bonjour,
 
J'ai comme projet d'interconnecter plusieurs réseaux par des VLANs / routes / regles de filtrage.
 
Pour expliquer rapidement :  
- 1 réseau ethernet principal de 70 postes + serveurs d'applis/bdd + routeur lan <-> wan
- 7 autres réseaux appartenant à des cabinets indépendants (5 à 20 hotes + serveurs + parfois routeur lan <-> wan) dans le même batiment (moins de 100m).
 
Certains services utilisent nos applis (serveur situé dans le réseau principal) mais ont un adressage IP différent, une connexion internet indépendante (donc routeur + passerelle différents)
D'autres utilisent notre connexion internet + applis, mais ont des applis et autres serveurs indépendants avec IP identique au réseau principal.
Ils sont connectés physiquement à mon réseau principal par un cable généralement connecté à leur switch vers un des miens + routes statiques et double adressage IP sur les hotes.
C'est donc historiquement un vrai bordel avec les failles de sécurité qui vont avec.
 
Je pense donc créer un VLAN par service, remonter le tout vers un switch ou routeur principal et filtrer le traffic d'un vlan vers l'autre. Par contre, je ne me vois pas mettre un serveur linux avec 7 cartes réseau (voire plus à terme), ni passer tout ce trafic dans mon routeur actuel (qui gère les VLAN mais n'a qu'une seule interface LAN) sur un seul câble (bonjour les embouteillages).
 
Pour les services qui ont leur propre connexion internet, ils ont une passerelle indépendante et je pense rajouter un routeur qui distribuera le trafic internet d'un côté et lan principal de l'autre.
 
Ma question est de savoir quel matériel est préconisé dans ce genre de situation ? routeur avec plusieurs interface LAN ? Switch layer 4 voire 7 permettant de créer des ACL avancées ?
 
Si vous voyez un autre type d'architecture répondant à ma problématique, je suis preneur bien sur.
 
J'en suis à l'étape de projet, mais je voudrais être bien sûr de m'orienter dans la bonne direction avant de contacter un quelconque prestataire.
 
Merci d'avance,
 
Guillaume

un switch L3 correcte fera amplement l'affaire comme 3Com 5500-EI ou 5500G-EI, H3C S5500, Cisco 3560 ou un 3750... ou n'importe quelle autre quincaillerie qui fait correctement du L3
 
pas besoin d'aller taper dans du switch L4 ou L7... ça va te couter un bras pour rien
 
par contre y'a un truc qui va être galère à gérer... c'est pour les structures avec de l'overlaping au niveau du plan d'adressage et celle qui ont leur propre routeur WAN si tu ne peux pas imposer la modification du plan d'adressage là il va te falloir quelque chose de plus costaud pour faire du NAT

Merci pour ta réponse,
 
Niveau routage L3, je fais déjà avec mon 4200G, mais impossible d'appliquer des règles de filtrage. Je suis obligé d'appliquer des restrictions entr les VLANs car si le réseau B doit accéder à notre réseau A (le principal), un autre réseau C qui accède aussi à A ne doit en aucun cas accéder à B. Pourtant certains réseaux (ex D) pourront fournir des services accessibles depuis les autres réseaux A, B et C. Je pensais à un truc de ce genre plutot qu'un switch : http://www.netasq.com/_pdf/FRDS081 [...] 0-U450.pdf modèle U450 avec 15 interfaces giga aux alentour de 5k€ contre les 3k€ d'un 3com 5500g 24ports.
Ca peut le faire ?

Bien sûr, c'est pas écrit dans le marbre que le routage/filtrage inter-vlan doit être fait sur un switch L3. C'est juste que toutes les boîtes n'ont pas le fric pour prendre un firewall assez costaud pour de tels flux (en général bcp + importants que les flux lan->wan). Si c'est ton cas pourquoi pas. Mais n'oublie pas de faire un sizing cohérent : si tu te plantes, tu vas avoir des lenteurs terribles. Un UTM n'a clairement pas la capacité d'un switch.

Je parlais d'un switch L3... le 4200G c'est un switch L2+ avec des fonctionnalités L3 basiques
 
Cela dit avec des advanced ACL bien faites en in sur les interfaces tu peux faire pas mal de choses déjà avec il me semble

Ok, je sais maintenant que je vais dans la bonne direction. La notion de filtrage est important pour moi car je ne controle pas le traffic et la configuration sur les autres réseaux locaux indépendants (connexions internet privées avec configuration parfois peu sécurisée et surtout instalation et maj des antivirus sur leurs hotes...). A la rigueur je peux imposer un plan d'adressage, et encore que c'est pas simple car certains devront reconfigurer leurs applis.
Merci à vous pour votre aide.