linux user group brescia

Io intendevo anche un documento scarno ma con consigli preziosi da
approfondire man mano che si costruisce l'architettura..

Conosco sia vlan sia gli switch hp managed...
Mi incuriosisce invece, avendo già il ferro a disposizione,  come
implementare radius con accountability  dei PC (immagino a livello mac
address) e profilazione degli utenti con regole dinamiche

Hai già avuto modo di affrontare configurazioni simili?
Jamil
Il 05/feb/2015 18:55 "Francesco Rmp" <atomikramp a gmail.com> ha scritto:

> Ciao Jamil,
> c'è molta roba ma tutta sparsa.
> Principalmente perchè richiede l'interazione di tanti apparati diversi.
>
> Io partirei dallo studiare come funziona un server RADIUS, cosa fa, e come
> e a cosa serve.
> poi una volta che hai capito quello, devi vedere con che cosa andrai ad
> utilizzarlo e per quali scopi, e ti servirà verificare la documentazione
> degli apparati specifici che andrai ad utilizzare (es, come configurare uno
> switch cisco piuttosto che HP, lì è roba vendor specific).
>
> Poi puoi iniziare ad aggiungere pezzi all'architettura, come sistemi
> proattivi per il controllo degli accessi alla rete... a me piace molto (per
> esempio) packetfence.
>
> 2015-02-05 18:39 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>
>> Molto interessante la soluzione 4 proposto da @Francesco ; puoi
>> consigliare un documento/sito che spieghi come poter iniziare a
>> implementare una tale soluzione.?
>> Grazie
>> Jamil
>>  Il 05/02/2015 10:10, Francesco Rmp ha scritto:
>>
>> Ciao
>> si prospettano diversi scenari in questo caso secondo me e tutto dipende
>> poi dai requisiti funzionali.
>>
>>  scenario 1
>> tutto è come prima, non ha importanza con che router esce chi,
>> l'importante è che ci sia più banda
>> è la cosa più semplice da fare, basta mettere a monte un access gateway
>> che possa fare load balancing tra le due WAN (pfsense, endian, vattelapesca)
>> è molto semplice da implementare, non cambi nulla nella tua
>> infrastruttura di rete interna... e tutto va SUBITO
>>
>>  soluzione 2
>> le due reti sono separate a livello logico ma l'isolamento non è critico,
>> l'unica cosa che conta è che ogni scuola esca col proprio access gateway
>> (router adsl)
>> anche qui è abbastanza semplice da fare, ma le due reti si possono
>> comunque parlare tra di loro.
>> crei due classi di indirizzamento per i PC di una e dell'altra scuola, e
>> poi utilizzi sul firewall delle routing policies che instradano il traffico
>> verso uno o l'altro gateway a seconda dell'IP sorgente
>> c'è un contro madornale: la configurazione degli spazi di indirizzamento
>> è un delirio perché se vuoi usare il DHCP devi configurare i leasing a
>> mano.. e non ti passa più
>> io questa la scarterei, è semplice all'inizio, ma poi diventa un delirio
>> col passare del tempo
>>
>>  soluzione 3:
>> compartimenti le due reti separandole a livello 2 con VLAN (se gli switch
>> permettono) o semplicemente usando apparati diversi.
>> viene una cosa molto pulita,
>> hai due reti separate a tutti gli effetti
>> hai pieno controllo su cosa eventualmente può passare e cosa no tra una
>> rete e l'altra
>> puoi anche decidere di tenere un unico domain controller che può stare da
>> solo su una terza rete (DMZ) accessibile da entrambe le LAN per la parte di
>> accountability.
>> anche qui, spazi di indirizzamento IP diversi = routing policies
>> configurabili e ogni rete può uscire sul proprio gateway.
>> Unica cosa da stimare a priori in questo caso è quanti dati devono poter
>> passare tra una rete e l'altra.
>> Tutto il routing viene a questo punto gestito dal firewall (pfsense,
>> endian, whatever) e se il traffico è tanto, ci vuole un firewall che sia in
>> grado di gestire grossi volumi di throughput..
>>
>>  soluzione 4:
>> AKA la rete superlusso
>> accountability dei computer a layer 2 con 802.1x e server radius per le
>> policy.
>> aumenta la complessità di gestione ma hai tutti i vantaggi della rete 3,
>> più la flessibilità di ppoter ribaltare tutto il layout della rete in
>> pochissimo tempo.
>> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le VLAN
>> a cui appartengono i singoli computer sulla base di mac address, puoi
>> spostare i computer da una rete all'altra cambiado una configurazione,
>> senza dover andare a smanettare sul singolo PC, o su altri mille apparati,
>> e cosa più importante (in tutte le reti pubbliche imho), puoi adottare
>> regole di whitelisting per cui eventuali apparati estranei non possono
>> collegatsi (vedi il furbo che collega il suo portatile alla prima presa di
>> rete che trova a muro).
>> Secondo me questa soluzione per una scuola è un overkill, è molto figa
>> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una buona
>> predisposizione del sistemista ad un livello di sofferenza notevole nella
>> configurazione e nel testing iniziale.
>>
>>  se vuoi un consiglio...
>> soluzione 3 :)
>>
>>  Francesco
>>
>> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com>:
>>
>>>
>>> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>>>
>>>> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>>>>
>>>>> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è poco chiara la
>>>>> questione domini....
>>>>> V.
>>>>>
>>>>>  La mia idea sarebbe di mantenere tutto nello stesso dominio (gestito
>>>> da un server windows AD): trattandosi di rete didattica con laboratorio
>>>> condiviso non ha senso differenziare, anzi causerebbe confusione.
>>>>
>>>  Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server di
>>> solito li metto in una LAN e i PC in un'altra...
>>>
>>>> Avendo comunque due accessi adsl potrei pensare di connetterli entrambi
>>>> via il proxy endian che sto mettendo in piedi.
>>>> Il problema è come...
>>>> potrei definire due gruppi di clients e indirizzarli uno a un ruter uno
>>>> all'altro...
>>>> oppure definire una policy di load-balancing tra i due router...
>>>> dove posso trovare info in proposito?
>>>>
>>>>
>>> http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>>>
>>>> Antonello
>>>>
>>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>
>>
>>
>>  bella la 3...
>> ma visto il tempo e le mie competenze mi sa ch opterò per la 1...
>>
>> grazie a tutti
>> Antonello
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/70fd857e/attachment-0001.html>