Je recherche une solution pour segmenter mon réseau local
Voila ma config:
1 routeur géré par mon FAI donne un débit symétrique de 400Kb/s
1 switch HP Procurve 4000 avec 9 cartes de 8 ports 10/100Mb/s
20 sociétés connectées au switch (chacune leur prise et ils font ce qu'ils
veulent derrière..)
routeur netopia faisant office de serveur DHCP => distribue les adresses de
192.168.x.100 à 250
Le problème est le suivant: comme tout le monde est sur la mm plage IP, ils
peuvent se voir entre eux et donc potentiellement s'espionner...
Le but de l'opération est de segmenter le réseau en plusieurs sous-réseaux
dont 1 DMZ et 20 dédiés aux sociétés
Je voudrais savoir si il est possible avec Panther Server sur un Xserve de
réaliser cette segmentation.
Et surtout comment....
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Schmurtz
Charli wrote:
Je recherche une solution pour segmenter mon réseau local
Voila ma config: 1 routeur géré par mon FAI donne un débit symétrique de 400Kb/s 1 switch HP Procurve 4000 avec 9 cartes de 8 ports 10/100Mb/s 20 sociétés connectées au switch (chacune leur prise et ils font ce qu'ils veulent derrière..) routeur netopia faisant office de serveur DHCP => distribue les adresses de 192.168.x.100 à 250
Le problème est le suivant: comme tout le monde est sur la mm plage IP, ils peuvent se voir entre eux et donc potentiellement s'espionner...
Le but de l'opération est de segmenter le réseau en plusieurs sous-réseaux dont 1 DMZ et 20 dédiés aux sociétés
Je vois le réseau comme ça :
+-------------+ +----------------+ FAI ----+ routeur FAI +-----+ switch HP | +-------------+ +-+---++++++---+-+ | |||||| | +-----------------+ DMZ --+ |||||| +----------+ routeur netopia + |||||| + (serveur DHCP) + vers les 20 +-----------------+ sociétés
Chaque société ayant un switch, routeur ou hub pour connecter plusieurs machines.
Le réseau n'étant pas routé, ni firewallé toutes les machines peuvent accéder directement à toutes les autres (sauf si les entreprises ont un routeur). On doit pouvoir voir à l'aide du voisinage réseau de Windows toutes les machines de toutes les entreprises. Toutes les machines sont sur le même sous réseau physique (par exemple un envoie broadcast un ttl de 1 arrivera chez tout le monde).
Cependant, le fait d'utiliser un switch (le switch HP) garanti que le traffic interne et à destination d'Internet d'une société ne sera jamais diffusé chez les autres sociétés (et donc non sniffable).
Le fait de créer un sous réseau logique (192.168.x.0 avec un masque 255.255.255.0) par entreprise empècheras de voir tout le monde avec le voisinage réseau (Windows n'effectue des broadcast que sur son sous réseau logique). Cependant cela n'empéchera pas un petit malin de configurer tcp/ip à la main avec une adresse quelconque en 192.168.x.x avec un masque de sous réseau 255.255.0.0 et ainsi de voir toutes les machines des 20 sociétés.
Je ne sais pas si c'est possible de configurer le serveur DHCP pour différencier chaque société (a priori c'est impossible car le serveur DHCP ne sait pas par quel port du switch la demande DHCP est rentrée). Cependant il est possible d'attribuer une adresse ip donnée et identique à chaque demande d'une même machine (la distinction des machines est effectuée grace à l'adresse physique unique - adresse MAC - de la carte réseau de cette machine). L'inconvéniant de cette méthode est de devoir entrée les correspondances à la main, et de modifier la table à chaque ajout d'une machine.
Je pense que la méthode la plus simple est de configurer manuellement les machines avec des IPs reflétant des sous-réseau par entreprise. Si le switch HP était un routeur, je pense que le problème serait plus simple à résoudre (surtout si le routeur fait aussi firewall, ce qui permet de bloquer les accès entre entreprises). Mais l'investissement, n'est peut-être pas à l'ordre du jour.
Je tiens aussi à préciser que mon expérience et connaissance des possibilités du matériel réseau n'est pas très grande, je ne donne ici que des remarques sont très générales du fonctionnement des réseaux, et donc peut-être fausses dans ce cas particulier.
-- Schmurtz
Charli wrote:
Je recherche une solution pour segmenter mon réseau local
Voila ma config:
1 routeur géré par mon FAI donne un débit symétrique de 400Kb/s
1 switch HP Procurve 4000 avec 9 cartes de 8 ports 10/100Mb/s
20 sociétés connectées au switch (chacune leur prise et ils font ce qu'ils
veulent derrière..)
routeur netopia faisant office de serveur DHCP => distribue les adresses de
192.168.x.100 à 250
Le problème est le suivant: comme tout le monde est sur la mm plage IP, ils
peuvent se voir entre eux et donc potentiellement s'espionner...
Le but de l'opération est de segmenter le réseau en plusieurs sous-réseaux
dont 1 DMZ et 20 dédiés aux sociétés
Je vois le réseau comme ça :
+-------------+ +----------------+
FAI ----+ routeur FAI +-----+ switch HP |
+-------------+ +-+---++++++---+-+
| |||||| | +-----------------+
DMZ --+ |||||| +----------+ routeur netopia +
|||||| + (serveur DHCP) +
vers les 20 +-----------------+
sociétés
Chaque société ayant un switch, routeur ou hub pour connecter plusieurs
machines.
Le réseau n'étant pas routé, ni firewallé toutes les machines peuvent
accéder directement à toutes les autres (sauf si les entreprises ont un
routeur). On doit pouvoir voir à l'aide du voisinage réseau de Windows
toutes les machines de toutes les entreprises. Toutes les machines sont
sur le même sous réseau physique (par exemple un envoie broadcast un ttl
de 1 arrivera chez tout le monde).
Cependant, le fait d'utiliser un switch (le switch HP) garanti que le
traffic interne et à destination d'Internet d'une société ne sera jamais
diffusé chez les autres sociétés (et donc non sniffable).
Le fait de créer un sous réseau logique (192.168.x.0 avec un masque
255.255.255.0) par entreprise empècheras de voir tout le monde avec le
voisinage réseau (Windows n'effectue des broadcast que sur son sous
réseau logique). Cependant cela n'empéchera pas un petit malin de
configurer tcp/ip à la main avec une adresse quelconque en 192.168.x.x
avec un masque de sous réseau 255.255.0.0 et ainsi de voir toutes les
machines des 20 sociétés.
Je ne sais pas si c'est possible de configurer le serveur DHCP pour
différencier chaque société (a priori c'est impossible car le serveur
DHCP ne sait pas par quel port du switch la demande DHCP est rentrée).
Cependant il est possible d'attribuer une adresse ip donnée et identique
à chaque demande d'une même machine (la distinction des machines est
effectuée grace à l'adresse physique unique - adresse MAC - de la carte
réseau de cette machine). L'inconvéniant de cette méthode est de devoir
entrée les correspondances à la main, et de modifier la table à chaque
ajout d'une machine.
Je pense que la méthode la plus simple est de configurer manuellement
les machines avec des IPs reflétant des sous-réseau par entreprise.
Si le switch HP était un routeur, je pense que le problème serait plus
simple à résoudre (surtout si le routeur fait aussi firewall, ce qui
permet de bloquer les accès entre entreprises). Mais l'investissement,
n'est peut-être pas à l'ordre du jour.
Je tiens aussi à préciser que mon expérience et connaissance des
possibilités du matériel réseau n'est pas très grande, je ne donne ici
que des remarques sont très générales du fonctionnement des réseaux, et
donc peut-être fausses dans ce cas particulier.
Je recherche une solution pour segmenter mon réseau local
Voila ma config: 1 routeur géré par mon FAI donne un débit symétrique de 400Kb/s 1 switch HP Procurve 4000 avec 9 cartes de 8 ports 10/100Mb/s 20 sociétés connectées au switch (chacune leur prise et ils font ce qu'ils veulent derrière..) routeur netopia faisant office de serveur DHCP => distribue les adresses de 192.168.x.100 à 250
Le problème est le suivant: comme tout le monde est sur la mm plage IP, ils peuvent se voir entre eux et donc potentiellement s'espionner...
Le but de l'opération est de segmenter le réseau en plusieurs sous-réseaux dont 1 DMZ et 20 dédiés aux sociétés
Je vois le réseau comme ça :
+-------------+ +----------------+ FAI ----+ routeur FAI +-----+ switch HP | +-------------+ +-+---++++++---+-+ | |||||| | +-----------------+ DMZ --+ |||||| +----------+ routeur netopia + |||||| + (serveur DHCP) + vers les 20 +-----------------+ sociétés
Chaque société ayant un switch, routeur ou hub pour connecter plusieurs machines.
Le réseau n'étant pas routé, ni firewallé toutes les machines peuvent accéder directement à toutes les autres (sauf si les entreprises ont un routeur). On doit pouvoir voir à l'aide du voisinage réseau de Windows toutes les machines de toutes les entreprises. Toutes les machines sont sur le même sous réseau physique (par exemple un envoie broadcast un ttl de 1 arrivera chez tout le monde).
Cependant, le fait d'utiliser un switch (le switch HP) garanti que le traffic interne et à destination d'Internet d'une société ne sera jamais diffusé chez les autres sociétés (et donc non sniffable).
Le fait de créer un sous réseau logique (192.168.x.0 avec un masque 255.255.255.0) par entreprise empècheras de voir tout le monde avec le voisinage réseau (Windows n'effectue des broadcast que sur son sous réseau logique). Cependant cela n'empéchera pas un petit malin de configurer tcp/ip à la main avec une adresse quelconque en 192.168.x.x avec un masque de sous réseau 255.255.0.0 et ainsi de voir toutes les machines des 20 sociétés.
Je ne sais pas si c'est possible de configurer le serveur DHCP pour différencier chaque société (a priori c'est impossible car le serveur DHCP ne sait pas par quel port du switch la demande DHCP est rentrée). Cependant il est possible d'attribuer une adresse ip donnée et identique à chaque demande d'une même machine (la distinction des machines est effectuée grace à l'adresse physique unique - adresse MAC - de la carte réseau de cette machine). L'inconvéniant de cette méthode est de devoir entrée les correspondances à la main, et de modifier la table à chaque ajout d'une machine.
Je pense que la méthode la plus simple est de configurer manuellement les machines avec des IPs reflétant des sous-réseau par entreprise. Si le switch HP était un routeur, je pense que le problème serait plus simple à résoudre (surtout si le routeur fait aussi firewall, ce qui permet de bloquer les accès entre entreprises). Mais l'investissement, n'est peut-être pas à l'ordre du jour.
Je tiens aussi à préciser que mon expérience et connaissance des possibilités du matériel réseau n'est pas très grande, je ne donne ici que des remarques sont très générales du fonctionnement des réseaux, et donc peut-être fausses dans ce cas particulier.