> DUVERGIER Claude a écrit : > Je comprends surtout que ces bonnes pratiques ne s'appliquent pas (ou > difficilement avec du matériel qui n'est pas prévu pour ça).
Absolument. Bon en plus, même si je pouvais parce que mon matos le supporte, un de mes deux VLANs de management est VLAN 1 (j'ai pas assez de place dans un /24 pour tout). Honnêtement, j'ai mieux à faire que de renuméroter 250 switches dans mon VLAN 1 pour faire plaisir à Cisco. Les trucs à faire en priorité (pas forcément dans l'ordre) : - Se débarrasser de la machinbox de m... si possible. Une longue route souvent semée d'embuches. - Chaque fois que tu te loggues dans ton switch ou routeur çà t'envoie un email. - Un bon pare-feu. Pour 12 utilisateurs, je mets çà : https://www.untangle.com/shop/z4w-appliance/ Même avec les apps gratuites c'est sympa. - Mettre un adblocker sur les postes (adblockplus.org). - Utiliser un DNS externe qui filtre la merdasse (j'utilise OpenDNS). - Port Security : une seule adresse MAC par port, çà évite les clampains qui mettent un switch 5 ports sous leur bureau. Dans la réalité, çà fait plus pour toi que de mettre un VLAN de management pour 2 switchs. > Et aussi l'impression de mettre en place une grosse infra pour gérer > un réseau de 12 personnes qui font du web toute la journée. Bah, sur la liste du FRnOG c'est pas interdit. Je ne suis pas le seul qui a (à la maison) plus de VLANs que d'utilisateurs, même quand on compte ceux à 4 pattes. Faire une usine à gaz c'est rarement productif mais si t'apprends quelque chose au passage... Si t'as vraiment du temps à perdre : RBL eBGP avec uRPF, réseau local avec certificats 802.1x, WiFi avec PEAP et RADIUS, 2FA, il y a pleins de trucs très sympa pour fabriquer ton usine à gaz. > Si j'ai bien compris, dans un système "idéal" : > * Le LAN de management serait dans un VLAN (différent de 1, eg. 66) et un > réseau IP "M" > * Le LAN des postes serait dans un VLAN (eg. 42) et un réseau IP "W" > * Le LAN des serveurs de fichiers serait dans un VLAN (eg. 55) et un réseau > IP "S" > * Le poste de l'administrateur serait dans le VLAN 42 et réseau IP "W" > * Les switchs seraient L3-capable et réseau IP "M" > * Le trafic entre les réseaux IP¨"M" et "W" serait audité et contrôlé > (bloqué/autorisé : white-liste par IP/MAC/RADIUS? par les switchs L3. > * Le trafic entre les réseaux IP¨"W" et "S" serait au minimum audité par les > switchs L3. Quelque chose comme çà, oui. > A défaut de switchs L3 ont peut poser un "gros" routeur (ou un serveur qui > fait > routeur) pour l'inter-VLAN mais il lui faudra des liens costauds avec chaque > switch. Non, c'est trop limitant en termes de vitesse (ou alors çà va couter un bras). L3 switch qui route à "wire speed", en tout cas entre les postes et les serveurs. Pour l'infra réseau ça suffit. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/