MPLS e config
Michele
Stavo cercando di capire meglio come funzione questa tecnologia ma
ancora ho diverse cosette che non mi tornano.
Mi sono già letto la wikipedia ma non credo di saperne ancora abbastanza.
Chiedo quindi consiglio a chi la conosce o, meglio, chi l'ha già
implementata in azienda.
Per sommi capi trattasi di una tecnologia basata su ip che permette la
creazione di una rete tra (ad es.) diverse sedi di un'azienda garantendo
sicurezza e una connessione permanente.
Quello che non mi è chiaro è la sua configurazione.
La struttura mpls si basa sulla installazione di router che, come ogni
router che si rispetti avrà la sua bella suddivisione in interfaccia wan
e lan. Ebbene, dato per assodato che la parte wan sarà presumo la parte
configurabile con indirizzi ip pubblici, quello che non ho capito bene è
come viene configurata la parte lan di questi router.
Si supponga di voler installare questa tecnologia tra 3 sedi di una
stessa azienda e queste tre sedi abbiamo già configurate le loro belle 3
subnet di classe C (es. 192.168.10.0, 192.168.11.0, 192.168.12.0). I
rispettivi router che dovranno essere installati in queste sedi dovranno
avere l'interfaccia lan configurata con un indirizzo della lan che
dovranno sovrintendere o vanno configurati con classi ip differenti
magari con una ckasse C comune ai 3 router che dovranno collegare le 3
sedi in oggetto (es. 192.168.200.0)?
Faccio un esempio di una sede della azienda SPA che ha come subnet la
seguente rete: 192.168.10.0. La parte wan del router avrà un indirizzo
ip pubblico del tipo 88.52.69.174. L'interfaccia lan del router dovrà
beccarsi un ip della stessa subnet della sede (es. 192.168.10.250)
oppure un indirizzo diverso di un'altra subnet (es. 192.168.200.250)?
Spero di aver spiegato bene le mie perplessità e posto chiaramente la
domanda.
Grazie mille, ciao.
--
Michele
Mirko Borsari
> seguente rete: 192.168.10.0. La parte wan del router avrà un indirizzo ip
> pubblico del tipo 88.52.69.174. L'interfaccia lan del router dovrà beccarsi
> un ip della stessa subnet della sede (es. 192.168.10.250) oppure un indirizzo
> diverso di un'altra subnet (es. 192.168.200.250)?
indipendentemente dalla tecnologia, se hai una subnet 192.168.10.0/24
come faresti a parlare con la lan del router 192.168.200.250?
Mirko
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non è da considerarsi pubblico,
ma utilizzabile solo per temi inerenti il NG corrente.
Michele
> indipendentemente dalla tecnologia, se hai una subnet 192.168.10.0/24
> come faresti a parlare con la lan del router 192.168.200.250?
Beh la tecnica di routing non serve proprio a quello? :)
Io a casa ho il router che ha la lan su una subnet 192.168.1.0 e parla
tranquillamente con il firewall che è il default gateway della mia lan e
la cui interfaccia lan è sulla subnet 192.168.0.0.
La domanda riguardava specificatamente la tecnologia MPLS ma forse, come
temevo, mi sono spiegato male...
Grazie, ciao.
--
Michele
Mirko Borsari
> Il 07/04/2010 21:55, Mirko Borsari ha scritto:
>> indipendentemente dalla tecnologia, se hai una subnet 192.168.10.0/24
>> come faresti a parlare con la lan del router 192.168.200.250?
>
> Beh la tecnica di routing non serve proprio a quello? :)
si ma il routing dove sta? se tu hai un PC con ip 192.168.10.25 non sei
in grado di raggiungere il tuo router che come lan ha 192.168.200.250.
> Io a casa ho il router che ha la lan su una subnet 192.168.1.0 e parla
> tranquillamente con il firewall che è il default gateway della mia lan e la
> cui interfaccia lan è sulla subnet 192.168.0.0.
e la sua interfaccia wan sarà qualcosa sulla subnet 192.168.1.0!
tra la tua lan 192.168.0.0 e il tuo router 192.168.1.0 hai appunto il
firewall che fa routing.
Nell'esempio che hai fatto prima non hai parlato di firewall.
> La domanda riguardava specificatamente la tecnologia MPLS ma forse, come
> temevo, mi sono spiegato male...
la tecnologia che sta lato wan conta poco. Quello che interessa sapere
a te è che per raggiungere quel router (e incanalarti nella MPLS) deve
avere un IP coerente con quelli della rete, o altrimenti tra router e
rete serve qualcosa che faccia routing.
Se ti interessa sapere nello specifico della MPLS io ne ho alcune con i
router configurati affianco al firewall che lato LAN, ovviamente, hanno
un IP della lan.
Michele
>> Beh la tecnica di routing non serve proprio a quello? :)
>
> si ma il routing dove sta? se tu hai un PC con ip 192.168.10.25 non sei
> in grado di raggiungere il tuo router che come lan ha 192.168.200.250.
Giusta domanda.
>> Io a casa ho il router che ha la lan su una subnet 192.168.1.0 e parla
>> tranquillamente con il firewall che ᅵ il default gateway della mia lan
>> e la cui interfaccia lan ᅵ sulla subnet 192.168.0.0.
>
> e la sua interfaccia wan sarᅵ qualcosa sulla subnet 192.168.1.0!
Eh no! La sua interfaccia wan prende in dhcp l'indirizzo pubblico
dall'isp e non ᅵ di certo di tipo 192.168.1.0! :)
> tra la tua lan 192.168.0.0 e il tuo router 192.168.1.0 hai appunto il
> firewall che fa routing.
> Nell'esempio che hai fatto prima non hai parlato di firewall.
Giusto, non l'ho menzionato.
>> La domanda riguardava specificatamente la tecnologia MPLS ma forse,
>> come temevo, mi sono spiegato male...
>
> la tecnologia che sta lato wan conta poco. Quello che interessa sapere a
> te ᅵ che per raggiungere quel router (e incanalarti nella MPLS) deve
> avere un IP coerente con quelli della rete, o altrimenti tra router e
> rete serve qualcosa che faccia routing.
Solo un firewall puᅵ fare routing?
> Se ti interessa sapere nello specifico della MPLS io ne ho alcune con i
> router configurati affianco al firewall che lato LAN, ovviamente, hanno
> un IP della lan.
Ti spiego meglio quello che dovrᅵ andare a configurare cosᅵ trattiamo
con dati piᅵ reali:
- azienda con 3 sedi lontane geograficamente;
- ciascuna lan di queste 3 sedi ha 1 subnet lan di classe C diversa
rispetto alle altre;
- installazione e configurazione di rete mpls per la connessione di
queste 3 sedi attraverso 3 router cisco;
- unico gateway verso internet nella sede "centrale" dove sarᅵ ubicato
anche il firewall: tutte le sedi usciranno su internet attraverso la
sede "centrale".
Ho sentito e letto pareri discordanti circa il fatto che l'interfaccia
ethernet di questi router (lan) debba essere configurata con una classe
di indirizzi diversi da quelle usate nelle 3 sedi; la classe deve essere
ovviamente uguale per tutti e 3 i router in modo che tra loro dialoghino
senza problemi. Anche a me in questo caso ᅵ sorta la stessa domanda: chi
fa effettivamente routing tra questi router e le lan delle 3 aziende che
ovviamente sono in una subnet diversa rispetto ai router stessi?
Altri dicono quello che dici tu e cioᅵ che l'interfaccia ethernet del
router (lan) deve essere nella stessa classe di indirizzi delle lan
nella quale verrᅵ montato.
Il progettista telecom mi ha addirittura detto che posso scegliere io e
cioᅵ che o l'una o l'altra soluzione vanno bene.
A questo punto, avendo a che fare con una soluzione (mpls) che non
conosco capisci che tutte queste informazioni se vuoi discordanti tra di
loro mi hanno lasciato come dire, qualche perplessitᅵ che speravo di
chiarire magari facendo due chiacchiere in questo newsgroup... :)
Grazie, ciao.
--
Michele
Mirko Borsari
>> e la sua interfaccia wan sarà qualcosa sulla subnet 192.168.1.0!
>
> Eh no! La sua interfaccia wan prende in dhcp l'indirizzo pubblico
> dall'isp e non è di certo di tipo 192.168.1.0! :)
non mi è chiara la configurazione del router.
>> la tecnologia che sta lato wan conta poco. Quello che interessa sapere a
>> te è che per raggiungere quel router (e incanalarti nella MPLS) deve
>> avere un IP coerente con quelli della rete, o altrimenti tra router e
>> rete serve qualcosa che faccia routing.
>
> Solo un firewall può fare routing?
anche un router ovviamente... qualcosa che lavori a L3
> Ti spiego meglio quello che dovrò andare a configurare così trattiamo
> con dati più reali:
> - azienda con 3 sedi lontane geograficamente;
> - ciascuna lan di queste 3 sedi ha 1 subnet lan di classe C diversa
> rispetto alle altre;
> - installazione e configurazione di rete mpls per la connessione di
> queste 3 sedi attraverso 3 router cisco;
> - unico gateway verso internet nella sede "centrale" dove sarà ubicato
> anche il firewall: tutte le sedi usciranno su internet attraverso la
> sede "centrale".
In questa configurazione metterei i router dietro il firewall.
> Ho sentito e letto pareri discordanti circa il fatto che l'interfaccia
> ethernet di questi router (lan) debba essere configurata con una classe
> di indirizzi diversi da quelle usate nelle 3 sedi; la classe deve essere
> ovviamente uguale per tutti e 3 i router in modo che tra loro dialoghino
questo non ha senso. Non hanno bisogno di essere sulla stessa subnet
per dialogare, altrimenti a che serve il router?
> senza problemi. Anche a me in questo caso è sorta la stessa domanda: chi
> fa effettivamente routing tra questi router e le lan delle 3 aziende che
> ovviamente sono in una subnet diversa rispetto ai router stessi?
Al di sotto c'è sempre internet, alla fine ti portano delle (S)HDSL o
quello che è. Ci sarà il routing normale in più la configurazione dei
router locali permetterà il routing tra le reti locali.
Vedila come delle vpn, il senso è lo stesso.
> Altri dicono quello che dici tu e cioè che l'interfaccia ethernet del
> router (lan) deve essere nella stessa classe di indirizzi delle lan
> nella quale verrà montato.
> Il progettista telecom mi ha addirittura detto che posso scegliere io e
> cioè che o l'una o l'altra soluzione vanno bene.
ma esatto. In base a come vuoi sviluppare la situazione vai a
configurare gli apparati.
> A questo punto, avendo a che fare con una soluzione (mpls) che non
> conosco capisci che tutte queste informazioni se vuoi discordanti tra di
in genere le MPLS che ho visto io sono configurate direttamente
dall'isp, quindi a te non interessa molto il come viene fatto.
Sarà l'ISP a richiedere i dati per fare la configurazione.
Oppure ti configuri tu l'MPLS?
Michele
> Ciao Michele in data Thu, 08 Apr 2010 00:49:14 +0200, hai scritto:
>
> >> e la sua interfaccia wan sarà qualcosa sulla subnet 192.168.1.0!
>
> > Eh no! La sua interfaccia wan prende in dhcp l'indirizzo pubblico
> > dall'isp e non è di certo di tipo 192.168.1.0! :)
>
> non mi è chiara la configurazione del router.
Ostrega ho fatto un po' di confusione... :)
A casa non ho un router ma un modem ADSL la cui interfaccia ETH è
collegata al firewall, scusami...
> >> la tecnologia che sta lato wan conta poco. Quello che interessa sapere a
> >> te è che per raggiungere quel router (e incanalarti nella MPLS) deve
> >> avere un IP coerente con quelli della rete, o altrimenti tra router e
> >> rete serve qualcosa che faccia routing.
>
> > Solo un firewall può fare routing?
>
> anche un router ovviamente... qualcosa che lavori a L3
>
> > Ti spiego meglio quello che dovrò andare a configurare così trattiamo
> > con dati più reali:
> > - azienda con 3 sedi lontane geograficamente;
> > - ciascuna lan di queste 3 sedi ha 1 subnet lan di classe C diversa
> > rispetto alle altre;
> > - installazione e configurazione di rete mpls per la connessione di
> > queste 3 sedi attraverso 3 router cisco;
> > - unico gateway verso internet nella sede "centrale" dove sarà ubicato
> > anche il firewall: tutte le sedi usciranno su internet attraverso la
> > sede "centrale".
>
> In questa configurazione metterei i router dietro il firewall.
In che senso "dietro il firewall"? Io credo vada messo in questo
ordine: HDSL->ROUTER HDSL->FIREWALL->ROUTER MPLS DELLE VARIE SEDI, o
sbaglio?
> > Ho sentito e letto pareri discordanti circa il fatto che l'interfaccia
> > ethernet di questi router (lan) debba essere configurata con una classe
> > di indirizzi diversi da quelle usate nelle 3 sedi; la classe deve essere
> > ovviamente uguale per tutti e 3 i router in modo che tra loro dialoghino
>
> questo non ha senso. Non hanno bisogno di essere sulla stessa subnet
> per dialogare, altrimenti a che serve il router?
Giusto.
> > senza problemi. Anche a me in questo caso è sorta la stessa domanda: chi
> > fa effettivamente routing tra questi router e le lan delle 3 aziende che
> > ovviamente sono in una subnet diversa rispetto ai router stessi?
>
> Al di sotto c'è sempre internet, alla fine ti portano delle (S)HDSL o
> quello che è. Ci sarà il routing normale in più la configurazione dei
> router locali permetterà il routing tra le reti locali.
> Vedila come delle vpn, il senso è lo stesso.
Si si, questo mi è chiaro.
> > Altri dicono quello che dici tu e cioè che l'interfaccia ethernet del
> > router (lan) deve essere nella stessa classe di indirizzi delle lan
> > nella quale verrà montato.
> > Il progettista telecom mi ha addirittura detto che posso scegliere io e
> > cioè che o l'una o l'altra soluzione vanno bene.
>
> ma esatto. In base a come vuoi sviluppare la situazione vai a
> configurare gli apparati.
Il fatto è che io non so come è meglio sviluppare la situazione
altrimenti non avrei postato qua... :)
> > A questo punto, avendo a che fare con una soluzione (mpls) che non
> > conosco capisci che tutte queste informazioni se vuoi discordanti tra di
>
> in genere le MPLS che ho visto io sono configurate direttamente
> dall'isp, quindi a te non interessa molto il come viene fatto.
> Sarà l'ISP a richiedere i dati per fare la configurazione.
> Oppure ti configuri tu l'MPLS?
MPLS è configurata dall'ISP certo, solo che l'ISP ha chiesto a me gli
indirizzi ip interni da assegnare ai router e di qui è nato il
dilemma: gli comunico indirizzi su subnets diverse da quelle
attualmente utilizzate nelle 3 sedi dell'azienda oppure no??
Grazie, ciao.
Mirko Borsari
scritto:
>> In questa configurazione metterei i router dietro il firewall.
>
> In che senso "dietro il firewall"? Io credo vada messo in questo
> ordine: HDSL->ROUTER HDSL->FIREWALL->ROUTER MPLS DELLE VARIE SEDI, o
> sbaglio?
mmmm il router hdsl � quello dove c'� configurato la MPLS.
quindi HDSL-router-firewall-rete
> MPLS � configurata dall'ISP certo, solo che l'ISP ha chiesto a me gli
> indirizzi ip interni da assegnare ai router e di qui � nato il
> dilemma: gli comunico indirizzi su subnets diverse da quelle
> attualmente utilizzate nelle 3 sedi dell'azienda oppure no??
se tutto passer� dalla mpls direi che � obbligatorio metterlo dietro
il firewall (almeno gi� li fai un po' di filtro), oppure eliminare del
tutto il firewall.
Ovviamente in base a quello che vorrai fare il firewall andr�
configurato a dovere. Ad esempio il NAT non credo ti serva.
Dovrai anche spiegare all'ISP tutta la configurazione, perch� se lo
metti senza firewall l'interfaccia lan � gi� con la subnet corretta,
ma se la metti dietro al firewall avr� una subnet diversa, ma i router
devono sapere che subnet gestire per indirizzare tutto correttamente.
Per fare un mix potresti anche dare al router un ip della lan e
mettere il firewall in bridge.
di varianti ce ne sono...
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non � da considerarsi pubblico,
Michele
> > In che senso "dietro il firewall"? Io credo vada messo in questo
> > ordine: HDSL->ROUTER HDSL->FIREWALL->ROUTER MPLS DELLE VARIE SEDI, o
> > sbaglio?
>
> mmmm il router hdsl quello dove c' configurato la MPLS.
> quindi HDSL-router-firewall-rete
Mmm... Forse mi manca un pezzo. Quello che ho capito io è che nella
sede master ci saranno 2 router: 1 HDSL collegato ad internet e 1 che
collegherà la sede master alle altre attraverso MPLS.
> > MPLS configurata dall'ISP certo, solo che l'ISP ha chiesto a me gli
> > indirizzi ip interni da assegnare ai router e di qui nato il
> > dilemma: gli comunico indirizzi su subnets diverse da quelle
> > attualmente utilizzate nelle 3 sedi dell'azienda oppure no??
>
> se tutto passer dalla mpls direi che obbligatorio metterlo dietro
> il firewall (almeno gi li fai un po' di filtro), oppure eliminare del
> tutto il firewall.
Il firewall ci sarà anche perchè, tra le altre cose, come farei a
gestire gli accessi esterni ai siti web, a quelli ftp, al mail
server??? Mica ho voglia di studiarmi gli apparati cisco eh! ;)
> Ovviamente in base a quello che vorrai fare il firewall andr
> configurato a dovere. Ad esempio il NAT non credo ti serva.
Perchè non servirà il NAT?
> Dovrai anche spiegare all'ISP tutta la configurazione, perch se lo
> metti senza firewall l'interfaccia lan gi con la subnet corretta,
> ma se la metti dietro al firewall avr una subnet diversa, ma i router
> devono sapere che subnet gestire per indirizzare tutto correttamente.
> Per fare un mix potresti anche dare al router un ip della lan e
> mettere il firewall in bridge.
> di varianti ce ne sono...
Sempre più confusione.
Adesso ho un router cisco collegato alla ADSL e al router è collegato
un firewall ipcop che fa anche il NAT.
Dopo vorrei mantenere lo stesso firewall ma non ho capito dove diavolo
andrà installato.
Nell'ipotesi esistano nella sede master 2 router (1 per HDSL e 1 per
MPLS) il tutto dovrà essere configurato così:
HDSL->ROUTER_HDSL->FIREWALL->ROUTER_MPLS->SWITCH->RETE_LAN
Se il router sarà 1 solo allora sarà così:
HDSL->ROUTER->FIREWALL->SWITCH->RETE_LAN cioè esattamente come è
configurato ora.
Resta ancora il dilemma delle subnet da usare per la configurazione
dei router: quelle giù usate nelle varie sedi o subnet nuove?
Il mistero si infittisce...
Grazie, ciao.
Mirko Borsari
scritto:
>> mmmm il router hdsl quello dove c' configurato la MPLS.
>> quindi HDSL-router-firewall-rete
>
> Mmm... Forse mi manca un pezzo. Quello che ho capito io è che nella
> sede master ci saranno 2 router: 1 HDSL collegato ad internet e 1 che
> collegherà la sede master alle altre attraverso MPLS.
ok, ma il router MPLS è comunque attestato su una HDSL (da come la
spieghi avrai due HDSL). In quel caso non saprei se è meglio mettere
il router mpls dietro al firewall oppure affiancato (forse la
seconda).
>> se tutto passer dalla mpls direi che obbligatorio metterlo dietro
>> il firewall (almeno gi li fai un po' di filtro), oppure eliminare del
>> tutto il firewall.
>
> Il firewall ci sarà anche perchè, tra le altre cose, come farei a
> gestire gli accessi esterni ai siti web, a quelli ftp, al mail
> server??? Mica ho voglia di studiarmi gli apparati cisco eh! ;)
ma hai detto che tutto viene gestito dalla sede centrale no?
Dalla sede centrale puoi a quel punto gestire dal firewall gli accessi
per tutte le sedi.
Le sedi periferiche volendo potrebbero anche far senza del firewall.
Però un firewall a quel livello può tornare utile per non caricare di
traffico inutile la linea.
>> Ovviamente in base a quello che vorrai fare il firewall andr
>> configurato a dovere. Ad esempio il NAT non credo ti serva.
>
> Perchè non servirà il NAT?
perchè lo farà il firewall della sede centrale verso internet.
Nelle sedi periferiche hai solo il collegamento verso la centrale e il
nat non ti serve.
> Nell'ipotesi esistano nella sede master 2 router (1 per HDSL e 1 per
> MPLS) il tutto dovrà essere configurato così:
> HDSL->ROUTER_HDSL->FIREWALL->ROUTER_MPLS->SWITCH->RETE_LAN
così di sicuro no.
Nella sede centrale avrai due router, uno internet e uno mpls (con due
linee distinte), quindi non puoi mettere il router mpls davanti al
firewall, lo puoi mettere dietro o di fianco, ma non davanti.
> Se il router sarà 1 solo allora sarà così:
> HDSL->ROUTER->FIREWALL->SWITCH->RETE_LAN cioè esattamente come è
> configurato ora.
ok e queste probabilemente saranno le sedi periferiche.
Ma poi, conviene far transitare tutto il traffico internet sulla mpls
per farlo uscire/entrare dalla sede centrale?
> Resta ancora il dilemma delle subnet da usare per la configurazione
> dei router: quelle giù usate nelle varie sedi o subnet nuove?
se lo metti in lan quelle della lan, se li metti dietro al firewall ti
serve una subnet diversa ovviamente.
> Il mistero si infittisce...
carta alla mano, fatti il tuo bel schemino con tutti gli ip e poi
scegli qual'è la soluzione che preferisci e che tecnicamente riesci a
realizzare con quello che hai a disposizione.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non è da considerarsi pubblico,
Michele
> ok, ma il router MPLS è comunque attestato su una HDSL (da come la
> spieghi avrai due HDSL). In quel caso non saprei se è meglio mettere
> il router mpls dietro al firewall oppure affiancato (forse la
> seconda).
Questa storia dovrò vedermela in fase di messa in pratica perchè mi è
tutt'altro che chiara... Per esempio non ho capito come comunicheranno
i 2 router nella sede master, boh...
> ma hai detto che tutto viene gestito dalla sede centrale no?
Certo, mai detto il contrario...
> Dalla sede centrale puoi a quel punto gestire dal firewall gli accessi
> per tutte le sedi.
> Le sedi periferiche volendo potrebbero anche far senza del firewall.
Le sedi saranno senza firewall.
> Però un firewall a quel livello può tornare utile per non caricare di
> traffico inutile la linea.
A che pro? Le sedi periferiche non avranno accesso ad internet ma vi
accederanno attraverso la sede centrale.
> perchè lo farà il firewall della sede centrale verso internet.
> Nelle sedi periferiche hai solo il collegamento verso la centrale e il
> nat non ti serve.
Ah si certo, io parlavo forse non palesemente della sede centrale,
ecco perchè mi chiedevo come mai non servisse il NAT.
> > Nell'ipotesi esistano nella sede master 2 router (1 per HDSL e 1 per
> > MPLS) il tutto dovrà essere configurato così:
> > HDSL->ROUTER_HDSL->FIREWALL->ROUTER_MPLS->SWITCH->RETE_LAN
>
> così di sicuro no.
> Nella sede centrale avrai due router, uno internet e uno mpls (con due
> linee distinte), quindi non puoi mettere il router mpls davanti al
> firewall, lo puoi mettere dietro o di fianco, ma non davanti.
Scusa l'ignoranza ma che vuol dire mettere un firewall di fianco ad un
router? Posso capire dietro, davanti ma di fianco proprio no. :)
> > Se il router sarà 1 solo allora sarà così:
> > HDSL->ROUTER->FIREWALL->SWITCH->RETE_LAN cioè esattamente come è
> > configurato ora.
>
> ok e queste probabilemente saranno le sedi periferiche.
> Ma poi, conviene far transitare tutto il traffico internet sulla mpls
> per farlo uscire/entrare dalla sede centrale?
Questo è il progetto di Telecom.
Tu cosa proporresti? Di dare ad ogni sede periferica unn gateway
proprio?
> carta alla mano, fatti il tuo bel schemino con tutti gli ip e poi
> scegli qual'è la soluzione che preferisci e che tecnicamente riesci a
> realizzare con quello che hai a disposizione.
Lo schemino ce l'ho già come pure tutti gli ip ma, e torno a
ripeterlo, non so se assegnare alle interfacce dei nuovi router gli ip
delle subnet già attive nella sede centrale e in quelle periferiche
oppure assegnarne di nuovi.
Grazie, ciao.
Mirko Borsari
scritto:
> Questa storia dovr� vedermela in fase di messa in pratica perch� mi �
> tutt'altro che chiara... Per esempio non ho capito come comunicheranno
> i 2 router nella sede master, boh...
come comunicano lo decidi tu.
>> Dalla sede centrale puoi a quel punto gestire dal firewall gli accessi
>> per tutte le sedi.
>> Le sedi periferiche volendo potrebbero anche far senza del firewall.
>
> Le sedi saranno senza firewall.
allora ci siamo capiti male, pensavo avessi firewall su ogni sede.
>> Per� un firewall a quel livello pu� tornare utile per non caricare di
>> traffico inutile la linea.
>
> A che pro? Le sedi periferiche non avranno accesso ad internet ma vi
> accederanno attraverso la sede centrale.
se vuoi bloccare facebook (ad es) ha senso che venga comunque fatto
del traffico fino alla sede centrale per poi bloccarlo?
Di solito le mpls si montano per del traffico "nobile" (gestionale,
mail, file system) e visto che la banda costa molto si cerca di
sfruttarla al massimo per il traffico "nobile", il traffico internet
viaggia anche su una adsl da 20 eur.
>> perch� lo far� il firewall della sede centrale verso internet.
>> Nelle sedi periferiche hai solo il collegamento verso la centrale e il
>> nat non ti serve.
>
> Ah si certo, io parlavo forse non palesemente della sede centrale,
> ecco perch� mi chiedevo come mai non servisse il NAT.
e io invece pensavo alle periferiche... il nat ti serve solo sulla
connessione verso internet, quindi nella sede centrale.
>> cos� di sicuro no.
>> Nella sede centrale avrai due router, uno internet e uno mpls (con due
>> linee distinte), quindi non puoi mettere il router mpls davanti al
>> firewall, lo puoi mettere dietro o di fianco, ma non davanti.
>
> Scusa l'ignoranza ma che vuol dire mettere un firewall di fianco ad un
> router? Posso capire dietro, davanti ma di fianco proprio no. :)
:-)
con di fianco intendo con le interfacce lan del firewall e del router
sulla stessa rete.
con dietro intendo la lan del router sulla wan del firewall
con davanti intendo la lan del firewall sulla wan del router (che non
ha senso)
>> ok e queste probabilemente saranno le sedi periferiche.
>> Ma poi, conviene far transitare tutto il traffico internet sulla mpls
>> per farlo uscire/entrare dalla sede centrale?
>
> Questo � il progetto di Telecom.
> Tu cosa proporresti? Di dare ad ogni sede periferica unn gateway
> proprio?
Oh, dipende dalla banda e da cosa ci dovete far passare su.
Io seguo una azienda che fa parte di una grossa multinazione
completamente connessa in mpls e ogni azienda ha la sua connettivit�
indipendente verso internet.
Se il progetto l'ha fatto telecom, fatto aiutare da loro. Hanno
(anche) dei bravi tecnici.
>> carta alla mano, fatti il tuo bel schemino con tutti gli ip e poi
>> scegli qual'� la soluzione che preferisci e che tecnicamente riesci a
>> realizzare con quello che hai a disposizione.
>
> Lo schemino ce l'ho gi� come pure tutti gli ip ma, e torno a
> ripeterlo, non so se assegnare alle interfacce dei nuovi router gli ip
> delle subnet gi� attive nella sede centrale e in quelle periferiche
> oppure assegnarne di nuovi.
con lo schemino e con la consapevolezza di quello che hai a
disposizione dovresti riuscire a trovare la soluzione migliore.
Poi visto che la conf la fa telecom tirali in ballo. La cosa non �
cos� banale.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non � da considerarsi pubblico,
Michele
>> Questa storia dovrò vedermela in fase di messa in pratica perchè mi è
>> tutt'altro che chiara... Per esempio non ho capito come comunicheranno
>> i 2 router nella sede master, boh...
>
> come comunicano lo decidi tu.
Allora rifaccio la domanda: come potrebbero comunicare 2 router così?
I modelli sono Cisco 2801 e 1801.
>> Le sedi saranno senza firewall.
>
> allora ci siamo capiti male, pensavo avessi firewall su ogni sede.
Ora è così ma in futuro l'idea è di avere un solo firewall nella sede
master.
>> A che pro? Le sedi periferiche non avranno accesso ad internet ma vi
>> accederanno attraverso la sede centrale.
>
> se vuoi bloccare facebook (ad es) ha senso che venga comunque fatto
> del traffico fino alla sede centrale per poi bloccarlo?
> Di solito le mpls si montano per del traffico "nobile" (gestionale,
> mail, file system) e visto che la banda costa molto si cerca di
> sfruttarla al massimo per il traffico "nobile", il traffico internet
> viaggia anche su una adsl da 20 eur.
La banda costerebbe comunque uguale visto che il contratto è flat, non a
consumo. Le linee sono HDSL 2 Mbit con (almeno in partenza) 1 Mbit
garantito.
> e io invece pensavo alle periferiche... il nat ti serve solo sulla
> connessione verso internet, quindi nella sede centrale.
Ok.
> con di fianco intendo con le interfacce lan del firewall e del router
> sulla stessa rete.
> con dietro intendo la lan del router sulla wan del firewall
> con davanti intendo la lan del firewall sulla wan del router (che non
> ha senso)
Chiarissimo! :)
> Oh, dipende dalla banda e da cosa ci dovete far passare su.
> Io seguo una azienda che fa parte di una grossa multinazione
> completamente connessa in mpls e ogni azienda ha la sua connettività
> indipendente verso internet.
> Se il progetto l'ha fatto telecom, fatto aiutare da loro. Hanno
> (anche) dei bravi tecnici.
Ok.
> con lo schemino e con la consapevolezza di quello che hai a
> disposizione dovresti riuscire a trovare la soluzione migliore.
> Poi visto che la conf la fa telecom tirali in ballo. La cosa non è
> così banale.
Ok, grazie, ciao.
--
Michele
Mirko Borsari
>>> tutt'altro che chiara... Per esempio non ho capito come comunicheranno
>>> i 2 router nella sede master, boh...
>>
>> come comunicano lo decidi tu.
>
> Allora rifaccio la domanda: come potrebbero comunicare 2 router così?
> I modelli sono Cisco 2801 e 1801.
i modelli non servono. E' la logica da decidere.
>> Di solito le mpls si montano per del traffico "nobile" (gestionale,
>> mail, file system) e visto che la banda costa molto si cerca di
>> sfruttarla al massimo per il traffico "nobile", il traffico internet
>> viaggia anche su una adsl da 20 eur.
>
> La banda costerebbe comunque uguale visto che il contratto è flat, non a
quella non è banda, è traffico. 2Mb possono essere moltissimi ma anche
pochissimi, dipende cosa ci fai girare su. Ti servono solo per
internet?
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non è da considerarsi pubblico,
Michele
> i modelli non servono. E' la logica da decidere.
Ecco ok, tu che logica adotteresti? Vediamo se così riesco ad avere una
risposta... ;)
>> La banda costerebbe comunque uguale visto che il contratto è flat, non a
>
> quella non è banda, è traffico. 2Mb possono essere moltissimi ma anche
> pochissimi, dipende cosa ci fai girare su. Ti servono solo per internet?
Eh si, magari: aggiornamento DC, voip, posta elettronica, terminal
services, ftp e internet.
Adesso facciamo le stesse cose con una ADSL tipo Alice e si presume che
HDSL sia più efficiente e performante. Adesso solo internet è locale
mentre tutto il resto passa per la sede master visto che tutti i servizi
sono lì.
Ciao.
--
Michele
Mirko Borsari
> Il 11/04/2010 20:57, Mirko Borsari ha scritto:
>> i modelli non servono. E' la logica da decidere.
>
> Ecco ok, tu che logica adotteresti? Vediamo se così riesco ad avere una
> risposta... ;)
Non è una risposta semplice.
Non conosco il tuo ambiente. Potresti vederle come due cose distinte,
l'MPLS che ti crea una grande rete locale e tutti devono navigare
attraverso un unico punto verso internet (vedila come un'azienda
divisa in subnet).
Se la guardi così non è particolarmente complessa come cosa. Dovrai
solo instradare correttamente tutte le richieste provenienti dalle
subnet periferiche ma i router sono li per questo.
>>> La banda costerebbe comunque uguale visto che il contratto è flat, non a
>>
>> quella non è banda, è traffico. 2Mb possono essere moltissimi ma anche
>> pochissimi, dipende cosa ci fai girare su. Ti servono solo per internet?
>
> Eh si, magari: aggiornamento DC, voip, posta elettronica, terminal
> services, ftp e internet.
il tutto con 2Mb?
> Adesso facciamo le stesse cose con una ADSL tipo Alice e si presume che
si ma hai sicuramente più banda. ma hai 2Mb anche nella sede centrale?
No perchè le periferiche insieme fanno 4Mb con 2Mb nella centrale la
vedo un po' come un collo di bottiglia (immagino i servizi siano tutti
concentrati li).
> HDSL sia più efficiente e performante. Adesso solo internet è locale
efficente ok, performante dipende dalla banda che hai. Una alice 7Mb
in download va di più di una hdsl da 2Mb. Hdsl ha il notevole
vantaggio di essere simmetrica...
Michele
> Non è una risposta semplice.
> Non conosco il tuo ambiente. Potresti vederle come due cose distinte,
> l'MPLS che ti crea una grande rete locale e tutti devono navigare
> attraverso un unico punto verso internet (vedila come un'azienda
> divisa in subnet).
> Se la guardi così non è particolarmente complessa come cosa. Dovrai
> solo instradare correttamente tutte le richieste provenienti dalle
> subnet periferiche ma i router sono li per questo.
La config dei router la farà Telecom. Dovrò invece occuparmi di cambiare
gli ip deigteway nei server DHCP delle sedi remote.
> il tutto con 2Mb?
Eh si. Hanno analizzato la nostra rete e hanno detto che dovrebbe essere
sufficiente.
> si ma hai sicuramente più banda. ma hai 2Mb anche nella sede centrale?
> No perchè le periferiche insieme fanno 4Mb con 2Mb nella centrale la
> vedo un po' come un collo di bottiglia (immagino i servizi siano tutti
> concentrati li).
Nella sede centrale sempre 2 bega si. Nella sede centrale ci sono voip e
mail.
> efficente ok, performante dipende dalla banda che hai. Una alice 7Mb
> in download va di più di una hdsl da 2Mb. Hdsl ha il notevole
> vantaggio di essere simmetrica...
Telecom ha detto che se non dovessero sufficienti posso portare la sede
centrale fino a 8 mega ma, credo, con un aumento del prezzo.
Grazie, ciao.
--
Michele
Mirko Borsari
>> Se la guardi cos� non � particolarmente complessa come cosa. Dovrai
>> solo instradare correttamente tutte le richieste provenienti dalle
>> subnet periferiche ma i router sono li per questo.
>
> La config dei router la far� Telecom. Dovr� invece occuparmi di cambiare
> gli ip deigteway nei server DHCP delle sedi remote.
Ok, ma se tu dici a telecom che tutto quello che � 0.0.0.0/0 di ogni
sede deve uscire attraverso il router con ip 1.1.1.1 loro te lo fanno.
Ma dovrebbero anche gi� saperlo visto che il progetto � loro.
>> il tutto con 2Mb?
>
> Eh si. Hanno analizzato la nostra rete e hanno detto che dovrebbe essere
> sufficiente.
Allora ok. Mi fido.
>> efficente ok, performante dipende dalla banda che hai. Una alice 7Mb
>> in download va di pi� di una hdsl da 2Mb. Hdsl ha il notevole
>> vantaggio di essere simmetrica...
>
> Telecom ha detto che se non dovessero sufficienti posso portare la sede
> centrale fino a 8 mega ma, credo, con un aumento del prezzo.
certo, loro parlano bene, ma da quanto ne so (fonte commerciale
telecom) una 8Mb costa nettamente di pi� di una 2Mb... (comunque non
avrebbe senso avere 2 sedi a 2Mb e una centrale a 8Mb).
conviene molto di pi� lasciare internet indipendente.
--
MirkoB. ne...@bsi-net.it
Motoretta BMW R1150R Nera...
L'indirizzo em@il non � da considerarsi pubblico,