linux user group brescia

Ciao, solo in ambiente di test.

Comunque l'802.1x per l'accountability layer2, oltre che farlo per mac
address puoi anche farlo per utente, è fighissimo, plugghi il cavo di rete
e ti chiede id e password.
in base all'autenticazione il server ti rilascia IP ed eventuali settaggi
vari per la rete.

2015-02-05 19:19 GMT+01:00 Jamil <jamil.jamil a gmail.com>:

> Io intendevo anche un documento scarno ma con consigli preziosi da
> approfondire man mano che si costruisce l'architettura..
>
> Conosco sia vlan sia gli switch hp managed...
> Mi incuriosisce invece, avendo già il ferro a disposizione,  come
> implementare radius con accountability  dei PC (immagino a livello mac
> address) e profilazione degli utenti con regole dinamiche
>
> Hai già avuto modo di affrontare configurazioni simili?
> Jamil
> Il 05/feb/2015 18:55 "Francesco Rmp" <atomikramp a gmail.com> ha scritto:
>
>> Ciao Jamil,
>> c'è molta roba ma tutta sparsa.
>> Principalmente perchè richiede l'interazione di tanti apparati diversi.
>>
>> Io partirei dallo studiare come funziona un server RADIUS, cosa fa, e
>> come e a cosa serve.
>> poi una volta che hai capito quello, devi vedere con che cosa andrai ad
>> utilizzarlo e per quali scopi, e ti servirà verificare la documentazione
>> degli apparati specifici che andrai ad utilizzare (es, come configurare uno
>> switch cisco piuttosto che HP, lì è roba vendor specific).
>>
>> Poi puoi iniziare ad aggiungere pezzi all'architettura, come sistemi
>> proattivi per il controllo degli accessi alla rete... a me piace molto (per
>> esempio) packetfence.
>>
>> 2015-02-05 18:39 GMT+01:00 Jamil <jamil.jamil a gmail.com>:
>>
>>> Molto interessante la soluzione 4 proposto da @Francesco ; puoi
>>> consigliare un documento/sito che spieghi come poter iniziare a
>>> implementare una tale soluzione.?
>>> Grazie
>>> Jamil
>>>  Il 05/02/2015 10:10, Francesco Rmp ha scritto:
>>>
>>> Ciao
>>> si prospettano diversi scenari in questo caso secondo me e tutto dipende
>>> poi dai requisiti funzionali.
>>>
>>>  scenario 1
>>> tutto è come prima, non ha importanza con che router esce chi,
>>> l'importante è che ci sia più banda
>>> è la cosa più semplice da fare, basta mettere a monte un access gateway
>>> che possa fare load balancing tra le due WAN (pfsense, endian, vattelapesca)
>>> è molto semplice da implementare, non cambi nulla nella tua
>>> infrastruttura di rete interna... e tutto va SUBITO
>>>
>>>  soluzione 2
>>> le due reti sono separate a livello logico ma l'isolamento non è
>>> critico, l'unica cosa che conta è che ogni scuola esca col proprio access
>>> gateway (router adsl)
>>> anche qui è abbastanza semplice da fare, ma le due reti si possono
>>> comunque parlare tra di loro.
>>> crei due classi di indirizzamento per i PC di una e dell'altra scuola, e
>>> poi utilizzi sul firewall delle routing policies che instradano il traffico
>>> verso uno o l'altro gateway a seconda dell'IP sorgente
>>> c'è un contro madornale: la configurazione degli spazi di indirizzamento
>>> è un delirio perché se vuoi usare il DHCP devi configurare i leasing a
>>> mano.. e non ti passa più
>>> io questa la scarterei, è semplice all'inizio, ma poi diventa un delirio
>>> col passare del tempo
>>>
>>>  soluzione 3:
>>> compartimenti le due reti separandole a livello 2 con VLAN (se gli
>>> switch permettono) o semplicemente usando apparati diversi.
>>> viene una cosa molto pulita,
>>> hai due reti separate a tutti gli effetti
>>> hai pieno controllo su cosa eventualmente può passare e cosa no tra una
>>> rete e l'altra
>>> puoi anche decidere di tenere un unico domain controller che può stare
>>> da solo su una terza rete (DMZ) accessibile da entrambe le LAN per la parte
>>> di accountability.
>>> anche qui, spazi di indirizzamento IP diversi = routing policies
>>> configurabili e ogni rete può uscire sul proprio gateway.
>>> Unica cosa da stimare a priori in questo caso è quanti dati devono poter
>>> passare tra una rete e l'altra.
>>> Tutto il routing viene a questo punto gestito dal firewall (pfsense,
>>> endian, whatever) e se il traffico è tanto, ci vuole un firewall che sia in
>>> grado di gestire grossi volumi di throughput..
>>>
>>>  soluzione 4:
>>> AKA la rete superlusso
>>> accountability dei computer a layer 2 con 802.1x e server radius per le
>>> policy.
>>> aumenta la complessità di gestione ma hai tutti i vantaggi della rete 3,
>>> più la flessibilità di ppoter ribaltare tutto il layout della rete in
>>> pochissimo tempo.
>>> hai un server RADIUS dove gestisci gli spazi di indirizzamento e le VLAN
>>> a cui appartengono i singoli computer sulla base di mac address, puoi
>>> spostare i computer da una rete all'altra cambiado una configurazione,
>>> senza dover andare a smanettare sul singolo PC, o su altri mille apparati,
>>> e cosa più importante (in tutte le reti pubbliche imho), puoi adottare
>>> regole di whitelisting per cui eventuali apparati estranei non possono
>>> collegatsi (vedi il furbo che collega il suo portatile alla prima presa di
>>> rete che trova a muro).
>>> Secondo me questa soluzione per una scuola è un overkill, è molto figa
>>> sì, ma ci vogliono apparati che supportino i protocolli layer2, e una buona
>>> predisposizione del sistemista ad un livello di sofferenza notevole nella
>>> configurazione e nel testing iniziale.
>>>
>>>  se vuoi un consiglio...
>>> soluzione 3 :)
>>>
>>>  Francesco
>>>
>>> 2015-02-05 9:31 GMT+01:00 Riccardo Bicelli <r.bicelli a gmail.com>:
>>>
>>>>
>>>> Il 04/02/2015 17:41, antonello facchetti ha scritto:
>>>>
>>>>> Il 04/02/2015 15:56, Vincenzo Oliviero ha scritto:
>>>>>
>>>>>> Endian e Zentyal fanno la stessa cosa di pfsense. Mi è poco chiara la
>>>>>> questione domini....
>>>>>> V.
>>>>>>
>>>>>>  La mia idea sarebbe di mantenere tutto nello stesso dominio (gestito
>>>>> da un server windows AD): trattandosi di rete didattica con laboratorio
>>>>> condiviso non ha senso differenziare, anzi causerebbe confusione.
>>>>>
>>>>  Puoi avere un dominio e diverse VLAN/subnet, tant'è che i server di
>>>> solito li metto in una LAN e i PC in un'altra...
>>>>
>>>>> Avendo comunque due accessi adsl potrei pensare di connetterli
>>>>> entrambi via il proxy endian che sto mettendo in piedi.
>>>>> Il problema è come...
>>>>> potrei definire due gruppi di clients e indirizzarli uno a un ruter
>>>>> uno all'altro...
>>>>> oppure definire una policy di load-balancing tra i due router...
>>>>> dove posso trovare info in proposito?
>>>>>
>>>>>
>>>> http://help.endian.com/entries/20061101-How-to-Add-a-Failover-Internet-Uplink
>>>>
>>>>> Antonello
>>>>>
>>>>>
>>>> --
>>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>>
>>>
>>>
>>>
>>>  bella la 3...
>>> ma visto il tempo e le mie competenze mi sa ch opterò per la 1...
>>>
>>> grazie a tutti
>>> Antonello
>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>> --
>>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>>
>>
>>
>> --
>> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>>
>
> --
> Info/Lamentele/Segnalazioni: andrea.gelmini a gmail.com
>
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20150205/c0139a84/attachment.html>