1. Objectif de ce Document
Ce document est le “plan cadastral” de notre réseau. Il définit :
- Le Plan d’Adressage IP : La logique utilisée pour attribuer des adresses uniques à chaque équipement.
- La Segmentation en VLANs : Comment nous divisons virtuellement notre réseau physique en plusieurs sous-réseaux logiques et isolés pour améliorer la sécurité et l’organisation.
Ce plan est la mise en application directe de notre architecture en Hub-and-Spoke.
2. Le “Pourquoi” : L’Analogie de la Ville
Imaginez que notre réseau est une grande ville.
- Une adresse IP est comme une adresse postale unique (
10.0.40.15est l’adresse de la maison n°15). - Un VLAN (Virtual Local Area Network) est comme un quartier de cette ville (le quartier “BTS”, le quartier “Administration”, etc.).
Par défaut, dans un réseau simple, tout le monde est dans le même quartier. C’est bruyant et peu sécurisé. Les VLANs nous permettent de créer des cloisons virtuelles. Les habitants du quartier “BTS” ne peuvent pas parler directement aux habitants du quartier “FabLab”. Pour cela, ils doivent passer par le routeur central (notre paire de pare-feu Zyxel), qui joue le rôle de la poste centrale et qui contrôle qui a le droit de communiquer avec qui.
3. Stratégie d’Adressage
Nous utilisons la plage d’adresses IP privées 10.0.0.0/8. Pour rendre le plan lisible et facile à gérer, nous adoptons la convention suivante :
10.0.ID_VLAN.IP_HOTE
10.0: Préfixe global pour toute l’infrastructure.ID_VLAN: Le troisième octet de l’adresse IP correspondra directement au numéro du VLAN. Par exemple, tous les équipements du VLAN 40 auront une adresse en10.0.40.x.IP_HOTE: Le numéro de l’équipement dans le VLAN.
Convention pour les Passerelles
La passerelle de chaque VLAN (l’interface du pare-feu Zyxel) aura toujours l’adresse se terminant par
.254. Par exemple, la passerelle du VLAN 40 sera10.0.40.254.
4. Tableau des VLANs et des Réseaux IP
Voici la répartition détaillée de notre plan d’adressage.
| VLAN ID | Nom du VLAN | Réseau IP | Masque | Passerelle | Rôle et Description |
|---|---|---|---|---|---|
| 10 | MGMT_INFRA | 10.0.10.0/24 | 255.255.255.0 | 10.0.10.254 | (Très Important) VLAN de management. Accès aux interfaces d’admin des serveurs, switches, pare-feu, NAS. |
| 20 | SERVERS | 10.0.20.0/24 | 255.255.255.0 | 10.0.20.254 | Réseau principal des machines virtuelles et conteneurs (Active Directory, GLPI, Zabbix, etc.). |
| 30 | PROXMOX_COROSYNC | 10.0.30.0/24 | 255.255.255.0 | Aucune | Réseau dédié et non routé pour la communication interne du cluster Proxmox (haute disponibilité). |
| 31 | STORAGE_NFS | 10.0.31.0/24 | 255.255.255.0 | Aucune | Réseau dédié et non routé pour le trafic de stockage entre les serveurs Proxmox et les NAS QNAP. |
| 40 | CLIENTS_BTS | 10.0.40.0/24 | 255.255.255.0 | 10.0.40.254 | (Spoke 1) VLAN pour les 30 postes de travail de la salle BTS. |
| 50 | CLIENTS_SAV | 10.0.50.0/24 | 255.255.255.0 | 10.0.50.254 | (Spoke 2) VLAN pour les postes de l’atelier SAV. |
| 60 | CLIENTS_FABLAB | 10.0.60.0/24 | 255.255.255.0 | 10.0.60.254 | (Spoke 3) VLAN pour les postes du FabLab, avec des règles de sécurité spécifiques. |
| 70 | CLIENTS_MELEC | 10.0.70.0/24 | 255.255.255.0 | 10.0.70.254 | (Spoke 4) VLAN pour les postes de la salle MELEC. |
| 200 | NAC_ISOLATION | 10.0.200.0/24 | 255.255.255.0 | 10.0.200.254 | VLAN de quarantaine pour le NAC (802.1X). |
Explications des VLANs Spécifiques
- VLAN 10 (MGMT_INFRA) : C’est le VLAN le plus sensible. Seuls les administrateurs devraient y avoir accès. En isolant le trafic de gestion, on empêche un utilisateur standard de pouvoir atteindre les interfaces de configuration des équipements critiques.
- VLAN 30 (PROXMOX_COROSYNC) : Le cluster Proxmox a besoin de beaucoup communiquer entre ses nœuds pour s’assurer que tout le monde est en bonne santé. Isoler ce trafic “bavard” sur son propre réseau garantit qu’il n’interfère pas avec le trafic des utilisateurs ou des serveurs. Ce réseau n’a pas de passerelle car il n’a aucune raison de sortir de son propre périmètre.
- VLAN 31 (STORAGE_NFS) : De la même manière, les transferts de données entre les serveurs et le stockage sont très lourds. En leur dédiant un chemin réseau, on assure des performances maximales pour les VMs sans ralentir le reste du réseau. C’est une bonne pratique fondamentale dans le monde de la virtualisation.
Ce plan structuré est la base sur laquelle nous allons configurer nos équipements réseau dans la Phase 1.