Salut, Dans le mode "un vlan par service", au final le réseau doit refléter l'organisation RH de l'entreprise. Si un nouveau service est créé, si deux services fusionnent, changent de nom etc... le réseau doit s'adapter en conséquence. Et ça c'est valable que tu fasses de l'authentification d'utilisateurs en 802.1X ou de l'authentification d'adresses MAC toute bête. Dans un contexte d'entreprise pas trop grosse et où les services ne bougent pas beaucoup, c'est gérable. Mais dans un environnement de centre de recherche par exemple, ou d'université, c'est beaucoup plus dynamique, tu as des unités scientifiques qui se créent pour 3 ou 5 ans et qui disparaissent après. Et là au fil des ans, gérer le mapping "vlan / unité" est tellement compliqué qu'au bout d'un certain temps ça finit fatalement par se désynchroniser, tes vlans ne représentent plus correctement tes services.
Pour le mode "géographique", un vlan par bâtiment ça fonctionne mais quand tu as des gros bâtiments (avec par exemple 3 stacks de 8 switchs, pour plusieurs centaines d'utilisateurs), tu dois passer sur des gros subnets (genre un /22 pour ton bâtiment). Moi je suis resté sur l'idée à l'ancienne où il vaut mieux rester sur des /24 ou /23 au maximum. Un vlan par étage c'est pareil, ce n'est pas forcément homogène car tu peux avoir un étage avec de gros open spaces et beaucoup de prises réseau, et un autre avec une grande zone de stockage logistique et donc très peu de prises. Au final je me dis que la bonne granularité, c'est un vlan par stack, associé à un /23. Si un stack peut contenir au maximum 8 switchs de 48 ports (c'est assez répandu comme limite parmi les constructeurs), ça te fait 400 prises réseau maximum, et ton /23 est suffisamment grand. Et d'ailleurs ça serait plutôt deux /23 par stack si tu as de la ToIP (un subnet pour les ordinateurs et un autre pour les téléphones) En plus ça permet d'avoir quasiment la même configuration sur chaque stack, seuls les 2 vlans varient d'un stack à l'autre Gabriel 2016-06-12 21:50 GMT+02:00 Radu-Adrian Feurdean < fr...@radu-adrian.feurdean.net>: > On Sun, Jun 12, 2016, at 12:06, David Ponzone wrote: > > Donc en clair, si généralement un service est dans un bâtiment, sauf > > quelques exceptions, et qu’il y a15-20 services, je pense que ça reste > > maitrisé, et il y a peu de chance que ça change radicalement. > > Deja les exceptions generent le plus de travail. Et que "ca reste > maitrise", j'ai tendance a dire que c'est du jamais vu : "tiens, service > X il restent que 3 personnes, et si on les deplace a cote du service Z > (lire dans les memes bureaux), ou il y a un peu de place". > > En plus, le "VLAN par service" ca reste du "securite par le reseau", qui > est plutot du "intelligent core, dumb edge", donc pas la meilleure idee. > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
