[LugBS] [Bulk] Re: doppia linea adsl... stesso server
antonello facchetti
antonello.facchetti a alice.it
Gio 5 Feb 2015 15:57:18 UTC
Il 05/02/2015 10:10, Francesco Rmp ha scritto:
> Ciao
> si prospettano diversi scenari in questo caso secondo me e tutto
> dipende poi dai requisiti funzionali.
>
> scenario 1
> tutto è come prima, non ha importanza con che router esce chi,
> l'importante è che ci sia più banda
> è la cosa più semplice da fare, basta mettere a monte un access
> gateway che possa fare load balancing tra le due WAN (pfsense, endian,
> vattelapesca)
> è molto semplice da implementare, non cambi nulla nella tua
> infrastruttura di rete interna... e tutto va SUBITO
>
> soluzione 2
> le due reti sono separate a livello logico ma l'isolamento non è
> critico, l'unica cosa che conta è che ogni scuola esca col proprio
> access gateway (router adsl)
> anche qui è abbastanza semplice da fare, ma le due reti si possono
> comunque parlare tra di loro.
> crei due classi di indirizzamento per i PC di una e dell'altra scuola,
> e poi utilizzi sul firewall delle routing policies che instradano il
> traffico verso uno o l'altro gateway a seconda dell'IP sorgente
> c'è un contro madornale: la configurazione degli spazi di
> indirizzamento è un delirio perché se vuoi usare il DHCP devi
> configurare i leasing a mano.. e non ti passa più
> io questa la scarterei, è semplice all'inizio, ma poi diventa un
> delirio col passare del tempo
>
> soluzione 3:
> compartimenti le due reti separandole a livello 2 con VLAN (se gli
> switch permettono) o semplicemente usando apparati diversi.
> viene una cosa molto pulita,
> hai due reti separate a tutti gli effetti
> hai pieno controllo su cosa eventualmente può passare e cosa no tra
> una rete e l'altra
> puoi anche decidere di tenere un unico domain controller che può stare
> da solo su una terza rete (DMZ) accessibile da entrambe le LAN per la
> parte di accountability.
> anche qui, spazi di indirizzamento IP diversi = routing policies
> configurabili e ogni rete può uscire sul proprio gateway.
> Unica cosa da stimare a priori in questo caso è quanti dati devono
> poter passare tra una rete e l'altra.
> Tutto il routing viene a questo punto gestito dal firewall (pfsense,
> endian, whatever) e se il traffico è tanto, ci vuole un firewall che
> sia in grado di gestire grossi volumi di throughput..
>
> soluzione 4:
> AKA la rete superlusso
> accountability dei computer a layer 2 con 802.1x e server radius per
> le policy.
> aumenta la complessità di gestione ma hai tutti i vantaggi della rete
> 3, più la flessibilità di ppoter ribaltare tutto il layout della rete
> in pochissimo tempo.
> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le
> VLAN a cui appartengono i singoli computer sulla base di mac address,
> puoi spostare i computer da una rete all'altra cambiado una
> configurazione, senza dover andare a smanettare sul singolo PC, o su
> altri mille apparati, e cosa più importante (in tutte le reti
> pubbliche imho), puoi adottare regole di whitelisting per cui
> eventuali apparati estranei non possono collegatsi (vedi il furbo che
> collega il suo portatile alla prima presa di rete che trova a muro).
> Secondo me questa soluzione per una scuola è un overkill, è molto figa
> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una
> buona predisposizione del sistemista ad un livello di sofferenza
> notevole nella configurazione e nel testing iniziale.
>
> se vuoi un consiglio...
> soluzione 3 :)
>
> Francesco
>
> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com
> <mailto:r.bicelli a gmail.com>>:
>
>
> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>
> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>
> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è
> poco chiara la questione domini....
> V.
>
> La mia idea sarebbe di mantenere tutto nello stesso dominio
> (gestito da un server windows AD): trattandosi di rete
> didattica con laboratorio condiviso non ha senso
> differenziare, anzi causerebbe confusione.
>
> Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server
> di solito li metto in una LAN e i PC in un'altra...
>
> Avendo comunque due accessi adsl potrei pensare di connetterli
> entrambi via il proxy endian che sto mettendo in piedi.
> Il problema è come...
> potrei definire due gruppi di clients e indirizzarli uno a un
> ruter uno all'altro...
> oppure definire una policy di load-balancing tra i due router...
> dove posso trovare info in proposito?
>
> http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>
> Antonello
>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
> <mailto:andrea.gelmini a gmail.com>
>
>
>
>
bella la 3...
ma visto il tempo e le mie competenze mi sa ch opterò per la 1...
grazie a tutti
Antonello
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/69c8d5af/attachment.html>
Maggiori informazioni sulla lista
Lug
|