Bonjour,
 
Il s'agit d'un PROJET REEL (pas d'un amusement pour faire joli sur un forum).
 
Mes questions portent uniquement sur la partie technique : infrastructure, choix réseau, controle d'accès
(pas sur la partie "CGV" )
 
Pour une résidence de :
- X bâtiments
- Y étages à chaque bâtiments
- Z appartements par étage
- 1 point qui reçoit : une grosse connexion internet (ou plusieurs lignes/box ADSL)
- total entre 100 et 600 ordis (selon projet, selon besoin)
 
 
Objectifs :
- permettre à tous les appartements d'aller sur internet
- pouvoir responsabiliser chacun quant à l'utilisation qu'il fait sur internet
- minimiser le coût de l'infrastructure
(facultatif : qu'il y ait au moins UN point d'accès WiFi au centre, accessible depuis la piscine de la résidence par exemple)
 
Notes :  
* pas de besoin spécifique de "dialogue" inter-appartement
* chaque appartement se gère sa propre sécurité par rapport aux autres appart (c'est pas mon problème)
* pas de serveur web, ni de serveur mail, ni ftp, ... dans la résidence.
 
 
 
### Choix Infrastructure :
* Cas n°1 : un cable ethernet va de chaque appartement vers UN switch à chaque étage. Et chacun de ces derniers sont reliés à un switch à chaque bâtiments, et ces derniers vont à un switch général
* Cas n°2 : un cable ethernet va de chaque appartement à UN switch général par bâtiment, et ces derniers se raccordent à un switch général
* Cas n°3 : un cable ethernet va de chaque appartement à UN (ou 2) gros switch général de la résidence
* Cas n°4 : Plein de points d'accès WiFi correctement répartis dans la résidence, mis dans les faux-plafonds du couloir, et tous en mode ad-hoc (ou autre si vous avez une meilleure idée)
* Cas n°5 : Un point d'accès WiFi au "centre" de la résidence et plein de répéteur WiFi (je doute encore + de cette méthode)
 
- Mon choix se porterait + pour la solution n°2 ou n°3. Tant pis pour les longueurs de câbles, mais au moins le hardware est enfermé (et pas dans les faux plafonds où ils peuvent être volés).  
- De plus, moins de matériels = moins de pannes possibles et aussi solutions moins coûteuse (malgré le surcoût en câbles). Et également + de facilité de gestions.
- Chaque appartement aura une prise encastrée RJ45 femelle, et celui qui voudra mettre SON point d'accès WiFi eh bien il se l'achetera.
=> Qu'en pensez-vous ?
 
 
Des switch 48 ports il y en a de 280 Euros TTC à 6000 Euros TTC.  
Il ne m'est pas nécessaire que tous les ports soient en gigabits, par contre la bande-passante interne m'inquiète un peu : vue l'infrastructure, il ne faudrait pas qu'elle fasse goulot d'étranglement.
=> Auriez-vous du matériel à m'indiquer ?
 
 
### Choix câblages :
- ethernet multibrins de partout (1.00 Eur TTC le mètre linéaire)
- ethernet monobrin de partout (1.33 Eur TTC le mètre linéaire)   (utile ?)
- fibre optique entre les bâtiments (ça ne me parait pas nécessaire)
- fibre optique entre switch général de la résidence et routeur  (ça me parait finalement encore moins nécessaire)
=> Qu'en pensez-vous ?
 
 
 
### Contrôle d'Accès :
Le but est de responsabiliser chaque appartement par rapport à ce qu'il fait sur internet, donc : au minimum UN identifiant/mdp par appartement.
 
- Je connais le 'principe' du RADIUS, mais je ne connais pas ce que ça donne en pratique.
J'avais pensé au RADIUS car au départ je pensais à une infrastructure tout WiFi et j'avais en tête que chaque appartement ait un identifiant/mdp pour l'authentification au point d'accès WiFi (WPA2).
Mais cette solution n'était dores-et-déjà pas fiable en terme de sécurité, car si quelqu'un se branchait avec un cable ethernet directement à la place du point WiFi alors il accèderait librement à internet.
 
- le filtrage MAC est également absurde sur le plan sécurité (il suffit de modifier l'adresse MAC), et également sur le plan pratique (à chaque fois qu'un propriétaire/locataire achète un nouvel équipement, il faut mettre à jour la base)
 
- Finalement, ne vaudrait-il pas plutôt mieux opter pour une authentification par PROXY ?  
(d'un autre côté ça m'embête car, sauf erreur, l'authentification par proxy se fait que par rapport à l'HTTP, non ? .... et les gens ne font pas QUE de l'http ...)
 
=> Avez-vous une autre idée ?
 
 
 
### PROXY
Si la solution "Proxy" est retenue (il suffit de s'authentifier en demandant l'accès à un site en http puis l'IP est autorisée à passer), je souhaiterai un PROXY Hardware.
La raison : garantie, SAV, fiabilité matériel + importante que si c'était une tour (même fanless), facilité de mise en place et de gestion, ...
Il faut que ça puisse gérer au minimum 1000 login/pass (voire +) ..... plusieurs par appartement.
 
=> Auriez-vous du matériel à m'indiquer ?
(j'ai cherché et j'ai du mal)
 
 
 
### côté routage / Firewall / lien(s) ADSL :
On dit toujours qu'il ne faut pas se servir d'un routeur en guise de firewall. Certes.
D'un autre côté, s'il fait du NAT et qu'en plus il n'y a pas de serveur dans le LAN, une bête box adsl suffit à empêcher des intrusions directes depuis l'extérieur (j'ai pas dit "indirectes" ).
 
Ainsi, j'imagine ceci :
lien(s) ADSL --- Box ADSL --- routeur --- switch général de la résidence --- ........
 
- là, je n'ai pas de question - ^^
 
 
### agrégation de lien
Dans le cas de plusieurs box ADSL
1) c'est le routeur qui va faire du NAT (évidemment). Je peux ainsi dire, manuellement, que telle telle telle et telle IP privées seront routées vers tel lien ADSL. (et de temps en temps, je regarde les stats, et j'essaye de répartir un peu mieux sur les différents liens ADSL) ... bidouillage mais ça peut marcher ... "répartition de charge ... manuelle"
 
2) On peut aussi espérer trouver un routeur qui fasse pareil mais de manière automatisée ..... "répartition de charge (automatique)"
 
3) Il y a bien longtemps ;-) , j'avais commencé à me pencher sur l'agrégation de lien (ou trunking), mais est-ce possible avec des liens ADSL ?........
Si le routeur gère le trunking (ou agrégation de lien), alors peut-être peut-il router tel paquet ayant l'IP émeteur x.x.x.x sur le lien y.y.y.y    (box ADSL en mode bridge, car sinon je crois que ça vérifie), et ensuite le paquet reviendra sur le bon lien.
Il faudrait "juste" tester à l'occasion : mettre deux freebox en mode bridge, envoyer un ping avec en entête l'IP de l'autre freebox (spoof) vers un serveur externe, et "écouter" les paquets arrivants sur l'autre freebox.
 
=> Est-ce que quelqu'un a déjà essayé de faire ça ?
 
Si la réponse est "oui et ça fonctionne", alors j'aimerai bien qu'on m'indique un routeur hardware qui-va-bien et ferait de l'agrégation de liens ADSL (ou au pire, de la répartition de charge automatique) ;-)
 
 
 
### Plusieurs liens ADSL
La question qui vient rapidement à l'esprit est : "mais X liens ADSL pour 200 ordis, ça va ramer, non ???"
Tsk tsk tsk ... pas du tout.
D'une part, mieux vaut être proche du DSLAM, c'est sûr, mais ça n'est pas tout ...
Excepté les bourrins qui vont faire du download (ou upload) de masse (mais ça ça se "bride" via la QoS du routeur), lorsqu'un un utilisateur fait une requête HTTP (ou mail) ça prend qu'une petite poignée de secondes. Effectivement si les 200 ordis font cette requête PILE tous EN MEME TEMPS, au lieu de prendre 1 ou 2 secondes, ça en prendra 3 ou 4.... ou 5... ou un poil + ... mais la probabilité pour que les 200 ordis fassent leur requette HTTP pile au même instant est très très faible.
 
C'est un peu le même principe lorsqu'on loue un serveur web dans un datacenter, et qu'on a "juste" une seule ligne de 20Mbps et pourtant des milliers de visiteurs par jour ...
 
Dans notre cas on pourrait donc dire "100 ordis, 5 liens ADSL .... si on sent que ça rame un peu on en rajoute un 6eme (etc)"  (mais même, 5 lignes de 20Mbps pour 100 ordis ça me parait déjà trop...)
 
(note : par chance, on n'a pas trop l'inquiétude du nombre de lignes téléphoniques tirées .. ce point là est d'avance résolu)
 
 
### CGV du FAI ADSL
Comme indiqué au tout début de ce post, on ne parlera pas ici des problèmes liés au type d'utilisation ("en bon père de famille" ) de la ligne ADSL, mais uniquement des aspects techniques.
 
 
Merci donc d'avance pour votre aide et vos réponses par rapport à :
- infrastructure WiFi
- controle d'accès : radius, proxy ou autre
- choix matériel proxy
- agregation de lien adsl
- choix routeur
- et autres conseils ...
 

Vaudrait mieux passer sur une arrivée internet type Fibre Optique  
tu vas t'arracher les cheveux pour la gestion des box si tu en as plus 5 ou 6....
suivant la distance des bâtiment, il vaut mieux installer de la FO également
tu dis que tant pis pour la longueur des câbles mais en cuivre tu es limité à 100 mètres théorique et dans un immeuble, pour faire 3 mètre tu peux rapidement atteindre en réalité 20 mètres donc 1 répartiteur par bat me parait irréaliste (sauf petit collectif et encore).
Il te faudra un coeur de réseau L3 redondé (ou encore un L2+) + un ou 2 répartiteur (suivant la structure prévoir plus) par bâtiment et des switchs d'extrémité
 
Pour le contrôle d'accès :  
A mon avis il te faudra un gestionnaire de d'accès qui soit en conformité avec la loi HADOPI
 
voici quelques réponse qui me viennent en vrac.

ça n'existe pas, donc il faudra mettre en place de la qualité de service.

oublie pas le cout de la maintenance. (les opex)

tu peux utiliser la fonctionnalité de private vlan, mais c'est pas supporté sur tous les switchs. De toute manière il te faudra déployer toutes les fonctionnalités de sécurité en L2 : port-security, DHCP Snooping etc. Faudra que l'intervenant maitrise bien son sujet (compte + de 10k€ en prestas + support sur site je pense)

moi j'aime bien ça. Le wifi c'est la merde à gérer, ça amrche pas quand il pleut, y a des problèmes de couverture avec les cages d’ascenseur etc... (si t'as du béton armé dans c'est cuit).

tu te doutes bien qu'entre un dlink et un cisco t'as pas la même chose
 
Si tu veux du PVLAN je mettrai des Cisco 3560v2 en 100Mb/s dans chaque batiment, sinon du 2960 fera le boulot. Du routage intervlan sur un switch agrégateur de fibres optiques des autres batiments qui ferait serveurs DHCP pour chaque vlan (un par bâtiment + un wifi transverse à la limite) avec quelque ACLs.
 

si c'est nécessaire, pour éviter les perturbations électromagnétiques (tu peux potentiellement galérer à l'intérieur du batiment à cause de ça en cuivre).

ça va être super chiant à gérer (802.1x, proxy...). Si c'est pour garantir du service autant faire un priorité sur les ports 80/443 (tant pis pour les applications tunnelisées)
 

En freeware tu peux regarder monowall / pfsense. Y a pas mal de distribs linux dédiées aux fonctionnalités réseaux/sécu. Sinon je sais qu'un Cisco ASA supporte cette fonctionnalité. je ne sais pas pour les autres, par contre c'est plus du firewall intelligent que du proxy.
 
Je ne suis pas sur que les vrais proxy fassent ce que tu souhaites.
 
Pour la gestion de tes lignes internet, plusieurs accès en load balancing c'est la merde à gérer. Comme tu veux t'équiper en matos pro les lignes ADSL grand public on oublie, en général sur un firewall il te faut au moins 2 adresses, l'ip physique de la machine et celle qui sera dans le NAT.  Jette un oeil sur les offres VDSL ou fibre optique.

 
différence de marge peut-être    

Ce que je choisirais :

Il vaut mieux partir sur un choix de fibre optique entre chaque bâtiment (2 par bâtiment), voire prévoir un moyen de recabler en passant par un autre bâtiment (en cas de coupure accidentelle dû à des travaux de voirie). Une fois posée, c'est particulièrement chiant de devoir retirer une fibre pour en remplacer une cassée à son milieu

Sachant que s'il s'agit d'appartements, tu auras quoi ? 3 prises réseaux maxi ? (1 dans le salon, 1 bureau, 1 chambre éventuellement)

Pour le switch général, rien n'empêche de faire descendre tous tes câbles réseaux vers un local technique, où il y aurait aussi la partie téléphone.
Donc là, juste prévoir du switch rackable et stackable au besoin.

Cela dépendra si tu veux faire aussi du management ou pas dessus.
Si tu ne prévois pas de VLAN, pas de suivi du réseau avec un Nagios ou Cacti / Weathermap, autant prendre les modèles les moins cher, et prévoir du spare dessus.

Pour cela, rien de plus "simple" :
- aggrégation de plusieurs lignes ADSL
- utilisation d'un portail captif
- enregistrement des logs de connexion
Là, tu pourras te tourner aussi bien vers des solutions propriétaires qu'un pfSense avec le module Squid/Squidguard.

Pour l'utilisation en WiFi, il faudra juste prévoir du point d'accès WiFi basique, pas de modèle à routeur intégré.

Pour te rassurer, à mon boulot on est relié à un site centralisé sur Paris via 2 SDSL 10Mb. Pour environ 150 postes, avec du mail et un intranet.
Avec tes 5 ADSL, pour peu que tu sois au taquet de ce que permet l'ADSL, tu n'auras pas de soucis.
A la rigueur, si une fibre 100Mb passait ça serait le mieux

un cisco t'as pas à le redémarrer toutes les semaines.

 
mdr, mauvaise expérience c'est tout
ne généralise pas un pb que tu as eu avec un produit

bien sur.
 
J'ai juste migré des réseaux de boites du CAC40 qui ont tenté le low cost (netgear...) pour du LAN pro (des usines de retraitement). ça s'est fini en LAN basé sur des Catalyst 3750/3560 parce qu'au moins ça t'as 3 ans d'uptime et pas 3 jours parce que tu dois redémarrer tes switchs toutes les semaines à la première trame multicast. Je parle pas des problèmes de buffers au passage dès que t'as un peu de microcongestions sur des uplinks.

 
jamais eu de problème à virer du cisco par du DLINK et les retours sont plus que positifs....
tu as simplement eu un ou des mauvaises expériences. moi que des bonnes

ça sait faire du PVLAN et du DHCP snooping tes dlink ?

PVLAN c'est propriétaire Cisco lol donc non mais tu as l'équivalent
DCHP snooping of course qu'ils savent le faire
 
ça prouve que tu n'a jamais ou très peu touché du matériel autre que Cisco et en l'occurrence D-LINK

J'ai juste touché du HP. Pour le reste le matériel de loser ne m'intéresse pas.

 
la belle mentalité Cisco mdr
allez je te laisse dans ton ignorance pauvre de toi  

je travaille quotidiennement dans des environnements avec 200 Vlans. Alors du switch Dell ça me fait plutôt rire en fait.

 
qui te parle de switch DELL ???    

Dlink, je me suis trompé ça commence par la même lettre.
 
ça ne change rien, entre un switch à 600€ et un switch à 4000€ c'est pas que la marge qui justifie le différentiel de prix.
 
C'est comme les gens qui compare un HP 2610 avec un Catalyst 6500. C'est pas le même prix. C'est pas la même chose non plus.

 
Faut quand même un minimum d'intéligence et comparer ce qui est comparable !!!
Je vais pas comparer un non manageable avec un châssis coeur de réseau    
 
Par contre comparer un L3 de marque X et un L3 de marque Cisco, le delta de prix est parfois difficile à avaler.
Surtout que d'après les derniers échos que j'ai eu de Cisco, le service ne suit pas en ce moment.(attention, je retranscris juste différentes remontées que j'ai eu récemment, je n'affirme rien dans ce sens )

Le bon troll des familles  
 
Rien ne dit non plus que tu n'auras pas à redémarrer ton Cisco de temps à autre ou que ton HP ne va pas cramer au 1er redémarrage venu. Et ça, c'est mon vécu  
 
Perso en marque ça serait du DLink (comme l'indique Scryed2051) ainsi que du Allied Telesyn

le wifi pour l'avoir vécu en cité U tu as une congestion de malade (du spectre de fréquences) et t'es obligé de te placer au bon endroit si t'as pas de chance -> je ne pouvais pas m'en servir avec mon PC fixe, certains se mettaient avec leur portable à travers la porte d'entrée, d'autres surfaient dans l'escalier.
 
bref un cauchemar.
le bâtiment "résidence" à côté, prises réseau 100 mégabit dans chaque chambre -> ça marchait tout le temps.

Perso Dlink j'ai pas eu de bons retours...

1er point:
Fournissant un accès Internet à des utilisateurs, légalement vous êtes considéré comme un FAI et soumis aux mêmes règles (loi LCEN de 2004, loi anti-terroriste de 2006, loi Hadopi de 2009).

Vous devez mettre en place une passerelle d'identification, tracer les connections et les conserver un an (loi anti-terroriste).

Il y a par contre un flou sur la demande et conservation de l'identité de celui qui se connecte en raison de l'article 11 de la Déclaration des droits de l’homme et du citoyen et l'article n° 8 de la Convention européenne des droits de l'homme.

Dans tous les cas, vous devez conserver 1 an les logs et donc mettre en place les moyens techniques pour y parvenir.

2eme point:
Il suffit que chaque appartement ait une connexion téléphonique (ligne tirée de l'appart vers le répartiteur FT); au locataire de prendre un abonnement ou non.
Et de mettre en place un espace wifi dans le hall ou espace commun pour que ceux qui n'ont que des besoins ponctuelles puissent se connecter.
C'est ce qu'il se fait dans pas mal de résidences U/foyers.
Si ce sont des logements à court séjours (typiquement hôtel, résidence vacance...) aucun intérêt de mettre en place la grosse artillerie, les vacanciers ne consulteront pour la plupart que leurs mails... wifi sans grosse bande passante amplement suffisant.

La solution présentée va couter une fortune en terme d'investissement (rien qu'en câblage il faut compter 120e/prises) mais surtout en fonctionnement (il faut assurer la continuité de service si vous demandez une participation financière de la part des locataires).
Economiquement, votre solution n'est pas viable si vous ne faites pas de bricole (mais c'est bien parti pour en faire) et pour ce qui est de la qualité du service, 20PC par lien c'est quand même faiblard: il suffit de regarder les statistiques de connexions sur internet (la grenouille.net le faisait à l'époque) pour se rendre compte que tout le monde se connectent aux mêmes heures.

Vues les questions (la technique n'a pas l'air d'être maitrisée), le projet semble mal barré et le dimensionnement pas du tout préparé.
J'ai du mal à croire que le bailleur file ce genre de projet à quelqu'un qui n'a pas cette expérience... ça sent le TP à plein nez ça.

Tu te fais faire tes prises par un italien du milieu ou quoi ?  
Un bon électricien le fera pour 20€ par prise environ en main d'oeuvre (surtout si durant la construction), tu ajoutes 10€ la prise acheté par palette au grossiste du coin voire import depuis l'étranger (Espagne, Italie ou Allemagne) et le câble, ça te revient à 40-50€ par prise.
 
 

Bon, attendons son retour

Scusi, si on enlève le Pizzo on doit bien être entre 40 à 50e la prise.

Bonsoir,
 
Désolé de ne pas avoir donné signe de vie, mais j'ai été pas mal pris ces derniers jours.
 
MERCI à ceux qui ont répondu .... y compris ceux qui ont trollé (que celui qui n'a jamais participé à un troll lève la main).
 
En essayant d'être succinct (c'est pas mon fort) :
# Non il ne s'agit pas d'un TP mais d'un projet réel
 
# oui il se peut que je n'ai pas les épaules suffisamment larges pour un tel projet .... et alors ? ... il y a ceux qui ne font rien et qui ne leur arrivent jamais rien, et ceux qui osent ...
 
# L'artillerie lourde ne me semble pas une bonne idée
 
# Le coup du WiFi me semble évidemment de + en + être une bien mauvaise idée
 
# Il faut effectivement que je dimensionne + précisément le projet (distances, etc)
 
# Effectivement, la majorité des utilisateurs sont des vacanciers
 
# Effectivement, je me souviens de la grenouille (ou simplement du "bon sens" ) qui indique que les gens se connectent généralement aux même heures. Mais ça ne change pas au schmilblick SI ET SEULEMENT SI les données téléchargées ne sont pas UN GROS fichiers
 
# Actuellement ça n'est qu'au stade de "projet", et sans urgence
 
# actuellement dans ma tête ce qu'il s'y trotte :
- 1 prise RJ45 par appartement (chaque appartement se débrouille à connecter par dessus un switch perso si ça leur chante et/ou un point d'accès WiFi)
 
- pas de VLAN (que chaque appartement se dem&&& avec ses propres soucis ... au pire j'ai ma petite idée)
 
- un seul switch au RdC de chaque batiment, et tous les appartement d'un même batiment branchés dessus
 
- selon la distance et l'environnement, effectivement il faudra penser à de la FO depuis chaque bâtiment vers un switch central  (ça m'embête pour une raison de coût, mais je sens que je n'aurais peut-être pas le choix)
 
- ce switch général serait relié à un .... PC sous *BSD en 'stable' . Et c'est lui qui ferait : DHCP, NAT, routage, squid, log, QoS, ...
 
- de ce dernier, ça irait à un switch, et de là ça irait à un ou plusieurs modem ADSL
 
 
 
Notes :
- Tous les switch seraient des D-Link basiques non-manageable (trop couteux et inutile dans mon cas de partir dans les solutions Cisco & Co)
 
- idéalement il aurait fallu une solution de "haute dispo" pour le PC sous *BSD (genre deux PC qui se surveillent l'un et l'autre, etc) ... ça m'embête de remettre les mains dans le cambouilli après tant d'années ...
 
- pour le routage, le PC sous *BSD aura soit une table statique (bof bof) soit il faudrait que je trouve un soft 'stable' pour du dynamique. Il me faut obligatoirement procéder à des tests à petit niveau avant de m'embarquer là dedans
 
- en terme d'encombrement, de "possible panne mécanique", de bidouilles-maison, la solution PC-*BSD m'embête, j'aurai bien aimé une solution commerciale
 
 
- concernant la grosseurs des "tuyaux" internet, j'insiste vraiment sur ce point : S'il y a 5 ou 10 utilisateurs qui upload/dwl un gros fichiers de 2Go, effectivement ça s'écroule c'est certain. S'il y a 50 ou 100 utilisateur qui upload/dwl des ptits fichiers de quelques dizaines ou centaines de Ko je ne m'en inquiète pas : ils ne vont pas le faire tous en même temps pile à la même seconde ;-) .... je rappelle que ce sont des êtres humains, pas des machines ...
 
* pour les coûts : il faudrait dimensionner précisément le projet avant de s'avancer sur des chiffres. Sinon, chacun aura raison (ou tout le monde aura tord)
 
* Merci du rappel des perturbation elec-mag des ascenseurs
 
* les bâtiments étant reliés les uns aux autres par les parking en sous-sol, cela ne nécessite pas de fouilles, ni de double passage de cable (en cas de coupure accidentelle de lien) .... mais la remarque était judicieuse
 
 
PS : vraiment ça m'omnibule, si j'émets une trame IP sur un lien (adsl)  x.x.x.x avec comme IP source y.y.y.y à destination de z.z.z.z, est-ce que je le vois revenir sur le lien y.y.y.y ? ........ ou est-ce que les routeurs du FAI ne le laisse pas partir ? ......... j'espère avoir du temps pour essayer ça à l'occasion ...

Pour le routage, regarde du côté monowall et pfsense en recherchant il doit y avoir des boîtes déjà faites (regardes sur google du côté micro itx/nano itx)
Autre avantage, tu pourras mettre des débits par utilisateur, poser un portail captif, faire de l'aggrégation de lien xDSL, toussa...
Pour la FO, l'avantage c'est que tu pourras sans soucis faire transister très près des câbles électriques, zéro interférences

1 switch en RDC de chaque batiment c'est risqué....
pour rappel, un cable ethernet c'est 100m linéaires max
du coup dans tes 100metres il faut tout compter....
admettons le cablage de l'appart en bout de batiment au dernier étage:
1) départ du switch
2) hauteur du batiment
3) traversée du batiment
4) détour à cause de la cage d'ascenceur
5)arrivée dans la prise de l'appart
 
bref on arrive vite à plus de 100metres.... ici on a un batiment de 5 étages, et d'une petite centaine de metres de long -> hé bien on a a chaque étage (environ au milieu) une baie qui centralise les points de connection de l'étage. et chaque baie est reliée au coeur de réseau en FO (exit les perturbations)
 
bon apres toi tu n'a probablement pas besoin d'une baie entiere par étage... mais deja un switch par étage qui centralise les points de connection, puis un petite FO qui relie le SW du 5eme à celui du 4eme, qui lui descend en FO du 4eme au 3eme etc etc, comme ça chaque étage a son switch, et tous les switch sont cascadés jusqu'au RDC en FO
 
reste plus qu'a mettre un SW général qui regroupe tous les SW-RDC -> et BOUM a priori ça marche (enfin en tout cas dans ma tete ça fonctionne ^^)

Sans connaître avec plus de précision la taille des bâtiments, impossible de dire si ça ira ou non mais dans l'absolu, oui il ne faudrait pas dépasser les 90m de câble (avec 10m de réserve), suivant la qualité du câble c'est même trop 90m
Pour reprendre ton exemple, rien qu'avec la longueur du bâtiment tu es obligé d'avoir 1 switch/élément actif par étage. "Au mieux" même tu aurais pu mutualiser sur 2 étages par baie en la mettant au milieu, sans dépasser les 75m de câble.

Pour avoir plusieurs bâtiment d'habitation "stagiaires" sur le site où je suis, on est sur 3 étages, 75m de long environ, et sa petite centaine de chambres au total par bâtiment, tous avec la même configuration (1 prise réseau et 1 prise téléphone par chambre). Et on n'a qu'une baie située au rez-de-chaussée.

D'un autre côté, en terme de coût, imaginons qu'il y ait 6 appartements au 5eme étage :
 
C'est + économique de mettre un switch au 5eme étage et un seul cable qui descend, plutôt que 6 câbles qui descendent au RdC.
 
(d'ailleurs, ça serait idem s'il y avait "4 étages et 4 appartements par étage" )
 
Gare tout de même au fait de mettre trop de switch en cascade.  
Dans le cas de 5 bâtiments, 5 étages de chaque, 5 appartements par étage, qui si faut eux aussi mettrons un switch, c'est peut-être pas top les broadcast mac ...
 
A l'occasion j'irai faire un état des lieux précis de la Résidence. Sans ça on aura du mal à avancer ...

Et donc le moindre vacancier qui arrive avec un serveur DHCP démarré sur son PC met le réseau HS? Sans parler d'individus mal intentionnés qui pourront sniffer tout le trafic avec un simple ettercap ?

Vraiment, je te conseille de partir sur des commutateurs managés et disposant des fonctionnalités de sécurités à l'accès évoquées par d'autres participants. A minima Cisco 2960/HP2610/Alcatel6250. On parle en gros d'un tarif <1000€ pour 48p cuivre + 1 module FO 1Gbps multimode.
Si le budget est vraiment serré, partir sur des commutateurs d'occasion (Cisco 2950, etc). Ici on "nage" sous les commutateurs Nortel dont personne ne sait plus quoi faire : tu dois pouvoir en trouver pour moins cher que tes D-Link.

Pareil pour le switch d'aggregation : laisse le faire le routage à la place du PC BSD.

Au final la différence de prix ne sera pas énorme, surtout par rapport au budget câblage.

Comme expliqué + haut, dans ce cas précis on s'en fout de l'aspect "sniffing réseau" et "sécurité inter-appartement".
Je sais, ça peut choquer.  
A la limite je veux bien que le DHCP il colle des masques adéquat de sorte que si un appartement veut dialoguer avec son voisin, la trame IP passera obligatoirement par le routeur (et ce dernier refusera de router ;-) ).
 
Après, effectivement je n'avais pas pensé à celui qui se ramènera avec un serveur DHCP. Ca, ça risque effectivement de foutre à plat le réseau complet. (et pour identifier où se trouve le plaisantin, ça va pas être de la tarte ...)
Si, secrètement, ce dernier y colle en + un routeur et relie le tout à sa propre connexion internet, tout les utilisateurs râleront en disant que le débit est beaucoup trop lent et ça retombera sur ma poire.
Donc ok, il ne faudra pas négliger cet aspect du serveur DHCP .... .... ..... ou admettre que le risque est faible (c'est un choix).
 
Remarques judicieuses leto3, merci.
 

Si tu ne contrôles pas les ordinateurs qui accèdent au réseau et qu'en plus tu ne mets pas en place un minimum de sécurité, tu peux être sur que tu auras des plaintes (lenteurs, etc) assez rapidement.
 
Il peut suffire d'un PC vérolé pour bien ralentir et polluer le réseau. Alors 600...
 
Créer 1 VLAN par étage ou par appartement + 1 vlan serveur (pour le PC BSD). Créer les ACL qui vont bien sur le switch fédérateur pour isoler les VLAN (ou au moins les faire router par ton firewall).
 
Sur les ports d'accès limiter le nombre d'@MAC par port, appliquer du dhcp snooping et de l'inspection ARP.
 
 

Je viens d'envoyer un Message Privé à micraln pour lui apporter la preuve qu'il s'agit d'un projet bien réel et pas du tout un TP.
 
J'espère ne pas avoir à le faire pour d'autres. ^^
 
...
 
Plus le sujet tourne dans ma petite tête, + j'en reviens à ces trois pistes :
 
1) un réseau techniquement rapide, pas trop trop cher, dans un environnement de bisounours où il pas grand chose qui viendrait perturber :
=> chaque appartement cablé avec une RJ45 femelle
=> un switch basique par étage
=> un switch basique par bâtiment
=> un switch général basique relié à deux routeurs qui se surveillent l'un et l'autre (haute dispo) et qui savent aussi intégrer squid et la répartition de charge de liens ADSL  (deux petits PC sans la moindre pièce mécanique, sur trois pattes réseau, sous OpenBSD et je saurais remettre les mains dans le cambouilli pour obtenir ce que je souhaite)
 
 
2) idem, mais avec quelques (pas trop) point d'accès WiFi judicieusement positionné (exemple : 3 par batiment de 5-6 étages).
Moins cher, moins performant, plus simple. moins problématique sur le plan technique (quoique)
 
 
3) idem point n°1 mais j'intègre à la réflexion que :
* les ordis peuvent être vérolés et foutrent le bazar
* un gus peut mettre son serveur DHCP et foutre un bazar monstre
* un gus peut mettre son switch, et, intentionnellement ou non, faire une boucle d'un port à un autre (sic toutes les tables MAC)
* ou tout simplement qu'un gus ne va pas se mettre une IP statique
=> là, il faut TOUT mais alors TOUT cloisonner  
=> là le matériel n'est plus le même
==> là ça coûte trop cher
 
.....
 
S'il y avait donc UNE question à se poser avant tout, ça serait :  
Quel seuil de risque (sur le plan sécurité) accepter par rapport au budget global ?
 
Et là je commence à me dire que le projet ne vaut peut être pas le coup (coût) ...
 
(shit)

A voir en fonction du budget, mais je ne suis pas sûr que le 3° coute si cher que ça...
Surtout si tu peut passer par du matériel d'occasion + spare (au moins pour les switchs d'accès).

en terme de sécurité pure, de respect de la vie privée, et de logique simple moi je pense que mes collègues ont raison:
 
partons du constat que:
- un appart a UNE clé qui ouvre UNE porte d'acces à cet appart
 
sur le même schéma:
- chaque appart a UN PVlan
 
ainsi:
- l'utilisateur est vérolé? -> pas d'impact sur les voisins
- l'utilisateur fait une boucle? -> pas d'impact sur les voisins
- l'utilisateur a un DHCP? -> pas d'impact sur les voisins
- l'utilisateur télécharge comme un goret? (QoS)-> pas d'impact sur les voisins
 
bref, diviser pour mieux régner... alors certes, c'est plus long a mettre en place, plus cher, mais plus performant, moins de plainte, bref moins d'emmerdement !!

Comme l'un des posteurs plus haut je m'interrogerai aussi sur la partie légale : quels sont tes rôles, devoirs et responsabilités envers les différents intervenants et notamment les locataires (qu'on ne peut pas fliquer impunément par exemple, à ma connaissance).

Nebulios :  
Il suffit de remettre à chaque propriétaire un (ou plusieurs) identifiant/mot-de-passe et de lui faire signer un papier le responsabilisant sur tout ce qui est fait avec.
Si ce propriétaire a un locataire, il lui communique et fait de la même maniere avec lui.
Cela implique d'avoir un LOG de minimum une année, qui indique que tel jour, tel mois, telle année, à telle heure, telle minute, telle seconde, il y a telle adresse IP privée qui a été NATé vers l'extérieur pour demander telle IP ..... et également que l'utilisateur xxx s'est identifié sur l'IP privée à telle date.
 
Rodrigo35 :
Je ne l'aurai pas mieux dit.
 
Leto3 :
Comme dit plus haut, ton idée m'intéresse grandement. Je dirais même que c'est soit ta soluce miracle, soit le projet tombe à l'eau.
Pense à m'envoyer (si tu veux) ton email par messagerie privée. Merci.

Bonjour,
 
Il n'est pas nécessaire de s'énerver (rapport au MP).
Mais il y a tellement de demande loufoque de la part d'étudiants pour des TP qu'ils font passer pour des projets entreprise qu'il y avait de quoi se poser la question.
 
Il faut bien avouer que cette demande l'est vraiment (loufoque). Surtout après le descriptif que tu m'a envoyé.
 
1er:
- Il va falloir vérifer les CGV des opérateurs afin de vérifier s'ils autorisent un tel partage de connexion.La revente d'abonnement est interdite par les FAI (car l'abonnement sera au nom d'une personne et non de la copro...le propriétaire va donc refacturer ses copropriétaires).
 
2eme:
- Comme je l'indiquais, fournissant un accès Internet à un tiers, vous devenez, selon la loi, un FAI et êtes soumis aux mêmes règles.
Qui prendra la responsabilité pénale de ceci? (celui qui va souscrire l'abonnement? ... un conseil, ne prend pas ce risque, ne sois pas le souscripteur).
Et vous serez obliger de mettre en place une plateforme d'identification et d'assurer la sauvegarde des logs durant une année.
Comptez 10k€ pour l'install (materiel, logiciel, prestation) + environ 1k/an en support.
 
3eme
Une telle solution à un cout. Faire des économies de bout de chandelle est ridicule.
Mais bon, d'après la description faites en MP, on doit avoir à faire à un ensemble de coproprio qui se sont fait arnaqué sur une défiscalisation immobilière.  
Grapiller encore 3 frs 6 sous sur un abonnement Internet fait assez pitié.
A 5/6 appart par niveau, une solution Wifi reste à mon avis la moins couteuse: une seule (voir 2 suivant l'arrosage d'onde) borne par étage suffit. C'est moins complexe (à mettre en oeuvre et maintenir) et moins chère.
 
Franchement, aux vues de la description faites en MP, ne t'embarques pas la dedans car vu les rats que sont tes voisins (qui pour la plupart n'habitent pas là) tu va vivre un enfer.
Et vivant sur place, on te demandera de maintenir le truc pour que dalle.
 
Prends toi un abonnement et laissent les se démerder parce que là ça se voit comme le nez au milieu de la figure... ça pue l'embrouille.
Je t'ai donné mon avis, je n'interviendrai plus dans ton post (je ne souhaitais pas troller).  
Mais pense bien à ce que je te dis là si tu t'embarques la dedans... fait en sorte de bien te protéger légalement à tout point de vue, car en cas de problème tu vas te rendre compte que la solidarité entre copro n'existe pas, bien au contraire.

micraln,
- pas d'énervement. :-)
(juste que j'avoue que ça m'a un peu agacé hier ;-) )
Ton avis (quel qu'il soit) reste évidemment le bienvenu.
 
1- comme indiqué dans le post initial (en début du premier post, et à la fin du premier post), ici on ne se soucie uniquement que de la partie technique. L'aspect juridique (devenir soit-même un FAI) est sciemment mis de côté.
Ceci dit, tu n'as pas tord. Mais ça ne sera pas affiché comme de la "revente d'abonnement". Officiellement la résidence se dotera d'un LAN "fermé", juste pour la résidence. Sauf qu'à un bout il y aura quelqu'un qui fera du NAT ;-)
 
2- comme indiqué dans le post juste avant le tiens ;-) , oui ça nécessite un gros lo bien fait pour se couvrir
 
3- "économie de bout de chandelle ridicule", c'est pas faux.
"arnaque defisc immobiliere", c'est faut ;-)
"grapiller 3 frs 6 sous", beh en fait ça sera entre 0 et 10 euros par appartement et par mois (fais le calcul ;-) ) en sus du coût de l'infrastructure (éventuellement en décalage d'un an)
 
- Ton idée du WiFi est pas conne. Un point d'accès par étage. Les étages "pairs" le hotspot est en bout, les étages "impairs" le hotspot est en début. Je pense qu'on peut avoir ainsi une relative bonne couverture. On évite ainsi les problème lié au cablage, et les plaisantins qui font une boucle physique sur un switch (j'ai été étudiant ^^ ).
Qu'en est-il des autres problèmes avec une telle infrastructure ? si un ordi est vérolé ? quid si quelqu'un prend une IP statique déjà utilisé ailleurs ? quid si quelqu'un se ramène avec son propre DHCP ? comment faire acheminer le routage complet de ce LAN-WiFi vers UN point du LAN (en vue d'acheminement vers internet) ? Quels matériels WiFi utiliser ?
 
- tu ne trolles pas, tes remarques sont justement intéressantes (à partir du moment où tu ne dis pas qu'il s'agit d'un TP ;-) ) et je t'en remercie.  
J'écoute attentivement tes conseils de ne pas m'embarquer là dedans.
(je t'envoie un nouveau MP pour te donner quelques explications supplémentaires sur l'aspect "intérêt personnel" )
 
 

Les plateformes dont je parle (on en est équipé au taf) permettent de rendre étanche chaque connexion (les utilisateurs sont isolés les uns des autres).
 
Tu ne créés pas un LAN mais un Hotspot wifi: chaque borne est reliés aux commutateurs wifi eux mêmes reliés à la plateforme (un PC/serveur)... ça te balance directement sur Internet après identification (en plus de respecter la loi, ça évite aux petits malins de venir sur le parking avec leur portables et ça isole completement notre LAN du réseau wifi).
 
Bornes wifi: motorola serie AP
Commutateur: motorola serie RFS
Le trafic qui passe par ces commutateurs peut être routé, redirigé, supprimé ou priorisé selon les couches MAC, réseau ou transport.
Pour la solution (la plateforme), nous avons choisi Ucopia, mais il y en a d'autres.
 
La solution complete (plateforme avec 50 licences [1 licence/utilisateur simultané]+ 20 bornes + 2commutateurs [nous en avons pris 2 en raison de la geographie mais je crois que ce sont des 48 ports] + prestation install/parametrage) nous a couté 15k€ ttc + un peu moins de 1k€ttc/an en maintenance.
Le tarif n'inclus pas le câblage entre bornes et racks.
 
Si on ne connait ni la plateforme, ni les commutateurs, c'est assez chaud à paramétrer.