linux user group brescia
immagine del castello

Archivio della mailing list

[LugBS] [Bulk] Re: doppia linea adsl... stesso server

antonello facchetti antonello.facchetti a alice.it
Gio 5 Feb 2015 15:57:18 UTC 
Il 05/02/2015 10:10, Francesco Rmp ha scritto:
> Ciao
> si prospettano diversi scenari in questo caso secondo me e tutto 
> dipende poi dai requisiti funzionali.
>
> scenario 1
> tutto è come prima, non ha importanza con che router esce chi, 
> l'importante è che ci sia più banda
> è la cosa più semplice da fare, basta mettere a monte un access 
> gateway che possa fare load balancing tra le due WAN (pfsense, endian, 
> vattelapesca)
> è molto semplice da implementare, non cambi nulla nella tua 
> infrastruttura di rete interna... e tutto va SUBITO
>
> soluzione 2
> le due reti sono separate a livello logico ma l'isolamento non è 
> critico, l'unica cosa che conta è che ogni scuola esca col proprio 
> access gateway (router adsl)
> anche qui è abbastanza semplice da fare, ma le due reti si possono 
> comunque parlare tra di loro.
> crei due classi di indirizzamento per i PC di una e dell'altra scuola, 
> e poi utilizzi sul firewall delle routing policies che instradano il 
> traffico verso uno o l'altro gateway a seconda dell'IP sorgente
> c'è un contro madornale: la configurazione degli spazi di 
> indirizzamento è un delirio perché se vuoi usare il DHCP devi 
> configurare i leasing a mano.. e non ti passa più
> io questa la scarterei, è semplice all'inizio, ma poi diventa un 
> delirio col passare del tempo
>
> soluzione 3:
> compartimenti le due reti separandole a livello 2 con VLAN (se gli 
> switch permettono) o semplicemente usando apparati diversi.
> viene una cosa molto pulita,
> hai due reti separate a tutti gli effetti
> hai pieno controllo su cosa eventualmente può passare e cosa no tra 
> una rete e l'altra
> puoi anche decidere di tenere un unico domain controller che può stare 
> da solo su una terza rete (DMZ) accessibile da entrambe le LAN per la 
> parte di accountability.
> anche qui, spazi di indirizzamento IP diversi = routing policies 
> configurabili e ogni rete può uscire sul proprio gateway.
> Unica cosa da stimare a priori in questo caso è quanti dati devono 
> poter passare tra una rete e l'altra.
> Tutto il routing viene a questo punto gestito dal firewall (pfsense, 
> endian, whatever) e se il traffico è tanto, ci vuole un firewall che 
> sia in grado di gestire grossi volumi di throughput..
>
> soluzione 4:
> AKA la rete superlusso
> accountability dei computer a layer 2 con 802.1x e server radius per 
> le policy.
> aumenta la complessità di gestione ma hai tutti i vantaggi della rete 
> 3, più la flessibilità di ppoter ribaltare tutto il layout della rete 
> in pochissimo tempo.
> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le 
> VLAN a cui appartengono i singoli computer sulla base di mac address, 
> puoi spostare i computer da una rete all'altra cambiado una 
> configurazione, senza dover andare a smanettare sul singolo PC, o su 
> altri mille apparati, e cosa più importante (in tutte le reti 
> pubbliche imho), puoi adottare regole di whitelisting per cui 
> eventuali apparati estranei non possono collegatsi (vedi il furbo che 
> collega il suo portatile alla prima presa di rete che trova a muro).
> Secondo me questa soluzione per una scuola è un overkill, è molto figa 
> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una 
> buona predisposizione del sistemista ad un livello di sofferenza 
> notevole nella configurazione e nel testing iniziale.
>
> se vuoi un consiglio...
> soluzione 3 :)
>
> Francesco
>
> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com 
> <mailto:r.bicelli a gmail.com>>:
>
>
>     Il 04/02/2015 17:41, antonello facchetti ha scritto:
>
>         Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>
>             Endian e Zentyal fanno la stessa cosa di pfsense. Mi è
>             poco chiara la questione domini....
>             V.
>
>         La mia idea sarebbe di mantenere tutto nello stesso dominio
>         (gestito da un server windows AD): trattandosi di rete
>         didattica con laboratorio condiviso non ha senso
>         differenziare, anzi causerebbe confusione.
>
>     Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server
>     di solito li metto in una LAN e i PC in un'altra...
>
>         Avendo comunque due accessi adsl potrei pensare di connetterli
>         entrambi via il proxy endian che sto mettendo in piedi.
>         Il problema è come...
>         potrei definire due gruppi di clients e indirizzarli uno a un
>         ruter uno all'altro...
>         oppure definire una policy di load-balancing tra i due router...
>         dove posso trovare info in proposito?
>
>     http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>
>         Antonello
>
>
>     -- 
>     Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>     <mailto:andrea.gelmini a gmail.com>
>
>
>
>
bella la 3...
ma visto il tempo e le mie competenze mi sa ch opterò per la 1...

grazie a tutti
Antonello
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/69c8d5af/attachment.html>

Maggiori informazioni sulla lista Lug