Forum général.général Architecture réseau - votre avis ?

Posté par  .
Étiquettes : aucune
0
20
mai
2007


Bonjour à tous,




Fervent lecteur de linuxfr depuis des années, j'effectue enfin mon premier post pour vous demander votre avis sur une mission que j'entreprends.




Je suis novice dans la pratique en architecture réseau, et j'interviens dans une école dont la qualité des communications réseau, notamment www, pose problème (j'en souffre au moment même :). Mes premiers travaux consistent à mettre en place un serveur proxy squid/squidGuard, ce qui ne devrait pas être difficile, puis attaquer la mise en place de QoS sur un routeur linux/netfilter, là je risque de m'arracher les cheveux, nous aurons peut-être l'occasion d'en reparler :)




Bref, malgré la mise en place de ces services, je ne pense pas que cela règle le problème car plus j'y regarde de près, plus l'architecture me semble inappropriée. J'en fait donc appel à votre expérience. Voici donc le schéma du réseau, sa description, les problèmes soulevés et les solutions proposées.



Schéma réseau :




########## --[ SIT1 ]-- . . . Liaison hertzienne . . . --[ SIT2 ]--
# WWW LS #
########## [- ns1 (dns/smtp) -]
| || || LAN 192.168.0.0/21 ||
$$ switch $$--{IP PUBLIQUE} || LAN 172.16.0.0/21 ||
| |
{IP PUBLIQUE } +------$$ switch $$
|| . |
@@ routeur @@={172.16.1.4, 192.168.3.100} sit2 {192.168.1.2}
|| | . {172.16.1.2}
{10.0.0.4} $$ switch $$ . .sit1. . . . ~BLR~ ||
| | 15Km @@ routeur @@
$$ switch $$ || LAN 172.16.0.0/21 || |
| || LAN 192.168.0.0/21 || ###########
| | | # WWW SAT #
| [- serveurs -] [- clients -] ###########
|
+---{10.0.0.243}=[- www -]
+---{10.0.0.10 }=[- postfix -]
_________________________________________________________

$$ $$ : switch BLR : 11Mb
@@ @@ : routeur LS sit1 : 2Mb
== / || : interface réseau SAT sit2 : 2Mb/512Kb
-- / | : cable ethernet
....... : liaison hertzienne



Définition du réseau




Le réseau est réparti sur deux sites distants de 15km, reliés par une BLR (Bande Locale Radio) à 11Mbit/s. D'après la configuration en place, en l'absence de sous-réseau propre à chaque site, en l'absence de routeur de chaque côté de la BLR, je suppose que cette liaison peut être considérée comme un câble réseau classique (équipement à vérifier).



  • Les sous-réseaux 172.16.0.0/21 et 192.168.0.0/21 partagent le même réseau physique à travers les deux sites : une machine se connectant sur le "sit1" obtiendra la même adresse que sur le "sit2".

  • Les clients du réseau local sont configurés par un serveur dhcp présent sur "sit1" (ip statique par MAC) de la manière suivante, quel que soit le site sur lequel ils se trouvent. A part les serveurs tous présents sur "sit1", les catégories suivantes sont éclatées sur "sit1" et "sit2" mais disposent dans les deux cas de la même configuration IP :


    • Personnel - env. 100 - net 172.16.0.0/21 - gw "site1"

    • Serveurs - env. 15 - net 172.16.0.0/21 - gw "sit1" 172.16.1.4

    • Salles de cours - env. 100 - net 192.168.0.0/21 - gw "sit1" 192.168.3.100


    • Portables étudiants - env. 300 - net 192.168.0.0/21 - gw "sit2" 192.168.1.2



  • NB : Les étudiants utilisent la gw de "sit2"

  • La passerelle "sit1" redirige le flux www vers la LS


  • La passerelle "sit2" redirige le flux www vers la liaison SAT



Problèmes posés par cette configuration




  • Le fonctionnement des clients sur le réseau dépend de la configuration fournie par le serveur dhcp sur "sit1", il n'y a pas de maîtrise de l'éventuelle modification de la configuration du poste


  • Les étudiants présents sur "sit1" (192.x) ayant besoin d'accéder à un serveur sur le même "sit1" (172.x) passent par la BLR pour rejoindre "sit2" sur lequel est hébergée leur passerelle : aller-retour gratuit !

  • Le trafic intersite passant par la BLR n'est pas maîtrisé du fait de l'absence de firewall, et cette liaison laisse passer le broadcast puisque les clients de "sit2" obtiennent leurs adresses IP depuis le serveur DHCP présent sur "sit1".


  • Il n'y a pas de serveur dhcp sur "sit2", en cas de d'indisponibilité de la BLR les postes n'obtiennent pas d'adresse ip

  • Le serveur ns1 est connecté directement sur Internet (!!!)



Solutions proposées




  • Quel intérêt d'utiliser conjointement un réseau 192 et un réseau 172 (Il y en a peut-être un qui m'échappe...) ? Tout passer dans l'un ou l'autre, par exemple utiliser les sous réseaux 192.168.0.0/21, 192.168.8.0/21, etc, il y a de la marge avec plus de 1500 machines par sous-réseau.

  • Créer un sous-réseau pour chaque site, en séparant sur chaque site étudiants et personnel. La configuration du poste dépendra alors du site et de la catégorie d'utilisation. Ceci permettra notamment aux étudiants présents sur "sit1" d'utiliser une passerelle sur "sit1" qui, elle, enverra la trafic www vers BLR-VSAT, mais gardera le trafic vers les serveurs de "sit1" en interne.

  • Placer les serveurs dans un sous-réseau qui leur est propre

  • Mettre place des VLAN pour contrôler l'attribution des IP sur les prises réseau (?)

  • Le fait que le personnel de "sit2" utilise la LS de "sit1" en passant par la BLR pour accéder à Internet est discutable, performances à étudier.

  • Placer ns1 derrière le firewall



Qu'en pensez vous ? Merci d'avance pour vos remarques/conseils !
  • # .

    Posté par  . Évalué à 3.

    C'est vrai que ca m'a l'air d'être un joli bazard ton truc ;)

    Alors ce que je verrais pour ma part :
    - Faire des sous réseaux distinct pour chaque site pour eviter le broadcast par la BLR
    - brancher la BLR sur les routeurs et non sur les switch pour eviter au maximum les aller / retour gratuit
    - mettre un DHCP de chaque coté de la BLR. Si la BLR tombe, que la moitié d'un etablissement puisse ne plus fonctionner et selon moi une abération
    - mettre un ti firewall devant le serveur de nom ca peut toujours etre utile.

    Ensuite, le reste, segmentation en sous réseau pour les serveur, vlan, ca dépend du temps que tu as à y consacrer, du temps que tu à rédiger le plan d'adressage et autre document, et le sérieux avec lequel tu comptes t'y investir (et tes successeurs). Plus un réseau est segmenté, plus il y est facile d'administrer les flux (QoS etc..) mais plus il demande de temps pour sa mise en place et le suivit de son évolution
    • [^] # Re: .

      Posté par  . Évalué à 1.

      Merci pour ta réponse, tu confirmes donc ce que je pensais. Il me reste un petit mois pour réviser les firewall et mettre en place la qos, ça va le faire. Pour la segmentation du réseau je me contenterais de le documenter.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.