Bonjour,
Je me permets de poster ici, pour obtenir des idées, des conseils sur le sujet que voici:
Dans un projet pour une grande entreprise (environ 1000 personnes), le service informatique m'a demandé de réaliser une étude de
faisabilité sur la segmentation de leur réseau.
A l'heure actuelle, ils utilisent des switchs HP, fonctionnant pour la plupart jusqu'au niveau 3 du modèle OSI
(HP Procurve 3500 yl, HP 5406..). Toutes les liaisons sont en fibres monomodes ou multimodes selon la distance.
La segmentation du réseau doit permettre de diminuer le broadcast. Mais, je dois mettre en place également une redondance quand cela est possible, si un équipement ou une liaison lâche.
Voici une topologie que j'ai commencé à construire et qui semble convenir à l'entreprise :
http://img5.hostingpics.net/pics/781078topo_reseau.jpg
A noter que les liens ne peuvent pas être déplacés et les équipements changés.
Dans l'état actuel des choses, les 2 "gros" switchs HP 5406 sont situés sur un même site géographique, ce qui n'a pas beaucoup d'intérêt.
I) L'idée qui a été validée est donc la suivante:
Le switch de niveau 3 "1 HP 5406" serait déplacé (donc séparé géographiquement du second HP 5406) sur un site sensible.
Ce site sensible utilise pour l'heure, un switch central de niveau 3 (HP 3500) de plus petite capacité et qui commence donc à montrer ses limites.
Sur ce switch HP 3500, sont connectés : un firewall, le routeur Internet, les serveurs principaux (DMZ) dont l'Active Directory (DNS/DHCP) ainsi que les quelques sites qui apparaissent sur la topologie (CTM, Assainissement...).
L'intêret de remplacer l'actuel HP 3500 par le "1 HP 5406" est de permettre une plus grande évolutivité, puisque différents modules
peuvent être ajoutés à ce switch, une gestion centralisée d'ACLs... Tout en gardant évidemment, les serveurs et le firewall connectés dessus.
Dans la topologie jointe à ce post, on se retrouve donc avec les 2 switchs HP 5406 séparés.
Pour assurer une performance du réseau, je pensais qu'il serait intéressant de faire une réplication des serveurs (réplica Active Directory également), et du firewall sur le "2 HP 5406".
Ainsi, si le " 1 HP 5406" lâche, la partie droite du réseau continuera à fonctionner normalement grâce au "2 HP 5406". (vice et versa)
a) Arrivé à ce point, je me pose un certain nombre de questions:
Dans le cas où les 2 switchs 5406 sont fonctionnels (tous les liens également):
Est -il possible de faire fonctionner les 2 HP 5406 en même temps ?, si c'est possible comment ?
Le but étant de configurer les ACLs et le Firewall une seule fois pour les deux, même chose pour les serveurs.
Pour l'active Directory, je me fais pas de souci, la réplication est automatique normalement.
Ainsi cela permettrait de faire une répartition de charge.
D'autres questions se posent alors: comment définir la partie du réseau qui utilisera l'un ou l'autre des switchs 5406 ? (notamment pour le DHCP, ou l'AD). Car comme on peut le voir il y a une boucle au centre, formée par les liaisons : Lien 1 -- Lient 3/2 -- Lien 4/5 -- Lien6.
Il serait judicieux par exemple que le VLANs 5 et 6 (bas-gauche) utilisent le "1 HP 5406" et les VLANs 9,10,11 (bas-droite) le "2 HP 5406".
Dans le cas où le switch "1 HP 5406" tombe:
Comment faire en sorte qu'automatiquement, les VLANs 5 et 6 soient basculés sur le "2 HP 5406" (en passant pas le lien 6 puis Lien 4/5) ?
(Par contre, Les Vlan 1, 2, ,3, 4 en haut à gauche seront perdus, quoi qu'on fasse.)
Dans le cas où un lien tombe:
Certains liens sont doublés, liens 2/3 et liens 4/5.
Comment définir des priorités sur ces liens pour que :
- Si les doubles liaisons sont actives, elles soient utilisées simultanément pour la répartition de charge.
- Si une des deux tombe, l'ensemble du trafic soit transmis par la liaison restante.
Dans le cas où les liaisons doubles tombent en même temps:
Si les liens 2 et 3 tombent, les 2 switchs 5406 ne peuvent plus fonctionner en synchronisation.
L'idéal serait qu'ils utilisent la route constituée par les liens 1, 6 puis 4/5.
Je me suis renseigné sur les différentes normes et protocoles, mais j'avoue que je me perds entre l'OSPF (routage dynamique qui prend en compte l'état des liens), le Spanning Tree (pour la gestion des boucles entre switchs)...
II) Les Vlans :
Autre chose comme vous pouvez le constater, j'ai choisi le système des VLANS pour segmenter le réseau.
Ainsi, chaque switch racine fera un trunk des Vlans qui lui sont connectés.
Par contre, le routage inter-Vlans devra absolument se faire sur les switchs HP 5406 pour une gestion centralisée.
a) Voici ce que j'ai compris sur ce point:
- Tous les postes membres du même Vlan peuvent se contacter sans routage.
- D'après ce que j'ai compris il est préférable de faire un sous-réseau par Vlan.
- Pour faire du routage inter-vlans (par exemple si le Vlan 2 veut contacter le Vlan 10) il faut utiliser le trunking jusqu'aux switchs 5406, sur ce dernier il faudra créer autant de sous-interfaces par Vlans.
b) Interrogations :
Maintenant, prenons le cas où le VLAN 3 rattaché au switch "1 HP 5406" souhaite contacter le VLAN 3 rattaché au "2 HP 5406".
Comment cela se passe ? Normalement comme ils sont dans le même Vlan il n'y a pas de routage ?
Comment se comporte les switchs HP 5406, ils analysent le niveau 2, même Vlan, donc transmission directe?
Voilà , Je suis désolé pour la longueur du post, mais je me suis efforcé d'être le plus clair possible.
Je vous remercie par avance de votre aide et de vos idées
Bien Cordialement,