Actuellement en alternance pour préparer un BAC+2, j'ai pour projet de fin d'année (que je dois rendre dans un mois), la réorganisation du WAN de mon entreprise.
Voilà le réseau cible que je prépare : http://entraide.ixus.net/download/file.php?id=94
- 3 sites :
1 (150 utilisateurs), 2 (100 utilisateurs) et 3 (150 utilisateurs)
- 2 VPN :
1 VPN Opérateur « site à site » Orange (Equant), reliant nos 3 sites, 2 Modems SDSL par site (Nominal et secours, débit 6Mb/s)
1 VPN Opérateur « site à site » SFR, reliant lui aussi nos 3 sites, 2 Modems SDSL par site (Nominal et secours, débit 2Mb/s)
2 routeurs par site
- Deux types de trafic :
Du trafic « production » avec IP de destination fixes
Du trafic « bureautique » avec IP de destination différentes de la prod
Deux grosses parties dans mon projet :
- La patte ADSL protégée par un IPCop
- L'utilité est de soulager les lignes SDSL du trafic internet à moindre coût. Je sais que plusieurs personnes n'aiment pas mettre le proxy et le firewall sur la même machine, mais si c'est uniquement une question de charge (proc, mémoire, stockage) je trouve au contraire que c'est une très bonne idée car ils sont complémentaire. J'ai donc regroupé sur le même matériel mais ce n'est pas mon argent, donc si vous avez des arguments intéressants je pourrai essayer de convaincre ma direction, sinon moi ça me va comme ça.
J'ai installé la dernière version d'IPCop stable et je me suis rendu compte seulement après que des choses comme Squid ou SquidGuard ne sont pas officiellement implémentés. Mon DSI n'est pas spécialement contre le fait de mettre des choses en beta du moment que ça fonctionne bien. Je ne sais en revanche pas comment argumenter ça dans mon mémoire, vos avis m'intéressent donc beaucoup. J'en profite pour remercier Vehrsey pour son travail.
Voici la liste des services que mon tuteur m'a filé (beaucoup de temps de gagné ^^) :- OpenVPN qui servira de secours si SFR tombe
IDS
Filtre d'URL
Port forwarding
DMZ => je ne sais pas ce que je dois mettre dedans, donc en attente
Syslog => ça devrait bien se passer
Accès SSH depuis l'interface VERTE => testé, ok
Sauvegarde de la configuration => testé, ok
Suivre l'état du système, du réseau, des ports ouverts => je ne me suis pas encore penché dessus
Relais serveur de temps => ça devrait bien se passer
dynDNS => je ne me suis pas encore penché dessus
lissage de trafic => idem - Le système de VPN site-à-site
- Cas 1, fonctionnement normal : Utilisation des deux lignes (la prod prend a elle seule presque 6Mb/s à laquelle il faut ajouter la bureautique), optionnel : mettre la prod sur orange, la bureautique sur SFR
Cas 2, un des deux opérateurs n’est plus disponible : Le trafic ne passe plus que par un opérateur, mode dégradé, les deux trafics doivent toujours se partager la bande passante, nous ne pouvons pas supprimer tous les paquets de la bureautique au profit de la prod.
Cas 3, un des deux routeurs d’un site tombe : Le second routeur doit prendre le relais automatiquement.
Cas 4, une ligne reliant un site à un opérateur n’est plus disponible et une ligne de l’autre opérateur reliée à un autre site n’est plus disponible (optionnel) : Le trafic entre ces deux sites doivent passer par le troisième site, chacun avec sa ligne opérationnelle, le troisième site faisant office de passerelle entre les 2 opérateurs.
Je m'oriente sur le protocole HSRP ou plutôt MHSRP (protocole propriétaire Cisco proche du VRRP), qui consiste à faire deux groupes de deux routeurs virtuels par site. Chaque groupe s'occupe d'un type de trafic en se basant sur l'adresse de destination. Le quatrième cas me fait assez peur.
Bon, j'espère que c'est a peu près clair.
Je n'ai pas de question précise, à part sur le problème de version d'IPCop. En revanche je voudrai savoir, en tant que professionnels, sur quels points m’attendriez vous ? Y a t-il des choses qui vous paraissent bancales ? Tout conseil est le bienvenue, n'hésitez pas non plus à poser des questions, plus on en parlera et plus le sujet sera clair pour moi, c'est aussi un peu une repet' de soutenance.
Merci !