Sujet: [Réseau] toi aussi fait ta shopping list
28/06/2006 @ 10:33:42: blietaer: [Réseau] toi aussi fait ta shopping list
Bon sorry pour les adsl-bçois d'entre nous pour le douible postage, mais je préfère faire appel à des pro (ici) plutôt que de me prendre des réponses de tuner de voiture et autre trolleurs.

Imaginons que l'on doive faire une "shopping list" pour un réseau de base de 20personnes, puis 50 et au final 270 (donc évolutif).

Quel type (HW, SW) de matériel (j'ai pas dis 'marque') aurions-nous besoin pour assurer:
- Mail
- Authentication
- Securité (Firewall, IDS, IPS,..)
- Webserver (intranet et internet)
- Remote connectivity (VPN)
- Back-up
- SAN (*)
- Blade server (**)
- Switch/hub (***)
- firewall internes et reverse proxy

Les questions Bonus sont :
(*) pour ou contre les SAN?
(**) pour ou contre les blades?
(***) 10/100/1000 Mbps ?

Les conseils de connection sont bienvenus!
28/06/2006 @ 10:46:00: cauet: [Réseau] toi aussi fait ta shopping list
Si je peux te donner un conseil c'est de mettre du gigabit sur toute la ligne... du CAT6 et hop!
Même pour relier ma dreambox j'ai passé un CAT6 hier soir, dans les années avenir on est tous amenés à y passer je pense.. la vidéo deviens de plus en plus gourmande .. la HDTV.. ce n'est qu'un exemple.

N'hésite pas une seule seconde
28/06/2006 @ 11:02:33: ovh: [Réseau] toi aussi fait ta shopping list
Boh le cat5e convient pour le gigabit :tongue:

Sinon pour le software (services, firewall, etc.) : linux powa :banzai:
- mail : postfix/qmail + spamassassin + amavisd-new + clamav
- authentification : si postes windows >> samba et Cie
- sécurité : iptables, nagios, prelude-ids, snort, etc.
- webserver : apache of course :oh:
- vpn : ipsec ou openvpn
- backup : rsync :tinostar:
- san/nas : matériel
- blade : connais po du tout, apparemment c'est une techno pour faire un cluster :figti:
- proxy : squid/socks

Le reste ben faut voir s'il faut diviser le réseau en VLAN ou pas, mettre probablement un switch par étage, le LAN en 100 Mbps et le backbone (lien entre étages et avec la DMZ des serveurs) en 1 Gbps, les serveurs étant connectés directement en 1 Gbps. Je verrais ça comme ça :dawa:
28/06/2006 @ 11:23:58: blietaer: [Réseau] toi aussi fait ta shopping list
EXCELLENT!!
c'est ce genre d'info dont j'ai besoin...
28/06/2006 @ 11:48:44: Keeper: [Réseau] toi aussi fait ta shopping list
en même temps le réseau ça dépend.

Quel est le volume échangé ? chez nous on a que du 10 Mbps sur les postes car on a pas besoin de plus. Ca permet de réguler bcp mieux la BP globale.

Pour l'authentification je mettrais quand même un AD pour pouvoir jouer avec les GPO... quand t'as 10 postes ça peut sembler inutile mais avec 50 ou plus ça devient indispensable.
Backup c'est pas ce qui manque faut voir le besoin et le matériel

Il faut impliquer là dedans la maintenance à long terme et qui maintiendra...
28/06/2006 @ 11:55:53: blietaer: [Réseau] toi aussi fait ta shopping list
Bien vu: il s'agit d'une grosse entreprise, européeene, avec un budget convenable.

Trafic, une partie pure bureautique et l'autre plus scientifique (server, clusters).
J'aime bien l'idée d'OVH: du 100 en bureau et du 1Go en backbone + server.

GPO = Group Policy Object?
Un AD nécessite physiquement un PDC et un BDC ?

Autre chose, la guerre entre NAS et SAN semble trouver un terrain d'entente avec une formule "deux en un"..ca me laisse perplexe..et vous?
Je crois que c'est deux technologie différentes pour deux applications différentes.

28/06/2006 @ 11:56:13: Jean-Christophe: [Réseau] toi aussi fait ta shopping list
J'ai juste une remarque...

Pour une infrastructure de plus de 250 personnes, on ne peut pas se permettre le moindre down time.
Si il y a un jour le moindre problème, vous arrez du mal à trouver le service pour faire la maintenance d'un système *nix.

Je ne suis pas "pro Microsoft", mais il faut savoir reconnaitre qu'un active directory et les services associés fonctionnent TRES bien dans ce genre de cas.
De plus, je ne suis pas sur que la différence du prix de licence n'est pas compensée par la différence de prix de la consultance pour la mise en route et la maintenance.
Donc, si on veut voir les choses du côté obscur, on pourrait dire :

- Mail => Exchange 2003
- Authentication => Active Directory 2003
- Securité (Firewall, IDS, IPS,..) => ISA Server
- Webserver (intranet et internet) => IIS over ISA
- Remote connectivity (VPN) => ISA
- Back-up => NT Backup fonctionne aussi bien que beaucoup d'autres outils commerciaux (et il est intégré à Windows Server)
- SAN (*) => Hardware (attention au prix!!)
- Blade server (**) => Pas justifié dans ce cas ci (à mon avis, et sans connaitre le secteur d'activité)
- Switch/hub (***) => Idem que OVH (Lan en 100, backbones et serveurs en 1000)
- firewall internes et reverse proxy => ISA

A rajouter : Un serveur de mise à jour (Windows Update (WSUS) et Antivirus)
Le PDC , DHCP, DNS, storage et Backup sur une machine.
L'exchange sur une autre machine.
L'ISA sur une autre machine.

En tout, 4 serveurs (costauds)

En fonction des besoins, voir pour un cluster, mais à mon avis, pas nécessaire.
28/06/2006 @ 11:59:27: blietaer: [Réseau] toi aussi fait ta shopping list
Tu peux préciser : "costaud"?
28/06/2006 @ 12:05:20: Jean-Christophe: [Réseau] toi aussi fait ta shopping list
Des machines modernes.
Dual CPU, pleines de RAM
Des disques à 15K RPM pour les disques systèmes. En RAID 5 ou 5+1.
28/06/2006 @ 12:06:22: ovh: [Réseau] toi aussi fait ta shopping list
JC désolé mais administrer un windows n'est pas plus facile "parce que c'est windows, c'est plus convivial, c'est clic-clic" ! :roll:
Administrer un ISA ou configurer un VPN n'est pas spécialement évident, pas plus que ne le sont les tâches équivalentes sous unix !

C'est complètement faux de proclamer que les environnements unix sont d'office plus compliqués et que donc c'est horrible, c'est le mal pour le business "sérieux", c'est réservé aux geeks dans leurs caves, car impossible à débugger en cas de problème etc. Je m'insurge contre cette idée, c'est vraiment des à-prioris très dommageables et pas très honnêtes ! :fou:
Sans doute que ton expérience à toi est avec les logiciels MS, alors ok restes-y, mais ne viens pas dire stp que parce que tu ne connais pas linux et donc tu y es perdu que c'est forcément plus compliqué.
Et je n'aime pas trop ton allusion qui semble prétendre que sous windows tout fonctionne tout seul du premier coup, et que sous unix tout est d'office branlant et buggué... :oh:

Quelque soit les serveurs, il faut évidemment une personne compétente (ou plus) en interne pour maintenir le réseau dans cette boîte.

Pour l'authentification, je suis d'accord qu'un "vrai" Active Directory est sans doute mieux (puisqu'il s'agit d'une interaction avec les postes de travail qui seront d'office sous windows), mais clairement pour les services réseau purs je préconiserais plutôt une solution unix.
28/06/2006 @ 12:11:49: Jean-Christophe: [Réseau] toi aussi fait ta shopping list
Tututu, je n'ai pas dis que "sous windows tout fonctionne tout seul du premier coup, et que sous unix tout est d'office branlant et buggué..."

Tout ce que je dis, c'est que trouver des sociétés de service ou de personnel pour s'occuper d'un infrastructure *nix complexe est peut-être plus difficile.

Je sais que je ne connais pas bien ce monde là, je ne le critique pas.

Peut-être que relire mon message sans arrière pensée paranoïque ne serait pas mal :wink:
28/06/2006 @ 12:17:12: ovh: [Réseau] toi aussi fait ta shopping list
Bah désolé mais cette phrase est éloquente je trouve :spamafote:
Je ne suis pas "pro Microsoft", mais il faut savoir reconnaitre qu'un active directory et les services associés fonctionnent TRES bien dans ce genre de cas.

Sous-entendu : "windows c'est BIEN mieux", ça me semble très clair :spamafote:
Si ce n'était pas ton propos, désolé :wink:

Et je ne vois pas en quoi cette infrastructure unix est "complexe" (tu vois, tu emploies d'office ce mot :wink: )...

D'autre part, comme blibli a parlé de milieu scientifique et de clusters de calcul, il y a de grandes chance qu'ils utilisent déjà des serveurs unix :dawa:
28/06/2006 @ 12:17:21: blietaer: [Réseau] toi aussi fait ta shopping list
Je me permets de recentrer (pas de poire, pas débat) : l'OS doit en effet être proposé, mais rien ne m'empêche de proposer les différents possibilité, tout en mentionant la remarque de JC "prix des licenses/consultation".

Vos remarques sont toutes les deux pertinentes, merci.
Ne partons pas en troll..

Je suis grand fan du Pinguin et je le pousse à toute les sauces quand c'est possible, mais malheureusement j'ai aussi pu constater l'attrait pour MS en matière de config...
La décision n'est pas miennes. Je propose les deux.

"pleine de RAM"..? n'hésite pas à bien chiffrer ts les paramètres, je suis en général trop optimiste en config PC.

28/06/2006 @ 12:17:57: zion: [Réseau] toi aussi fait ta shopping list
On se calme les tuners de voiture :oh:

:neowen:
28/06/2006 @ 12:20:03: ovh: [Réseau] toi aussi fait ta shopping list
Pour la RAM je dirais 4GB.

Maintenant pour du luxe on peut aussi passer par des serveurs en rack avec des cartes mères de brute, des baies HDD hot swap, etc. Va voir du côte de SuperMicro :joce:
28/06/2006 @ 12:27:31: Jean-Christophe: [Réseau] toi aussi fait ta shopping list
Pour la config, j'approuve OVH. :oh:

Pour l'inrastructure, elle est complexe, point. Que l'OS soit MS ou autre, ca reste une infrastructure complexe.
Si ce n'était pas le cas, les questions ne seraient même pas là.
28/06/2006 @ 12:31:18: Keeper: [Réseau] toi aussi fait ta shopping list
pour apporter mon expérience

Sur une 60aine de postes j'ai 4 serveurs + un firewall
- 2 serveurs AD/DHCP/DNS/PrintServer/FileServer (parce que l'infrastructure et le volume le permet) -> Windows 2003
- 1 Proxy server : Linux (Squid/DansGuardian avec authenticiation AD (log, trace, accès tout-ça....)
- 1 Mail server : Linux Postfix/Courier(imap+pop3+ssl)/clamav/spamassassin

Le firewall est aussi un linux (IpCop pour être précis)

Cela permet une grand souplesse vis à vis de l'utilisateur car :
- il garde imprimante/fichiers/profiles dans un même environnement
- il allie les points forts des univers MS et Linux (configurer un AD est bcp plus rapide et efficace sur windows que sur un samba3+openldap)
- Permet de réduire les coûts à l'essentielle : la configuration et installation des serveurs mails et proxy est p-ê plus subtile qu'un ISA mais une fois que tout est huilé, une sauvegarde des fichiers config et un script permettant de recréé arborescence et droits des fichiers, et tu remplaces une machine en 2 ou 3 mouvements (si c'est nécessaire).
28/06/2006 @ 12:49:39: ovh: [Réseau] toi aussi fait ta shopping list
Keeper> +1 belle config, ça me semble l'idéal :dawa: Tout ce qui nécessite une interaction directe avec les postes windows sur des serveurs windows, le reste (réseau pur) sur des serveurs unix :smile:
28/06/2006 @ 12:52:24: Keeper: [Réseau] toi aussi fait ta shopping list
y a aussi un OpenVPN via le ProxyServer
28/06/2006 @ 12:54:19: ovh: [Réseau] toi aussi fait ta shopping list
y a aussi un OpenVPN via le ProxyServer

Tiens c'est facile à déployer sur les postes clients ? Les gens ont un installateur à télécharger + un fichier de config à charger ?

Je devrais m'y mettre un jour à openvpn :joce:
(pour l'instant ma seule expérience du vpn finalement c'est l'ipsec des routeurs, en routeur-routeur et routeur-soft)
... 
Retour