Stessa rete fisica, classi di ip differenti?
Pietro
la rete aziendale che tento di gestire e' estesa per un paio di piani,
e' collegata all'esterno con un router/firewall e quindi viene
utilizzata una classe di indirizzi privati del tipo 172.16.0.0/16. Ora
c'e' l'intenzione di creare anche una rete wireless. La mia proposta
e' di stendere altri cavi di rete, connettere gli access point,
utilizzare un altro access point con radius server per
l'autenticazione da collegare poi alla rete interna, insomma tutto
cio' che e' necessario per costruire una rete wireless in sicurezza.
Chiaramente la rete wireless costituirebbe una rete separata e con
indirizzi totalmente differenti. Il problema e' che per questioni di
budget e "strutturali" non e' possibile la stesura di altri cavi di
rete! Allora ho pensato: e' possibile cmq utilizzare la stessa "rete
fisica" con due classi di ip differenti in modo da connettere gli ap
alla rete esistente? gli ap cosi' collegati riuscirebbero a
connettersi con l'access point centrale di autenticazione e questo
riuscirebbe a instradare i dati verso la rete privata vera?
Scusate la mia ignoranza ma ho ancora molto da imparare...
Pietro
boler...@hotmail.com
On 24 Gen, 18:13, Pietro <pietro.sant...@gmail.com> wrote:
> rete! Allora ho pensato: e' possibile cmq utilizzare la stessa "rete
> fisica" con due classi di ip differenti in modo da connettere gli ap
> alla rete esistente? gli ap cosi' collegati riuscirebbero a
> connettersi con l'access point centrale di autenticazione e questo
> riuscirebbe a instradare i dati verso la rete privata vera?
>
Ti rispondo fino a livello 2, OK facciamo livello 3.
Per cose tipo autenticazione e/o soluzioni firewall lascio parlare chi
ne sa' di piu' ..
Allora, un AP e' un equivalente di un hub ethernet filare (anche nel
senso che gli hosts attaccati condividono le risorse).
Niente impedisce su una rete del genere (AP compreso) di avere 2 o +
subnet sulla stessa LAN (o LAN + WLAN nel tuo caso).
Allo stesso modo di una rete filare classica se vuoi far parlare 2 o +
subnet ti serve il routing ( o un router o volendo direttamente sugli
hosts ..)
Quindi nel tuo caso puoi connettere uno o + AP alla LAN, indirizzi
fissi (o via DHCP server) sui PC wifi.
Poi dipende da cosa vuoi fare, se "isolare" i PC wifi dai nodi della
172.16.0.0/16 (router/firewall), o se tutti possono vedere tutti xche'
ti fai i problemi di avere 2 subnets ??
Just my 2 cents ...
Ciaooooooooooo,
Luciano
Pietro
> On Thu, 24 Jan 2008 18:13:00 +0100, Pietro wrote
> (in article
> <5a1beb01-fc36-4622-8e62-81f5aec9f...@m34g2000hsf.googlegroups.com>):
>
> > Scusate la mia ignoranza ma ho ancora molto da imparare...
>
>
> http://www.ipcop.org
>
Infatti c'e' gia' ed e' quello che uso come firewall/router. Il
problema e' che la rete fisica e' una sola...
Pietro
Pietro
Il problema e' gestire la sicurezza in una rete wifi lasciando una
certa semplicita' d'uso agli utenti. Per fare questo la cosa migliore
e' creare una rete separata che sia totalmente dedicata alle
connessioni wireless e gestire, ad esempio, l'autenticazione via
radius. Inoltre esistono degli apparati wifi come l'AirLive WIAS-1000G
che e' un Wireless Internet Access Accounting Server e che fa tutto
cio che serve per l'autenticazione, il logging ecc. Questo apparato ha
un lato WAN da connettere alla rete esterna e un lato privato dove
connettere gli AP (ovvero la rete "wireless" fatta con gli AP). E qui
sta il problema ovvero l'impossibilita' di creare un'altra rete fisica
dedicata agli AP. Certo una soluzione sarebbe usare dei WDS repeater
cioe' dei ripetitori wireless... ma avrei dei problemi di
"visibilita'" tra i WDS e l'apparato centrale.
Insomma, la soluzione migliore sarebbe fare un'altra rete fisica, ma
non posso. Pertanto ho pensato se fosse possibile usare la stessa rete
ma con due subnet.
Spero di essermi spiegato.
Pietro
Paolo opg
2c2df9...@e6g2000prf.googlegroups.com:
[cut]
> connettere gli AP (ovvero la rete "wireless" fatta con gli AP). E qui
> sta il problema ovvero l'impossibilita' di creare un'altra rete fisica
> dedicata agli AP. Certo una soluzione sarebbe usare dei WDS repeater
> cioe' dei ripetitori wireless... ma avrei dei problemi di
> "visibilita'" tra i WDS e l'apparato centrale.
> Insomma, la soluzione migliore sarebbe fare un'altra rete fisica, ma
> non posso. Pertanto ho pensato se fosse possibile usare la stessa rete
> ma con due subnet.
> Spero di essermi spiegato.
>
> Pietro
qualcosa non mi torna.
non capisco dove sta l'impossibilità di creare una rete fisica separata
per gli ap (e quindi i client) wireless.
i tuoi cavi, suppongo finiscano tutti nello stesso sgabuzzino.
adesso sono presumibilmente (continuo a fare ipotesi, eh) tutti attaccati
allo stesso apparato (switch).
se stacchi quelli a cui sono collegati gli ap e li metti in un nuovo
switch, ottieni una rete fisica separata da quella esistente.
col solo costo di un nuovo switch.
a questo punto, dallo switch degli ap entri nel fw/router che fa da
collegamento con il resto della lan (e che quindi sara' collegato allo
switch esistente) e sei a posto.
o mi sono perso qualcosa?
--
Paolo opg
BE AWARE that this post uses a fake reply-to address
to contact me write to:
janickg ( at ) hotmail ( dot ) com
--
meddix tuticus
> Spero di essermi spiegato.
si, ti sei spiegato ma non hai letto ciň che ti hanno risposto: in altri
termini si, lo puoi fare e utilizza google per il comando ifconfig da
usare su ipcop.... (ora ho il poliziotto spento, ma c'e' un file in
/etc/rc.d/nonmiricordocomesichiama che puoi anche editare in modo da
rendere fissi ad ogni riavvio i parametri della rete)
alla scheda di ipcop che ti vede l'unica rete fisica assegni un'altra
subnet, differente da quella dell'ufficio e i pacchetti di questa subnet
NON vedranno i colleghi della subnet dell'ufficio... a meno che tu non
lo voglia (google e comando route sempre su ipcop)...
Ora spero io di aver bene interpretato :)
Pietro
> [cut]
>
> non capisco dove sta l'impossibilità di creare una rete fisica separata
> per gli ap (e quindi i client) wireless.
>
> i tuoi cavi, suppongo finiscano tutti nello stesso sgabuzzino.
>
> adesso sono presumibilmente (continuo a fare ipotesi, eh) tutti attaccati
> allo stesso apparato (switch).
>
> se stacchi quelli a cui sono collegati gli ap e li metti in un nuovo
> switch, ottieni una rete fisica separata da quella esistente.
>
> col solo costo di un nuovo switch.
>
> a questo punto, dallo switch degli ap entri nel fw/router che fa da
> collegamento con il resto della lan (e che quindi sara' collegato allo
> switch esistente) e sei a posto.
>
piano, quindi non e' possibile staccare uno o piu' cavi su un unico
switch... dovrei far stendere nuovi cavi da ogni piano verso il centro
stella e qui mandarli ad un altro switch... ma il nuovo cablaggio non
e' possibile farlo.
Grazie cmq della risposta.
Pietro
Pietro
>
> si, ti sei spiegato ma non hai letto ciò che ti hanno risposto: in altri
> termini si, lo puoi fare e utilizza google per il comando ifconfig da
> usare su ipcop.... (ora ho il poliziotto spento, ma c'e' un file in
> /etc/rc.d/nonmiricordocomesichiama che puoi anche editare in modo da
> rendere fissi ad ogni riavvio i parametri della rete)
>
> alla scheda di ipcop che ti vede l'unica rete fisica assegni un'altra
> subnet, differente da quella dell'ufficio e i pacchetti di questa subnet
> NON vedranno i colleghi della subnet dell'ufficio... a meno che tu non
> lo voglia (google e comando route sempre su ipcop)...
>
> Ora spero io di aver bene interpretato :)
La situazione e' questa
rete esterna
|
IPCOP
|
rete "green" interna 172.16.0.0/16
Io vorrei tentare di fare questo sulla rete fisica
rete esterna
|
IPCOP
|--------------------------|
rete "green" |
interna 172.16.0.0/16 |
| |
AP con Radius |
| |
|--------------------------|
| rete privata wifi 192.168.1.0/24
AP's
Cioe' sulla stessa rete "fisica" 172.16 connetto anche gli AP pero' su
rete differente. L'AP che gestisce l'autenticazione ha un lato privato
da collegare alla rete di questi AP e un lato "pubblico" da collegare
alla rete "green". Funzionerebbe una "cosa" del genere, dal punto
dell'instradamento?
Altrimenti potrei collegare la WAN dell'AP di autenticazione
sull'interfaccia "Blue" di IPCOP (che sarebbe poi quella dedicata al
wireless) che utilizza un'altra subnet sempre utilizzando la stessa
rete "fisica"?
Ovviamente vi ringrazio per gli interventi....
Pietro
boler...@hotmail.com
On 25 Gen, 09:33, Pietro <pietro.sant...@gmail.com> wrote:
>
> Perche' la rete si estende su piu' piani. Ci sono switch per ogni
> piano, quindi non e' possibile staccare uno o piu' cavi su un unico
> switch... dovrei far stendere nuovi cavi da ogni piano verso il centro
> stella e qui mandarli ad un altro switch... ma il nuovo cablaggio non
> e' possibile farlo.
Quindi, se ho capito bene, vuoi fare una LAN (o VLAN o broadcast
domain) separata a cui collegare gli AP/wifi, e questo su ogni
piano ?? Tipo AP1 piano1, AP2 piano2 etc. ?
Se non puoi stendere altri cavi mi sa' che ti resta solo di
implementare VLAN differenti sugli switches esistenti, naturalmente se
questi switches supportano le VLANs ...
O un'altra soluzione potrebbe essere come utilizzare la funzionalita'
"repeater"/WDS degli AP ( http://en.wikipedia.org/wiki/Wireless_Distribution_System
) e come suggeriva Paolo, al centro stella mettere 1 switch a cui
colleghi il router/AP/accounting principale, poi gli altri APs
potrebbero vedersi in "cascata" ..
Xo' credo sarebbe da provare x vedere se c'e' un limite sugli AP in
"cascata", se gli APs si possono vedere fra i piani (che ne so' magari
hai pavimenti di 1 metro di cemento armato ..) ed in ogni caso ci
sarebbe il problema della banda passante visto che i clienti wifi
sarebbero in condivisione ... IMHO sarebbe proprio l'ultima ratio ..
Just my 2 cents ... (sempre che abbia veramente capito il tuo problema/
cosa vuoi fare, neh ..)
Ciaooooooooo,
Luciano
Paolo opg
news:d26acc68-b3dc-4527...@t1g2000pra.googlegroups.com:
> Perche' la rete si estende su piu' piani. Ci sono switch per ogni
> piano, quindi non e' possibile staccare uno o piu' cavi su un unico
> switch... dovrei far stendere nuovi cavi da ogni piano verso il centro
> stella e qui mandarli ad un altro switch... ma il nuovo cablaggio non
> e' possibile farlo.
> Grazie cmq della risposta.
>
> Pietro
*la* rete, quindi suppongo che anche se su più piani, la rete sia unica.
ovvero i vari piani sono tra loro connessi.
quindi c'è un modo in cui gli switch di piano sono connessi tra loro.
hai un solo cavo per piano, che arriva al centro stella?
se la risposta è si, la tua esigenza sarebbe di avere un solo cavo in più
che, da ogni piano, arrivi al centro stella.
poi, a seconda di quanti ap hai in ogni piano, connetti direttamente l'ap
al cavo che arriva al centro stella, piuttosto che aggiungi uno switch di
piano per gli ap e poi lo colleghi al cavo che arriva al centro.
un cavo per piano: irrealizzabile anche questo?
intendiamoci, subnet diverse su stessa rete fisica si può fare, funziona
e non crea problemi.
è solo che per opinione personale, farei l'impossibile per evitare una
soluzione del genere...
Pietro
>
> Quindi, se ho capito bene, vuoi fare una LAN (o VLAN o broadcast
> domain) separata a cui collegare gli AP/wifi, e questo su ogni
> piano ?? Tipo AP1 piano1, AP2 piano2 etc. ?
>
> Se non puoi stendere altri cavi mi sa' che ti resta solo di
> implementare VLAN differenti sugli switches esistenti, naturalmente se
> questi switches supportano le VLANs ...
>
> O un'altra soluzione potrebbe essere come utilizzare la funzionalita'
> ) e come suggeriva Paolo, al centro stella mettere 1 switch a cui
> colleghi il router/AP/accounting principale, poi gli altri APs
> potrebbero vedersi in "cascata" ..
> Xo' credo sarebbe da provare x vedere se c'e' un limite sugli AP in
> "cascata", se gli APs si possono vedere fra i piani (che ne so' magari
> hai pavimenti di 1 metro di cemento armato ..) ed in ogni caso ci
> sarebbe il problema della banda passante visto che i clienti wifi
> sarebbero in condivisione ... IMHO sarebbe proprio l'ultima ratio ..
>
Le VLAN non posso crearle per la differenza fra marche dei vari switch
e la vetustita' di alcuni (che non le supportano proprio). Il WDS e'
una soluzione in effetti alla quale avevo pensato come indicato in un
altro post. Rimane il problema si quanti se ne possamo mettere in
cascata (mi pare solo 2 per quel particolare apparato AP/Radius).
Grazie ancora
Pietro
Pietro
> Pietro <pietro.sant...@gmail.com> wrote innews:d26acc68-b3dc-4527...@t1g2000pra.googlegroups.com:
>
>
> hai un solo cavo per piano, che arriva al centro stella?
>
> se la risposta è si, la tua esigenza sarebbe di avere un solo cavo in più
> che, da ogni piano, arrivi al centro stella.
>
> poi, a seconda di quanti ap hai in ogni piano, connetti direttamente l'ap
> al cavo che arriva al centro stella, piuttosto che aggiungi uno switch di
> piano per gli ap e poi lo colleghi al cavo che arriva al centro.
>
> un cavo per piano: irrealizzabile anche questo?
pure per problemi strutturali :(
>
> intendiamoci, subnet diverse su stessa rete fisica si può fare, funziona
> e non crea problemi.
Sei sicuro di questo? Cioe' lo schemino
rete esterna
|
IPCOP
|--------------------------|
rete "green" |
interna 172.16.0.0/16 |
| |
AP con Radius |
| |
|--------------------------|
| rete privata wifi 192.168.1.0/24
APs client
funzionerebbe considerando una sola *rete* fisica?
> è solo che per opinione personale, farei l'impossibile per evitare una
> soluzione del genere...
L'impossibile gia' lo si fa normalmente :)
Grazie
Pietro
Paolo opg
news:0c705aa9-d22f-4c72...@c23g2000hsa.googlegroups.com:
[cut]
>>
>> un cavo per piano: irrealizzabile anche questo?
> A sentire i miei capi si, per problemi di budget, a sentire i tecnici
> pure per problemi strutturali :(
>
>>
>> intendiamoci, subnet diverse su stessa rete fisica si può fare,
>> funziona
>
>> e non crea problemi.
> Sei sicuro di questo? Cioe' lo schemino
>
> rete esterna
> |
> IPCOP
> |--------------------------|
> rete "green" |
> interna 172.16.0.0/16 |
> | |
> AP con Radius |
> | |
> |--------------------------|
> | rete privata wifi 192.168.1.0/24
> APs client
>
> funzionerebbe considerando una sola *rete* fisica?
>
configurando i client con net/mask corrette, puoi fare in modo che i
client appartenenti ad una subnet, non possano raggiungere direttamente
quelli dell'altra, se non passando tramite ipcop.
capisco i problemi di budget a far ricablare un intero edificio, ma a
meno di non avere un grattacielo, un cavo per piano non dovrebbe essere
un bagno di sangue.
a meno che l'edificio non sia particolarmente messo male...
e secondo me, ti eviti un sacco di grattacapi in fase di configurazione e
di funzionamento della rete.
Wiitiful Sky
@k2g2000hse.googlegroups.com>, pietro....@gmail.com says...
> > http://www.ipcop.org
> Infatti c'e' gia' ed e' quello che uso come firewall/router. Il
> problema e' che la rete fisica e' una sola...
Beh, metti un ipcop con tre schede di rete:
1 - RED -> al modem
2 - GREEN -> alle rete fisica
3 - BLUE -> ad uno switch a cui connetterai tutti i tuoi access point
Se vuoi, c'e' anche un plugin per aggiungere un vero e proprio controllo
degli accessi wireless ed abilitare una evnetuale tariffazione a tempo
--
Cristian Castellari - www.skyflash.it
XBox Live TAG: Wiitiful Sky
Wii TAG: 2634 4285 3158 4638
boler...@hotmail.com
On 25 Gen, 13:43, Pietro <pietro.sant...@gmail.com> wrote:
>
> Ok, mi sono spiegato e la situazione e' come dici tu.
> Le VLAN non posso crearle per la differenza fra marche dei vari switch
> e la vetustita' di alcuni (che non le supportano proprio). Il WDS e'
> una soluzione in effetti alla quale avevo pensato come indicato in un
> altro post. Rimane il problema si quanti se ne possamo mettere in
> cascata (mi pare solo 2 per quel particolare apparato AP/Radius).
>
Per curiosita' (& xche' mi ricordo che ne parlavo con un ex-
collega ..) sono andato a vedere cosa offre la mia vecchia/precedente
societa', lo Wireless Mesh Network
E' piu' rivolto ad ambienti tipo campus/aeroporti/etc. ma la parte
forse interessante nel tuo caso e' che gestisce "facilmente" (immagino
se compri solo la loro soluzione ..) multipli APs:
http://www2.nortel.com/go/solution_content.jsp?segId=0&catId=0&parId=0&prod_id=47160
Qui un doc descrittivo:
http://www116.nortel.com/docs/bvdoc/wireless_mesh/wmn_3.0.0/NN47255-100_320925-D_WMBAS.pdf
Non che te la stia suggerendo, specialmente se hai problemi di
costi ... Nortel non e' mai stata a buon mercato ...
Ma in ogni modo soluzioni ce ne sono, NON credo piu' economiche dello
stendere un'altro cavo per piano, che come ti hanno gia' suggerito e'
non solo la soluzione + economica, ma soprattutto dal tuo lato,
immagino di amministratore di rete, la + semplice da gestire ...
KISS, keep it simple & stupid ..: -)))
Ciaooooooooooo,
Luciano