Chapitre 03

Projet « MAN » & segmentation de l’infrastructure

Déploiement d’un réseau métropolitain en fibre noire (FOR), modernisation du parc HPE, remplacement des anciennes cascades par des stacks et liaisons fibre redondantes, puis segmentation VLAN par bâtiment et par usage avec migration progressive des utilisateurs et communication de proximité.

MAN / anneau HPE 5710 · 5140 Stack · IRF VLAN Change management

1. Architecture MAN et rôle de la FOR

Le projet MAN (Metropolitan Area Network) vise à structurer un réseau métropolitain en fibre noire, fournie par la FOR (Fibre Optique Rennaise), en topologie anneau reliant les sites importants de la métropole. Ce type d’architecture vise la continuité de service : en cas de coupure sur un lien, le trafic peut emprunter le chemin complémentaire selon la conception du cœur et des protocoles en place.

La fibre arrive dans les bâtiments de la Région en point d’entrée, puis est redistribuée en étoile vers les étages et les locaux techniques. En parallèle, le projet a été l’occasion de moderniser le parc : remplacement progressif des anciens commutateurs Cisco par du matériel Hewlett Packard Enterprise dans le cadre d’un marché dédié — pour un réseau plus performant, plus fiable et plus homogène.

Un autre pilier du MAN est la sécurité : la segmentation par VLAN dans les bâtiments permet de séparer les usages (postes, Wi-Fi, imprimantes, visioconférence, etc.) et de mieux maîtriser les flux. Le déploiement est progressif ; l’activité s’inscrit dans une dynamique engagée depuis plusieurs années côté collectivité.

Schéma d’arrivée de la fibre MAN dans le bâtiment Patton
Schéma MAN / distribution (dossier professionnel).

2. Migration des commutateurs en locaux techniques

Les anciens switchs, en fin de vie, montraient des signes de fatigue et une stabilité de plus en plus limitée ; leur remplacement était nécessaire pour sécuriser l’exploitation. Le nouveau design s’appuie sur des HPE 5710 pour raccorder les bâtiments à la boucle MAN et sur des HPE 5140 en stack dans les locaux techniques pour l’accès utilisateurs et périphériques.

L’emploi des 5710 sur la boucle a permis de monter le débit d’interconnexion à 10 Gb/s là où l’on était auparavant limité à 1 Gb/s, avec remplacement des rocades optiques entre locaux techniques. Les 5140, empilés, assurent la distribution vers les étages avec la même exigence de débit montant.

L’ancienne architecture en cascade (switchs chaînés les uns derrière les autres) a été abandonnée au profit d’empilements reliés par de la fibre en double attachement. En cas de perte d’un lien, le trafic peut continuer à circuler par un chemin redondant — ce qui change complètement la robustesse par rapport à une chaîne linéaire fragile.

3. Brassage, étiquetage et qualité d’exploitation

Un point central de l’intervention a été la qualité du brassage. Un câblage propre, organisé et étiqueté apporte des gains concrets : meilleure lisibilité pour la maintenance, moins d’erreurs lors des changements, et meilleure circulation de l’air dans les baies (les faisceaux trop volumineux peuvent gêner le refroidissement).

Chaque baie a été soignée pour obtenir un rendu exploitable sur le long terme. La bascule d’un étage complet représentait déjà plusieurs heures (dépose, pose, brassage, vérifications). Sur le site Patton, l’opération a été menée étage par étage sur l’ensemble du bâtiment. Le résultat est une infrastructure plus fiable, plus stable et plus performante, avec un réseau plus simple à comprendre pour les équipes qui interviennent au quotidien.

Baie réseau avant migration MAN
État initial de la baie (dossier professionnel).
Baie réseau après migration MAN
État après intervention (dossier professionnel).

4. Nouvelle segmentation VLAN

Après la migration matérielle, nous avons mis en place une segmentation par bâtiment et par type de service, pour clarifier l’administration des flux et renforcer la sécurité. Chaque bâtiment dispose de tranches de VLAN qui isolent les usages tout en restant gouvernables par les équipes réseau et la politique de filtrage.

Le dossier professionnel présente notamment la logique suivante (numéros indicatifs, adaptés dans les illustrations pour la confidentialité) :

  • VLAN 501 — données utilisateurs (postes de travail) ;
  • VLAN 504 — Wi-Fi ;
  • VLAN 502 — visioconférence ;
  • VLAN 503 — imprimantes.

Cette organisation limite la propagation d’un incident d’un service à l’autre et rend les politiques d’accès plus lisibles. La configuration des ports d’accès sur les switchs HPE (VLAN port access, éventuelle voix, règles 802.1X selon le référentiel) doit rester alignée sur les standards SINFRA.

Exemple de configuration de port de switch HPE
Exemple de configuration de port utilisateur sur l’infrastructure MAN (dossier professionnel).

5. Migration progressive des utilisateurs

La migration vers cette architecture segmentée s’est faite progressivement, port par port (ou par petits lots de prises), afin d’éviter une coupure massive. Chaque équipement — poste fixe, prise murale, borne Wi-Fi, imprimante — a été basculé vers le VLAN adapté au bâtiment et à l’usage.

Un point déterminant a été la communication directe avec les utilisateurs : nous sommes allés sur le terrain pour expliquer la démarche, les bénéfices attendus (meilleure isolation, réseau plus structuré) et le risque de courtes interruptions ponctuelles pendant les bascules. Cette transparence rassure, limite les rumeurs et réduit les tickets incompris lorsqu’un poste a besoin d’une seconde tentative de configuration.

6. Effets sur la sécurité et retours

Après la bascule, nous avons évalué l’impact sur la sécurité et la gestion des flux. Avec la segmentation (501 données, 504 Wi-Fi, 502 visio, 503 imprimantes, etc.), chaque type de trafic est isolé et peut être contrôlé de façon plus fine. Les bénéfices côté exploitation et cybersécurité sont notamment :

  • isolation des flux — limiter la propagation d’un incident d’un service vers les autres ;
  • contrôle d’accès renforcé grâce à la séparation stricte des VLAN ;
  • supervision et analyse plus simples, avec une lecture du réseau plus structurée ;
  • limitation de la propagation d’un problème ou d’une compromission entre bâtiments ou familles d’équipements.

Pour beaucoup d’utilisateurs, le quotidien ne change pas de façon visible : les postes fonctionnent comme avant. En revanche, pour la DNSI, la nouvelle organisation offre une cartographie logique beaucoup plus rigoureuse, ce qui facilite la planification, le diagnostic et la réponse aux incidents.

7. Bilan

Cette activité m’a permis de participer concrètement au projet MAN : préparation et configuration des équipements neufs, aide à la dépose de l’ancien matériel, installation et brassage des baies, puis migration progressive des utilisateurs et des ressources vers les VLAN dédiés, avec reconfiguration des ports et contact direct auprès des usagers.

J’en retiens l’importance d’une approche méthodique et progressive pour préserver la continuité de service tout en menant à bien une refonte majeure. Au-delà de la technique, le projet MAN m’a donné une vision plus globale d’une activité réseau d’ampleur : rôles de chaque intervenant, coordination, documentation et communication. C’est une expérience qui renforce à la fois la rigueur sur le terrain et la capacité à analyser des problématiques réseau complexes dans un contexte institutionnel.