Forum général.général Architecture réseau - votre avis ?

Bonjour à tous,

Fervent lecteur de linuxfr depuis des années, j'effectue enfin mon premier post pour vous demander votre avis sur une mission que j'entreprends.

Je suis novice dans la pratique en architecture réseau, et j'interviens dans une école dont la qualité des communications réseau, notamment www, pose problème (j'en souffre au moment même :). Mes premiers travaux consistent à mettre en place un serveur proxy squid/squidGuard, ce qui ne devrait pas être difficile, puis attaquer la mise en place de QoS sur un routeur linux/netfilter, là je risque de m'arracher les cheveux, nous aurons peut-être l'occasion d'en reparler :)

Bref, malgré la mise en place de ces services, je ne pense pas que cela règle le problème car plus j'y regarde de près, plus l'architecture me semble inappropriée. J'en fait donc appel à votre expérience. Voici donc le schéma du réseau, sa description, les problèmes soulevés et les solutions proposées.

Schéma réseau :

##########            --[ SIT1 ]--  . . . Liaison hertzienne . . . --[ SIT2 ]--


# WWW LS #


##########     [- ns1 (dns/smtp) -]


     |                ||                                 || LAN 192.168.0.0/21 ||


$$ switch $$--{IP PUBLIQUE}                              || LAN 172.16.0.0/21  ||


     |                                                                |


{IP PUBLIQUE }                                            +------$$ switch $$


     ||                                                   .           |          


@@ routeur @@={172.16.1.4, 192.168.3.100}                sit2   {192.168.1.2}


     ||                          |                        .     {172.16.1.2}


{10.0.0.4}                  $$ switch $$ . .sit1. . . . ~BLR~         ||


     |                           |                       15Km     @@ routeur @@


$$ switch $$           || LAN 172.16.0.0/21  ||                       |


     |                 || LAN 192.168.0.0/21 ||                    ###########


     |                     |             |                         # WWW SAT #


     |            [- serveurs  -]     [- clients -]                ###########


     |


     +---{10.0.0.243}=[- www -]


     +---{10.0.0.10 }=[- postfix -]


_________________________________________________________





$$   $$ : switch                  BLR  : 11Mb


@@   @@ : routeur                 LS  sit1 : 2Mb


== / || : interface réseau        SAT sit2 : 2Mb/512Kb


-- / |  : cable ethernet


....... : liaison hertzienne

Définition du réseau

Le réseau est réparti sur deux sites distants de 15km, reliés par une BLR (Bande Locale Radio) à 11Mbit/s. D'après la configuration en place, en l'absence de sous-réseau propre à chaque site, en l'absence de routeur de chaque côté de la BLR, je suppose que cette liaison peut être considérée comme un câble réseau classique (équipement à vérifier).

• Les sous-réseaux 172.16.0.0/21 et 192.168.0.0/21 partagent le même réseau physique à travers les deux sites : une machine se connectant sur le "sit1" obtiendra la même adresse que sur le "sit2".
  


• Les clients du réseau local sont configurés par un serveur dhcp présent sur "sit1" (ip statique par MAC) de la manière suivante, quel que soit le site sur lequel ils se trouvent. A part les serveurs tous présents sur "sit1", les catégories suivantes sont éclatées sur "sit1" et "sit2" mais disposent dans les deux cas de la même configuration IP :
  
  
  
  
  • Personnel - env. 100 - net 172.16.0.0/21 - gw "site1"
    
  
  
  • Serveurs - env. 15 - net 172.16.0.0/21 - gw "sit1" 172.16.1.4
    
  
  
  • Salles de cours - env. 100 - net 192.168.0.0/21 - gw "sit1" 192.168.3.100
    
    
  
  
  • Portables étudiants - env. 300 - net 192.168.0.0/21 - gw "sit2" 192.168.1.2
    
  
  
  
  


• NB : Les étudiants utilisent la gw de "sit2"
  


• La passerelle "sit1" redirige le flux www vers la LS
  
  


• La passerelle "sit2" redirige le flux www vers la liaison SAT
  

Problèmes posés par cette configuration

• Le fonctionnement des clients sur le réseau dépend de la configuration fournie par le serveur dhcp sur "sit1", il n'y a pas de maîtrise de l'éventuelle modification de la configuration du poste
  
  


• Les étudiants présents sur "sit1" (192.x) ayant besoin d'accéder à un serveur sur le même "sit1" (172.x) passent par la BLR pour rejoindre "sit2" sur lequel est hébergée leur passerelle : aller-retour gratuit !
  


• Le trafic intersite passant par la BLR n'est pas maîtrisé du fait de l'absence de firewall, et cette liaison laisse passer le broadcast puisque les clients de "sit2" obtiennent leurs adresses IP depuis le serveur DHCP présent sur "sit1".
  
  


• Il n'y a pas de serveur dhcp sur "sit2", en cas de d'indisponibilité de la BLR les postes n'obtiennent pas d'adresse ip
  


• Le serveur ns1 est connecté directement sur Internet (!!!)

Solutions proposées

• Quel intérêt d'utiliser conjointement un réseau 192 et un réseau 172 (Il y en a peut-être un qui m'échappe...) ? Tout passer dans l'un ou l'autre, par exemple utiliser les sous réseaux 192.168.0.0/21, 192.168.8.0/21, etc, il y a de la marge avec plus de 1500 machines par sous-réseau.
  


• Créer un sous-réseau pour chaque site, en séparant sur chaque site étudiants et personnel. La configuration du poste dépendra alors du site et de la catégorie d'utilisation. Ceci permettra notamment aux étudiants présents sur "sit1" d'utiliser une passerelle sur "sit1" qui, elle, enverra la trafic www vers BLR-VSAT, mais gardera le trafic vers les serveurs de "sit1" en interne.
  


• Placer les serveurs dans un sous-réseau qui leur est propre
  


• Mettre place des VLAN pour contrôler l'attribution des IP sur les prises réseau (?)
  


• Le fait que le personnel de "sit2" utilise la LS de "sit1" en passant par la BLR pour accéder à Internet est discutable, performances à étudier.
  


• Placer ns1 derrière le firewall