Makasi Architecture Academy

🔐 Adieu VMPS, Bienvenue au Design 802.1X (Dynamic VLAN)
Le VMPS est mort, vive le NAC (Network Access Control) ! Dans un design réseau moderne, on ne fixe plus un VLAN à une prise murale. C'est l'utilisateur ou l'appareil qui "transporte" son VLAN avec lui, peu importe où il se branche.

🏗️ L'Architecture du Design (Le Trio de Confiance)
Pour remplacer le VMPS, ton design doit reposer sur trois piliers :

Le Supplicant (Le Client) : L'ordinateur, le téléphone IP ou l'imprimante qui demande l'accès.

L'Authentificateur (Le Switch d'Accès) : Il agit comme un garde-barrière. Le port est "fermé" (bloqué) tant que l'identité n'est pas prouvée.

Le Serveur d'Authentification (Le Cerveau RADIUS) : C'est ici que réside la politique. On utilise généralement des solutions comme Cisco ISE, Aruba ClearPass ou un serveur FreeRADIUS.

🛠️ Comment se passe la "Fusion" dynamique ?
Au lieu d'une base de données MAC statique comme en VMPS, le processus est intelligent :

Étape 1 : L'utilisateur branche son PC. Le switch demande : "Qui es-tu ?"

Étape 2 : Le PC envoie ses certificats ou ses identifiants AD (Active Directory).

Étape 3 : Le serveur RADIUS vérifie et répond au switch : "C'est bon, c'est un employé de la COMPTA. Ouvre le port et place-le dans le VLAN 10."

✅ Pourquoi ce design est supérieur ?
Sécurité Totale : Un port vide n'a aucun VLAN. Un intrus qui branche son PC ne pourra même pas obtenir une adresse IP.

Mobilité (Hot-Desking) : Un employé peut changer de bureau chaque jour, son VLAN et ses droits d'accès le suivent automatiquement.

Gestion des "Inconnus" : Si l'appareil n'est pas reconnu, on peut le basculer automatiquement dans un VLAN Guest (Internet uniquement, aucun accès au serveur interne).

📝 Ce qu'il faut écrire dans ton post :
"Arrêtez de courir après vos câbles dans la salle de brassage ! 🏃‍♂️💨 Le design 802.1X remplace avantageusement le vieux VMPS en automatisant l'assignation des VLANs. Sécurité accrue, gestion simplifiée : c'est le standard du réseau moderne."

🚦 Routage inter-VLAN : qui contrôle réellement votre réseau ?

Dans les précédents posts, on a vu comment segmenter un réseau pour renforcer la sécurité et comment simplifier l’architecture avec un Collapsed Core. Mais une question essentielle reste en suspens : si le VLAN Comptabilité est séparé du VLAN Serveurs, comment communiquent-ils entre eux ?

C’est précisément le rôle du routage inter-VLAN.

🏛️ Le “Router-on-a-Stick” : l’approche traditionnelle
Cette méthode consiste à connecter un routeur à un switch via un seul lien physique (un trunk). À chaque fois qu’un paquet doit passer d’un VLAN à un autre, il quitte le switch, transite par le routeur, puis revient.

👉 Limite principale : cela crée un goulot d’étranglement. Toute la performance du réseau dépend alors de la capacité de cette unique interface.

🏎️ Le switch de niveau 3 : la solution moderne
Dans les architectures actuelles (notamment en Collapsed Core), le routage est directement pris en charge par un switch de niveau 3, via des interfaces virtuelles (SVI).

👉 Résultat : un routage à vitesse filaire (wire-speed), assuré par des composants matériels dédiés (ASIC), avec une latence quasi nulle.

🛡️ Une approche orientée sécurité avant tout
Un switch capable de router rapidement, c’est efficace… mais sans contrôle, c’est risqué.

👉 La bonne pratique consiste à appliquer des ACL (Access Control Lists) directement sur les interfaces virtuelles.

Exemple :
Le VLAN Invité peut accéder à Internet, mais il lui est impossible de communiquer avec le VLAN Administration, même si le routage est techniquement possible.

💡 À retenir pour concevoir votre réseau :

Pour une PME, privilégiez le routage sur switch L3 pour des performances optimales.
Évitez un routage totalement ouvert : intégrez des ACL dès la conception.
Réservez le routeur ou firewall au trafic sortant (Internet) afin d’éviter toute surcharge liée aux échanges internes.

🏗️ Design Réseau : La théorie de l'école vs La réalité du terrain
On nous répète souvent le modèle hiérarchique standard de Cisco avec ses 3 couches : Core, Distribution et Accès. Mais en entrant dans le monde professionnel, on découvre vite que pour beaucoup d'entreprises (PME/PMI), ce modèle est trop lourd et coûteux.

C’est là qu'intervient le design "Collapsed Core" (Cœur de réseau effondré).

🧐 C'est quoi le concept ?
Au lieu d'avoir des commutateurs dédiés uniquement au routage ultra-rapide (Core) et d'autres pour l'agrégation et les politiques (Distribution), on fusionne ces deux fonctions dans un seul équipement (souvent une paire de switches performants en châssis ou en stack).

🛠️ Comment on fusionne concrètement ?
Pour passer d'un modèle à 3 couches vers un modèle à 2 couches, le switch "Collapsed Core" doit assumer deux rôles simultanément :

Le rôle du Core : Assurer le routage inter-VLAN et la connectivité vers le routeur/firewall Internet à une vitesse maximale.

Le rôle de la Distribution : Centraliser les liens montants (uplinks) provenant des switches d'accès, appliquer les listes de contrôle d'accès (ACL) et gérer la qualité de service (QoS).

✅ Pourquoi choisir ce design ?
Économie (CAPEX) : Moins d'équipements à acheter, moins de licences, moins de consommation électrique.

Simplicité (OPEX) : Moins de câblage à gérer et une configuration simplifiée (un seul point de gestion pour le routage).

Performance : Dans un petit réseau, supprimer un "saut" (hop) entre deux couches réduit légèrement la latence.

⚠️ Le point de vigilance
Le risque majeur est le Point de Défaillance Unique (SPOF). Si votre cœur de réseau "fusionné" tombe, tout s'arrête. C'est pourquoi, en design "Collapsed Core", on utilise presque toujours du Stacking ou des technologies de virtualisation de châssis pour garantir que si un switch tombe, le second prend le relais instantanément.

🎨 Le Câblage Structuré : Quand l'Art Rencontre la Performance
L'une des bases qui ne s'apprend pas à l'école, c'est de faire un câblage structuré. Parce qu'au-delà de la connectivité, le câblage est aussi un art. Sans une infrastructure physique organisée, le dépannage devient rapidement critique, coûteux et inutilement complexe.

💥 Retour d’expérience : à l’époque où j’étais technicien

Quand j’étais technicien, j’ai été confronté à des dépannages particulièrement difficiles. En cause : aucun étiquetage et un rack totalement désorganisé. Imaginez un enchevêtrement de câbles digne d’un plat de spaghettis.

Dans ce type de situation, chaque manipulation devient hasardeuse. On tire sur un câble sans certitude, en espérant ne pas couper un service critique. Résultat : une perte de temps énorme et un stress qui aurait pu être évité avec un minimum d’organisation.

⚙️ Pourquoi le câblage structuré est indispensable ?

Ce n’est pas qu’une question d’esthétique : c’est la base même de la fiabilité de votre réseau.

Moins de downtime : un bon repérage permet d’identifier et corriger une panne en quelques minutes.
Plus de sécurité : moins de manipulations à l’aveugle, donc moins d’erreurs humaines.
Évolutivité simplifiée : ajouter ou modifier des équipements devient rapide et propre.
Meilleure gestion thermique : un câblage ordonné favorise la circulation de l’air et limite la surchauffe.

🧩 Les 3 fondamentaux d’un câblage efficace

Un étiquetage précis
Chaque câble doit être identifié clairement, à chaque extrémité, avec une nomenclature cohérente (ex : B01-P24). Sans ça, tout devient compliqué.
Un code couleur cohérent
Différencier les usages (data, VoIP, caméras, administration) permet une lecture rapide et intuitive.
Une organisation propre
Guides-câbles, attaches, respect des courbures : tout doit être pensé pour une installation claire, accessible et durable.

✅ À retenir

Un réseau fiable commence toujours par une base physique irréprochable. Le câblage structuré n’est pas un détail : c’est un investissement stratégique qui garantit efficacité, sécurité et sérénité sur le long terme.

🛡️ La Segmentation Réseau : Votre première ligne de défense (ou votre pire cauchemar).

🔎 Imaginez une banque où la porte d’entrée principale donne directement accès au coffre-fort...

C’est absurde, n’est-ce pas ? Pourtant, c’est exactement ce qui se passe dans une entreprise avec une mauvaise segmentation réseau.

Trop souvent, par souci de simplicité (ou par négligence), les réseaux d'entreprise sont configurés comme de grands "espaces ouverts". Si un pirate parvient à compromettre un simple ordinateur de bureau ou un objet connecté (IoT) mal sécurisé, il a le champ libre.

🚫 Pourquoi une segmentation inadéquate expose votre entreprise :

1️⃣ Mouvement Latéral Facilité : Sans barrières intérieures, un attaquant peut naviguer de l'appareil infecté vers vos serveurs critiques, vos bases de données clients ou votre système de paie.
2️⃣ Surface d'Attaque Maximisée : Une faille sur une application web non critique peut compromettre l'intégralité de votre infrastructure.
3️⃣ Visibilité Réduite : Il est beaucoup plus difficile de détecter une activité suspecte dans un trafic réseau massif et non organisé.

🛑 Ne laissez pas votre infrastructure ouverte aux quatre vents.

Une architecture sécurisée et scalable repose sur des zones hermétiques, des pare-feu internes et une politique de "moindre privilège" pour le trafic réseau.