Aller au contenu

Connections de machines sur 2 réseaux @IP


Messages recommandés

Bonjour,

Dans un magasin vendant des lunettes pour Johny (...) on trouve :

  • Un serveur IBM (WinServ 03)
  • Un client léger IBM (WinXP Pro)
  • Quatre ordinateur desktop (WinXP Pro)
  • Deux switchs 10/100 non manageables

Le serveur est connecté à un serveur central en région parisienne avec une ligne SDSL 1 Mbps en direct.

Les ordinateurs utilisent une application PHP/SQL s’exécutant sur le serveur.

Ils sont tous connectés au serveur en ethernet 100 mbps.

Dans le même temps le personnel a besoin d'accéder à internet pour effectuer les prises en charge pour les lunettes :p

Actuellement le système souffre de deux problèmes distincts.

D'une part, le manque de puissance du serveur.

En effet, lorsqu'une machine demande à accéder à une page de l'application le serveur monte en charge : environ 80% au processeur pendant cinq à six secondes.

Lorsque deux postes demande en même temps l'accès à une page, cette latence devient énorme. Lorsque la centrale effectue une MAJ sur les BDD du serveur c'est encore pire.

D'autre part, la faiblesse de la ligne internet.

En effet, cette ligne 1Mbps et cette architecture avait été dévelopée en 2004. Aujourd'hui les pages des sites internets sont de plus en plus lourdes et il y a de plus en plus de sites différentes à consultés. Hors la ligne 1 Mbps lorsqu'elle est utilisée par le serveur est suffisante. Mais lorsque les postes clients demande à accéder à une page web un traceroute m'a montrée que la requête passait forcément par la centrale à paris pour aller simplement sur google. Au final, une latence de 6 secondes pour afficher google.fr et c'est encore pire en "heure de pointe".

Solutions :

Mise à jour du serveur, changer son XEON 51110..

Problème, par contrat, il est obligatoire de venir se fournir auprès de la centrale. Ainsi pour 7/8k¤ H.T. vous avez un serveur neuf sans puissance...

Cette partie étant contractuelle il n'y a rien à faire.

Mise en place d'une seconde ligne internet, type ADSL auprès d'un FAI grand public.

Et c'est sur ce point que j'aimerais un peu d'aide extérieure pour m'aiguiller.

Je peux évidemment placer une seconde carte réseau sur les postes et relier ce second réseau sur une livebox/freebox/etc..

Mais comment faire pour que l'accès à internet soit obligatoirement redirigée vers le LAN2 et l'accès à l'application interne sous IE (hey oui...) sur le LAN1 ?

Merci d'avance pour vos idées ;)

Lien vers le commentaire
Partager sur d’autres sites

Selon moi ce n'est pas pour rien que toutes tes requêtes même vers l'exterieur passent par ta centrale à Paris :)

Si tu contactes le serveur distant via une ip privée comme je le pense ( à vérifier ), vos différents sites font partie d'un même VPN connectés par vos SDSL.

Ainsi, pour sortir du VPN et aller à l'exterieur, vous passez tous par la même passerelle centrale (regarde dans les paramètres LAN de ton browser internet, je pense qu'un proxy est configuré), ce qui permet d'unifier le moyen de protection (proxy/firewall/antiX et tout le bordel) faisant le lien entre le VPN interne de ta société et l'exterieur. Ainsi au lieu de mettre des faibles moyens de protection partout, on met un système très performant et très sécurisé sur une unique passerelle interne/externe. Le niveau de sécurité global étant celui du maillon le plus faible, l'unicité d'un gros système est le plus sécurisé.

C'est en général ce genre de configuration qui est retenue pour les entreprises ayant de multiples sites répartis sur le territoire et ayant besoin d'accéder à des datacenters centralisés.

Où je veux en venir :

Ce que tu t'apprêtes à faire si le schéma réseau est bien celui décrit plus haut, c'est interconnecter le réseau interne de toute ta société (ton site mais également tout le VPN via ton SDSL), avec une liaison internet ayant pour ainsi dire 0 protection (une box de particulier). En gros réduire à néant toute la sécurité mise en place en centrale pour éviter les attaques extérieures. Le maillon le plus faible du lien externe/interne de ta société devenant... une box.

Pour résumer :

Vérifie d'abord que ton SDSL n'est pas dans le VPN de ta boite (ce dont je doute).

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas ce que je dis, relis :)

Toutes leurs requêtes vers l'exterieur passent actuellement par un point centralisé, via un VPN sécurisé, à l'aller comme au retour. Ce point central de connexion interne/externe peut contenir par exemple :

- Analyse de flux HTTP/FTP

- Firewall avec filtrage de paquets ou filtrage applicatif (voire un hybride Stateful Inspection), antispoofing

- Filtrage de contenu (sites interdits etc)

- Statistiques

- Antivirus/antispam intégrés

- etc

On peut mettre du lourd car p-e plusieurs centaines/milliers de PC passent par cette passerelle pour sortir, c'est donc rentable.

Et ce que je dis, c'est qu'il réduit à néant cette architecture en connectant une box directement sur son lan.

Outre les failles de sécurité supplémentaires, il va en plus bypasser le filtrage de contenu et applicatif imposé par leur charte informatique niveau groupe.

Je sais que cette architecture n'est pas utilisée dans les PME, mais elle l'est dans les grands groupes dont le célèbre opticien fait certainement partie.

Ce que je ferais, qui est à mon sens plus professionnel et moins bricolo ( c'est un site d'un grand groupe d'opticien, pas un kebab) :

Contacter l'équipe WAN de ton groupe pour savoir ce que tu es autorisé à faire/à ne pas faire.

Leur faire chiffrer une augmentation de ton WAN, de 1Mbits vers 2Mbits.

Contacter l'équipe Système de ton groupe pour lancer une analyse de performance sur ton serveur, il n'est pas normal qu'une simple requête prenne 80% de ton xeon pendant un temps significatif. Même si je ne connais pas la base SQL derriere, y'a qd meme un souci. De plus 7k€ pour un serveur récent me semble très disproportioné, à moins que ça soit vraiment une appli de fou que vous faites tourner mais étant donné l'activité, j'ai du mal à concevoir ce qui prendrait autant de puissance.

Lien vers le commentaire
Partager sur d’autres sites

Oui, mais il n'aura p-e pas le choix de l'alternative.

Pour le coût, cela dépend d'assez nombreux facteurs.

- Leur fournisseur (contrat cadre groupe j'imagine, donc pas le choix)

- La distance du DSLAM ( vu que c'est une boutique on peut imaginer qu'il est certainement en centre ville et qu'il n'est pas très loin)

- Le niveau de SLA du contrat, faible genre 99,7% ou élevé genre 99,95%.

- Niveau de Time To Restore

- Etc...

Rien que la distance peut faire énormément varier, exemple mon site est paumé, et on nous demande 21k¤HT/an pour du 1mbits symétrique.

Pour le même niveau de service avec le même équipement avec le même fournisseur ( xDSL + backup ISDN sur 1 unique routeur), un autre site paye 9k¤HT/an pour du 2mbits symétrique.

Soit déjà un rapport de 1 à 4...

Pour connaitre la douloureuse, faut faire chiffrer auprès du fournisseur via l'équipe WAN du groupe, ça ne coutre rien de connaître cette information. Après, au responsable du site de trancher.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...