Besoin de conseil pour un réseau de lycée

[nickboo25]

Bonjour a tous,
Alors je m'explique :
Je travail dans un etablissement scolaire (environ 350 pc) répartis entre services administratifs, et salle de cours pour les eleves.

Actuellement il y a 3 domaines géré séparément par des DC, les réseaux sont physiquement séparé, les adresses IP sont de classe C. (jusque la tout est normal)

Mon but est de relier physiquement ces trois réseau ET d'avoir un seul domaine.

Quel plan d'adressage me conseillez vous ????
Je penchais pour une adresse reseau 172.16.0.0/18 (masque 255.255.192.0)

S/R n°1 (administratif) 172.16.0.0/18
S/R n°2 (pédagogique) 172.16.64.0/18
S/R n°3 (prévu pour relier un autre batiment dans quelque temps) 172.16.128.0/18
S/R n°4 (libre) 172.16.192.0

Qqun m'a plustot conseillé de prendre une adresse réseau classe A (voir ci dessous)

----------------------------- -----------------------------------------------
""L'art de compliquer les choses simples.
Tu prend le seul réseau privé qui vaille la peine, le classe A

10.0.x.x/16 c'est le pédago
10.1.x.x/16 c'est les salles du premier
10.1.1.x/24 c'est la salle 1 du premier
10.2.x.x/16 ..... autant de sub net que tu veux, faciles à lire...

10.0.0.0/8 c'est ton école dans son ensemble!
Va faire ça avec du classe B ou C, de manière lisible immédiatement.""

------------------------------ ------------------------------

Et vous vous en pensez koi ???
Merci
nickboo.

[Gandalf]

Pour une question de lisibilté je suis d'accord avec ce que te dis Franck ! Je passerais tout en classe A !

[jdh]

La RFC 1918 indique les adresses ip à utiliser pour un réseau privé :

- 10.x.x.x soit 10.0.0.0/8 : adressage dit classe A
- 172.16-31.x.x soit 172.16.0.0/12 : adressage dit classe B
- 192.168.x.x soit 192.168.0.0/16 : adressage dit classe C

Cependant elle ne dit rien sur les sous-réseaux à choisir d'utiliser.

En effet, il y a pas mal de protocoles qui génèrent des broadcasts (CIFS par exemple ... pour le partage de fichier/imprimante pour Windows).

Dont on peut choisir d'utiliser des sous-réseaux afin de segmenter le traffic. Mais se pose la question de la communication entre sous-réseaux.

D'une part on peut choisir une seule "range" d'adresses. On peut choisir 10.x.x.x ( soit /8 ) par exemple avec l'astucieuse notation : 2me nombre=etage, 3me nombre=salle. On peut choisir 172.16.x.x (soit /16 ) avec une codification assez semblable : 3me nombre=repère géographique : par exemple 0-9:systeme, 10-39:1er batiment (moins de 29 salles), ...

D'autre part on peut choisir plusieurs "ranges" d'adresses et utiliser des PC/routeurs. Il suffit d'augmenter le nombre après le / dans la notation CIDR. Ce que tu pensais va dans ce sens : /18 permet de créer 4 groupes dans 172.16.x.x/12 (car 18-16=2 -> 2^2=4 groupes). Toutefois /18 permet d'avoir 16382 machines dans le même groupe, c'est peut-être un peu beaucoup.

Je pense plus judicieux de segmenter un réseau comportant un nombre important de PC parce qu'il est difficile de réussir à faire respecter un schéma "géographique" à un serveur DHCP sachant qu'il ne peut y en avoir qu'un par réseau. Et qu'inversement, c'est vraiment difficile de maintenir à long terme un réseau avec adressage statique avec un nombre important de PC. Par ailleurs la segmentation permet d'isoler et pourquoi pas de filtrer puisqu'il y a un PC/Routeur qui peut être un Linux.

C'est affaire de choix ... mais l'aspect sécurité entre fonctions est une autre justification de segmentation.

[nickboo25]

Merci de m'apporter d'autres point de vue :

Donc je préfererais avoir un réseau segementé (qui c'est vrais limite la zone de broadcast) Bien que je puisse concevoire une moin bonne lisibilitée (mais il faut savoir faire des sacrifices). Avec un nombre important de machines, je pense que les perfs seront moin deteriorées si il y a des S/R.

C'est vrai que avec 4 sous réseau (255.255.192.0) ca vas me faire un nombre important d'hotes mais a la limite que j'ai 4 , 8 ou 16 Sous/Réseau, ca ne change rien je me trompe ? le grand nombre d'adresses non utilisé ne ralentiras pas le traffic me trompe-je ?

Bref il ne me reste plus qu a trouver une passerelle entre ces deux S/R, a part ipcop et SME (e-smith) vous pencheriez pour koi ? j ai essayer d installé le cd1 dedebian mais il me met "impossible d'installer le noyau choisi" ca commence a me stresser un peu.

En tous cas merci pour votre aide !
@ +
nickboo.

[jdh]

Moi je suis depuis longtemps aficionado de Debian. Un petite Sarge avec un noyau 2.6 (booter avec "linux26"), ça roule plutôt bien et c'est très léger.

Cependant, il y a une faille importante dans le raisonnement : généralement on réalise une rocade entre batiment avec des fibres optiques, et il est bien difficile de trouver une carte interface fibre à insérer dans un PC.

Pour revenir à Debian, après avoir configuré les 2 cartes nécessaires, il suffit de faire un "echo 1 >/proc/sys/net/ipv4/ip_forward" pour faire un routeur. Il est aussi assez facile d'y mettre un serveur DHCP pour le batiment concerné.

Le firewall qui convient peut-être Shorewall pour sa facilité de config (en mode console).

[Gandalf]

Cette technque de segmentation de sous-réseau est assez ancienne et je ne l'ai jamais aimé ! Pourquoi ? Et bien parce que c'était bien pour isoler des réseaux les uns des autres il y a très longtemps( le subneting ), mais AMHA elle n'a plus de raison d'être aujourd'hui ! Les broadcasts ? Oui, certes, mais il existe des techniques pour les limiter ( WINS, DNS, Switchs ... ), donc c'est pas ça qui va saturer ton réseau ! Trop d'hotes ? Mieux vaut plus que pas assez, j'ai connu une boite ou l'admin était un tel furieux qu'il avait prévu juste le nombre de machine en focntion de son masque de ss-réseau --> le jour où la boite s'est agrandie il a tout refait et a pris .... des classes A que je trouve quand même bien pratique !
Si tu veux segmenter absolument, moi je partirai sur du 10.1.x.x /16, 10.2.x.x/16 etc ... avec quoi au milieu ? Et bien un MNF pardi, qui est multizonal à volonté sans cette couche de couleur IPCOPienne ( rouge, vert ... ) mais avec des vrais règles de flitrage entre chaque zone... et tout est bloqué en sortie ! Comme ça c'est clair !

Voili, voilou, ce que tu veux faire est tout à fait juste aussi, mais bien compliqué pour un résultat égal !

PS : et non je n'ai pas d'action chez Mandriva !

@ +

[jdh]

Je suis assez d'accord avec Gandalf : MNF (Shorewall + interface web) est une (très) bonne distribution, plus simple qu'une Debian+Shorewall à mettre en oeuvre, mais surtout bien plus simple à comprendre qu'une IPCOP . A quand Shorewall sur IPCOP !

Bien sur Wins et surtout ActiveDir (donc DNS) diminue l'horreur des broadcasts. On peut aussi raisonner avec des vlans mais il y a aussi des limites. Mais je pense que le contrôle du traffic qui est caché dans la question, ce n'est pas seulement les broadcasts mais plutôt la chasse au p2p et autre Skype !

Le pb essentiel est d'associer une ip avec quelque chose de tangible, de concret, de visible car forcément c'est le contrôle du traffic ou la sécurité qui est en jeu. En clair "d'où vient tel traffic ?".

En effet, une réponse simple est un adressage statique avec un système d'affectation géographique (pour aller directement sur place se rendre compte de qui fout le b..azar !).

Mais il y a souvent un patron qui te demande de mettre un DHCP ... parce que c'est plus simple.

Au jour d'aujourd'hui, je n'ai pas trouvé de serveur DHCP capable de fournir une adresse ip en fonction de la prise sur laquelle on se connecte. J'en rève. Le premier constructeur qui en mettra un dans son switch manageable devrait vraiment gagner une belle part de marché.

Un bon compromis est de mettre un DHCP "statique" : affectation d'adresse ip à partir SEULEMENT d'une adresse MAC. Tu veux te connecter ? Donne moi ton adresse MAC que je la rentre dans le système et j'associe une ip (et un nom dns). (Un petit arpwatch dans un coin a pas mail d'intéret alors).

Sinon j'abonde dans le sens de Gandalf sur les limites des ranges mises en oeuvre quelque fois sur des réseaux. J'ai 100 PC donc une range classe C ça doit suffire, 2 ans plus tard, après avoir dépassé les 220 PC, il y a bien souvent 3 ranges de classe C. Bien comprendre que 2 minutes sur 300 PC ça prend beaucoup plus de temps que les 600 minutes de la multiplication !

[t0ma]

bonjour
Si tu es dans un lycée publique il existe la solution kwartz de chez iris
ensuite il me semble ke les reseau administratifs et pedagogiques doivent etre séparé physiquement ou alors par des vlans de niveau 3 au moins sur la tete de reseau
en tout cas dans mon académie c comme ca que ca marche

[nickboo25]

C'est vrais que je trouve moi même l'idée de relier l'administratif au pédagogique assez mauvaise... tout ca pour satisfaire quelques profs qui ne rendent pas compte de l'infrastructure à déployer pour qu'ils puissent utiliser quelques malheureux porgrammes administratifs.