Routing Switch et Vlan

[CospiracY]

Bonjour a tous,

Je viens d'arriver dans ma nouvelle boite et je me rend compte avec stupeur que leur réseau est entierement constitué de Vlan.

Je m'explique :

De ce que je vois, ils utilisent des routing switchs ou dedans ils ont crées plusieurs vlan avec des passerelles virtuelles pour relier chaque réseaux.
Actuellement, ils ont environs 5 à 6 vlan par site.
Ils ont meme separé par des vlans les serveurs (defois un seul serveur se retrouve sur un vlan), les postes dhcp, les postes IP fixe et meme les switchs ont leurs propre vlan

De ce que j'ai compris, ils ont fait ca pour éviter que des programmes (virus, bug logiciel, etc) broadcast le réseau.
OK pour l'idée car effectivement ca devrai etre efficace mais le probleme, c'est que je trouve que cela rend le réseau très lourd à gerer.
De plus, je ne suis pas persuadé que cela empeche les virus de se propager et cela doit faire baisser les performances du réseau.

Etant donné que c'est la premiere fois que je vois ce type d'architecture, je voulais savoir ce que vous en pensez ? Avez vous deja vu ca ? Est-ce vraiment utile de tout cloisonner dans des vlan à l'ère de la mutalisation ?

Merci pour vos avis eclairé

[Timil]

Ca empêche certains virus de se transmettre... mais dès que l'on passe la passerelle (qui ne fait pas antivirus justement) il fait ce qu'il veux le virus.

Par contre c'est très efficace pour segmenter l'accès au réseaux.

Ils ont plus de 100 machines par sites et des segments (vlan) hautements sensibles? Sinon effectivement je ne vois pas l'interret.

On segmente plutôt en "haute sécurité"/"intra"/"inter"/"publique"/VOiP que pour limiter le broadcast (qui de toute façon n'est plus courant que dans les logiciels non compatibles 2003...)

[CospiracY]

Je comprend l'interet de segmenter un reseau (dmz, haute securité, etc)

Mais ici ils ont segmenté genre : 2 serveur TSE / Serveur gestion / serveur indus / switchs / dhcp / ip fixe / wifi / etc

Il y a je pense plus de 100 postes par site.
Mais pour gerer un grand nombre de postes vaut-il pas mieux separer les réseau en utilisant un masque à 255.255.0.0 et separer genre 172.10.1.x / 172.10.2.x / etc ? au lieu de faire des vlans ?

[Timil]

Oui et non.
Oui pour la gestion niveau système, car cela permet de ne pas se pendre la tête pour l'accès aux données.
Non pour la gestion de la bande passante et la sécurité, car c'est tout le monde en vrac.

Mais bon, faire un VLan pour le materiel actif, un pour les serveurs DMZ, un pour les serveurs "lambda" et un pour les postes de travail (les deux ensembles) c'est déjà chiant mais pratique.

Le vrai problème "à priori" de ta configuration est que tu as des goulots d'étranglement aux niveau des fonctions routage de tes routeurs (ou switchs routeurs) puisque l'on doit router entre vlan.

[ashrem]

C'est quoi comme matériel s'il te plaît ?
je te demande ça car je suis en train de travailler sur un projet dont la finalité est de sgmenter le réseau d'une entreprise avec vlan utilisateurs wi-fi, vlan postes fixes, vlan serveurs, vlan admin, vlan entrepots, ect ...
Le but hormis effectivement de limiter le brodcast est d'utiliser IAS/RADIUS pour sécuriser le réseau.
J'avoue pour le moment buter sur des problèmes dans la config. d'IAS (voir post suivant si ca vous interesse: Authentification RAdius/IAS via EAP-TLS+VLANs dynamiques) mais suis assez partant pour t'aider (si je peux car je suis encore assez Noob ) et également pour avoir un retour par rapport aux problèmes que tu rencontre actuellement (je ne me suis pas encore penché sur les questions de performance, j'essaie déjà de faire marcher le bignou et de maquetter mon projet).

[kazer]

Déterrage
Second et dernier avertissement