Activité 03 · Réseau métropolitain

Projet MAN & segmentation de l’infrastructure

Déploiement d’un réseau métropolitain en fibre noire FOR en topologie anneau, modernisation du parc HPE (5710 / 5140), abandon de la cascade au profit d’empilements (stack / IRF) en double attachement, puis segmentation VLAN par bâtiment et par usage avec migration progressive des utilisateurs.

MAN · FOR HPE 5710 · 5140 Stack · IRF VLAN par usage Change management
Fibre
FOR — Fibre Optique Rennaise
Topologie
Anneau MAN · étoile interne
Site pilote
Patton — 4 étages
Démarrage projet
Initié il y a ~2 ans

Architecture MAN et rôle de la fibre noire

Le projet MAN (Metropolitan Area Network) structure un réseau métropolitain en fibre noire fournie par la FOR (Fibre Optique Rennaise), en topologie anneau. Cette architecture vise la continuité de service : en cas de coupure d’un lien, le trafic peut emprunter le chemin opposé selon la conception du cœur et les protocoles en place.

Côté bâtiment, la fibre arrive en point d’entrée et est redistribuée en étoile vers les locaux techniques de chaque étage. Le projet a aussi été l’occasion de moderniser le parc en remplaçant les anciens commutateurs Cisco par du matériel Hewlett Packard Enterprise dans le cadre d’un marché dédié — réseau plus performant, plus fiable, plus homogène.

  • 10 Gb/ssur les uplinks (vs 1 Gb/s)
  • 4étages migrés (Patton)
  • 501·502·503·504VLAN par usage
  • 0interruption majeure
Schéma de l’arrivée de la fibre noire MAN dans le bâtiment Patton et de sa redistribution vers les locaux techniques
Arrivée fibre MAN à Patton et redistribution vers les locaux techniques (dossier professionnel).

Migration des commutateurs en locaux techniques

Les anciens switchs Cisco étaient en fin de vie avec une stabilité de plus en plus limitée ; leur remplacement était nécessaire pour sécuriser l’exploitation.

  1. Architecture

    Choisir les rôles HPE 5710 / 5140

    Les HPE 5710 raccordent les bâtiments à la boucle MAN en 10 Gb/s (uplinks fibre). Les HPE 5140 sont empilés dans les locaux techniques pour la distribution utilisateurs et périphériques.

  2. Préparation lab

    Préconfigurer les équipements

    Configuration hors site des commutateurs : nommage charte SINFRA, VLAN, agrégats, descriptions de ports, déclaration côté RADIUS, mise à jour des firmwares ciblés. Tests de cohérence avant pose.

  3. Bascule

    Remplacer les switchs étage par étage

    Dépose de l’ancien matériel, pose du neuf, brassage, vérifications. Une bascule d’un étage complet représente plusieurs heures. Sur Patton, opération menée sur les 4 étages.

  4. Topologie

    Sortir de l’architecture en cascade

    Abandon des chaînes de switchs reliés en cascade au profit d’empilements reliés en fibre en double attachement. Si un lien tombe, le trafic continue par le chemin redondant.

  5. Liens montants

    Remplacer les rocades optiques

    Mise à niveau des rocades entre locaux techniques pour passer à 10 Gb/s sur l’ensemble du bâtiment.

Brassage, étiquetage et qualité d’exploitation

Un point central de l’intervention : la qualité du brassage. Un câblage propre, organisé, étiqueté apporte des gains très concrets : meilleure lisibilité en maintenance, moins d’erreurs lors des changements, et meilleure circulation de l’air en baie.

Baie réseau encombrée avant migration MAN avec cordons en désordre
État initial — avant intervention.
Baie réseau remise en ordre après migration MAN avec cordons étiquetés et chemins de câbles dégagés
Après remise en ordre — circulation d’air rétablie, étiquetage propre.

Nouvelle segmentation VLAN — par bâtiment et par usage

Après la migration matérielle, segmentation par bâtiment et par type de service pour clarifier l’administration des flux et renforcer la sécurité. Chaque bâtiment dispose de tranches de VLAN spécifiques.

VLAN 501 Données utilisateur — postes de travail.
VLAN 504 Wi-Fi — bornes et clients sans fil.
VLAN 502 Visioconférence — flux audio/vidéo dédiés.
VLAN 503 Imprimantes et petits périphériques.

Les configurations de ports d’accès sur les switchs HPE (VLAN access, voix éventuelle, règles 802.1X selon le référentiel) restent alignées sur les standards SINFRA. 

interface GigabitEthernet1/0/12
 port link-mode bridge
 port link-type access
 port access vlan 501          # DATA UTILISATEUR
 stp edged-port
 undo shutdown
Capture d’une configuration de port utilisateur sur switch HPE dans l’infrastructure MAN
Exemple de configuration de port utilisateur sur l’infrastructure MAN (dossier professionnel).

Migration progressive des utilisateurs

La bascule vers cette architecture segmentée s’est faite progressivement, port par port (ou par petits lots de prises), pour éviter une coupure massive. Chaque équipement — poste fixe, prise murale, borne Wi-Fi, imprimante — a été basculé vers le VLAN adapté au bâtiment et à l’usage.

  1. Annoncer la fenêtre aux utilisateurs

    Communication de proximité : passage dans les bureaux, explications sur la démarche, bénéfices attendus, risque de courtes coupures. Cette transparence rassure et limite les rumeurs.

  2. Reconfigurer les ports concernés

    Bascule des prises vers le bon VLAN (501, 502, 503, 504), mise à jour des descriptions de ports. La main reste sur les switchs pour intervenir si un poste a un comportement inattendu.

  3. Vérifier l’adressage

    Confirmation que le poste obtient bien une adresse DHCP du bon scope, et que la résolution DNS / accès aux services internes fonctionne après reconnexion.

  4. Couvrir les périphériques silencieux

    Les imprimantes et autres équipements sans utilisateur permanent sont identifiés via une liste de contrôle par étage pour ne laisser aucun port dans l’ancien VLAN.

Effets sur la sécurité et retours

Avec la segmentation, chaque type de trafic est isolé et peut être contrôlé plus finement. Bénéfices côté exploitation et cybersécurité :

  • Isolation des flux — un incident sur un service n’impacte plus directement les autres.
  • Contrôle d’accès renforcé grâce à la séparation stricte des VLAN.
  • Surveillance simplifiée et détection plus rapide des anomalies.
  • Limitation de la propagation entre bâtiments et familles d’équipements.

Pour la majorité des utilisateurs, le quotidien ne change pas de façon visible — leurs postes continuent de fonctionner. Pour la DNSI, la nouvelle organisation offre une cartographie logique beaucoup plus rigoureuse, qui facilite planification, diagnostic et réponse aux incidents.

Bilan

J’ai participé concrètement au projet MAN : préparation et configuration des équipements neufs, dépose de l’ancien matériel, installation et brassage des baies, migration progressive des utilisateurs et reconfiguration des ports avec contact direct auprès des usagers.

Ce que j’en retiens

Compétences consolidées

  • Conduite d’une migration en double attachement sans coupure majeure.
  • Maîtrise des paramètres de port HPE (VLAN, agrégats, descriptions).
  • Brassage propre et discipline d’étiquetage tout au long du chantier.
  • Communication directe avec les utilisateurs pour faciliter l’adhésion.
  • Vision globale d’un projet réseau d’ampleur, du cœur jusqu’au poste.