Architecture

organisation du réseau fablab

• Les réseaux virtuels
• Les VLANs du fablab
• Connection internet

Les réseaux virtuels

Les réseaux virtuels, ou VLAN, permettent d'implémenter plusieurs réseaux ethernet distincts sur un même matériel physique. Cela permet d'isoler différentes machines sans multiplier les équipement réseau.

Un VLAN est identifié par un numéro, compris entre 1 et 1024 dans le cas des cisco. Chaque port d'un commutateur se voit affecté un numéro de vlan. Pour les communications entre équipements réseau, il est possible d'avoir un port appartenant à plusieurs vlans. Dans ce cas une en-tête est ajoutée aux trames ethernet contenant le numéro de vlan auquel appartient la trame: c'est l'encapsulation 802.1q.

Un port utilisant l'encapsulation 802.1q peut aussi émettre ou reçevoir des trames non encapsulées (ou ethernet native), il faut aussi associer un vlan au port pour ces trames natives.

Sur la plupart des équipements supportant les vlans 802.1q les ports sont par defaut dans le vlan 1.

Les VLANs du fablab

Le fablab utilise les vlans pour isoler les traffics entre different équipements ou utilisateurs:

• 205 (fablabws ou fablabstaff): pour les machines des permaments du fablab et les rares équipement ayant besoin d'une connection internet directe. Le SSID wifi fablabstaff est connecté à ce vlan (rappel: ne pas donner accès à ce réseau aux étudiants, il est réservé aux permaments).
  
• 2 (imp): pour les imprimantes 3d et le PC associé. Elles sont sur un vlan distinct pour que les utilisateurs ne puissent pas communiquer directement avec les imprimantes depuis leur laptop,
• 3 (pub): pour les machines accessibles au public, et les machines perso du public. Le SSID wifi fablab est connecté à ce vlan.
  
• 4 (fablab-bad) pour les équipements à la sécurité douteuse
• 5 (imp restreint) pour les imprimantes 3d et PC associé de l'espace à accès restreint
• 1 (defaut) pour l'administration des équipements réseau.

Seul le vlan 205 est connu de la DSI, ce vlan peut donc être utilisé sur tout le campus. Une prise sur le vlan 205 peut être soit sur un switch de la DSI soit sur le notre.

Les autre vlans n'existent que sur les équipements réseau du fablab et ne sont donc accessible que sur les sites ou le fablab dispose d'un équipement réseau.

Connection internet

Chaque vlan utilise une plage d'adresse IP distincte:

• le vlan 205 utilise la plage 134.157.102.128/25, attribuée par la DSI. Le routeur de la DSI a pour IP 134.157.102.254. Notre passerelle proto.fablab.sorbonne-universite.fr est connectée à ce réseau et assure le service DHCP pour la configuration des postes clients. Sur ce vlan, les adresses IP 134.157.102.128->134.157.102.223 peuvent se connecter sans restriction à internet, les adresses 134.157.102.224->134.157.102.253 ne peuvent se connecter qu'a quelque machines du campus, dont le proxy http.
• Le vlan 2 (imp) utilise la plage d'adresses privées 10.0.2.0/24. Le routage avec translation d'adresse est assuré par notre passerelle, ainsi que le service DHCP. Les machines sur ce vlan ne peuvent se connecter à internet qu'au travers du proxy http du campus.
• Le vlan 3 (pub) utilise la plage d'adresses privées 10.0.3.0/24. Le routage avec translation d'adresse est assuré par notre passerelle, ainsi que le service DHCP. Les machines sur ce vlan ne peuvent se connecter à internet qu'au travers du proxy http du campus.
• Le vlan 4 (fablab-bad) utilise la plage d'adresses privées 10.0.4.0/24
• Le vlan 5 (imp restreint) utilise la plage d'adresses privées 10.0.5.0/24

 

Les paramètres pour le proxy sont: proxyweb.upmc.fr port 3128.