linux user group brescia

Ciao
si prospettano diversi scenari in questo caso secondo me e tutto dipende
poi dai requisiti funzionali.

scenario 1
tutto è come prima, non ha importanza con che router esce chi, l'importante
è che ci sia più banda
è la cosa più semplice da fare, basta mettere a monte un access gateway che
possa fare load balancing tra le due WAN (pfsense, endian, vattelapesca)
è molto semplice da implementare, non cambi nulla nella tua infrastruttura
di rete interna... e tutto va SUBITO

soluzione 2
le due reti sono separate a livello logico ma l'isolamento non è critico,
l'unica cosa che conta è che ogni scuola esca col proprio access gateway
(router adsl)
anche qui è abbastanza semplice da fare, ma le due reti si possono comunque
parlare tra di loro.
crei due classi di indirizzamento per i PC di una e dell'altra scuola, e
poi utilizzi sul firewall delle routing policies che instradano il traffico
verso uno o l'altro gateway a seconda dell'IP sorgente
c'è un contro madornale: la configurazione degli spazi di indirizzamento è
un delirio perché se vuoi usare il DHCP devi configurare i leasing a mano..
e non ti passa più
io questa la scarterei, è semplice all'inizio, ma poi diventa un delirio
col passare del tempo

soluzione 3:
compartimenti le due reti separandole a livello 2 con VLAN (se gli switch
permettono) o semplicemente usando apparati diversi.
viene una cosa molto pulita,
hai due reti separate a tutti gli effetti
hai pieno controllo su cosa eventualmente può passare e cosa no tra una
rete e l'altra
puoi anche decidere di tenere un unico domain controller che può stare da
solo su una terza rete (DMZ) accessibile da entrambe le LAN per la parte di
accountability.
anche qui, spazi di indirizzamento IP diversi = routing policies
configurabili e ogni rete può uscire sul proprio gateway.
Unica cosa da stimare a priori in questo caso è quanti dati devono poter
passare tra una rete e l'altra.
Tutto il routing viene a questo punto gestito dal firewall (pfsense,
endian, whatever) e se il traffico è tanto, ci vuole un firewall che sia in
grado di gestire grossi volumi di throughput..

soluzione 4:
AKA la rete superlusso
accountability dei computer a layer 2 con 802.1x e server radius per le
policy.
aumenta la complessità di gestione ma hai tutti i vantaggi della rete 3,
più la flessibilità di ppoter ribaltare tutto il layout della rete in
pochissimo tempo.
hai un server RADIUS dove gestisci gli spazi di indirizzamento e le VLAN a
cui appartengono i singoli computer sulla base di mac address, puoi
spostare i computer da una rete all'altra cambiado una configurazione,
senza dover andare a smanettare sul singolo PC, o su altri mille apparati,
e cosa più importante (in tutte le reti pubbliche imho), puoi adottare
regole di whitelisting per cui eventuali apparati estranei non possono
collegatsi (vedi il furbo che collega il suo portatile alla prima presa di
rete che trova a muro).
Secondo me questa soluzione per una scuola è un overkill, è molto figa sì,
ma ci vogliono apparati che supportino i protocolli layer2, e una buona
predisposizione del sistemista ad un livello di sofferenza notevole nella
configurazione e nel testing iniziale.

se vuoi un consiglio...
soluzione 3 :)

Francesco

2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com>:

>
> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>
>> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>>
>>> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è poco chiara la
>>> questione domini....
>>> V.
>>>
>>>  La mia idea sarebbe di mantenere tutto nello stesso dominio (gestito da
>> un server windows AD): trattandosi di rete didattica con laboratorio
>> condiviso non ha senso differenziare, anzi causerebbe confusione.
>>
> Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server di solito
> li metto in una LAN e i PC in un'altra...
>
>> Avendo comunque due accessi adsl potrei pensare di connetterli entrambi
>> via il proxy endian che sto mettendo in piedi.
>> Il problema è come...
>> potrei definire due gruppi di clients e indirizzarli uno a un ruter uno
>> all'altro...
>> oppure definire una policy di load-balancing tra i due router...
>> dove posso trovare info in proposito?
>>
>>  http://help.endian.com/entries/20061101-How-to-Add-a-
> Failover-Internet-Uplink
>
>> Antonello
>>
>>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/9c47e8e5/attachment-0001.html>