton chef, lui, il a un parachute.
bon courage, j'ai peur pour toi.
 Anti🍺

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, PiwiLAbruti a dit :

Est-ce que les postes VoIP utilisent une prise séparée de celle du PC, ou une même prise qui est prolongée vers le PC ? (la plupart des téléphones IP ont deux ports RJ45 au dos)

Oui et non, il y a des postes et des téléphones qui ont leurs propre ports, et d'autres où le téléphone ip fait passerelle.

il y a une heure, PiwiLAbruti a dit :

une autre machine assignée à un autre VLAN

C'est très rare, voire jamais. Les deux cas possibles sont : soit un nouveau poste, soit nous l'administration réseau.

Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, Antimousse a dit :

tu as quelqu'un pour t'aider ?

Mon collègue qui connaît un peu les VLAN par ces études de l'année dernière.

il y a 29 minutes, Antimousse a dit :

l'avis de ce supérieur ne fait pas autorité ? quels sont ses compétences ?

Si, c'est lui qui tranche mais il n'a jamais eu affaire à des VLANs mais c'est lui qui connaît toute l'infrastructure de l'entreprise. En revanche, il aime avoir des témoignages sûrs  d'autre entreprise les points fort et faible, les avantages, la configuration, le temps. Tout comme d'autre avis sur notre cas. Comme il le dit "plusieurs cerveaux valent mieux qu'un"

il y a 31 minutes, Antimousse a dit :

la redondance entre 2 radius, les Vlan, les AD aussi je suppose et toute l'infra qui va avec... ton 'chef' est inutile mais si tu te plantes,

Je n'ai jamais fait de redondance mais de ce que j'ai vu théoriquement Watchguard, et notre système peut le gérer automatique (c'est déjà le cas avec AD). Deplus nos NAS font des sauvegard régulière.

Sur la question de l'échec elle est non envisageable, c'est pour cela qu'on va faire une maquette (une mini-entreprise). Dès le moment où nous allons l'implanter nous serons 3 à le faire. De plus je suis là pour apprendre, comme je l'ai dit plus haut je suis nouveau dans ce métier.

MAIS avant tout cela il faut que je comprenne si un VLAN dynamique est plus approprié qu'un VLAN statique ou l'inverse.

Lien vers le commentaire
Partager sur d’autres sites

Si les VLAN assignés aux ports ne changent que très rarement, j'opterais sans hésiter pour de l'assignation statique des VLAN (sous réserve d'avoir une référence à jour et maintenue de la relation entre les ports physiques des switches et les numéros des prises murales).

Il reste encore des points à éclaircir :

Il y a 6 heures, Cocorino a dit :

Nous avons une grosse contrainte, durant la mise en service nous ne devons pas arrêter le réseau et toutes personnes travaillant sur le réseau.

La segmentation d'un réseau en utilisant des VLAN implique que chaque VLAN dispose de son propre adressage réseau, ce qui implique un switch de niveau 2+ ou 3 pour le routage interVLAN et le filtrage (si besoin). Est-ce que les nouveaux plans d'adressage ont été définis ?

Ce nouvel adressage implique nécessairement une interruption des communications (locale aux ports modifiés), c'est pourquoi ce type de changement se planifie pour limiter les impacts sur la production (souvent en dehors des heures de travail).

Lien vers le commentaire
Partager sur d’autres sites

@Cocorinototalement hors sujet technique mais uniquement pour ton bien.  désolé du hors sujet.
je ne reprends aucun des mots de ton message précédent et encore moins tes réponses entières
si tu es la dernière roue du carrosse ""embauchée"" dans cette entreprise, je regrette de te dire que tu seras la première à en partir.
ne te lance pas à évoquer des solutions que tu ne maitrises pas à 100%. d'après ce que je comprends, il y a des gens plus anciens que toi dont ton 'chef' et ses collègues. c'est lui qui analyse et qui doit prendre en considération les capacités de toute son équipe pour décider, justifier et assumer le résultat (surtout les erreurs).
 ne te mouille pas dans ce délire. il y a des sociétés pro pour cela et si ça ne marche pas, cela ne sera pas de ton fait car d’après ce que je comprends de ce que tu écris, tu es le petit dernier et c'est toi le fusible.
 ce qui me fait flipper, avec une tel infra et de tels moyens, es tu sur de la pérennité de ta société ?  TU( je mets de majuscules pour le respect que j'ai en TOI) Tu me fais penser à un stagiaire de l'af..pa ou d'un autre organisme de formation et qui est parachuté dans un boite (pour un stage de fin d'année) qui ne cherche qu'a exploiter toutes les directions que tu aurais pu leur apporter. à moindre coup bien sur.
j'ai vu tellement de cas comme le tient durant toutes mes décennies de membre de jury pour décerner des diplômes reconnus...
encore une fois, bon courage à Toi. désolé d'être franc et de te faire part de mon ressenti.
ANTI🍺
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, PiwiLAbruti a dit :

statique des VLAN

Très bien, est-il possible de mélanger les deux types de VLAN. Pour les lieux où les postes sont sédentaires mettre des VLAN statiques et pour le reste des VLAN dynamiques?

il y a 30 minutes, PiwiLAbruti a dit :

Est-ce que les nouveaux plans d'adressage ont été définis ?

Cela est envisagé, pour l'instant je suis seulement dans la recherche de la meilleure solution donc si un nouveau plan d'adressage est à définir, nous le ferons. De plus nous utilisons un serveur DHCP ou nous fixons les adresses en fonction des adresses mac. Ce qui nous rend la tâche facile pour modifier l'adressage.  

@Antimousse merci, mais je le sais déjà, on a parié pour mon stage de fin d'études (je viens d'informatique industriel donc le code je connais), mon patron à décider de reparier sur moi pour un an, je le sais que je suis le fusible. Pour finir mon patron est très compréhensible, et aime apprendre de nouvelle chose même s'il reste frileux sur la destruction du réseau😂(logique). De plus j'aime bien les défis, et apprendre par moi-même est plus attirant. Donc cela me dérange pas. Et je comprend ton resenti, et merci. 

Désolé pour le hors sujet

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbruti

Donc il est complètement possible de mettre des VLAN statiques dans les lieux où les postes ne changent pas, et mettre des VLAN dynamique pour les personnes qui se déplacent que ça soit par RJ45 et Wi-Fi ou VPN?

Deplus si on ajoute un découpage d'adresse IP cela nous permet de mieux isoler et de mieux comprendre les vlans.

Modifié par Cocorino
Lien vers le commentaire
Partager sur d’autres sites

Ces deux questions me font peur car elles révèlent que mes explications ne sont pas claires du tout ou qu'elles n'ont servi à rien. Vu la taille de l'entreprise et le sujet abordé, je ne peux que vivement vous recommander de vous tourner vers un professionnel sinon vous allez clairement droit dans le mur.

Si vous voulez persister à le faire par vous-même, montez un lab, éprouvez-le, et revenez poser des questions si nécessaire.

 

Lien vers le commentaire
Partager sur d’autres sites

J'enfonce le clou : le projet est trop vaste et important pour ne passer que par des échanges sur un forum.
Il faut un expert en accompagnement de celui-ci, y compris sur les hypothèses du processus de mise en œuvre des poc/pov...
Et si ça coûte "trop" cher, c'est qu'il y a un problème de gouvernance. Il faut se donner les moyens de ses choix stratégiques/opérationnels.
Désolé de jargonner comme un consultant, mais je pense qu'il y a un problème. Et ce n'est pas contre toi @Cocorino.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.