Harware implementazione DMZ

[zanchil...@gmail.com]

Siccome devo realizzare un progetto (universitario) mi sto imbattendo in cose che non ho mai trattato e sto avendo un po' di problemi.
Il progetto consiste nell'implementare una rete per una azienda (ogni aspetto).
Ho realizzato lo schemo fisico e logico (spero corretto), ma non so che hardware mettere.
Per esempio, sulla DMZ non ho idea cosa mettere come exterior router, interior router e bastion host.
Le richieste che i componenti devono rispettare sono essenzialmente due: gigabit ethernet e supporto per RIP (1,2), OSFP e EGP.
Avete suggerimenti da darmi?
Sono fresco di studi e non ho nessuna esperienza diretta nella realizzazione di una architettura di questo genere, quindi abbiate pazienza.

Grazie a tutti per le vostre eventuali risposte.

[Lorenzo Mainardi]

Il giorno mercoledì 12 settembre 2012 12:54:53 UTC+2, (sconosciuto) ha scritto:

>
> Avete suggerimenti da darmi?

Mikrotik?

[lezan]

Oltre l'errore nel titolo della discussione, Hardware*.

Okei, forse non ho sono stato chiaro nel fare la domanda.
Più che altro io cercavo l'hardware preciso per implementare quei nodi della rete.
Non ha molta importanza - in questo caso - che sia Cisco, Intel o Mikrotik, tanto è un progetto che rimarrà solo sulla carta.

Grazie per la tua risposta.

[Lorenzo Mainardi]

Il giorno mercoledì 12 settembre 2012 13:15:56 UTC+2, lezan ha scritto:

> Okei, forse non ho sono stato chiaro nel fare la domanda.
>
> Più che altro io cercavo l'hardware preciso per implementare quei nodi della rete.
>
> Non ha molta importanza - in questo caso - che sia Cisco, Intel o Mikrotik, tanto è un progetto che rimarrà solo sulla carta.

> Grazie per la tua risposta.

Dipende da molti fattori: ad esempio dal traffico che dovrai "trattare", dalle dimensioni della tabella di routing (soprattutto quella BGP), dal numero di connessioni da ispezionare, etc.
Non è una cosa così banale...

[lezan]

Immagino, però il problema è questo: essendo un progetto che rimane astratto, non so che "mole" di dati potranno essere generati;
Tipo di traffico? Non c'è una richiesta esplicita, potrebbe essere qualsiasi cosa; quello che posso fare è sceglierlo.
Le uniche richieste che mi sono state fatte sono:
- cinque edifici ognuno con 250 host;
- un edificio con copertuna wifi;
- 1 server email;
- 1 server web;
- 2 server dns;
- 1 server proxy;
- 1 server backup;
- accesso ad internet su due edifici.

Può aiutare per una scelta piuttosto grossolana dell'hardware?

[Luca Sasdelli]

Dopo dura riflessione, lezan ha scritto :

> cinque edifici ognuno con 250 host

Guarda fra i prodotti NetASQ e Juniper: nelle specifiche trovi il
throughput e il massimo numero di sessioni supportato.

Ciao
Luca

[lezan]

Il fatto è questo: è la stessa situazione che avevo in partenza, con la sola differenza che prima stavo sulla pagina di Cisco, ed ora di questi altri due.
Il mio problema è che non avendo mai avuto esperienza con questo tipo di oggetti, non so neanche su che oggetto orientarmi.
Per esempio, un exterior router da cosa può implementato?

Grazie per le vostre risposte.

[Lorenzo Mainardi]

Il giorno mercoledì 12 settembre 2012 14:53:16 UTC+2, lezan ha scritto:

> Può aiutare per una scelta piuttosto grossolana dell'hardware?

Riesci a postare uno schema dell'architettura?
Penso sia fondamentale per capire che tipo di hardware scegliere

[Solon Aquila]

zanchil...@gmail.com expressed precisely :

> Le richieste che i componenti devono rispettare sono
> essenzialmente due: gigabit ethernet e supporto per RIP (1,2), OSFP e EGP.

auguri

RIPv1 e' - per fortuna - ormai non piu' supportato (spero da tutti)

Mi sorgono comunque dei legittimi dubbi su un'universita' che nel 2012
assegna un progetto con RIPv1 come requisito fondamentale


--
We are the music makers,
And we are the dreamers of dreams

[Luca Sasdelli]

Sembra che lezan abbia detto :

> Il fatto ￜ questo: ￜ la stessa situazione che avevo in partenza, con la sola

> differenza che prima stavo sulla pagina di Cisco, ed ora di questi altri due.

Scusa, ma non riesco a capire il tuo punto di partenza.
Scrivi che devi produrre un "progetto universitario": immagino che per
stilare un progetto, tu qualche conoscenza in materia debba averla :)

1250 utenze (e rotti) non sono spiccioli: devi usare macchine adeguate
come velocitￜ di processo e l'analisi di quali e quanti processi devi
farla tu. Non esistono figure standard per questo genere di cose: devi
poter dimensionare il traffico medio previsto, considerando i turni di
lavoro, il tipo di operativitￜ delle postazioni (se sono PDA di un
magazzino ￜ un conto, se sono workstations CAD ￜ altro paio di maniche)
e altre cose. Inoltre, se vogliamo, un carico del genere richiede una
adeguata ridondanza di hardware per sopperire automaticamente ai
guasti.

In sostanza: non ha senso suggerire uno o l'altro apparato in assenza
di dettagli sull'uso che ne verrￜ fatto.

Ciao
Luca

[lezan]

Hai ragione; allora riporto su digitale quello che ho fatto su carta; voi però non mi prendete in giro eh :)

>Mi sorgono comunque dei legittimi dubbi su un'universita' che nel 2012
>assegna un progetto con RIPv1 come requisito fondamentale

I dubbi sono più che legittimi e li hanno tutti quelli che frequentano questa università.
Comunque, riguardo a RIP 1, più che altro è stato fatto soltanto per la "storia", vedere cosa c'era prima e come si utilizzava. Rimane il fatto che se si utilizza suddetto protocollo di routing al professore va bene.
Comunque ho visto che alcuni Cisco ancora supportano RIP 1.

>Scusa, ma non riesco a capire il tuo punto di partenza.
>Scrivi che devi produrre un "progetto universitario": immagino che per
>stilare un progetto, tu qualche conoscenza in materia debba averla :)

Delle conoscenze è ovvio che io le abbia, il problema è che non mi sono mai trovato nella situazione attuale, cioè dover costruire l'architettura di una rete da zero, scegliere ogni componente.
Penso ti sia capitato anche a te all'inizio, ma io non so dove andare a pescare molti componenti.

>1250 utenze (e rotti) non sono spiccioli: devi usare macchine adeguate

>come velocità di processo e l'analisi di quali e quanti processi devi

>farla tu. Non esistono figure standard per questo genere di cose: devi
>poter dimensionare il traffico medio previsto, considerando i turni di

>lavoro, il tipo di operatività delle postazioni (se sono PDA di un
>magazzino è un conto, se sono workstations CAD è altro paio di maniche)

>e altre cose. Inoltre, se vogliamo, un carico del genere richiede una
>adeguata ridondanza di hardware per sopperire automaticamente ai
>guasti.

Vi sembrerà un eresia, ma nessuno è mai sceso così nel particolare per realizzare il progetto. Penso che neanche il professore si aspetti una trattazione così specifica.
Lo so, per voi è una bestemmia, perché è il minimo indispensabile per riuscire a costruire una rete che funzioni.

Trasporto su digitale lo schema :)

Grazie a tutti per il vostro aiuto.

[lezan]

Il giorno giovedì 13 settembre 2012 10:47:04 UTC+2, lezan ha scritto:
> Trasporto su digitale lo schema :)

Eccolo; piano con gli insulti per le aberrità ;)
http://img171.imageshack.us/img171/7748/schemafisico.png

[Lorenzo Mainardi]

Il giorno giovedì 13 settembre 2012 09:30:40 UTC+2, Solon Aquila ha scritto:

> Mi sorgono comunque dei legittimi dubbi su un'universita' che nel 2012
> assegna un progetto con RIPv1 come requisito fondamentale

Vabbè, in certe situazioni particolari può ancora essere usato: ad esempio ci sono alcuni apparati speciali (penso ad alcuni DSLAM) che supportano RIPv2 come unico protocollo di routing, oppure macchine molto molto vecchie

[Lorenzo Mainardi]

Il giorno giovedì 13 settembre 2012 11:12:33 UTC+2, lezan ha scritto:

> Eccolo; piano con gli insulti per le aberrità ;)
> http://img171.imageshack.us/img171/7748/schemafisico.png

Questo è un progetto bello grosso, altro che progettino universitario.

Lo devi mettere in piedi completamente da zero?
Auguri...

Alcune domande:
1)Sei obbligato ad avere i server sparsi per le varie sedi? Avere i server centralizzati e virtualizzati ti potrebbe evitare un bel po' di rogne, nonchè facilità nella scalabilità e nel consolidamento dell'infrastruttura.
2)Quale è il tuo budget (se si tratta di un progetto reale)?
3)Dove ti serve RIP? E dove OSPF? E dove EGP?
4)Il centro stella è senza connettività?

[lezan]

Il giorno giovedì 13 settembre 2012 11:36:53 UTC+2, Lorenzo Mainardi ha scritto:
> Il giorno giovedì 13 settembre 2012 11:12:33 UTC+2, lezan ha scritto:
>
>
>
> > Eccolo; piano con gli insulti per le aberrità ;)
>
> > http://img171.imageshack.us/img171/7748/schemafisico.png
>
>
>
> Questo è un progetto bello grosso, altro che progettino universitario.
>
>
>
> Lo devi mettere in piedi completamente da zero?
>

Si, da zero.
> Auguri...
>
Grazie :D

>
>
> Alcune domande:
>
> 1)Sei obbligato ad avere i server sparsi per le varie sedi? Avere i server centralizzati e virtualizzati ti potrebbe evitare un bel po' di rogne, nonchè facilità nella scalabilità e nel consolidamento dell'infrastruttura.
>

No, posso metterli dove mi pare. Non avendo esperienza ho pensato di metterli nelle due DMZ che avevo creato.
L'accesso ad internet l'ho messo su due degli edifici (router B e router E), ma è stata una mia scelta; ce ne poteva essere anche uno soltanto di accesso.

> 2)Quale è il tuo budget (se si tratta di un progetto reale)?
>

Ecco, il budget non mi è stato dato. Ho provato anche a chiedere al professore, e mi ha risposto che deve essere una cosa reale. Ho insistito un po, dicendo che "reale" non vuol dire nulla, ma - vedendo che la situazione non si sbloccava - ho lasciato stare e mi sono detto che avrei fatto ad occhio.

> 3)Dove ti serve RIP? E dove OSPF? E dove EGP?
>

Allora, a dire la verità non ho ancora scelto i protocolli di routing da usare.
Pensavo di utilizzare OSFP al posto di RIP per le comunicazioni nel AS, mentre EGP per comunicazioni tra AS.
Pensavo - inoltre - di affidarmi a gated per gestire i suddetti protocolli.
E' attuale?
Ho studiato 'sta roba al corso, ma non so neanche se è attuale o è stata sostituita.
Vi avevo detto all'inizio RIP (1,2), OSFP e EGP perché non avevo preso ancora delle decisioni.
EGP pensavo di metterlo sul router B0 e il router E0.
OSFP, invece, su tutti i router 0 (A,B,C,D,E).

> 4)Il centro stella è senza connettività?

Se con centro stella intendi il router C, allora si, è senza connettività diretta.

Grazie molte per il supporto.

[Solon Aquila]

Lorenzo Mainardi presented the following explanation :

>> Mi sorgono comunque dei legittimi dubbi su un'universita' che nel 2012
>> assegna un progetto con RIPv1 come requisito fondamentale
>

> Vabbￜ, in certe situazioni particolari puￜ ancora essere usato: ad esempio ci

> sono alcuni apparati speciali (penso ad alcuni DSLAM) che supportano RIPv2
> come unico protocollo di routing,

RIPv2, appunto

> oppure macchine molto molto vecchie

vecchie quanto? RIPv1 e' obsoleto dal 1993

[Lorenzo Mainardi]

Il giorno giovedì 13 settembre 2012 12:02:07 UTC+2, lezan ha scritto:

> > 1)Sei obbligato ad avere i server sparsi per le varie sedi? Avere i server centralizzati e virtualizzati ti potrebbe evitare un bel po' di rogne, nonchè facilità nella scalabilità e nel consolidamento dell'infrastruttura.
>
> >
>
> No, posso metterli dove mi pare. Non avendo esperienza ho pensato di metterli nelle due DMZ che avevo creato.

Ecco, allora piazzali in un punto solo: 3 server fisici con VMware + una SAN + una coppia di Cisco Nexus 1000v e puoi fare tutte le DMZ che vuoi, hai HA, Fault Tolerance, vMotion, etc.
Per il Backup: Veaam Backup & Replication e copie su un NAS.

>
> L'accesso ad internet l'ho messo su due degli edifici (router B e router E), ma è stata una mia scelta; ce ne poteva essere anche uno soltanto di accesso.

Buona idea, 2 connettività diverse in due posti diversi.

>

>
> > 3)Dove ti serve RIP? E dove OSPF? E dove EGP?
>
> >
>
> Allora, a dire la verità non ho ancora scelto i protocolli di routing da usare.
>
> Pensavo di utilizzare OSFP al posto di RIP per le comunicazioni nel AS, mentre EGP per comunicazioni tra AS.
>
> Pensavo - inoltre - di affidarmi a gated per gestire i suddetti protocolli.
>
> E' attuale?
>
> Ho studiato 'sta roba al corso, ma non so neanche se è attuale o è stata sostituita.
>
> Vi avevo detto all'inizio RIP (1,2), OSFP e EGP perché non avevo preso ancora delle decisioni.
>
> EGP pensavo di metterlo sul router B0 e il router E0.
>
> OSFP, invece, su tutti i router 0 (A,B,C,D,E).

Se hai due connettività puoi far girare BGP sui due router che ti connettono al provider e OSPF internamente.
Lascia stare RIP e roba tipo gated, possono andar bene per test, ma non in produzione.

[lezan]

Il giorno giovedì 13 settembre 2012 12:56:49 UTC+2, Lorenzo Mainardi ha scritto:

> Ecco, allora piazzali in un punto solo: 3 server fisici con VMware + una SAN >+ una coppia di Cisco Nexus 1000v e puoi fare tutte le DMZ che vuoi, hai HA, >Fault Tolerance, vMotion, etc.
> Per il Backup: Veaam Backup & Replication e copie su un NAS.

Tre cose:
1. 3 server fisici per tutti i server che devo implementare (2 dns, server web, server proxy, server mail)? Sono 6 mi pare.
2. Quindi, metto una sola DMZ sul router B e li ci infilo tutti i server virtualizzati. Lo schema che avevo fatto rimane lo stesso(a parte l'eliminazione della DMZ sul router E )?

> Buona idea, 2 connettività diverse in due posti diversi.

> Se hai due connettività puoi far girare BGP sui due router che ti connettono >al provider e OSPF internamente.

Si, infatti a questo pensavo.

> Lascia stare RIP e roba tipo gated, possono andar bene per test, ma non in >produzione.

Si, infatti RIP lo avevo abbandonato per OSFP.
Scusa, e allora al posto di gated o routed che cosa si usa attualmente?

Un'altra cosa: se elimino la DMZ dal router E, lì posso mettere come architettura firewall un Dual-homed? E' usato questo oppure è roba ante-guerra? :D

Grazie molte per il tuo aiuto!

[Lorenzo Mainardi]

Il giorno giovedì 13 settembre 2012 17:50:51 UTC+2, lezan ha scritto:


> Tre cose:
>
> 1. 3 server fisici per tutti i server che devo implementare (2 dns, server web, server proxy, server mail)? Sono 6 mi pare.

Certo, la virtualizzazione si usa apposta: su una sola macchina fisica puoi far girare molte più macchine virtuali senza grossi problemi.
In questo modo non sei più vincolato all'hardware (quindi puoi aggiungere a caldo risorse alle macchine) e hai un discreto risparmio in termini di consumi.

Per 6 server ti bastano due server ben carrozzati, invece che 3.

Ovviamente se vuoi godere di tutte le funzionalità che ti dicevo ti ci vuole uno storage condiviso (NFS,iSCSI oppure FC).

>
> 2. Quindi, metto una sola DMZ sul router B e li ci infilo tutti i server virtualizzati. Lo schema che avevo fatto rimane lo stesso(a parte l'eliminazione della DMZ sul router E )?

Dai un'occhiata a questo link:
http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9902/dmz_virtualization_vsphere4_nexus1000V.pdf

>
> Scusa, e allora al posto di gated o routed che cosa si usa attualmente?
>

Un router?! ;-)

>
> Un'altra cosa: se elimino la DMZ dal router E, lì posso mettere come architettura firewall un Dual-homed? E' usato questo oppure è roba ante-guerra? :D

No, io non lo farei.
Farei passare tutto attraverso il traffico dei client attraverso un unico firewall centralizzato. Non ha molto senso avere diversi firewall in vari posti (a meno di non doverlo fare per qualche particolare esigenza).

Per quel che riguarda il firewall ti consiglierei di usare Chekpoint (se il budget non è un problema).

[lezan]

Il giorno giovedì 13 settembre 2012 18:34:10 UTC+2, Lorenzo Mainardi ha scritto:
> Certo, la virtualizzazione si usa apposta: su una sola macchina fisica puoi far girare molte più macchine virtuali senza grossi problemi.
>
> In questo modo non sei più vincolato all'hardware (quindi puoi aggiungere a caldo risorse alle macchine) e hai un discreto risparmio in termini di consumi.
>
> Per 6 server ti bastano due server ben carrozzati, invece che 3.
>

Pensi che io debba specificare che server sono? Parlo dell'hardware che devono montare i 3 server.

> Ovviamente se vuoi godere di tutte le funzionalità che ti dicevo ti ci vuole uno storage condiviso (NFS,iSCSI oppure FC).
>

Vediamo se ho capito bene:
praticamente la DMZ diventa una cosa del genere?
http://img651.imageshack.us/img651/7158/provarouterb.png

> Dai un'occhiata a questo link:
>
> http://www.cisco.com/en/US/prod/collateral/switches/ps9441/ps9902/dmz_virtualization_vsphere4_nexus1000V.pdf
>

> Un router?! ;-)
>
Haha, ho fatto ancora di più la figura del fesso.

> No, io non lo farei.
>
> Farei passare tutto attraverso il traffico dei client attraverso un unico firewall centralizzato. Non ha molto senso avere diversi firewall in vari posti (a meno di non doverlo fare per qualche particolare esigenza).
>
> Per quel che riguarda il firewall ti consiglierei di usare Chekpoint (se il budget non è un problema).

Mmm, quindi dovrei mettere - escludendo la DMZ del router B(no?) - un solo firewall sul punto di accesso alla rete pubblica, cioè router E, e nessun altro firewall in giro sulla rete.

Mi sto veramente perdendo nel cercare router e firewall. Sono troppi!
L'unica cosa che ho trovato sono gli switch :D.

Ma - nella pratica - un bastion host da cosa è implementato?

[Adam Atkinson]

On Sep 12, 11:54 am, zanchileona...@gmail.com wrote:

> Le richieste che i componenti devono rispettare sono essenzialmente due: gigabit ethernet e supporto per RIP (1,2), OSFP e EGP.
> Avete suggerimenti da darmi?

Tutti si meravigliano per il RIPv1, ma nessuno dice niente dell'EGP?
Intendi il protocollo EGP,
o la categoria piu' ampia che, ahime', ha lo stesso nome? L'EGP mi
sembra molto ma molto piu' desueto
del RIPv1, e perfino piu' desueto del termine "desueto".

Se devi specificare hardware/software per far funzionare l'EGP il
compito mi sembra crudele.

("router egp" non funziona sul software Cisco recente. Quasi quasi
vado a vedere quando e' stato eliminato.)

[lezan]

Il giorno giovedì 13 settembre 2012 19:52:50 UTC+2, Adam Atkinson ha scritto:
> On Sep 12, 11:54 am, zanchileona...@gmail.com wrote:
>
>
>
> > Le richieste che i componenti devono rispettare sono essenzialmente due: gigabit ethernet e supporto per RIP (1,2), OSFP e EGP.
>
> > Avete suggerimenti da darmi?
>
>
>
> Tutti si meravigliano per il RIPv1, ma nessuno dice niente dell'EGP?
>
> Intendi il protocollo EGP,
>
> o la categoria piu' ampia che, ahime', ha lo stesso nome? L'EGP mi

Il protocollo.

>
> sembra molto ma molto piu' desueto
>
> del RIPv1, e perfino piu' desueto del termine "desueto".
>
>
>
> Se devi specificare hardware/software per far funzionare l'EGP il
>
> compito mi sembra crudele.
>
>
>
> ("router egp" non funziona sul software Cisco recente. Quasi quasi
>
> vado a vedere quando e' stato eliminato.)

Haha, santo cielo, ho studiato soltanto storia, praticamente, nulla che sia ancora in uso.
Comunque, ho visto che alcuni router Cisco supportano ancora EGP come protocollo di routing; ma forse non ho capito la tua affermazione.

Se hai suggerimenti da darmi sull'hardware da mettere per uno screened host, per l'interior router e per i router di frontiera e quelli di area fai pure eh ;-)

[Adam Atkinson]

On Sep 13, 7:09 pm, lezan <zanchileona...@gmail.com> wrote:

>
> > Intendi il protocollo EGP,
>
> > o la categoria piu' ampia che, ahime', ha lo stesso nome? L'EGP mi
>
> Il protocollo.

Allora questo compito e' davvero crudele. In che anno stai costruendo
questo sistema?

[Adam Atkinson]

On Sep 13, 6:52 pm, Adam Atkinson <gh...@mistral.co.uk> wrote:

> ("router egp" non funziona sul software Cisco recente. Quasi quasi
> vado a vedere quando e' stato eliminato.)

Su www.cisco.com vedo almeno un documento del 2011 con "router egp".
sembra
un documento sull'IOS 12.2 di uno switch. sui router... hmm.. un
documento
sull'IOS 11.0 parla dell'EGP come una cosa storica. E dopo l'11.2 non
lo vedo
piu'.

ecco

http://www.cisco.com/en/US/products/sw/iosswrel/ps1826/products_command_summary_chapter09186a00802eb163.html

elenco dei comandi dell'11.3. niente "router egp".

La 11.2 e' "end of support" dal 2004.

Comunque, l'EGP e' _davvero_ arcaico. Piu' del RIP1.

[lezan]

Il giorno giovedì 13 settembre 2012 20:34:17 UTC+2, Adam Atkinson ha scritto:
> Comunque, l'EGP e' _davvero_ arcaico. Piu' del RIP1.

Mi fido, mi fido :). Comunque sulle caratteristiche tecniche di qualche router ho trovato scritto che EGP era supportato (c'era pure RIPv1).

Che cosa viene utilizzato oggi?

[Skull]

On 9/13/12 9:47 PM, lezan wrote:

BGP

--
Paranoia is a disease unto itself. And may I add: the person standing
next to you may not be who they appear to be, so take precaution.
-----------------------------------------------------------------------------
http://bofhskull.wordpress.com/

[Adam Atkinson]

On Sep 13, 8:48 pm, lezan <zanchileona...@gmail.com> wrote:
> Il giorno giovedì 13 settembre 2012 20:34:17 UTC+2, Adam Atkinson ha scritto:
>
> > Comunque, l'EGP e' _davvero_ arcaico. Piu' del RIP1.
>
> Mi fido, mi fido :). Comunque sulle caratteristiche tecniche di qualche router ho trovato scritto che EGP era supportato (c'era pure RIPv1).

Ma gigabit ethernet e EGP?

> Che cosa viene utilizzato oggi?

Invece dell'EGP? Il BGP. Ma da.. 20 anni? Di piu'? Se stai cercando
qualcosa che faccia gigabit ethernet
e EGP _allo stesso tempo_, la vedo dura. Puoi chiedere ai prof "EGP?
Davvero? Siete proprio sicuri?"?

[lezan]

Il giorno venerdì 14 settembre 2012 09:19:27 UTC+2, Skull ha scritto:
> On 9/13/12 9:47 PM, lezan wrote:
>

> > Il giorno giovedì 13 settembre 2012 20:34:17 UTC+2, Adam Atkinson ha scritto:
>
> >> Comunque, l'EGP e' _davvero_ arcaico. Piu' del RIP1.
>
> >
>
> > Mi fido, mi fido :). Comunque sulle caratteristiche tecniche di qualche router ho trovato scritto che EGP era supportato (c'era pure RIPv1).
>
> >
>
> > Che cosa viene utilizzato oggi?
>
>
>
> BGP

Ah okei, ho studiato anche questo.

>Puoi chiedere ai prof "EGP?
>Davvero? Siete proprio sicuri?"?

Lo farò :).

Per il resto (switch da usare, router exterior ed interior, firewall) avete suggerimenti su quali prendere? Considerato tutto quello che è già stato detto riguardo la scelta su una situazione che poco si conosce.

Questo - per esempio - potrebbe essere il router da utilizzare in router {A,B,C,D}0 e 1? http://www.cisco.com/en/US/prod/collateral/routers/ps380/data_sheet_c78-519930.html

[Solon Aquila]

Adam Atkinson laid this down on his screen :

> Tutti si meravigliano per il RIPv1, ma nessuno dice niente dell'EGP?
> Intendi il protocollo EGP,
> o la categoria piu' ampia che, ahime', ha lo stesso nome? L'EGP mi
> sembra molto ma molto piu' desueto
> del RIPv1, e perfino piu' desueto del termine "desueto".

rotfl, hai ragione, non ci avevo nemmeno fatto caso

ho telefonato al professore e gli ho proposto di usare x25 che facciamo
filotto

[lezan]

Il giorno venerdì 14 settembre 2012 17:16:01 UTC+2, Solon Aquila ha scritto:
> rotfl, hai ragione, non ci avevo nemmeno fatto caso
> ho telefonato al professore e gli ho proposto di usare x25 che facciamo
> filotto

Credo che abbiamo esaurito tutti i protocolli ormai obsoleti.

Idee, invece, su quello che chiedevo?

[Adam Atkinson]

On Sep 12, 11:54 am, zanchileona...@gmail.com wrote:

> gigabit ethernet

gigabit dove? le connessioni degli utenti finali? in questo caso come
sono collegati i loro switch
al resto del mondo e come sono connessi i tuoi siti?

[Adam Atkinson]

On Sep 12, 11:54 am, zanchileona...@gmail.com wrote:

> Per esempio, sulla DMZ non ho idea cosa mettere come exterior router, interior router e bastion host.

Un firewall con piu' interfacce e niente "bastion host"?

[Lorenzo Mainardi]

Il giorno domenica 16 settembre 2012 09:39:01 UTC+2, Adam Atkinson ha scritto:

> Un firewall con piu' interfacce e niente "bastion host"?

Infatti, anche mettere i bastion hosts sono un concetto un po' datato.
Adesso poi con tecnologie come i context degli ASA ce n'è ancora meno bisogno

[Adam Atkinson]

E visto che siamo nel 2012 se il compito fosse mio metterei anche
l'IPv6.

Per la cronaca, il RIPv1 sara' vecchio ma credo che sia ancora
possibile usarlo sui prodotti
Cisco e Extreme (le due marche che conosco), volendo. L'IGRP mi sembra
piu' morto, e ovviamente
l'EGP molto di piu' come ho detto.

[Claiudio]

Il 16/09/2012 20:31, Adam Atkinson ha scritto:
> Per la cronaca, il RIPv1 sara' vecchio ma credo che sia ancora
> possibile usarlo sui prodotti
> Cisco e Extreme (le due marche che conosco), volendo. L'IGRP mi sembra

Volendo, c'� anche sul mikrotik. E su openbsd c'� ripd.
Ma penso che sia proprio ora che Riposi In Pace.

--
Sul problema di Saint Venant:
"Al momento, preferisco il taglio".

[lezan]

Il giorno venerdì 14 settembre 2012 20:39:35 UTC+2, Adam Atkinson ha scritto:
> gigabit dove? le connessioni degli utenti finali?

Gli utenti finali abbiano gigabit.

> in questo caso come sono collegati i loro switch
> al resto del mondo e come sono connessi i tuoi siti?

Intendi la tecnologia?

> Un firewall con piu' interfacce e niente "bastion host"?

Quindi il firewall prenderà il posto di questi tre componenti.
Su una interfaccia faccia uscire la DMZ, sull'altra la strada per la rete interna e su un'altra ancora la rete pubblica.

Il giorno domenica 16 settembre 2012 09:39:01 UTC+2, Adam Atkinson ha scritto:
> Infatti, anche mettere i bastion hosts sono un concetto un po' datato.

Ho imparato un'altra cosa: bastion hosts datati :D.

> E visto che siamo nel 2012 se il compito fosse mio metterei anche l'IPv6

Anche tu hai ragione, ma io già mi incasino con il 4.

Avete un router da consigliare per l'interno della rete?
Poi una cosa non ho capito: si diceva di togliere l'altra DMZ e tutti i firewall interni e lasciarne solo uno sulla DMZ rimanente e sull'altro accesso pubblico; quindi nessun altro firewall sugli altri edifici? Solo router e switch?

[Lorenzo Mainardi]

Il giorno lunedì 17 settembre 2012 10:49:22 UTC+2, lezan ha scritto:

> Avete un router da consigliare per l'interno della rete?

Una coppia di Cisco 3750 dovrebbe andare bene: sono switch multilayer, quindi anche con funzionalità di routing e VRF.

>
> Poi una cosa non ho capito: si diceva di togliere l'altra DMZ e tutti i firewall interni e lasciarne solo uno sulla DMZ rimanente e sull'altro accesso pubblico; quindi nessun altro firewall sugli altri edifici? Solo router e switch?

Certo, porti tutto il traffico attraverso il centrostella.In questo modo hai un unico punto su cui lavorare.
Con che protocollo hai connettività fra il centro stella e gli altri siti? Se riesci ad avere un protocollo L2 (ad esempio MPLS), potresti anche fare a meno dei router

[lezan]

Il giorno lunedì 17 settembre 2012 11:44:29 UTC+2, Lorenzo Mainardi ha scritto:
> Una coppia di Cisco 3750 dovrebbe andare bene: sono switch multilayer, quindi > anche con funzionalità di routing e VRF.

Cioè unifico router e switch in un unico oggetto?
Ho una domanda: su ogni edificio io ho 250 utenti; attualmente utilizzavo due router e 5 switch da 52.
Ora, utilizzando su ogni edificio una coppia di Cisco 3750, come collego tutti gli hosts? 'sti apparati hanno massimo 48 porte a 1000.
Scusa la domanda stupida e banale.

> Certo, porti tutto il traffico attraverso il centrostella.In questo modo hai > un unico punto su cui lavorare.

Scusa se insisto ma non mi è ancora chiara una cosa (colpa mia, ovviamente): abbiamo detto di mettere un firewall sul edificio B (riguardo la figura che avevo messo inizialmente) per creare la DMZ con i tre server.
Un altro firewall nel centro-stella, cioè sull'edificio C; sull'edificio E, dove c'è l'altro accesso pubblico, devo mandare tutto il traffico in entrata verso il centro-stella, farlo passare per il firewall e poi farlo tornare di nuovo all'edificio E per connettere gli hosts che si trovano su quest'ultimo?
Questo compito dovrebbe essere sempre svolto dalla coppia di Cisco 3750?
Il traffico in uscita, ovviamente, farà il percorso inverso.

> Con che protocollo hai connettività fra il centro stella e gli altri siti? Se > riesci ad avere un protocollo L2 (ad esempio MPLS), potresti anche fare a
> meno dei router

Come potrai aver capito le mie conoscenze sono scarse, quindi tu mi potresti aver chiesto "mi passi l'acqua" e io ora ti ho come risposta "sono le 14:00".
Comunque - fatta la premessa - io pensavo ci collegare gli edifici sotto i 2Km di stanza con la fibra. Gli altri edifici distanti 3 Km con una VPN. Potrebbe avere senso?
Quindi il centro-stella è collegato all'edificio E e B con fibra.
Pensavo come tecnologia di utilizzare 1000Base-LX del 802.3.

[Lorenzo Mainardi]

Il giorno lunedì 17 settembre 2012 13:45:29 UTC+2, lezan ha scritto:
> Il giorno lunedì 17 settembre 2012 11:44:29 UTC+2, Lorenzo Mainardi ha scritto:

>
> Cioè unifico router e switch in un unico oggetto?

Yes, è un multilayer :-)

>
> Ho una domanda: su ogni edificio io ho 250 utenti; attualmente utilizzavo due router e 5 switch da 52.
>
> Ora, utilizzando su ogni edificio una coppia di Cisco 3750, come collego tutti gli hosts? 'sti apparati hanno massimo 48 porte a 1000.
>
> Scusa la domanda stupida e banale.

No, il 3750 è solo di core (non molte porte, ma molta intelligenza); i tuoi host li connetti con una serie di switch (ad esempio 2960) più stupidi e quindi meno costosi.
Una volta raccolta, li connetti in trunk al 3750.

> Scusa se insisto ma non mi è ancora chiara una cosa (colpa mia, ovviamente): abbiamo detto di mettere un firewall sul edificio B (riguardo la figura che avevo messo inizialmente) per creare la DMZ con i tre server.
>
> Un altro firewall nel centro-stella, cioè sull'edificio C; sull'edificio E, dove c'è l'altro accesso pubblico, devo mandare tutto il traffico in entrata verso il centro-stella, farlo passare per il firewall e poi farlo tornare di nuovo all'edificio E per connettere gli hosts che si trovano su quest'ultimo?
>

Se non hai problemi di banda fra i vari siti, potresti obbligare il traffico a passare dal centro stella e quindi dai firewall.

> Questo compito dovrebbe essere sempre svolto dalla coppia di Cisco 3750?

Meglio di no

> Come potrai aver capito le mie conoscenze sono scarse, quindi tu mi potresti aver chiesto "mi passi l'acqua" e io ora ti ho come risposta "sono le 14:00".
>
> Comunque - fatta la premessa - io pensavo ci collegare gli edifici sotto i 2Km di stanza con la fibra. Gli altri edifici distanti 3 Km con una VPN. Potrebbe avere senso?
>
> Quindi il centro-stella è collegato all'edificio E e B con fibra.
>
> Pensavo come tecnologia di utilizzare 1000Base-LX del 802.3.

Sì, ok.
Ma si sta parlando di L2 (ethernet) o di L3 (IP)?

Se hai L2, i router agli endpoint non ti servono.

[lezan]

Il giorno lunedì 17 settembre 2012 15:40:45 UTC+2, Lorenzo Mainardi ha scritto:
> Yes, è un multilayer :-)

Avevo capito allora :)

> No, il 3750 è solo di core (non molte porte, ma molta intelligenza); i tuoi host li connetti con una serie di switch (ad esempio 2960) più stupidi e quindi meno costosi.
> Una volta raccolta, li connetti in trunk al 3750.

Ah ecco.
E' normale che abbiamo al massimo 48 porte a 1000? 52 sarebbe perfetto, dato che ho 250 utenti ad edificio.

> Se non hai problemi di banda fra i vari siti, potresti obbligare il traffico > a passare dal centro stella e quindi dai firewall.

Quindi come avevo cercato di dire io.

> Meglio di no

Chi dovrebbe caricarsi di questo compito sull'edificio E?

> Sì, ok.
> Ma si sta parlando di L2 (ethernet) o di L3 (IP)?

Pensavo di parlare di L2, ma magari sto dicendo delle profonde cazzate.

Grazie tante per il vostro prezioso aiuto.

[Lorenzo Mainardi]

Il giorno lunedì 17 settembre 2012 18:03:29 UTC+2, lezan ha scritto:
> Il giorno lunedì 17 settembre 2012 15:40:45 UTC+2, Lorenzo Mainardi ha scritto:

>
> E' normale che abbiamo al massimo 48 porte a 1000? 52 sarebbe perfetto, dato che ho 250 utenti ad edificio.
>

Sono stackable, quindi ne puoi unire fino a 3 (mi sembra) e li gestisci come uno solo. Altrimenti c'è lo STP (ma sarebbe bene usarlo con cautela).

>
> > Ma si sta parlando di L2 (ethernet) o di L3 (IP)?

A che ti serve un router a L2?

[lezan]

Il giorno lunedì 17 settembre 2012 18:12:06 UTC+2, Lorenzo Mainardi ha scritto:
> Sono stackable, quindi ne puoi unire fino a 3 (mi sembra) e li gestisci come uno solo. Altrimenti c'è lo STP (ma sarebbe bene usarlo con cautela).

Quanta ignoranza da parte mia.

> A che ti serve un router a L2?

Mm, mi sa che allora su questo punto non sono riuscito a capire cosa mi stavi chiedendo. Scusami.

[Adam Atkinson]

Lorenzo Mainardi ha scritto:

> Certo, porti tutto il traffico attraverso il centrostella.In questo modo hai un unico punto su cui lavorare.

Con 250 utenti gigabit per edificio? Ecco perche' ho chiesto dei
collegamenti fra edifici.

Cosa fanno con i loro collegamenti gigabit? Abbiamo etherchannel con
piu' collegamenti da 10 gig
fra gli edifici? Interfacce da 40 o 100 gigabit?

Stack di Extreme X450 per i singoli edifici? O magari X460 o 480?
Visto che non sono soldi veri,
mettiamo collegamenti assurdi fra i vari siti. Decine di gigabit.

[lezan]

Il giorno lunedì 17 settembre 2012 18:51:29 UTC+2, Adam Atkinson ha scritto:
> Con 250 utenti gigabit per edificio? Ecco perche' ho chiesto dei
>
> collegamenti fra edifici.

Li dovrei aver detti pochi post sopra.

> Cosa fanno con i loro collegamenti gigabit?

Non ho deciso di cosa si occupa l'azienda e non ho la fantasia necessaria per scegliere :D.

> Abbiamo etherchannel con piu' collegamenti da 10 gig fra gli edifici?
> Interfacce da 40 o 100 gigabit?

U mannaggia, non ci sto capendo nulla.
Stai parlando della velocità di collegamento tra i vari edifici?
I router che ho visto neanche arrivavano a 40 gigabit.
Mi pare che l'interfacce nominate fino a questo momento non vadano oltre il giga.

> Stack di Extreme X450 per i singoli edifici? O magari X460 o 480?

Non si era parlato di utilizzare i 3750?

> Visto che non sono soldi veri, mettiamo collegamenti assurdi fra i vari siti. > Decine di gigabit.

Capisco che è piuttosto allettante, ma non vorrei fare un preventivo che è la fine del mondo; devo comunque essere abbastanza reale.

Non so, magari non tutti gli edifici devono avere 1 giga sull'hosts. Così, giusto per differenziare e levare un po' di monotonia.

Comunque non mi è chiaro come far passare tutto il traffico del router E al centro-stella. Con cosa dovrei farlo?
E poi, non diventa uno spreco questo lungo percorso? Cerco di dare delle minime argomentazioni: mettiamo che si voglia comunicare con un host dell'edificio E; si entra sull'edificio E, ma si percorrono prima 1750 metri per arrivare al centro-stella, poi si passa per il firewall e di nuovo 1750 metri per giungere finalmente all'host.
Dite che il gioco vale la candela?

[Cristian "sengo" Mammoli]

On 17/09/2012 18:12, Lorenzo Mainardi wrote:
> Il giorno luned� 17 settembre 2012 18:03:29 UTC+2, lezan ha scritto:

>> Il giorno luned� 17 settembre 2012 15:40:45 UTC+2, Lorenzo Mainardi ha scritto:
>
>>
>> E' normale che abbiamo al massimo 48 porte a 1000? 52 sarebbe perfetto, dato che ho 250 utenti ad edificio.
>>
>
> Sono stackable, quindi ne puoi unire fino a 3 (mi sembra) e li gestisci come uno solo.

Fino a 9. 4 per lo stack power.

--
BOFH excuse #222:

I'm not sure. Try calling the Internet's head office -- it's in the book.

[Adam Atkinson]

On Sep 17, 6:39 pm, lezan <zanchileona...@gmail.com> wrote:

> > Cosa fanno con i loro collegamenti gigabit?
>
> Non ho deciso di cosa si occupa l'azienda e non ho la fantasia necessaria per scegliere :D.

No, intendo "Perche' hanno collegamenti gigabit?"

> > Abbiamo etherchannel con piu' collegamenti da 10 gig fra gli edifici?
> > Interfacce da 40 o 100 gigabit?
>
> U mannaggia, non ci sto capendo nulla.
> Stai parlando della velocità di collegamento tra i vari edifici?

Si'

> I router che ho visto neanche arrivavano a 40 gigabit.
> Mi pare che l'interfacce nominate fino a questo momento non vadano oltre il giga.

Cosa se ne fanno i tuoi 250 utenti con 1 giga a testa se l'intero
edificio e' collegato
ad un giga con il sito centrale della loro ditta? Ogni edificio ha i
propri server,
per esempio? Se tutti i server sono in uno solo degli edifici, che
vantaggio
traggono i tuoi utenti da una connessione gigabit anziche' 100meg se
sono in 250
in un edificio collegato ad un gigabit al luogo in cui ci sono i loro
server?

> > Stack di Extreme X450 per i singoli edifici? O magari X460 o 480?
>
> Non si era parlato di utilizzare i 3750?

Come vuoi.

> > Visto che non sono soldi veri, mettiamo collegamenti assurdi fra i vari siti. > Decine di gigabit.
>
> Capisco che è piuttosto allettante, ma non vorrei fare un preventivo che è la fine del mondo; devo comunque essere abbastanza reale.

Ecco perche' sto chiedendo perche' stai dando gigabit a tutti.

[Adam Atkinson]

On Sep 17, 6:39 pm, lezan <zanchileona...@gmail.com> wrote:

> Capisco che è piuttosto allettante, ma non vorrei fare un preventivo che è la fine del mondo; devo comunque essere abbastanza reale.

10 giga per un server non e' niente di speciale.

Guarda per esempio:

http://www.extremenetworks.com/products/summit-x650.aspx

uscito nel 2009 o anche prima, qualche decina di porte 10 giga

Per esagerare, abbiamo:

http://www.extremenetworks.com/products/blackdiamond-x.aspx

fino a 192 porte da 40 giga.

[Lorenzo Mainardi]

Il giorno lunedì 17 settembre 2012 18:51:29 UTC+2, Adam Atkinson ha scritto:
> Lorenzo Mainardi ha scritto:

> Con 250 utenti gigabit per edificio? Ecco perche' ho chiesto dei

250 utenti gigabit mica fanno 250 gigabit di traffico :-)

[Adam Atkinson]

Certo, ma piu' di 1 gigabit, occasionalmente, magari si'.

[lezan]

Il giorno lunedì 17 settembre 2012 20:34:43 UTC+2, Adam Atkinson ha scritto:
> No, intendo "Perche' hanno collegamenti gigabit?"

Per non fare il taccagno.

> Cosa se ne fanno i tuoi 250 utenti con 1 giga a testa se l'intero edificio e' > collegato ad un giga con il sito centrale della loro ditta? Ogni edificio ha > i propri server, per esempio? Se tutti i server sono in uno solo degli
> edifici, che vantaggio traggono i tuoi utenti da una connessione gigabit
> anziche' 100meg se sono in 250 in un edificio collegato ad un gigabit al
> luogo in cui ci sono i loro server?
>

> Ecco perche' sto chiedendo perche' stai dando gigabit a tutti.

Si, in effetti detta così non sembra un gran idea la mia.

> 10 giga per un server non e' niente di speciale.
> Guarda per esempio:
> http://www.extremenetworks.com/products/summit-x650.aspx
> uscito nel 2009 o anche prima, qualche decina di porte 10 giga
> Per esagerare, abbiamo:
> http://www.extremenetworks.com/products/blackdiamond-x.aspx
> fino a 192 porte da 40 giga.

Ma questi dovrebbero andare in sostituzione del 3750? Servirebbero per la rete di backbone dell'azienda?

Quindi dite che sia meglio non stare sotto i 10 gigabit per la rete di backbone?
Magari possono mettere solo da alcune parti la gigabit sugli hosts, penso sia una scelta che accade spesso nella pratica. Un edificio può avere necessità di di banda maggiore (sviluppo multimediale di qualcosa) rispetto all'edificio dove ci sono gli uffici amministrativi (si possono forse accontentare di una fast ethernet).
Potrebbe essere una soluzione reale?

[Adam Atkinson]

On Sep 17, 10:00 pm, lezan <zanchileona...@gmail.com> wrote:

> > Ecco perche' sto chiedendo perche' stai dando gigabit a tutti.
>
> Si, in effetti detta così non sembra un gran idea la mia.

Ma se ogni sito ha i suoi server locali magari i collegamenti fra i
siti non devono essere cosi' veloci.

> > 10 giga per un server non e' niente di speciale.
> > Guarda per esempio:
> >http://www.extremenetworks.com/products/summit-x650.aspx
> > uscito nel 2009 o anche prima, qualche decina di porte 10 giga
> > Per esagerare, abbiamo:
> >http://www.extremenetworks.com/products/blackdiamond-x.aspx
> > fino a 192 porte da 40 giga.
>
> Ma questi dovrebbero andare in sostituzione del 3750? Servirebbero per la rete di backbone dell'azienda?

Ho piu' dimestichezza con i modelli Extreme, tutto qui. Non sto
assolutamente consigliando un X8 per
il tuo sistema!

> Quindi dite che sia meglio non stare sotto i 10 gigabit per la rete di backbone?

Sto solo dicendo che nel 2012 10 gigabit non e' una cosa
fantascientifica. Ho visto universita' con
collegamenti a 10 gigabit fra edifici diversi, per esempio.

> Magari possono mettere solo da alcune parti la gigabit sugli hosts, penso sia una scelta che accade spesso nella pratica. Un edificio può avere necessità di di banda maggiore (sviluppo multimediale di qualcosa) rispetto all'edificio dove ci sono gli uffici amministrativi (si possono forse accontentare di una fast ethernet).
> Potrebbe essere una soluzione reale?

Si'.

Nota: io non progetto le reti, e non sto dicendo che le tue proposte
siano sbagliate.

[lezan]

Il giorno martedì 18 settembre 2012 01:47:05 UTC+2, Adam Atkinson ha scritto:
> Ho piu' dimestichezza con i modelli Extreme, tutto qui. Non sto
> assolutamente consigliando un X8 per
> il tuo sistema!

Okei, ma il ruole che dovrebbe svolgere un X8 è quello svolto dal 3750, no?

> Si'.

Allora magari potrei fare così: cablo con la fibra a 10gigabit, e metto solo su alcuni edifici un gigabit ad host (per esempio l'edificio B, C ed E); i restanti edifici gli arriva la 10 gigabit ma gli host hanno la fast ethernet (oppure a 'sto punto su questi edifici gli mando un gigabit dato che hanno fast ethernet).
Gran porcata?

> Nota: io non progetto le reti, e non sto dicendo che le tue proposte
> siano sbagliate.

Certo, ma sicuramente avete una maggiore esperienza su tutto il fronte.

Quella cosa che non avevo capito e non è ancora chiara: sul edificio E e l'istradamento di tutto il traffico verso il centro-stella.
Con cosa dovrei fare l'istradamento verso l'edificio C?

Per i firewall ho optato per i Check Point.

[Lorenzo Mainardi]

Il giorno martedì 18 settembre 2012 11:38:41 UTC+2, lezan ha scritto:
> Il giorno martedì 18 settembre 2012 01:47:05 UTC+2, Adam Atkinson ha scritto:

> Allora magari potrei fare così: cablo con la fibra a 10gigabit, e metto solo su alcuni edifici un gigabit ad host (per esempio l'edificio B, C ed E); i restanti edifici gli arriva la 10 gigabit ma gli host hanno la fast ethernet (oppure a 'sto punto su questi edifici gli mando un gigabit dato che hanno fast ethernet).
>
> Gran porcata?

Più che altro non ne capisco il senso.
è inutile dare Gigabit se gli utenti useranno solo ssh.
Devi prima capire le esigenze degli utenti e dopo definire i requisiti anche in termini di connettività di accesso.

[lezan]

Il giorno martedì 18 settembre 2012 12:33:14 UTC+2, Lorenzo Mainardi ha scritto:
> Più che altro non ne capisco il senso.
>
> è inutile dare Gigabit se gli utenti useranno solo ssh.
>
> Devi prima capire le esigenze degli utenti e dopo definire i requisiti anche
> in termini di connettività di accesso.

Stavo pensando ad un azienda che si occupa di sviluppare contenuti multimediali (lo avevo messo sopra, ma nascosto forse).
L'edificio B aveva i server e parte dello sviluppo; l'edifici C ed E sviluppo di altra roba; A, invece, amministrazione; D aperta al pubblico.
In questo senso pensavo di fare un backbone per l'edifici B, C ed E di 10 gigabit, mentre per A e D di un gigabit.
Le interfacce hosts del primo caso saranno ad 1 gigabit, mentre nel secondo caso fast ethernet.
Le esigenze del secondo caso saranno lavori di ufficio, quindi nulla di pesante, mentre nel primo caso gli hosts avranno necessità di scambiarsi contenuti multimediali, e quindi dovrebbero godere di una buona banda.

Uno scenario plausibile e corretto?

[Solon Aquila]

Claiudio formulated on Sunday :

> E su openbsd c'ￜ ripd.

no, ripd e' v2 only

--
We are the music makers,
And we are the dreamers of dreams

[Adam Atkinson]

On Sep 18, 10:38 am, lezan <zanchileona...@gmail.com> wrote:

> Okei, ma il ruole che dovrebbe svolgere un X8 è quello svolto dal 3750, no?

No, l'X8 non ti serve assolutamente. Gli switch X250 e X450 magari
si', ma l'X8 e'
esageratissimo.

[vito....@gmail.com]

Credo che il punto di inzio del progetto sia effettuare un assessment delle esigenze e poi seguendo anche la metodologia PPDIOO di Cisco , suddividere il progetto in step:
- quali sono le reali esigenze poste nel progetto?
- quale risultato ci si attende?
- quali sono le informazioni che si conoscono?

partendo da queste si può sviluppare un piano che potrà arrivare alla definizione dei singoli apparati.
Se si vulle saltare la parte di assessment e planning e partire subito col design allora bisognerà avere le idee chiare.
Ad esempio: mi serve realmente uno switch con porte a 1Gb? Ad ogni interfaccia gigabit andrò a connettere un solo device o più di uno (vedi ip phone)?
Suddividiamo l'architettura in 3 parti:
- access : comprendenti switch di accesso
- distribution: comprendenti switch con interfacce in fibra su cui convergono i link dei vari switch di accesso
- core : comprendenti apparati di routing e firewalling


Nel primo livello vista anche la mia esperienza in ambienti che comprendevano dai 3 ai 6 mila utenti per sede, posso consigliare switch che abbiano alemno 48 interfacce fastethernet e 4 gbit. Sarà necessario tenere in considerazione il valore della oversubscription (di solito 20:1 a livello access/distribution) e cioè il rapporto di dimensionamento del link tra la parte utenti e la parte fibra. Per cui ad un ipotetico valore di 48Gbit di utenza equivale almeno 2,4Gbit di link in fibra.

Se si vuole tenere basso il costo i vendor potrebbero essere HP (con i Procurve) o Huawei (che produceva l'hardware di Cisco anni fa). Se si vuole una livello accessi robusto allora Cisco (i 2960 vanno più che bene se non si vuole avere routing anche sugli apparati di livello access. Solitamente si consilgia di spostare il layer 3 fino a livello di core dove andranno piazzati degli switch modulari multilayer vedi catalyst 4500, 6500 etc...) è il vendor di riferimento.

Ma bisogna anche tenere in considerazione la tipologia di cablaggio in rame e fibra che ad oggi annoverano la cat6/6a come standard di riferimento per il primo e om3/4 - Sx per il secondo (ammesso che la distanza sia minore ai 550m altrimenti si va su fibra om4 di tipo lx).

Se la rete dovrà essere affidabile andrà preventivato che ogni piano ed ogni palazzina dovrà essere connessa in doppia fibra ai vari switch del livello distribution o core così da garantire la disponibilità di un link di backup per ogni eventuale fault.

Per cui in ogni piano andrà installato uno stack di switch che dovrà coprire almeno il 150% delle utenze (cioè avere almeno qualche interfaccia in più in caso di futuro aumento degli utenti).
Gli stack dovrebbero essere connessi in doppio link. Consigliato 2 interfacce gbit per ogni link configurate in etherchannel.

Molto importante è l'uso dello spanning tree (possibilmente di tipo fast così da evitare un ricalcolo eccessivamente lento).

Passando a livello distribution (se lo si include) saranno necessari degli apparati modulari capaci di ospitare più lame con almeno 24 interfacce Gbit (connettere una o più palazzine a tale livello su tecnologia 10Gbit non è conveniente nè utile almeno che non si usino cluster di calcolo parallelo :)) Il rapporto di oversubrscription tra distribution e core sarà di 4:1 (basta fare i calcoli per tirare fuori il valore.)
Questo livello intermedio consente di costruire un livello core che sia ottimizzato per il routing. A volte si può usare questo livello come gateway per le varie subnet e poi configurare il routing.

Molto importante, quando si sceglie il tipo di protocollo layer 3, è tenere in considerazione il numero di subnet e la tecnologia scelta. Necessario scartare protocolli non standard quali Eigrp (proprietario Cisco). Il rip ormai è obsoleto. e se non si hanno tante subnet allora il routing statico è una manna dal cielo se unita ad una ottimizzazione quale l'uso del vlsm (Variable Length Subnet Masking) che permette di semplificare il numero di route.

A livello core il design è molto importante. Qui si potranno usare protocolli di routing dinamico se si vuole garantire una certa affidabilità dell'instradamento e tempi di convergenza accettabili. Sicuramente Ospf è il padrone incontrastato.

su questo livello convergerà tutto il traffico e quindi la capacità di calcolo sarà importante. Se si è in presenza di un unico campus allora un buon switch modulare multilayer andrà più che bene. se invece si è in presenza di più sedi allora almeno una coppia di router in hsrp,vrrp o glbp andranno benone. ma sempre con almeno un apparato multilayer su cui convergeranno i link che arrivano o dagli stack o dal distribution layer.

Relativamente all'ambito Server e Dmz è molto importante che l'ahrdware venga scelto in base al throughput. Da tenere in considerazione che il valore di oversubscription in questo livello va da 3:1 a 2:1 (a volte anche 1:1).
Quindi più elevato è il traffico più potente dovrà essere il firewall (firewall throughput). Un esempio pratico è avere un firewall con througput di almeno 10-15Gnit per un datacenter con 150-180 server. Nel caso della dmz si dovrà tenere in considerazione che il traffico andrà nella maggior parte dei casi da tale zona verso internet con elevata limitazione del traffico tra dmz e lan (a volte si configura il tutto per permettere solo il management dei server). Proprio perchè si parla di Dmz. In questo caso un firewall con througput ad 5gbit va più che bene. Nel caso di simil-dmz (rete logica o fisica ad hoc per proteggere i server) allora un buon firewall con throughput a 10Gbit dovrebbe andar bene.

Si scelga sempre un vendor che supporti protocolli di routing standard. I più conosciuti sono Checkpoint, Juniper, Stonesoft, Astaro(Sophos), Palo Alto etc...
Il primo costa tanto ma è faicle da gestire, il secondo è astruso ma i costi sono contenuti, il terzo e quarto hanno un'ottimo rapporto qualità - prezzo ed sono facili da configurare e gestire.

Il routing tra le zone protette da firewall ed il core potrebbe prevedere l'uso di routing statico (come sopra descritto) o ospf.

Si escluda Mpls, Bgp o Is-Is se non si è in presenza di Wan estese. Anche se a volte ho visto usare il bgp per instradare il traffico tra due o più palazzine solo per ler sue proprietà di convergenza rapida (rapida è un parolone).


Purtroppo ho dovuto semplificare ma volevo dare alcuni consigli che è bene tenere a mente quando si effettua il design di una rete.

[lezan]

Il giorno mercoledì 19 settembre 2012 20:13:05 UTC+2, vito....@gmail.com ha scritto:
> Ad esempio: mi serve realmente uno switch con porte a 1Gb? Ad ogni
> interfaccia gigabit andrò a connettere un solo device o più di uno (vedi ip
> phone)?

Attualmente gli switch ( 2960 o x250) vengono utilizzati per connettere i singoli hosts al 3750.
Fatto cazzate?

>
> Suddividiamo l'architettura in 3 parti:
>
> - access : comprendenti switch di accesso

Per esempio i 2960 + 3750?

>
> - distribution: comprendenti switch con interfacce in fibra su cui convergono > i link dei vari switch di accesso

A questo livello io ho messo nulla credo.
Per esempio un 4500-X?

> Nel primo livello vista anche la mia esperienza in ambienti che comprendevano dai 3 ai 6 mila utenti per sede, posso consigliare switch che abbiano alemno 48 interfacce fastethernet e 4 gbit. Sarà necessario tenere in considerazione il valore della oversubscription (di solito 20:1 a livello access/distribution) e cioè il rapporto di dimensionamento del link tra la parte utenti e la parte fibra. Per cui ad un ipotetico valore di 48Gbit di utenza equivale almeno 2,4Gbit di link in fibra.

Quindi se io ho 250 utenti, sono 250Gbit di utenza che equivale ad almeno 12.5Gbit di fibra?
Se così fosse, la backbone da 10Gbit non è sufficiente e dovrei ampliare.

> Se si vuole tenere basso il costo i vendor potrebbero essere HP (con i Procurve) o Huawei (che produceva l'hardware di Cisco anni fa). Se si vuole una livello accessi robusto allora Cisco (i 2960 vanno più che bene se non si vuole avere routing anche sugli apparati di livello access. Solitamente si consilgia di spostare il layer 3 fino a livello di core dove andranno piazzati degli switch modulari multilayer vedi catalyst 4500, 6500 etc...) è il vendor di riferimento.
>

La rete di backbone dell'azienda deve essere "gestita" dai 4500-x?
Cioè, i collegamenti tra i vari edifici che compogono la mia rete, devono avvenire sui 4500?

> Ma bisogna anche tenere in considerazione la tipologia di cablaggio in rame e fibra che ad oggi annoverano la cat6/6a come standard di riferimento per il primo e om3/4 - Sx per il secondo (ammesso che la distanza sia minore ai 550m altrimenti si va su fibra om4 di tipo lx).
>

Io avevo pensato di utilizzare lx su monomodale per i collegamenti backbone da 1Gbit, mentre lr per la backbone da 10Gbit.
Quindi sono 3,5 Km di lr e 3,0 Km di lx.
Inoltre, per la rete interna all'edificio avevo pensato a cavi di catagoria 6a.

> Se la rete dovrà essere affidabile andrà preventivato che ogni piano ed ogni palazzina dovrà essere connessa in doppia fibra ai vari switch del livello distribution o core così da garantire la disponibilità di un link di backup per ogni eventuale fault.
>

Quindi, fammi capire una cosa (se hai link dove leggere 'sta roba sarebbe grandioso; io lo sto cercando): la fibra arriva fino al livello distribution, da lì in poi su cavi di rame?
Doppia fibra significa doppio della lunghezza :S.
Quando costa la fibra monomodale al metro?
Io all'interno dell'edificio pensavo di utilizzare il rame. La fibra fino al distribution dell'edificio.

> Passando a livello distribution (se lo si include) saranno necessari degli apparati modulari capaci di ospitare più lame con almeno 24 interfacce Gbit (connettere una o più palazzine a tale livello su tecnologia 10Gbit non è conveniente nè utile almeno che non si usino cluster di calcolo parallelo :)) Il rapporto di oversubrscription tra distribution e core sarà di 4:1 (basta fare i calcoli per tirare fuori il valore.)
>
> Questo livello intermedio consente di costruire un livello core che sia ottimizzato per il routing. A volte si può usare questo livello come gateway per le varie subnet e poi configurare il routing.

Okei, quindi effettivamente è a livello distribution che avviene il collegamento tra i vari edifici. I 4500-X vanno bene?

> Molto importante, quando si sceglie il tipo di protocollo layer 3, è tenere in considerazione il numero di subnet e la tecnologia scelta. Necessario scartare protocolli non standard quali Eigrp (proprietario Cisco). Il rip ormai è obsoleto. e se non si hanno tante subnet allora il routing statico è una manna dal cielo se unita ad una ottimizzazione quale l'uso del vlsm (Variable Length Subnet Masking) che permette di semplificare il numero di route.
>

Non ho capito, a quale livello consigli di utilizzare il routing statico? Distribution o access?

> A livello core il design è molto importante. Qui si potranno usare protocolli di routing dinamico se si vuole garantire una certa affidabilità dell'instradamento e tempi di convergenza accettabili. Sicuramente Ospf è il padrone incontrastato.
> su questo livello convergerà tutto il traffico e quindi la capacità di calcolo sarà importante. Se si è in presenza di un unico campus allora un buon switch modulare multilayer andrà più che bene. se invece si è in presenza di più sedi allora almeno una coppia di router in hsrp,vrrp o glbp andranno benone. ma sempre con almeno un apparato multilayer su cui convergeranno i link che arrivano o dagli stack o dal distribution layer.

Posso utilizzare i 6500?

> Relativamente all'ambito Server e Dmz è molto importante che l'ahrdware venga scelto in base al throughput. Da tenere in considerazione che il valore di oversubscription in questo livello va da 3:1 a 2:1 (a volte anche 1:1).
>
> Quindi più elevato è il traffico più potente dovrà essere il firewall (firewall throughput). Un esempio pratico è avere un firewall con througput di almeno 10-15Gnit per un datacenter con 150-180 server. Nel caso della dmz si dovrà tenere in considerazione che il traffico andrà nella maggior parte dei casi da tale zona verso internet con elevata limitazione del traffico tra dmz e lan (a volte si configura il tutto per permettere solo il management dei server). Proprio perchè si parla di Dmz. In questo caso un firewall con througput ad 5gbit va più che bene. Nel caso di simil-dmz (rete logica o fisica ad hoc per proteggere i server) allora un buon firewall con throughput a 10Gbit dovrebbe andar bene.
>

Quindi un 21400-appliances della Check Point è sprecato.
E' sufficiente un 12200 o anche un 4800.

> Si scelga sempre un vendor che supporti protocolli di routing standard. I più conosciuti sono Checkpoint, Juniper, Stonesoft, Astaro(Sophos), Palo Alto etc...
>

Dò un occhiata anche agli altri.

> Il routing tra le zone protette da firewall ed il core potrebbe prevedere l'uso di routing statico (come sopra descritto) o ospf.
>

Avevo pensato a quello statico, tanto c'è poca roba dentro.

> Purtroppo ho dovuto semplificare ma volevo dare alcuni consigli che è bene tenere a mente quando si effettua il design di una rete.
>

Ecco, devo fare ancora molta strada perché io sono andato in confusione anche sulla tua semplificazione.
Grazie moltissimo, perché ora mi è un po' più chiara l'architettura di una rete.
Se poi risponderai alle restanti domande, penso che comprendorò quasi tutto :).

[vito....@gmail.com]

Il giorno giovedì 20 settembre 2012 13:27:37 UTC+2, lezan ha scritto:
> Il giorno mercoledì 19 settembre 2012 20:13:05 UTC+2, vito....@gmail.com ha scritto:
>
> > Ad esempio: mi serve realmente uno switch con porte a 1Gb? Ad ogni
>
> > interfaccia gigabit andrò a connettere un solo device o più di uno (vedi ip
>
> > phone)?
>
>
>
> Attualmente gli switch ( 2960 o x250) vengono utilizzati per connettere i singoli hosts al 3750.
>
> Fatto cazzate?
>

Connetti gli utenti a switch quale 2960 o x250 e poi connetti questi ultimi a switch di livello distribution. Ovviamente in fibra. Quindi avrai due tipi di cablaggio: quello orizzontale in rame cat6a e quello verticale, che va dagli switch di piano agli switch distribution, in fibra sx.

> >
>
> > Suddividiamo l'architettura in 3 parti:
>
> >
>
> > - access : comprendenti switch di accesso
>
>
>
> Per esempio i 2960 + 3750?
>
> >

Ti consiglierei 2960. Però da utilizzare solo per connettere utenti, stampanti e così via.

>
> > - distribution: comprendenti switch con interfacce in fibra su cui convergono > i link dei vari switch di accesso
>
>
>
> A questo livello io ho messo nulla credo.
>
> Per esempio un 4500-X?
>

Si. Un 4500 ad almeno 6 lame va più che bene. Dipende sempre dal numero di fibre che convergeranno su tale apparato.

>
>
> > Nel primo livello vista anche la mia esperienza in ambienti che comprendevano dai 3 ai 6 mila utenti per sede, posso consigliare switch che abbiano alemno 48 interfacce fastethernet e 4 gbit. Sarà necessario tenere in considerazione il valore della oversubscription (di solito 20:1 a livello access/distribution) e cioè il rapporto di dimensionamento del link tra la parte utenti e la parte fibra. Per cui ad un ipotetico valore di 48Gbit di utenza equivale almeno 2,4Gbit di link in fibra.
>
>
>
> Quindi se io ho 250 utenti, sono 250Gbit di utenza che equivale ad almeno 12.5Gbit di fibra?
>
> Se così fosse, la backbone da 10Gbit non è sufficiente e dovrei ampliare.
>

Se hai uno switch con almeno 2 interfacce 10gbit puoi tranquillamente usare queste . L'importante è che le fibre supportino i 10Gbit. Solitamente 10Gb SR. Tuttavia non devi calcolare il totale degli utenti per palazzina ma il totale degli utenti per singolo stack. Quindi se hai 250 utenti divisi in più piani, immagino che avrai più stack ed ognuno dovrà essere connesso al distribution osservando il rapporto 20:1.

>
>
> > Se si vuole tenere basso il costo i vendor potrebbero essere HP (con i Procurve) o Huawei (che produceva l'hardware di Cisco anni fa). Se si vuole una livello accessi robusto allora Cisco (i 2960 vanno più che bene se non si vuole avere routing anche sugli apparati di livello access. Solitamente si consilgia di spostare il layer 3 fino a livello di core dove andranno piazzati degli switch modulari multilayer vedi catalyst 4500, 6500 etc...) è il vendor di riferimento.
>
> >
>
> La rete di backbone dell'azienda deve essere "gestita" dai 4500-x?
>
> Cioè, i collegamenti tra i vari edifici che compogono la mia rete, devono avvenire sui 4500?
>
>

Puoi tranquillamente connettere i vari piani di un edificio ad uno (meglio 2 per avere una struttura ad alta affidabilità. Quindi calcola due coppie in fibra per ogni stack, ognuna delle quali converge verso uno dei due switch distribution)switch 4500, se Cisco, o comunque un multilayer modulare.

>
> > Ma bisogna anche tenere in considerazione la tipologia di cablaggio in rame e fibra che ad oggi annoverano la cat6/6a come standard di riferimento per il primo e om3/4 - Sx per il secondo (ammesso che la distanza sia minore ai 550m altrimenti si va su fibra om4 di tipo lx).
>
> >
>
> Io avevo pensato di utilizzare lx su monomodale per i collegamenti backbone da 1Gbit, mentre lr per la backbone da 10Gbit.
>
> Quindi sono 3,5 Km di lr e 3,0 Km di lx.
>
> Inoltre, per la rete interna all'edificio avevo pensato a cavi di catagoria 6a.
>
>

Ok per il rame che dovrà servire ala cablaggio orizzontale. Per il cabalggio verticale di palazzina la sx va più che bene se non superi i 550m. Per i link a distanza elevata puoi usare la fibra 10Gb LR (tale fibra copre fino a 25km senza alcuna perdita. ma ricorda di selezionare l'hardware necessario. quindi moduli 10gb lr)

>
> > Se la rete dovrà essere affidabile andrà preventivato che ogni piano ed ogni palazzina dovrà essere connessa in doppia fibra ai vari switch del livello distribution o core così da garantire la disponibilità di un link di backup per ogni eventuale fault.
>
> >
>
> Quindi, fammi capire una cosa (se hai link dove leggere 'sta roba sarebbe grandioso; io lo sto cercando): la fibra arriva fino al livello distribution, da lì in poi su cavi di rame?
>
> Doppia fibra significa doppio della lunghezza :S.
>
> Quando costa la fibra monomodale al metro?
>
> Io all'interno dell'edificio pensavo di utilizzare il rame. La fibra fino al distribution dell'edificio.
>
>

Il rame solo per la parte utenti. la fibra per la parte di connessione tra switch di accesso (dove convergono le utenze) e switch distribution (che vengono solitamente usati per far convergere tutti i link in fibra dei diversi stack).
Per doppia fibra si intende il raddoppiamento delle coppie in fibra che dovranno essere usate. Quindi se hai un link e lo vuoi rendere in alta affidabilità dovrai avere almeno 2 switch distribution su cui dovranno converger le due coppie provenienti dallo stesso stack. Quindi switch di accesso con almeno 4 interfacce in fibra. 2 per il distribution A e 2 per il distribution B. (attenzione anche al numero di connettori che dovrai inserire nei patch panel ottici. dovrai tenere conto del numero di fibre usate e moltiplicare x2)

>
> > Passando a livello distribution (se lo si include) saranno necessari degli apparati modulari capaci di ospitare più lame con almeno 24 interfacce Gbit (connettere una o più palazzine a tale livello su tecnologia 10Gbit non è conveniente nè utile almeno che non si usino cluster di calcolo parallelo :)) Il rapporto di oversubrscription tra distribution e core sarà di 4:1 (basta fare i calcoli per tirare fuori il valore.)
>
> >
>
> > Questo livello intermedio consente di costruire un livello core che sia ottimizzato per il routing. A volte si può usare questo livello come gateway per le varie subnet e poi configurare il routing.
>
>
>
> Okei, quindi effettivamente è a livello distribution che avviene il collegamento tra i vari edifici. I 4500-X vanno bene?
>
>

Si. i 4500 vanno più che bene. A volte per ottimizzare si possono connettere le varie palazzine tra loro così da avere una rete a maglia estesa e affidabile. L'importante è configurare lo spanning tree nel migliore dei modi per evitare tempi di convergenza troppo elevati.

>
> > Molto importante, quando si sceglie il tipo di protocollo layer 3, è tenere in considerazione il numero di subnet e la tecnologia scelta. Necessario scartare protocolli non standard quali Eigrp (proprietario Cisco). Il rip ormai è obsoleto. e se non si hanno tante subnet allora il routing statico è una manna dal cielo se unita ad una ottimizzazione quale l'uso del vlsm (Variable Length Subnet Masking) che permette di semplificare il numero di route.
>
> >
>
>
>
> Non ho capito, a quale livello consigli di utilizzare il routing statico? Distribution o access?
>
>

Distribution e Core se non si hanno moltissime subnet (utilizzando il vlsm, cioè semplificando in una route molteplici subnet contigue)

>
> > A livello core il design è molto importante. Qui si potranno usare protocolli di routing dinamico se si vuole garantire una certa affidabilità dell'instradamento e tempi di convergenza accettabili. Sicuramente Ospf è il padrone incontrastato.
>
> > su questo livello convergerà tutto il traffico e quindi la capacità di calcolo sarà importante. Se si è in presenza di un unico campus allora un buon switch modulare multilayer andrà più che bene. se invece si è in presenza di più sedi allora almeno una coppia di router in hsrp,vrrp o glbp andranno benone. ma sempre con almeno un apparato multilayer su cui convergeranno i link che arrivano o dagli stack o dal distribution layer.
>
>
>
>
>
> Posso utilizzare i 6500?
>
>

si. i 6509 o 6513.

>
> > Relativamente all'ambito Server e Dmz è molto importante che l'ahrdware venga scelto in base al throughput. Da tenere in considerazione che il valore di oversubscription in questo livello va da 3:1 a 2:1 (a volte anche 1:1).
>
> >
>
> > Quindi più elevato è il traffico più potente dovrà essere il firewall (firewall throughput). Un esempio pratico è avere un firewall con througput di almeno 10-15Gnit per un datacenter con 150-180 server. Nel caso della dmz si dovrà tenere in considerazione che il traffico andrà nella maggior parte dei casi da tale zona verso internet con elevata limitazione del traffico tra dmz e lan (a volte si configura il tutto per permettere solo il management dei server). Proprio perchè si parla di Dmz. In questo caso un firewall con througput ad 5gbit va più che bene. Nel caso di simil-dmz (rete logica o fisica ad hoc per proteggere i server) allora un buon firewall con throughput a 10Gbit dovrebbe andar bene.
>
> >
>
>
>
> Quindi un 21400-appliances della Check Point è sprecato.
>
> E' sufficiente un 12200 o anche un 4800.
>
>

il 12200 dovrebbe andar bene. Io però ti consiglierei di vagliare la tecnologia stonesoft o astaro/sophos. Ottimi risultati a prezzi contenuti. Sempre in alta affidabilità. quindi prevedi almeno due appliance.

>
> > Si scelga sempre un vendor che supporti protocolli di routing standard. I più conosciuti sono Checkpoint, Juniper, Stonesoft, Astaro(Sophos), Palo Alto etc...
>
> >
>
> Dò un occhiata anche agli altri.
>
>
>
> > Il routing tra le zone protette da firewall ed il core potrebbe prevedere l'uso di routing statico (come sopra descritto) o ospf.
>
> >
>
>
>
> Avevo pensato a quello statico, tanto c'è poca roba dentro.
>
>
>
> > Purtroppo ho dovuto semplificare ma volevo dare alcuni consigli che è bene tenere a mente quando si effettua il design di una rete.
>
> >
>
>
>
> Ecco, devo fare ancora molta strada perché io sono andato in confusione anche sulla tua semplificazione.
>
> Grazie moltissimo, perché ora mi è un po' più chiara l'architettura di una rete.
>
> Se poi risponderai alle restanti domande, penso che comprendorò quasi tutto :).

spero ti sia stato d'aiuto. se ti serve fai un fischio. :)

[lezan]

Il giorno giovedì 20 settembre 2012 15:29:39 UTC+2, vito....@gmail.com ha scritto:
>
Connetti gli utenti a switch quale 2960 o x250 e poi connetti questi ultimi a switch di livello distribution. Ovviamente in fibra. Quindi avrai due tipi di cablaggio: quello orizzontale in rame cat6a e quello verticale, che va dagli switch di piano agli switch distribution, in fibra sx.
>

Non sr? Pensavo di mettere su alcuni edifici interfacce utente ad 1Gbit. E' una cavolata?

Cerco di riepilogare per vedere se ho capito e cerco di ampliare:
Partiamo da i dispositivi da utilizzare divisi per livello:
- core: 6509 dove c'è l'accesso pubblico (non su tutti gli edifici);
- distribution: una coppia di 4500 ad edificio;
- access: 5 cisco 2960;
Collegamenti:
- core - distribution: doppio link a 10Gbit con tecnologia sr su ciascun 4500;
- distribution - access (1): doppio link a 10Gbit con tecnologia sr su ciascun 2960 (quindi ogni 4500 deve avere 10 porte a 10Gbit per gli switch + 2 per il core + 4 per il collegato edificio-edificio); (esagerato?);
- access - end-user (1): cavo di rame categoria 6a a 1Gbit per interfaccia;
- edificio - edificio (1): si collegano i 4500; doppi link a 10Gbit con tecnologia lr;
- edificio - edificio (2): si collegano i 4500; doppio link a 1Gbit con tecnologia lx;
- distribution - access (2): doppio link a 1Gbit con tecnologia sx su ciascun 2960;
- access - end-user (2): cavo di rame categoria 6 fast-ethernet per interfaccia;
Altri oggetti:
- firewall: StonGate FW-3201, ma non c'è il prezzo; UTM 625 (oppure il solito Check Point);
- box ottici, accoppiatori, transciver, bretella, connettore SC e bussola SC;
- moduli aggiuntivi:
- 16 moduli 10 GBit per 4500; (tanti? :D): perché servono 2 per ogni switch, quindi 10; più 2 per il livello core e 2 per connessione edificio-edificio;
- 12 moduli 10Gbit per l'altro 4500;
- 2 moduli 10 GBit per ciascun switch 2960;
- 2 interfacce 10Gbit per il 6509;
Ovviamente poi bisogna aggiungere per gli altri edifici;
Routing:
- DMZ: statico;
- core: statico;
- distribution: statico;
- access: OSFP
- BPG tra AS;

Ho un pò di confusione: quandi si dice routing statico sul core si intende che la macchina dove sta il protocollo di routing è - nel nostro caso - il 6509?
Quando si dice routing dinamico sull'access significa che il protocollo gira sui 2960, giusto?

Ci siamo? Che né dite? Oppure è irreale portare con un doppio canale a 1 Gbit su una distanza di un 1,5 km ed avere sullo switch al livello access un 1Gbit con sx e poi passare a fast-ethernet?

Mi verrà un preventivo allucinante, sicuro.

I prezzi della fibra quali sono? In giro non li trovo. (giusto qualche preventivo di comuni).

> spero ti sia stato d'aiuto. se ti serve fai un fischio. :)

Ffff, fffff.. !
Senza il vostro aiuto avrei fatto il solito progettino standard. Grazie.
Ci metterò molto di più degli altri, ma in questo modo sto capendo un sacco di cose ed è sicurmente un progetto che si avvicina molto di più alla realtà.

[lezan]

Faccio una correzione.
penso di aver esagerato (avevo capito male) con i doppi link; infatti gli switch distribution devono avere un solo link a switch access e non doppio come avevo detto prima; cioè sarà la coppia di switch distribution ad avere due link sul singolo switch access. Giusto?
Di conseguenza diminuisce anche il numero di moduli che avevo scritto prima.( 5 di meno per ogni switch distribution).

[vito....@gmail.com]

Di seguito alcuni piccoli dettagli:
- la dorsale in fibra tra le palazzine potrebbe essere in fibra a 10gbit LR (link tra i vari distribution)
- la dorsale verticale interna alle palazzine dovrebbe essere in fibra 1gbit sx (link tra switch access - switch distribution. ricorda di prevedere almeno un doppio link. un consiglio: una coppia di interfacce in fibra connessa al primo distribution, ed un'altra al secondo; non utilizzare tutte le interfacce in fibra di uno switch. es: prevedi due interfacce dello switch n°2 e due dello switch n°3 o 4 - a seconda degli siwtch che avrai).
- la dorsale orizzontale in rame cat6a con cablaggio sftp (con schermatura e maglia di protezione). calcola almeno due punti rete per utente (in caso di fault di una tratta avrai un altro plug attivo ed utilizzabile).

Hardware necessario:

- access layer: cosigliati 2960X (da prevederne almeno 1 o due in più per la gestione dei fault) con 4 interfacce gbit per ogni switch
- distribution: 2 x 4507E con supervisor V10GE (comprende due interfacce 10Gbit + 4sfp a 10Gbit) ed almeno 2 moduli con 24 interfacce gigabit (sfp)
- core : 2 x 6513-E con due moduli supervisor VS-S2T-10G per singolo 6500 (consigliato nei core per garantire l'alta affidabilità in caso di fault del modulo) e configurazione del vss (virtual switching system - permette di usare i due 6500 come se fossero un solo apparato. unica console, unico switch virtuale ma ridodanza al 100%), almeno 4 moduli con 24 sfp 10Gbit + 2 moduli con 48 interfacce 1gbit ethernet (questa configurazione dovrebbe aggirarsi sui 180K€ a switch).

Relativamente al routing. si parla di routing statico quando si indica manualmente come il traffico dovrà essere instradato attraverso l'uso di rotte singole. è semplice da gestire ma non è consigliabile in grandi infrastrutture dove gli instradamenti sono soggetti a modifiche. il routing statico difatti obbliga l'aggiornamento delle tabelle di routing su tutti gli apparati in caso di modifica. il routing dinamico consente di automatizzare questo processo e di migliorare il calcolo di eventuali path in caso di fault di un link.

Se l'infrastruttura presenta i 3 livelli access, dtistribution e core allora conviene configurare, nel tuo caso, gli switch distribution come gateway per tutti i client del livello access ( gli switch 2960 sono solo switch di layer 2.). e poi a loro volta si occuperebbero di instradare il traffico verso il core che dovrebbe diventare il punto di convergenza tra le varie reti. Ovviamente configurare il routing sugli switch distr. ti consentirebbe di selezionare quali subnet andranno instradate verso il core e quali no. Insomma avresti la possibilità di gestire meglio il traffico.

Osfp andrebbe configurato sul core. il bgp, se non sei un carrier e non hai a che fare con autonomous system, non ti serve. anche perchè nella maggior parte dei casi il routing verso reti pubbliche verrebbe gestito dal carrier.
potrei consigliarti di usare routing statico sul distribution e poi ospf sul core. altrimenti se non hai molte subnet usare il routing statico. su core e distribution.

il costo di questa infrastruttura ipotetica potrebbe aggirarsi sui 2M€. compresi anche eventuali licenze di maintenance.

se ti serve qualcos'altro chiedi pure.

[lezan]

Il giorno giovedì 20 settembre 2012 23:27:36 UTC+2, vito....@gmail.com ha scritto:
> Di seguito alcuni piccoli dettagli:
>
> - la dorsale in fibra tra le palazzine potrebbe essere in fibra a 10gbit LR (link tra i vari distribution)
>

Okei, quindi quello che ho fatto.
Ovviamente il link il doppio link per l'altro edificio deve partire da un solo switch distribution, giusto?

> - la dorsale verticale interna alle palazzine dovrebbe essere in fibra 1gbit sx

Mm, in questo modo riesco ad avere sulla singola interfaccia utente 1Gbit? Cioè, il link switch access-host; sono cinque piani, ognuno da 50 hosts ed ogni host dovrebbe avere link da 1Gbit. Infattibile? Esagerato?

>(link tra switch access - switch distribution. ricorda di prevedere almeno un doppio link.

Ecco, ma doppio link da ogni switch distribution verso un singolo switch access? Oppure un link tra lo switch distribution 1 e lo switch access 1, ed un altro link tra lo switch distribution 2 e lo switch access 1. Mi sono spiegato?

> un consiglio: una coppia di interfacce in fibra connessa al primo distribution, ed un'altra al secondo;

Si, tra livello core e distribution ho fatto una mesh (tanto sono 3 nodi).

> non utilizzare tutte le interfacce in fibra di uno switch. es: prevedi due interfacce dello switch n°2 e due dello switch n°3 o 4 - a seconda degli siwtch che avrai).

Si sta parlando di switch access, giusto? Quindi dovrei raddoppiare il numero degli switch. Avendo 250 utenti ad edificio, avevo messo 50 utenti a piano, quindi 5 piani. Pensavo di mettere due switch a piano, uno da 48 ed uno da 44; a 'sto punto ad ogni piano devo mettere due switch da 48 e ci sono quasi.

> - la dorsale orizzontale in rame cat6a con cablaggio sftp (con schermatura e maglia di protezione). calcola almeno due punti rete per utente (in caso di fault di una tratta avrai un altro plug attivo ed utilizzabile).

Cioè due interfacce per ogni utente, e quindi due link tra host e singolo switch di rete?

>
> Hardware necessario:
>
>
>
> - access layer: cosigliati 2960X (da prevederne almeno 1 o due in più per la gestione dei fault) con 4 interfacce gbit per ogni switch

4 interfacce 1Gbit per il doppio link con i due distribution? Quindi il collegamento distribution-access deve prevedere doppio link tra ogni switch distribution e switch access.

>
> - distribution: 2 x 4507E con supervisor V10GE (comprende due interfacce 10Gbit + 4sfp a 10Gbit) ed almeno 2 moduli con 24 interfacce gigabit (sfp)
>

I doppi switch access (ogni piano) devono essere collegati entrambi ad ogni switch distribution con il doppio link?

> - core : 2 x 6513-E con due moduli supervisor VS-S2T-10G per singolo 6500 (consigliato nei core per garantire l'alta affidabilità in caso di fault del modulo)

A cosa mi servono i due moduli VS-S2T-10G per ogni 6500?
Con le due porte 10GbE che ci faccio?
Come lo sfruttiamo?

> e configurazione del vss (virtual switching system - permette di usare i due 6500 come se fossero un solo apparato. unica console, unico switch virtuale ma ridodanza al 100%), almeno 4 moduli con 24 sfp 10Gbit

Cioè, 48 porte sfp su ogni core? Che ci faccio? :D

>+ 2 moduli con 48 interfacce 1gbit ethernet

Per fare cosa?

>(questa configurazione dovrebbe aggirarsi sui 180K€ a switch).
>

U madonna santa, un prezzo veramente allucinante.
Cavolo o.o. Non pensavo fossero necessari due core 6513.

>
> Se l'infrastruttura presenta i 3 livelli access, dtistribution e core allora conviene configurare, nel tuo caso, gli switch distribution come gateway per tutti i client del livello access ( gli switch 2960 sono solo switch di layer 2.). e poi a loro volta si occuperebbero di instradare il traffico verso il core che dovrebbe diventare il punto di convergenza tra le varie reti. Ovviamente configurare il routing sugli switch distr. ti consentirebbe di selezionare quali subnet andranno instradate verso il core e quali no. Insomma avresti la possibilità di gestire meglio il traffico.
> Osfp andrebbe configurato sul core.

Aspetta, non ho capito: prima dici di configurare il routing dinamico sugli switch distribution, poi OSFPsul core; non ti seguo, scusami. Cioè, OSFP=routing dinamico intra AS, no?

Un'altra cosa non mi è chiara:
avendo praticamente messo quasi ovunque doppio link, mi servono ovviamente doppie interfacce e di conseguenza anche doppio IP da assegnare al nodo, giusto?
Praticamente devono raddoppiare il numeri di hosts per ogni subnets.

Mettere una sottorete per ogni collegamento edificio-edificio è una cazzata?
Siccome ho 250 utenti, con doppio link, sarebbero come 500 hosts; con una subnet da 510 ci posso stare. Mettere una subnet per tutti gli hosts di un edificio potrebbe essere una buona mossa?
Mettere una subnet per il collegamento core-distribution è una buona mossa?

Mi metto subito a fare un disegno della rete (prendo il nodo principale, poi gli altri saranno uguali) così forse faccio un po' di chiarezza su quello che ho capito sulle tue istruzioni e consigli.

>
> il costo di questa infrastruttura ipotetica potrebbe aggirarsi sui 2M€. compresi anche eventuali licenze di maintenance.

Questo potrebbe essere un problema :D.

>
> se ti serve qualcos'altro chiedi pure.

:( sono già qua.
Sto approfittando troppo?

[lezan]

Il giorno venerdì 21 settembre 2012 12:08:16 UTC+2, lezan ha scritto

> Mi metto subito a fare un disegno della rete (prendo il nodo principale, poi gli altri saranno uguali) così forse faccio un po' di chiarezza su quello che ho capito sulle tue istruzioni e consigli.
>

http://imageshack.us/a/img43/1042/provabj.png

[vito....@gmail.com]

il diagramma va bene. un dettaglio aggiuntivo può essere l'uso di un link tra i due 6500 ed i 4500. Connetti il 4500-A al 6500-B ed il 4500-B al 6500-A così da avere anche i link tra core e distribution ridondati.

[vito....@gmail.com]

Il giorno venerdì 21 settembre 2012 12:08:16 UTC+2, lezan ha scritto:
> Il giorno giovedì 20 settembre 2012 23:27:36 UTC+2, vito....@gmail.com ha scritto:
>
> > Di seguito alcuni piccoli dettagli:
>
> >
>
> > - la dorsale in fibra tra le palazzine potrebbe essere in fibra a 10gbit LR (link tra i vari distribution)
>
> >
>
>
>
> Okei, quindi quello che ho fatto.
>
> Ovviamente il link il doppio link per l'altro edificio deve partire da un solo switch distribution, giusto?
>
>
>
> > - la dorsale verticale interna alle palazzine dovrebbe essere in fibra 1gbit sx
>
>
>
> Mm, in questo modo riesco ad avere sulla singola interfaccia utente 1Gbit? Cioè, il link switch access-host; sono cinque piani, ognuno da 50 hosts ed ogni host dovrebbe avere link da 1Gbit. Infattibile? Esagerato?
>
>

normalmento gli switch catalyst hanno dalle 24 alle 48 porte fast o giabit ethernet + 2 o 4 sfp gigabit. quindi nel tuo caso 2 switch da 48 porte a piano vanno più che bene.

>
> >(link tra switch access - switch distribution. ricorda di prevedere almeno un doppio link.
>
>
>
> Ecco, ma doppio link da ogni switch distribution verso un singolo switch access? Oppure un link tra lo switch distribution 1 e lo switch access 1, ed un altro link tra lo switch distribution 2 e lo switch access 1. Mi sono spiegato?
>
>

Ogni switch potrà essere connesso con due coppie di interfacce (in etherchannel) sfp (quindi 2 sfp verso il distr-a e 2 verso il distr-b) ai due distribution presi in considerazione.

>
> > un consiglio: una coppia di interfacce in fibra connessa al primo distribution, ed un'altra al secondo;
>
>
>
> Si, tra livello core e distribution ho fatto una mesh (tanto sono 3 nodi).
>
>
>
> > non utilizzare tutte le interfacce in fibra di uno switch. es: prevedi due interfacce dello switch n°2 e due dello switch n°3 o 4 - a seconda degli siwtch che avrai).
>
>
>
> Si sta parlando di switch access, giusto? Quindi dovrei raddoppiare il numero degli switch. Avendo 250 utenti ad edificio, avevo messo 50 utenti a piano, quindi 5 piani. Pensavo di mettere due switch a piano, uno da 48 ed uno da 44; a 'sto punto ad ogni piano devo mettere due switch da 48 e ci sono quasi.
>
>

come sopra indicato.

>
> > - la dorsale orizzontale in rame cat6a con cablaggio sftp (con schermatura e maglia di protezione). calcola almeno due punti rete per utente (in caso di fault di una tratta avrai un altro plug attivo ed utilizzabile).
>
>
>
> Cioè due interfacce per ogni utente, e quindi due link tra host e singolo switch di rete?
>
> >

diciamo di si. ogni utente troverà ben due punti rete disponibili, di cui uno sarà utilizzabile e l'altro da tenere in caso di danneggiamento del primo.

>
> > Hardware necessario:
>
> >
>
> >
>
> >
>
> > - access layer: cosigliati 2960X (da prevederne almeno 1 o due in più per la gestione dei fault) con 4 interfacce gbit per ogni switch
>
>
>
> 4 interfacce 1Gbit per il doppio link con i due distribution? Quindi il collegamento distribution-access deve prevedere doppio link tra ogni switch distribution e switch access.
>

si. come sopra indicato. almeno 2 sfp per ogni link access-distribution

> >
>
> > - distribution: 2 x 4507E con supervisor V10GE (comprende due interfacce 10Gbit + 4sfp a 10Gbit) ed almeno 2 moduli con 24 interfacce gigabit (sfp)
>
> >
>
>
>
> I doppi switch access (ogni piano) devono essere collegati entrambi ad ogni switch distribution con il doppio link?
>

si come sopra.

>
>
> > - core : 2 x 6513-E con due moduli supervisor VS-S2T-10G per singolo 6500 (consigliato nei core per garantire l'alta affidabilità in caso di fault del modulo)
>
>
>
> A cosa mi servono i due moduli VS-S2T-10G per ogni 6500?
>

a rendere i 6500 ridondati anche a livello di singolo nodo. (con la tecnologia vss è consigliata tale soluzione).

> Con le due porte 10GbE che ci faccio?
>

le utilizzi per connettere i due 6500 tra di loro.

> Come lo sfruttiamo?
>
>
>
> > e configurazione del vss (virtual switching system - permette di usare i due 6500 come se fossero un solo apparato. unica console, unico switch virtuale ma ridodanza al 100%), almeno 4 moduli con 24 sfp 10Gbit
>
>
>
> Cioè, 48 porte sfp su ogni core? Che ci faccio? :D
>

utilizza moduli da 24 o da 12 sfp se non hai un elevato numero di fibre che convergono sul core.

>
>
> >+ 2 moduli con 48 interfacce 1gbit ethernet
>
>
>
> Per fare cosa?
>
>

nel caso tu debba usarle per connettere eventuali router, firewall etc...

>
> >(questa configurazione dovrebbe aggirarsi sui 180K€ a switch).
>
> >
>
>
>
> U madonna santa, un prezzo veramente allucinante.
>
> Cavolo o.o. Non pensavo fossero necessari due core 6513.
>

puoi usare anche i 4506 risparmiando almeno 80k€. non sono gli chassis a costare quanto i moduli. solo il supervisor ha un costo di circa 35-40k€

>
>
> >
>
> > Se l'infrastruttura presenta i 3 livelli access, dtistribution e core allora conviene configurare, nel tuo caso, gli switch distribution come gateway per tutti i client del livello access ( gli switch 2960 sono solo switch di layer 2.). e poi a loro volta si occuperebbero di instradare il traffico verso il core che dovrebbe diventare il punto di convergenza tra le varie reti. Ovviamente configurare il routing sugli switch distr. ti consentirebbe di selezionare quali subnet andranno instradate verso il core e quali no. Insomma avresti la possibilità di gestire meglio il traffico.
>
> > Osfp andrebbe configurato sul core.
>
>
>
> Aspetta, non ho capito: prima dici di configurare il routing dinamico sugli switch distribution, poi OSFPsul core; non ti seguo, scusami. Cioè, OSFP=routing dinamico intra AS, no?
>
>

puoi utilizzare il routing sul distribution e sul core. e puoi decidere tra routing dinamico e routing statico. dipende da quante subnet dovrai instradare e da quanto spesso modificherai le tabelle di routing.

>
> Un'altra cosa non mi è chiara:
>
> avendo praticamente messo quasi ovunque doppio link, mi servono ovviamente doppie interfacce e di conseguenza anche doppio IP da assegnare al nodo, giusto?
>

no. non ti servono il doppio degli ip. nel caso di apparati che utilizzano hsrp, vrrp o glbp dovrai solo creare delle interfacce virtuali.

> Praticamente devono raddoppiare il numeri di hosts per ogni subnets.
>
>
>
> Mettere una sottorete per ogni collegamento edificio-edificio è una cazzata?
>
> Siccome ho 250 utenti, con doppio link, sarebbero come 500 hosts; con una subnet da 510 ci posso stare. Mettere una subnet per tutti gli hosts di un edificio potrebbe essere una buona mossa?
>

ti consiglio una subnet per ogni piano. subnet contigue. es:
palazzina a piano 1 - 172.28.0.0/24
palazzina a piano 2 - 172.28.1.0/24
palazzina a piano 3 - 172.28.2.0/24
palazzina a piano 4 - 172.28.3.0/24
palazzina a piano 5 - 172.28.4.0/24

e magari usa il dhcp.

> Mettere una subnet per il collegamento core-distribution è una buona mossa?
>

si. che puoi usare per instradare il traffico verso il core.

[lezan]

Penso che ora mi sia tutto chiaro.

Questo è un disegno della rete un po' più dettagliato (ho corretto anche un errore, infatti nel disegno precedente il collegamento tra edifici stava sul core, mentre ora l'ho messo - come tu avevi detto - su uno switch distribution).
I cerchietti indicano l'implementazione del vrrp (io almeno cosìho inteso i cerchietti nei vari schemi trovati sulla rete).

> ti consiglio una subnet per ogni piano. subnet contigue. es:
palazzina a piano 1 - 172.28.0.0/24
palazzina a piano 2 - 172.28.1.0/24
palazzina a piano 3 - 172.28.2.0/24
palazzina a piano 4 - 172.28.3.0/24
palazzina a piano 5 - 172.28.4.0/24
>

Non sono troppi 250 IP per un piano dove ce ne sono solo 50?
Attualmente avevo fatto una cosa del genere:
Piani: 192.168.0.0/23 subnetting /26
Così ottenevo 8 subnets da 62 hosts ciascuna.
Piano 1: 192.168.0.0/26;
Piano 2: 192.168.0.64/26;
Piano 3: 192.168.0.128/26;
Piano 4: 192.168.0.192/26;
Piano 5: 192.168.1.0/26;
da 192.168.1.64 a 192.168.1.254 sprecati.

Si può fare? Troppi sprechi? Non c'è motivo? Mi complico la vita?

Ho un dubbio - che forse deriva da non aver compreso abbastanza l'architettura 3-tier e il ruole del il livello core -: il core deve andare anche sugli altri edifici? In maniera intuitiva a me verrebbe da dire di no, anche perché abbiamo detto che il collegamento tra edifici avviene attraverso gli switch distribution.

[lezan]

Avevo dimenticato lo schema. Accidenti a me.

http://imageshack.us/a/img594/8619/provab2.png

[vito....@gmail.com]

Il giorno venerdì 21 settembre 2012 17:07:10 UTC+2, lezan ha scritto:

Il core dovrà assere connesso ai vari switch di livello distribution.
Relativamente al subnetting, per esperienza, ti consiglio di usare singole subnet /24. per facilitarti la gestione e le eventuali modifiche future o futura scalabilità. Inoltre avresti uno standard di configurazione (client con gateway 192.168.x.1 e subnet mask 255.255.255.0) che ti consentirebbe di facilitare eventuali attività di troubleshooting . (inoltre dovresti apportare le configurazioni anche sugli switch che fungono da gateway ed avresti, nel caso di utilizzo di hsrp, vrrp o glbp, un uso di almeno 3 ip per singola interface vlan).

[lezan]

Il giorno domenica 23 settembre 2012 21:36:44 UTC+2, vito....@gmail.com ha scritto:
> Il core dovrà assere connesso ai vari switch di livello distribution.
>

Su tutti gli edifici? Come mai?
Se gli edifici sono collegati mediante gli switch distribution, il core non verrebbe bypassato su un edificio dove non c'è accesso diretto alla rete?

> Relativamente al subnetting, per esperienza, ti consiglio di usare singole subnet /24. per facilitarti la gestione e le eventuali modifiche future o futura scalabilità. Inoltre avresti uno standard di configurazione (client con gateway 192.168.x.1 e subnet mask 255.255.255.0) che ti consentirebbe di facilitare eventuali attività di troubleshooting . (inoltre dovresti apportare le configurazioni anche sugli switch che fungono da gateway ed avresti, nel caso di utilizzo di hsrp, vrrp o glbp, un uso di almeno 3 ip per singola interface vlan).

Io credevo di fare una cosa figa ad utilizzare subnetting ed improbabili subnet mask per risparmiare indirizzi. In effetti ho trovato molte difficoltà, mi confondevo moltissimo.

[vito....@gmail.com]

Solitamente il core è il punto nevralgico di una rete. Il suo compito è instradare il traffico tra la tua lan e altre reti esterne o interne che siano. E' fondamentale che il livello distribution sia connesso a questo.

Relativamente al subnetting ti posso assicurare che le cose fighe nella maggior parte dei casi non funzionano o sono talmente complicate che finiresti per passare il tuo tempo a fare troubleshooting e capire cosa non va. Per il principio del rasoio di Occam: a parità di fattori la spiegazione più semplice è da preferire. :)

posta una bozza del progetto così se vi sono dettagli da aggiungere posso indicarteli.

a presto