Bonjour,
Je dois réaliser un projet sur le réseau informatique de mon entreprise mais j'ai du mal à trouver la procédure à employer pour le réaliser. Je dois permettre l'authentification à distance des différents sites soit au réseau de l'entreprise si l'utilisateur est connu soit uniquement à internet pour les visiteurs.
J'expose ma solution, dites moi si vous êtes d'accord, qu'est ce qu'il va pas etc.. Je vous remercie d'avance.
J'ai ajouté un switch de niveau 2 que je mets sur les sites pour avoir des ports de distributions qui est relié à un routeur orange et qui gère le VPN. Mon switch cisco est un SG300-10 (niveau 3 ou 2 au choix). Je mets le "relay dhcp" car l'utilisateur ne doit pas être obligé de modifier ses paramètres réseaux de son ordinateur portable, car oui ceux sont des utilisateurs nomades. Je dois constituer des vlans pour sécuriser sur ce switch, il faut d'une part un vlan 1 où il y a des équipements fixes (ordi et imprimante), un vlan 2 pour les utilisateurs de l'entreprise et un vlan 3 pour les visiteurs. Sachant qu'il existe aussi un vlan par défaut avec adresse IP pour l'administration. Vlan 1 et 2 ont accès au réseau entreprise et le 3 seulement à internet. Une fois les vlans créés, nommés, je mets donc dhcp relay vlan 2 et 3, le port switch routeur en mode trunck avec vlan1,2,3. Je dois maintenant paramétrer le routage inter-vlan au niveau du routeur orange et là je ne sais pas trop comment faire, je recrée mes vlans 1,2,3 avec le même nom et j'essaie de trouver des tutos internet mais je n'arrive pas à comprendre bien ce qu'il faut rajouter sur le routeur pour le communication avec les serveurs de l'entreprise et les différents vlan. En clair, je ne sait pas bien comment me dépatouiller avec les vlans, leur routage, l'adressage IP car je veux créer différents sous-réseaux (c'est sur le routeur que je mets un adresse IP avec un masque 24 à l'interface vlan 1, 2,3). J'ai le problème aussi de la restriction car je veux faire différents sous réseaux pour avoir une adresse IP différente en fonction du vlan et appliquer ensuite une régle ACL en fonction de cette adresse IP, dois-je procéder comme ça pour faire le vlan visiteur qui accède uniquement à internet?Help je suis perdu lol.
Pour compliqué encore plus c'est que les vlans ne doivent pas être cantonné à un seul port, pour avoir des vlans dynamique en fonction de l'authentification à distance Radius. Je dois donc mettre tous les ports du switchs en trunck pour associer tous les vlans à tous les ports?
Pour ce qui est du radius, j'utilise NPS sur windows serveur 2008 avec comme stratégie contrôle utilisateur ldap et @MAC du PC. L'utilisateur ldap marche mais pas @MAC malgrès la création dans l'AD d'un groupe utilisateur contenant les @ mac en minuscule et sans - de séparation.
Sur les clients PC l'authentification 802.1X est bien active.
Mon plus gros problème vient surtout de la configuration de mon switch et routeur orange avec les Vlans et les restrictions...
Voilà je ne sais pas après ce paver si j'ai était clair.. Pour certains le projet semble facile mais j'avoue que je rencontre beaucoup de mal, alors tout aide serait le bienvenue.
Merci