Plan Réseau
Plan réseau/Infrastructure projet IRS
1. Présentation de l'infrastructure
1.1 Architecture générale :
L'infrastructure du Bâtiment B est composée des éléments suivants :
• Un routeur Cisco ISR4321 (Router_batB) assurant le routage inter-VLAN via des sous-interfaces 802.1Q
• Un switch Cisco Catalyst (Switch_b) assurant la commutation L2 avec segmentation VLAN
• Un serveur Proxmox connecté au switch via un lien trunk sur le port Fa0/23
• Des machines virtuelles hébergées sur Proxmox, accessibles sur le VLAN 999
• Un serveur TFTP (VM Debian) pour la sauvegarde des configurations réseau
• D'un téléphone Ip attribuer sur le VLAN 20
L'infrastructure du Bâtiment A est composée des éléments suivants :
• Un switch Cisco Catalyst (Switch_b) assurant la commutation L2 avec segmentation VLAN
• D'un téléphone Ip attribuer sur le VLAN 20
• A voir pour la suite...
1.2 Équipements Réseau :
|
Équipement |
Modèle |
IP de gestion |
Rôle |
|
Router_batB |
Cisco ISR4321 |
192.168.99.1 |
Routage inter-VLAN, DHCP, NAT |
|
Switch_b |
Cisco Catalyst |
192.168.99.14 |
Commutation L2, trunk 802.1Q |
|
Serveur Proxmox |
Serveur physique |
192.168.99.2 |
Hyperviseur, hébergement VMs |
|
VM TFTP |
Debian Linux |
192.168.99.6 |
Sauvegarde configs réseau |
2. Segmentation VLAN
Le réseau est segmenté en 7 VLANs distincts permettant d'isoler les différents types de trafic et d'améliorer la sécurité ainsi que les performances.
2.1 Tableau Des Vlans :
|
VLAN |
Nom |
Réseau |
Passerelle |
Plage DHCP |
|
10 |
Fab+Maintenance |
192.168.10.0/26 |
192.168.10.1 |
.2 → .62 |
|
20 |
Admin+Gestion |
192.168.10.64/26 |
192.168.10.65 |
.66 → .126 |
|
30 |
Com+Etudes |
192.168.10.128/26 |
192.168.10.129 |
.130 → .190 |
|
40 |
Wifi_Visiteurs |
192.168.10.192/27 |
192.168.10.193 |
.194 → .222 |
|
50 |
Nas / Caméras |
192.168.10.224/27 |
192.168.10.225 |
.226 → .254 |
|
60 |
Carte Arduino |
172.24.255.248/29 |
172.24.255.254 |
.249 → .253 |
|
999 |
Proxmox |
192.168.99.0/28 |
192.168.99.1 |
.2 → .14 |
2.2 Rôle Des Vlans :
Vlan 10 - Fabrication / Maintenance:
Le VLAN 10 est réservé à la fabrication ainsi que la maintenance il utilise le réseau 192.168.10.0 /27 .
VLAN 20 - téléphonie:
Le VLAN 20 est réservé à la gestion, administration, direction, stock, ainsi que pour la téléphonie ip Il utilise le réseau 192.168.10.64 /26 .
VLAN 30 - Commerce/études:
Le VLAN 20 est réservé pour le commerce et le service études, Il utilise le réseau 192.168.10.128 /26 .
VLAN 40 - Wifi/visiteurs:
Le VLAN 40 est réservé pour les visiteurs ainsi que pour la borne wifi Il utilise le réseau 192.168.10.192 /27 .
Vlan 50 - Caméras:
Le VLAN 50 est réservé pour les caméras ainsi que pour le NAS Il utilise le réseau 192.168.10.224 /27 .
VLAN 60 - Carte Arduino:
Le VLAN 60 est réservé aux Cartes Arduino. Il utilise le réseau 172.24.0.0/29 permettant d'accueillir un grand nombre d'équipements.
VLAN 999 - Management et VMs
Le VLAN 999 est le VLAN de management. Il est utilisé comme VLAN natif sur les liens trunk, et héberge le serveur Proxmox ainsi que toutes les machines virtuelles. Les VMs reçoivent une adresse IP automatiquement via le pool DHCP du routeur sur ce VLAN il utilise le réseau 192.168.99.0 /28 .
3. Configuration du routeur
3.1 Router-on-a-stick :
Le routeur utilise la technique router-on-a-stick : une seule interface physique (GigabitEthernet0/0/0) est connectée au switch en mode trunk. Des sous-interfaces logiques sont créées pour chaque VLAN avec encapsulation 802.1Q. En l'occurence on a des sous interfaces pour chaque vlan.
Exemple de configuration :
interface GigabitEthernet0/0/0.10
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.192
interface GigabitEthernet0/0/0.999
encapsulation dot1Q 999 native
ip address 192.168.99.1 255.255.255.240
3.2 Service DHCP :
Le routeur héberge un pool DHCP pour chaque VLAN. Les adresses des équipements fixes (routeur, switch, Proxmox) sont exclues des plages DHCP afin d'éviter tout conflit d'adresse IP.
4. Configuration du switch
4.1 Ports trunk :
Les liens trunk permettent de transporter plusieurs VLANs simultanément entre les équipements. Le VLAN 999 est configuré comme VLAN natif sur tous les trunks, ce qui signifie que son trafic transite sans tag 802.1Q.
4.2 Tableau de Ports:
|
Port |
Description |
Mode |
VLANs |
|
Gi0/1 |
routeur_to_switch |
Trunk |
10,20,30,40,50,60,999 (native 999) |
|
Fa0/23 |
proxmox_to_switch |
Trunk |
10,20,30,40,50,60,999 (native 999) |
|
Fa0/1-5 |
Postes VLAN 10 |
Access |
VLAN 10 |
|
Fa0/6-11 |
Postes VLAN 20 |
Access |
VLAN 20 |
|
Fa0/12-15 |
Postes VLAN 30 |
Access |
VLAN 30 |
|
Fa0/16-17 |
Postes VLAN 50 |
Access |
VLAN 40 |
|
Fa0/18-20 |
NAS/Serveurs |
Access |
VLAN 50 |
|
Fa0/21-22 |
Cartes Arduino |
Access |
VLAN 60 |
|
Fa0/24-48 |
Vlan 2 Blackhole |
Shutdown |
VLAN 2 |
4.3 Sécurité des Ports :
Les ports d'accès sont sécurisés avec les mécanismes suivants :
• Port-security : maximum 2 adresses MAC par port
• Port-security violation restrict : restriction en cas de violation
• DHCP snooping : filtrage des réponses DHCP non autorisées
• ARP inspection : protection contre les attaques ARP spoofing
• Spanning-tree portfast : activation rapide des ports d'accès
5. Infrastructure Proxmox
5.1 Configuration Réseau :
Le serveur Proxmox est connecté au switch via le port Fa0/23 en mode trunk avec le VLAN 999 comme VLAN natif. Cela permet aux VMs de recevoir des adresses IP via le DHCP du routeur sans configuration de tag VLAN.
Configuration /etc/network/interfaces :
auto eno2
iface eno2 inet manual
auto vmbr1
iface vmbr1 inet static
address 192.168.99.2/28
gateway 192.168.99.1
bridge-ports eno2
bridge-vlan-aware yes
bridge-vids 2-40945.2 Configuration Des Vms :
Pour qu'une VM reçoive une adresse IP via DHCP sur le VLAN 999, la configuration dans l'interface Proxmox est la suivante :
• Network Bridge : vmbr1
• VLAN Tag : vide (pas de tag = VLAN natif 999)
• La VM démarrera et recevra automatiquement une IP dans la plage 192.168.99.3 - 192.168.99.13
• La VM pourra communiquer avec tous les VLANs via le routeur
6. Points importants et rappels
7.1 Commandes de vérification utiles :
• show ip dhcp binding - voir les baux DHCP attribués
• show interface trunk - vérifier les VLANs sur les trunks
• show ip arp - vérifier la table ARP du routeur
• show vlan brief - vérifier l'état des VLANs sur le switch
• show ip dhcp conflict - vérifier les conflits d'adresses IP