Bonjour à tous,  
 
Je travaille dans une PME IT regroupant une dizaine d'employés. Nous allons déménager bientôt et j'aimerais revoir complètement l'infrastructure réseau.  
 
Celui-ci comptera 12 postes de travail Windows et Linux, 2 serveurs Linux, 1 firewall Cisco ASA 5505, 1 spam filter Barracuda et un switch. Ci-dessous, les services gérés par les 2 serveurs:  
 
Serveur 1 sous RHEL 6: IPA faisant office d'AD (authentification/permissions), Samba (partage), Bind DNS et DHCP.
 
Serveur 2 sous RHEL 6: Apache (applications web internes), Postfix+dovecot (mails), Subversion (versionnement "svn" ).
 
6 autres serveurs web sont hébergés dans un data center et sont accessibles via 6 IP publiques. Ceux-ci seront également connectés à un autre réseau local via une 2ème carte réseau.
 
Voici la topologie que je compte mettre en place:
 
Qu'en pensez-vous ?  
 
Je me pose déjà plusieurs questions:
 
* Comment configurer le DHCP sur mon serveur afin qu'il distribue des IP's à tous les postes des différents VLAN's ?
* L'ASA est-il réellement capable de router tous mes VLAN's ? J'ai vu qu'il fallait une licence "security plus" ?
* Le serveur 1 est-il judicieusement placé ?
* Je compte mettre en place un VPN SSL pour que le personnel puisse se connecter de chez eux au réseau du bureau. Ainsi, je compte sécuriser l'accès aux serveurs web présents au data center: seuls les postes connectés au réseau local du bureau pourront se connecter. Bonne idée ?
 
Si vous avez d'autres conseils, n'hésitez pas  !
 
Merci à tous,

1/ DHCP relay
2/ Oui
3/ Oui, branche toi directement au firewall si tu peux. Pareil pour les autres VLAN, tu trunk que si nécessaire.
4/ Si ça répond à un besoin, pourquoi pas ?
 
Pourquoi les VLAN 10, 20 et 30 se coupent avec le 40 ?
 
Concernant le Datacenter
- Comment est gérée la sécu du DC ?  
- Les serveurs sont-ils destinés à des besoins internes uniquement ?

Merci pour toutes ces réponses !
 
Concernant la 2ème, est-ce "oui il faut une licence security +" ou "oui il sait router" tout court ?
 
Au sujet du data center:  
 
1. La sécurité est gérée via un firewall logiciel sur chaque serveur (iptables). J'ai deux switchs cisco connectés sur un routeur géré par le DC.  
 
2. Non, justement. Sinon j'aurais mis en place un réseau local avec tunnel VPN vers le bureau ! Les serveurs hébergent notre application web (le produit que nous vendons). Ils doivent donc être accessible par le grand publique.  
 
Encore merci !

Encore une question:  
 
Le serveur 1 qui aura le rôle de DHCP, sera mis dans un VLAN séparé. Va-t-il devoir avoir une sous interface virtuelle avec une IP appartenant à chaque sous réseau ?  
 
Comment l'ASA va-t-il voir ça ? Un serveur avec 6 adresses IP provenant de 6 sous réseaux (vlan) ?

Je suis pas expert ASA, mais si de base, il ne sait pas router/filtrer plusieurs VLAN, change de constructeur au plus vite.

les serveurs web sont publiques, ok.

Alors pourquoi:

Supposons que ton ASA fasse office de DHCP relay. Il va voir arriver les requêtes DHCP, et va les rediriger vers le serveur DHCP qui aura autant de pool que de VLAN.
Ton serveur DHCP va voir arriver une requête DHCP, connaissant la source (patte de l'ASA dans le subnet par où arrive la requête), il saura dans quel pool piocher une adresse à attribuer, puis la retransmettra au relay qui la redirigera vers le client final.

Je compte sécuriser l'accès SSH en acceptant que les connexions provenant du bureau. Grâce au VPN entre les utilisateurs nomades et le bureau, je pourrai appliquer cette restriction. Actuellement, l'accès SSH peut se faire depuis n'importe quelle IP vu que certains employés ont besoin de se connecter de chez eux et qu'il n'y a pas de VPN.  
 
Super, ça c'est une réponse précise. Merci ! Je manque de pratique, ça va être résolu de part ce projet !

 
Tu comptes faire un extranet dédié administration en quelques sortes. C'est tout à fait viable comme çà.  
Tu peux aussi sinon mettre en place dans le DC une plateforme VPN:  
- Site à site pour ton site principal vers le DC
- Client à site pour les nomades (attention à bien sécuriser le truc, certif ou authent forte ne sont pas de trop)