Lab de staging réseau

Présentation du projet

Avant la création de ce Lab, l'équipe réseau Criteo ne disposait d'aucun environnement de test dédié. Les nouvelles configurations, VLAN, politiques d'accès, firmware, nouvelles fonctionnalités Meraki, étaient validées directement en production, ce qui exposait le réseau à des interruptions de service non planifiées.

J'ai identifié ce risque, proposé l'architecture d'un environnement de staging isolé, et piloté sa mise en service de bout en bout en autonomie. Le Lab est aujourd'hui utilisé par l'ensemble de l'équipe réseau comme référence pour valider les changements avant production.

Étapes et acteurs

Tout est parti d'un constat que j'ai remonté à mon maître d'apprentissage : on n'avait aucun filet de sécurité. Les nouvelles configurations de VLANs, les mises à jour firmware, les nouvelles politiques d'accès, tout ça se testait directement en production. J'ai proposé de construire un Lab isolé qui reproduit la topologie réelle. Le projet a été validé et j'en ai pris la charge en autonomie complète.

La première phase a été de construire l'architecture Meraki full-stack. Un MX en cœur de réseau pour le routage, le DHCP et le firewall. Des MS210 en distribution et en access, câblés comme en prod. Des APs MR46 avec les mêmes SSIDs et les mêmes politiques d'accès que les étages Criteo. Un segment IoT isolé reproduisant les capteurs MT10 du parc réel. Le tout rattaché à une organisation Meraki Dashboard séparée de la production, avec un ISP différent pour garantir une isolation totale.

Une fois le Lab opérationnel, j'ai documenté l'architecture sur Confluence : topologie complète, plan VLAN, configurations appliquées, procédures de test à suivre. L'objectif était que n'importe quel membre de l'équipe puisse utiliser le Lab correctement sans avoir à me demander.

La deuxième grande phase est arrivée quand Criteo a décidé d'intégrer des switches Cisco Catalyst legacy dans l'infrastructure Meraki existante. J'ai redesigné le Lab pour intégrer un Catalyst C9300-24S en position de core switch, entre le MX et les MS210. Côté configuration CLI : mise en place du port-channel vers les MS210 Meraki, désignation du Catalyst comme root bridge STP pour éviter tout problème de boucle, configuration des trunks VLAN. Ensuite j'ai validé l'interopérabilité : propagation des VLANs, stabilité STP dans les deux sens, routage inter-VLAN correct à travers les deux familles d'équipements.

C'est sur cette phase que le Lab a prouvé sa valeur de la façon la plus concrète : un test d'upgrade de configuration sur les switches a mis en évidence une boucle STP naissante, avec du MAC flapping à la clé. Détectée et corrigée en Lab, elle n'a jamais atteint la production, là où elle aurait provoqué une dégradation visible sur l'étage concerné.

Le Lab a aussi servi de terrain pour tester les nouvelles fonctionnalités Meraki avant de les activer à l'échelle mondiale : Access Manager pour la gestion fine des accès réseau, et l'intégration Entra ID pour l'authentification Wi-Fi. Chaque test réussi en Lab a été une condition préalable à l'activation en prod.

Aujourd'hui le Lab est utilisé quotidiennement par l'équipe réseau, et ponctuellement par l'équipe EUS, soit une dizaine de personnes au total. Protocole en place : tout changement significatif passe d'abord par le Lab. Chaque test mené est consigné sur des pages Confluence dédiées. Je fais aussi une vérification régulière pour m'assurer que la topologie du Lab reste fidèle à celle de la prod, un Lab qui dérive de la réalité donne une fausse confiance, presque pire que de ne pas en avoir.