Votre question

Controleur de domaine - Vlan

Tags :
  • Réseau
  • Internet
Dernière réponse : dans Internet
Anonyme
2 Juin 2010 16:45:11

Bonjour,

Je vous expose mon problème, je suis en projet de fin d'étude et je dois faire évoluer le système d'information très très vieillissant.

Il m'ait demandé de faire évoluer le réseau afin de:
- Gérer et diminuer les flux.
- Maitriser les liens de secours.
- Mieux gérer les utilisateurs.

Donc je pense mettre en place des Vlans afin de Gérer et diminuer les flux en segmentant le réseau. La mise en place de Switch manageable avec protocole RSTP permettra aussi de Maitriser les liens de secours. Et pour la gestion des utilisateurs, la mise en place d'un contrôleur de domaine.

Le réseau comporte 12 Bâtiments, et près de 150 utilisateurs et une 30aine d'imprimantes réseau. Les services sont à peu près bien répartis par bâtiment (mais certaines personnes sont dans des bâtiments différents de leur service). Tous le réseau est en local (Interconnexion Fibre Optique, WiMax, Wifi).

- Mise en place de Vlans:
-> Comment déterminé le type de Vlan choisir (par port, par @MAC ou de niveau 3)?
-> Ou trouver des cours sur la création et la mise en place des Vlans?

- Mise en place d'un contrôleur de domaine de type Active Directory:
-> Créer un domaine par Vlan ou un seul domaine pour l'ensemble des PC?
-> Ou trouver des cours sur la création de domaine?

Je ne connais pas du tout la mise en place de domaine, je suis perdu. HELP ME.

Merci d'avance pour vos réponse.

Autres pages sur : controleur domaine vlan

2 Juin 2010 18:39:26

Citation :
Bonjour,

Je vous expose mon problème, je suis en projet de fin d'étude et je dois faire évoluer le système d'information très très vieillissant.

Il m'ait demandé de faire évoluer le réseau afin de:
- Gérer et diminuer les flux.
- Maitriser les liens de secours.
- Mieux gérer les utilisateurs.

Donc je pense mettre en place des Vlans afin de Gérer et diminuer les flux en segmentant le réseau. La mise en place de Switch manageable avec protocole RSTP permettra aussi de Maitriser les liens de secours. Et pour la gestion des utilisateurs, la mise en place d'un contrôleur de domaine.

Le réseau comporte 12 Bâtiments, et près de 150 utilisateurs et une 30aine d'imprimantes réseau. Les services sont à peu près bien répartis par bâtiment (mais certaines personnes sont dans des bâtiments différents de leur service). Tous le réseau est en local (Interconnexion Fibre Optique, WiMax, Wifi).

- Mise en place de Vlans:
-> Comment déterminé le type de Vlan choisir (par port, par @MAC ou de niveau 3)?
-> Ou trouver des cours sur la création et la mise en place des Vlans?

- Mise en place d'un contrôleur de domaine de type Active Directory:
-> Créer un domaine par Vlan ou un seul domaine pour l'ensemble des PC?
-> Ou trouver des cours sur la création de domaine?

Je ne connais pas du tout la mise en place de domaine, je suis perdu. HELP ME.

Merci d'avance pour vos réponse.


Bonjour ,

Encore une fois il ne faut pas confondre réseau logique et physique .

Le fait de mettre des VLAN ne diminuera pas ton trafic ..... si tu as des swtichs..

les VLAN permettent la séparation de réseaux d'un point de vue logique , si une machine 1 doit joindre une machine 2 VLAN ou pas le trafic existe .
c'est ton switch qui gère le trafic réseau dans ce cas . Ce qu'il faut vérifier c'est que tu n'as pas d'équipement qui "broadcast" et que toutes tes interfaces LAN soient bien paramétrées , par expérience ce n'est pas souvent le cas .

Créer un domaine AD par VLAN me semble une ineptie , il faut 2 DC pour une AD , bonjour l'administration.

D'une manière plus générale , avant de trouver une solution , il faut se poser le vrai questionnement .

Quelles sont les attentes et que doit faire mon système d'information , les sécurités à mettent en œuvre etc.

pour mieux gérer les utilisateur , bon nombre d'entreprises s'orientent vers le domaine unique et les VLAN n'ont pas de rapport.

Il n'y a pas vraiment de cours pour la mise en place de VLAN , je me répète mais la question est , que veux tu faire ?
après c'est de la séparation logique et du réseau.

A+


m
0
l
2 Juin 2010 18:54:15

Salut,

Juste une petite info, comme tu cherches de la doc et si tu compte déployer du serveur Windows, il y a le "Guide de l'administrateur", de Stanek qui est une véritable bible pour quiconque veut optimiser son serveur et par conséquent AD.
Un très bon ouvrage qui m'a épargné maintes fois de longues nuits blanches :lol: 
m
0
l
Contenus similaires
2 Juin 2010 20:38:04

je rejoins globalement ce qui a été dit, mais avec quelques nuances :
-une segmentation d'un lan en plusieurs vlan permet de réduire le trafic même si c'est de manière marginale en temps normal avec peu de postes (comme dans ton cas) : en fait ça permet principalement de réduire les domaines de broadcast et donc, en environnement windows, de réduire les echo du netbios, en cas de problème (vers par exemple), le gain peut être significatif car seul un vlan est impacté, mais c'est plutôt quand on cherche à se facilité d'administration et à gagner en sécurité que les vlan prennent tout leur sens
-vlan : par port, c'est la seule méthode fiable en terme de sécurité et de temps d'administration, maintenant si tu as des utilisateurs qui passent de prise en prise à longueur de temps, l'utilisation du 802.1x est probablement le meilleur choix

Pour les méthodes que "création" des vlan, ça dépend du matériel (cisco/3com/juniper/...), même si la logique reste la même (STP/root bridge/...)

Pour ce qui est de l'AD, ça dépend principalement du type de segmentation désiré et des possibilités d'évolutions demandées

De base, dans ton cas, je dirai une forêt avec un seul arbre n'ayant qu'un seul domaine répliqué sur 2 AD (au moins)
m
0
l
3 Juin 2010 10:11:31

Tout d’abord, Merci pour vos réponses.

Le but de mon projet est de permettre:
- Une gestion des flux (Améliorer la qualité du réseau qui est très lent pour les utilisateurs).
- Un Ré-adressage IP unifié.
- La maitrise des liens de secours.
- Améliorer la gestion du parc et des utilisateurs.

Dans l'avenir, le nouveau système d'information devra aussi permettre:
- Le passage de la téléphonie sur IP.
- Le passage de flux vidéo.
- La virtualisation des serveurs.

Le réseau comporte 12 Bâtiments, près de 150 utilisateurs, une 30aine d'imprimantes réseau et j’avais oublié 14 Serveurs.

Le matériel présent étant vieux et non manageable, doit être changé.

Je compte donc, mettre en place des Switchs Manageable afin de gérer les flux, diminuer le trafic et maitriser les liens de secours (RSTP).

Afin d’améliorer un peu plus les performances du réseau, sachant que certaines interconnexion entre bâtiments étant en Wifi (WiMax : il faut que je le vérifie parce que personne n’est capable de me dire la technologie utilisée) en 54Mbps.

Je voudrais donc segmenter le réseau avec le mise place de Vlans car la diminution des domaines de broadcast apporterait une diminution du trafic non négligeable sur ces interconnexions.

Dans l’avenir, la segmentation aura pour but de permettre:
- Le passage de la To IP.
- Le passage de flux vidéo.


Je pense mettre en place des Switch Manageable de niveau 2 dans chaque bâtiment et un Switch niveau 3 "cœur de réseau" pour le routage des Vlans.

Pensez-vous que c’est une bonne idée ?

Est-ce que je dis des conneries ?

Au niveau du contrôleur domaine, vous pensez qu'il faut en instaurer ou ce n'est pas la peine?

Merci d’avance pour vos réponses.
m
0
l
3 Juin 2010 20:00:38

Bonsoir,
Pour le choix du type de VLAN ça va dépendre de ton réseau. Les utilisateurs sont ils mobiles ? Les utilisateurs que tu veux regrouper dans un VLAN font ils tous partie d'un même bureau/bâtiment ou sont ils répartis sur les sites ?
Toutes ces questions sont à ce poser avant la mise en place des VLAN.

Pour ce qui est de la configuration, cela va dépendre de tes switchs, et les documentations fournies te seront d'une grande aide.

En clair je rejoinds ce qui a déjà été dit...

Seulement une question m'interpelle: Il n'y a actuellement aucun contrôleur de domaine ?

Si c'est le cas, étant donné le nombre d'utilisateurs, il en faudra obligatoirement un, sinon ton projet n'aurait aucun sens.

m
0
l
3 Juin 2010 21:32:44

de plus, si tu as des interco en wifi, tu ne pourras pas mettre plusieurs vlan dans ces bâtiments, sauf à mettre un routeur (ou un l3) avant la borne d'interco (tu peux éventuellement faire du multi ssid pour simuler les vlan)

avec si peu d'info, je dirai :

Pour la gestion des comptes et des droits :
-n domaines AD (avec des liens d'approbations si besoin)
-sur 2xn serveurs
-installe aussi les rôles RADIUS/DNS/DHCP sur certains d'entre eux (en les répartissant tant qu'à faire)

Pour le réseau
-1vlan par bâtiments
-des switch poe gérant le 802.1x dans tous les LT
-2 L3 en temps que fédérateurs (redondance oblige)
-à minima 2 chemins entre chaque bâtiment et les L3 (interco wifi y compris => au pire 2 bornes d'interco)
-2 routeurs si tu n'as pas trop de filtrage à faire, sinon 2 firewall/routeur (les acl ça va un temps, mais c'est ingérable quand on a bcp de règles), sachant que tu peux octroyer ce rôle à des serveurs avec des OS firewall (certaines distro linux/bsd spécialisées font ça TRES bien), tu peux même, dans une certaine mesure, virtualiser tes firewall

12 bâtiments, ça fait au moins 17 vlan
-1 par bâtiment =>12
-1 pour les interco backbone
-1 pour les interco firewall
-1 pour les serveurs
-1 pour l'administration

je rajouterai 1 vlan pour les imprimantes, 1 pour le wifi (hors interco) et 1 pour les éventuels visiteurs et je cloisonnerai les serveurs par rôle dans des vlans différents

+ un vlan par métier à séparer
m
0
l
4 Juin 2010 09:19:53

Encore Merci pour vos réponses.


Vous dites:
Pour le réseau à minima 2 chemins entre chaque bâtiment et les L3 (interco wifi y compris => au pire 2 bornes d'interco)
2 L3 en temps que fédérateurs (redondance oblige)


Il n'y a qu'une interco entre chaque bâtiment et le problème c'est que je ne peux y toucher ou en rajouter (problème de budget Interco).

2 L3 en temps que fédérateurs => Tout dépendra du budget (Parce que certains bâtiments sont à recâbler d'urgence).

Vous dites aussi:
2 routeurs si tu n'as pas trop de filtrage à faire, sinon 2 firewall/routeur (les acl ça va un temps, mais c'est ingérable quand on a bcp de règles), sachant que tu peux octroyer ce rôle à des serveurs avec des OS firewall (certaines distro linux/bsd spécialisées font ça TRES bien), tu peux même, dans une certaine mesure, virtualiser tes firewall

Donc le site possède 2 accès internet non modifiable (je ne saurais vous dire pourquoi, on ma dit c'est comme ça).
Au niveau firewall, un Arkoon est en place géré par une entreprise extérieure et restera à sa charge (si besoin de changement leur demander donc je verrais avec eux)


Voilà ce que je compte faire avec votre aide:
Les personnes n'ayant pas de mobilité et il n’y a pas de Wifi (Sauf interco), Je vais utiliser le Vlan par port.

12bâtiments => 12 Vlans (non accessible les uns aux autres || Les imprimantes seront compris dedans chaque vlan)
Serveurs => 1 Vlans (Accessible par tous les autres)

Ce que je ne comprends pas:
- 1 pour les interco Backbone
-1 pour les interco firewall


Je compter faire un seul Vlan Interco.
Quel est l'intérêt de les séparer?


1 pour l’administration
C'est à dire faire un Vlan pour les administrateurs accessible par tous (comme le Vlan serveur)?

je cloisonnerai les serveurs par rôle dans des Vlans différents
Plusieurs serveurs sont accessibles par le même, Plusieurs bâtiments accèdent au même serveur.
Ça me parait un peu compliqué pour un apport moindre.

Un vlan par métier à séparer
La je vois pas du tout de quoi vous parler (ne pas faire les Vlans par bâtiments mais par services) ?




Au niveau du contrôleur de Domaine AD:
Actuellement il n'y en a pas, le réseau que je m'apprête à modifier est scandaleux, il est tout a plat.

Quel seront les répercussions d’un contrôleur de domaine:
- sur les applications métiers ?
- Il faut pensez à quoi avant de se lancer?

Un seul domaine suffit?


Merci d'avance et Désolé de vous déranger, mais je suis un peu perdu.
m
0
l
5 Juin 2010 03:19:15


Il n'y a qu'une interco entre chaque bâtiment et le problème c'est que je ne peux y toucher ou en rajouter (problème de budget Interco). a dit :

Il n'y a qu'une interco entre chaque bâtiment et le problème c'est que je ne peux y toucher ou en rajouter (problème de budget Interco).

tu n'es pas obligé de relier directement les bâtiments aux fédérateurs, si tu peux relier le bat A au bat B et que A et B ont chacun un lien vers un fédérateur, ça te fait 2 chemins pour A et 2 pour B, donc redondance sans travaux supplémentaires

A-----backbone-----B
|__________________|


Serveurs => 1 Vlans (Accessible par tous les autres)
a dit :

Serveurs => 1 Vlans (Accessible par tous les autres)

il peut être accessible mais filtré : pas besoin que tout le monde puisse accéder à tous les serveurs par tous les ports


Je compter faire un seul Vlan Interco.
a dit :

Je compter faire un seul Vlan Interco.

je n'ai pas dit autre chose : 1 pour les interco Backbone (entre les fédérateurs L3 et les routeurs/firewall)


Quel est l'intérêt de les séparer?
a dit :

Quel est l'intérêt de les séparer?

Pour des archi plus complexe, il peut être utile que les différentes populations ne passent pas par les mêmes interco (ça évite le source routing, ça facile le wccp, ça permet un cloisonnement plus clair, ...)


C'est à dire faire un Vlan pour les administrateurs accessible par tous (comme le Vlan serveur)?
a dit :

C'est à dire faire un Vlan pour les administrateurs accessible par tous (comme le Vlan serveur)?

Non, c'est un vlan (le seul vlan pour être plus précis), qui a le droit de manager les différents équipements (switchs, serveurs, ...)


Plusieurs serveurs sont accessibles par le même, Plusieurs bâtiments accèdent au même serveur.
Ça me parait un peu compliqué pour un apport moindre.
a dit :

Plusieurs serveurs sont accessibles par le même, Plusieurs bâtiments accèdent au même serveur.
Ça me parait un peu compliqué pour un apport moindre.

le cloisonnement et l'accès sont 2 choses complémentaires, pas opposées, séparer les serveurs par rôle permet de simplifier les règles de firewall mais permet aussi/surtout de contrôler le trafic inter serveurs (à titre d'exemple, un serveur web n'a pas besoin de faire du ssh sur son serveur de base de données, il faut pouvoir le filtrer), tu peux obtenir un résultat similaire en configurant sur chaque serveur un firewall, mais la gestion devient beaucoup plus lourde


[color=#ff001d a dit :
Un vlan par métier à séparer
La je vois pas du tout de quoi vous parler (ne pas faire les Vlans par bâtiments mais par services) ?
]
Un vlan par métier à séparer
La je vois pas du tout de quoi vous parler (ne pas faire les Vlans par bâtiments mais par services) ?
[/color]
Dans la mesure du possible, oui, encore une fois pour faciliter les règles de sécurité, mais ce n'est en aucun cas une obligation


Quel seront les répercussions d’un contrôleur de domaine:
- sur les applications métiers ?
a dit :

Quel seront les répercussions d’un contrôleur de domaine:
- sur les applications métiers ?

De aucune à très lourdes, ça dépend des applications, mais surtout de la manière de travailler des utilisateurs (il est BEAUCOUP plus facile de modifier une application ou de mettre en place des centaines de "trucs" pour qu'elle fonctionne que de changer les habitude d'un seul utilisateur final)
En environnement homogène (même version d'OS partout, contrôleur de domaine de génération supérieure ou égale aux clients), en général il n'y a pas trop de casse au niveau fonctionnel, mais encore une fois, ça peut donner l'impression aux utilisateurs qu'on leur enlève des droits (à traduire par : des privilèges vitaux pour l'entreprise tels que pouvoir installer la dernière version du jeux à la mode sur son poste de travail sans devoir demander au service informatique ou ne pas avoir à saisir de mot de passe en allumant son poste)


- Il faut pensez à quoi avant de se lancer?
a dit :

- Il faut pensez à quoi avant de se lancer?

Faire des tests, faire des tests, faire des tests, jusqu'à ce que tout marche bien, et à partir de ce moment, il faut refaire des tests jusqu'à trouver d'autres choses qui ne marchent pas (on peut faire ça très longtemps, au final c'est une décision politico-économique qui fera s'achever les tests)
Plus concrètement, il fait monter une maquette qui reproduit au plus proche de la réalité l'environnement de production : même version d'OS, d'applications, même type de segmentation réseau et si possible, mêmes utilisateurs (en gros ceux de la prod doivent prendre sur leur temps pour vérifier que la maquette se comporte bien)

Mais surtout, une seule modification à la fois, commence par les couches basses, puis remonte en suivant le modèle OSI (occupe toi du câblage, puis du wifi, puis des switchs, puis des L3/routeurs, puis des firewall, puis des serveurs, puis des contrôleurs de domaine), à chaque étape, il faut vérifier que tout (ce "tout" est à pondérer) fonctionne bien


Un seul domaine suffit?
a dit :

Un seul domaine suffit?

Seule une connaissance de l'entreprise permet de répondre à cette question
Mais comme je l'ai dit précédemment, je pense qu'un seul domaine suffit dans ton cas (trop peu de monde pour s'embêter à faire du multi domaine)
A titre d'indication, en général on fait un domaine par employeur direct et par site géographique (par exemple, dans une entreprise qui a 2 antennes en province et qui a racheté une entreprise mono site, on peut trouver de 1 à 4 domaines)
Si tout le monde travail dans la même boite, sur le même sujet (par exemple fabrication de sushi au beurre d'arachide (beurk), sur le même lieu géographique, ou pas trop loin), un seul domaine suffit
Un exemple facile à comprendre est une institution d'enseignement (une université par exemple) : tu y trouvera souvent 1 domaine pour les administratifs, 1 par département de recherche et 1 pour les étudiants



Quand je dois monter des archi de toute pièce, j'essaye autant que possible de suivre ces 3 règles (par ordre croissant d'importance) :
1-par défaut RIEN n'est autorisé : on ouvre les accès nécessaires et minimaux au cas par cas, s'il faut faire beaucoup de règles pour gérer un cas, c'est soit qu'il faut virer ce truc, soit qu'on a mal étudié l'archi => il est plus facile de trouver ce qu'il faut autoriser que de trouver ce qu'il faut interdire
2-les exceptions deviennent des règles => l'informatique c'est une binaire, oui ou non, pas oui si à condition que dans le cas où si c'est mais pas quand tant que ... par expérience, la gestion des exceptions dans un projet coutent très souvent beaucoup plus cher que le reste du projet
3-il faut que l'archi apporte un réel plus au maximum de monde : si c'est monter un réseau et un AD pour le principe d'en monter, ça ne sert à rien => réfléchi aux services positifs quantifiables et perceptibles que tu veux apporter dans l'immédiat et que tu pourras apporter par la suite
m
0
l
7 Juin 2010 10:38:15

Vraiment merci pour vos réponses et vos conseils, je vais essayer d'avancer avec ces infos.

Je vous tiens au courant de l'avancement et si je rencontre d'autres soucis je vous le ferais savoir.

Encore Merci.

m
0
l
22 Octobre 2010 21:35:10

Bonjour,

J'ai 4 vlans (exemple simplifié):
- vlan1 10.10.1.0/24
- vlan2 10.10.2.0/24
- vlan3 10.10.3.0/24
- vlan4 10.10.4.0/24
- vlan Interco 10.10.5.0/24

---------------- Cable Ethernet
- - - - - - Wifi

Switch L3--------------------Switch L2 (vlan2) -----------------Switch L2 (vlan3 et vlan4)
Port tagged (Cisco = trunk) \ port tagged (Cisco = trunk)
\___Switch L2 (vlan1)

Tout Marche sur la maquette.


En vrai, l’interconnexion est en Wifi :
Switch L3 ----- Wifi - - - - - -Wifi ------ Switch L2 (vlan2) ----- Switch L2 (vlan3 ET vlan4)
10.10.5.1/24 10.10.5.2/24

Les ports sont les mêmes :
- En tagguant les ports (impossible d’accéder aux antennes et donc plus d’accès au vlan 1, 3 et 4
- En mettant les ports vlan Interco (accès aux antennes possible donc accès au vlan Interco mais pas les autres) 1 vlan possible derrière les antennes Interco.

Pourquoi ?
Est-on obligatoirement obliger de mettre un routeur comme ceci :
Switch L3 ----- Wifi - - - - - -Wifi ---routeur--- Switch L2 (vlan2) ----- Switch L2 (vlan3 ET vlan4)
10.10.5.1/24 10.10.5.2/24
Et faire du routage ?


Merci pour vos réponses, très urgent.


m
0
l
23 Octobre 2010 03:08:20

transporter les TAG dot1q dans des trames 802.11 est possible en théorie (jamais testé et jamais vu implémenté)
si ça en marche pas dans ton cas c'est probablement parce que tes AP ne gèrent pas le trunking over wlan

dans la pratique pour les ponts wlan je ne connais que le routage et le multi ssid

routage (plus propre/souple/évolutif) : de chaque coté du pont wifi on place un routeur (avec des acl si on veut éviter les com inter vlan)
multi ssid (peu performant, limité en nombre et nécessite des AP capable de faire du multi ssid) : on "simule" les vlan avec des réseaux wifi différents


Spoiler
mais je préfère encore avoir un câble rj45 qui pend entre 2 bâtiments ou qui traine par terre


sinon tu as d'autres techno d'interco sans fil : laser, infra rouge, cpl, ...
m
0
l
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS