vlan pour séparer accès Internet ?

[ledab40]

bonjour à tous
j'ai besoin de vos conseils d'expert...

j'ai un réseau constituer de plusieurs petits réseaux (10 postes administration, 10 postes section tennis, 10 postes section foot, 10 postes section rugby). aujourdh'ui chaque réseau à son accès ADSL indépendant.
pour minimiser les couts de l'adsl, j'aimerai raccorder chaque petit réseau sur le même réseau.
et avoir ainsi un seul accès ADSL pour tout le monde mais aussi séparer les réseaux entre eux de facon que ceux-ci ne se voient pas et ne puisse pas accèder aux données de chaque service.
pour gérer la sécurité entre chaque service. j'aimerai aussi définir des droits d'accès internet pour chaque personne.
il y a aussi une contrainte : certain utilisateurs nomades (qui arrivent avec leur pc portable) doivent pouvoir se connecter au réseau pour accèder à internet facilement.

voila mon petit projet.. j'aimerai évité de mettre en place un serveur spécifique (cause : budget).
donc je pensai a la solution commutateurs VLAN qu'en pensez vous ? doit je faire du VLAN niveau 2 ou niveau 3 ?

A+

[jdh]

Les vlan sont destinés à séparer un même réseau physique en plusieurs réseaux logiques. La séparation est donc seulement logique.

Cela fonctionne à partir d'un switch ou de plusieurs switchs (de préférence de même marque pour faciliter les choses). Nécessairement les switchs doivent être administrables (ils sont donc plus chers).

Les vlan peuvent être configurés par port matériel ou par adresse MAC du PC cible.
Ce qui devient compliqué, c'est de mettre une machine dans plusieurs vlan (serveur, passerelle vers Internet, ...).

L'autre alternative est d'installer un firewall (genre IPCOP) avec plusieurs cartes réseaux (ou une carte multi-ports réseaux). La séparation sera ainsi forte et sure : les règles de "forward" entre les différents réseaux pouvant être très finement gérés par iptables.

La navigation sera aisément géré par Squid + SquidGuard, réseaux par réseaux, voire avec authentification.

Il reste à vérifier la possibilité de fournir un service DHCP dépendant strictement de l'interface : chaque interface aura sa propre "range" de valeurs DHCP.

Cette solution n'est pas forcément très couteuse à mettre en oeuvre : un PC + une carte multi-ports + une distribution Linux + un peu (pas mal) de temps de paramétrage.

Peut-être, il y a des expériences réelles de mise en oeuvre ...

[HaM]

Effectivement, je pense que la meilleur solution qui s'offre à toi, est celle de te monter ou d'utiliser un Firewall avec plusieurs interfaces physiques (1 par réseau).
Personnelement j'ai remplacé IpCop par ce genre de solution dernierement.
Une Sarge + IpTables + ShoreWall + 5 cartes réseaux.

[ledab40]

merci pour vos réponse..
solutions linux ok (tel ipcop) mais est-ce que c'est simple à mettre en place ?

peut on pas faire du VLAN de niveau IP (par adresses IP). donc séparer les réseaux par leur adresse ip en ayant la meme adresse ip du routeur pour tous le monde (soit le routeur) pour l'acces internet. voir un proxy qui pourrait gérer les droits d'acces internet ?
je dit des betises ?
qu'en pensez vous ?

merci par avance

ledab

[HaM]

Bien pour chaque réseau tu aurras une plage IP différente. Donc le routeur firewall aurra lui une IP différente pour chaque interface.
Avec un minimum de connaissance la mise en place est aisée.
Tu peux utiliser MNF pour faire ça.

[ledab40]

merci pour ta réponse.

mais MNF c'est quoi (désolé).. ? ou je peu trouver de la doc ?

A+

[HaM]

http://www.ipeos.com/solutions/mandriva ... k-firewall

[ledab40]

merci mais c'est cher comme produit !!

et la solution IPCOP est-ce que c'est possible ?


merci
A+

[HaM]

MNF est gratuit.
C'est le support qui est payant.

[ledab40]

merci.

ou je peux récupérer MNF pour le tester ?
et la solution ipcop est-ce que cela peut être une solution aussi ?

merci encore.

CDLT,
ledab

[psykolivier]

MNF en veux-tu en voilà :

http://ftp.club-internet.fr/pub/linux/M ... F.i586.iso

Et que la force soit avec toi pour le configurer

Bonne soirée -