CiscoForums.it

Ciao a tutti,
sto progettando una rete, LAN ad 1Gbit con accesso ad Internet SDSL e locale di backup remoto collegato con una VPN tramite ADSL.

Cerco di descrivere la struttura della rete ed il materiale che ho previsto:

LAN a 1Gbit utilizzando 2 "Catalyst 2960-24 Switch 20x 10/100/1000BaseT RJ-45 4x T/SFP LAN Base Image (WS-C2960G-24TC-L)" collegati a cascata tramite la porta uplink.

Router "Cisco 2821 Security Bundle 2x 10/100/1000BaseT/1x NM-Slot 4x Open HWIC/WIC/VWIC Slots (CISCO2821-SEC/K9)" con modulo "Cisco 1 Port SHDSL Wan Interface Card with 4-wire (WIC-1SHDSL-V3)" per la connessione principale SDSL e "Cisco 1-Port ISDN Interface Card (WIC-1B-S/T-V3)" per la linea di backup.

Router "Cisco 857 Security Router ADSL 4x 10/100BaseT RJ-45 Port (CISCO857-K9)" per il locale di backup remoto.

Le mie domande:
_ mi piacerebbe avere un vostro parere sul materiale scelto, se è sovradimensionato o è ideale.
_ i due router funzionano per una VPN site-to-site tra loro o necessito altro ?
_ è possibile nel router 2821 configurare degli account VPN per gli utenti mobili ? di che tipo (IPsec, PPTP)?
_ il software IOS versione Security, è sufficiente per proteggere la rete o sarebbe meglio strutturare in altro modo la rete aggiungendo un ulteriore firewall ?
_all'inizio volevo prendere il router 2811, con le 2 porte a 10/100Mb, ma poi ho pensato che se un giorno devo utilizzare la seconda porta per un'altra subnet ad 1Gbit, oppure creare delle VLAN, avendo messo gli switch ad 1Gbit mi sarei trovato con un collo di bottiglia, ragionamento giusto ?

Vi ringrazio per i consigli e complimenti il forum !

Ciao
Luca

lluca ha scritto:_ mi piacerebbe avere un vostro parere sul materiale scelto, se è sovradimensionato o è ideale.

Mi paiono buone scelte.

lluca ha scritto:_ il software IOS versione Security, è sufficiente per proteggere la rete o sarebbe meglio strutturare in altro modo la rete aggiungendo un ulteriore firewall ?

Vista la proporzione della rete...direi che sono da prevedere almeno 2 firewall.

e dove lo metteresti il secondo firewall, visto che con una porta SHDSL esci direttamente su Internet, mentre con una porta da 1Gbit (o tutte le due porte) arrivo direttamente nella LAN ?

Penso che devo eliminare il modulo SHDSL, utilizzare la porta 1Gbit per la WAN che va verso un firewall e poi un ulteriore router SDSL per il collegamento finale ad internet.

No, il firewall lo metteresti tra la LAN del router e la porta sullo switch.
Potresti configurarlo in transparent mode per non doverlo usare come default GW oppure potresti decidere di diversificare le subnet SWITCH/FIREWALL e FIREWALL/ROUTER

Non so perchè ti venivano consigliati due firewall .....
*uno nella lan "ufficiale" e uno nella remota
*due nella stessa lan per avere ridondanza ...

due firewall erano intesi nella rete principale, uno è quello del IOS versione security e l'altro firewall è aggiuntivo.

Ma dove posso trovare maggiori informazioni al riguardo del IOS versione Security ?
Secondo me è sufficiente quello, da quanto ho letto, sembra essere un firewall in piena regola... si può attivare pure l'IDS ed altre funzioni interessanti di sicurezza....
Inoltre non sono ancora riuscito a capire che tipo di VPN si possono creare
(IPSec, PPTP), come (site-to-site, mobile-to-site) ...

Ciao e grazie

Luca

Qualcuno mi sa dare una risposta a queste domande ? Vi ringrazio !

lluca ha scritto: _ è possibile nel router 2821 (o 2811) configurare degli account VPN per gli utenti mobili ? di che tipo (IPsec, PPTP)?
_all'inizio volevo prendere il router 2811, con le 2 porte a 10/100Mb, ma poi ho pensato che se un giorno devo utilizzare la seconda porta per un'altra subnet ad 1Gbit, oppure creare delle VLAN, avendo messo gli switch ad 1Gbit mi sarei trovato con un collo di bottiglia, ragionamento giusto ?

Le VPN per 2811 o 2821 li puoi gestire tranquilamente a patto che tu abbia una versione di ios adeguata.

Riguardo il 2821 e la porta a gb penso che per il lavoro che deve svolgere sia troppo grande. POsso dirti che su 2811 in un azienda tengo su 33 telefoni, 10 vpn ipsec, 2 WAN, con FW attivo e chi più ne ha più ne metta e non presenta dei problemi prestazionali o e overload del proc. Pertanto fai due conti.

Ciao

Grazie MaiO,
effettivamente se riesco a contenere i costi è meglio e tra il 2811 ed il 2821 c'è una bella differenza di prezzo!

Come versione IOS, va bene quella inclusa nel Cisco 2811 Security Bundle, articolo nr. CISCO2811-SEC/K9, giusto ?

Si, per le VPN si. Cmq anche un 1841 per il tuo scopo può andere più che bene, ad esempio CISCO1841-SECK9 o CISCO1841SHDSL3.

Ciao

Anche qual'ora dovessi rinunciare a creare la VPN tra la sede principale ed il locale remoto per il backup e mettere una linea dedicata, penso che il 1841 potrebbe andar bene ?

Utilizzerei comunque il modulo SHDSL per l'accesso ad internet, mentre la 2a porta 10/100 la utilizzerei per andare sul router del provider della linea dedicata (se non mi danno i dati per configurare la mia porta direttamente).

Ma questi router (1841, 2811), hanno pure un'interfaccia web per la gestione ?

Si può andar bene anche senza rinunciare alla VPN.

Si, sia la serie 1800 che la 2800 si avvalgono del Cisco SDM (oltre alla CLI) per la configurazione.

Stavo rilegendo il tuo post, gli switch scelti sono troppo "grandi" per il tuo scopo. Prova con questi WS-CE500-24TT, WS-C2950T-24 o WS-C2960-24TT-L, il risparmio non è indifferente.

Ciao

MaiO, mi sconsigli quindi l'utilizzo delle porte ad 1Gbit per i pc ?

Nel frattempo ho trovato un documento Cisco http://www.cisco.com/application/pdf/en ... 169b7c.pdf
il quale parla delle dimensioni delle aziende (nr. utenti) e relativo router da utilizzare.

Il router 1841 lo indicano per una rete con meno di 20 utenti... mentre per una rete dai 20 ai 50 utenti consigliano un 2801 o 2811 (pag. 7 del PDF).
Che ti dici ?

P.S.: Mi permetto di continuare la discussione sul forum, magari può servire a qualcun'altro.

Bel documento...comunque sia valuta che loro sono quelli che vendono
I 2600/2800 sono router massicci, riescono a tenere molto più traffico di quello generato da 20 persone.

Non hai bisogno di collegare i client alle porte Gb. Possono servirti per lo stack tra gli switch o per collegare i server.

La cisco consigla 1841 per max 20 utenti?!?! Bisogna vedere cosa faranno questi utenti. Tu quanti ne hai? A che serve il collegamento in shdsl? Sei sicuro che non sia una HDSL? Telecom Italia? Mentre si fa la progettazione le domande da farsi sono infinite pertanto non posso darti un consiglio "perfetto" se non conosco la realtà, le neccessità e piani futuri.

Ciao

Eh si MaiO, secondo il documento sopra menzionato Cisco propone il 1841 fino ad una ventian di utenti. Come dice giustamente SithDrew, è comunque una mossa di marketing, andrà benissimo anche fino a 30-40 utenti a dipendenza di cosa fanno.

Per darti un'idea di cosa devo fare:
Devo realizzare una nuova rete, cablaggio Cat. 7, 20 utenti di partenza, ma potranno aumentare...

20 PC HP dc5100 con scheda di rete 1Gbit
1 server HP Proliant ML 350R per con SBS2003 NIC a 1 Gbit

Il collegamento è di tipo SDSL 1200/1200 o 1800/1800 (velocità disponibile in Svizzera) e serve per potersi collegare ad Internet e ad un datacenter remoto via VPN per fare il backup su NAS DL100 G2 Storage DP 1TB Data Protection Storage Server.
Nel datacenter (telehousing) sarà messo a disposizione una presa RJ45 per collegarsi al backbone del provider, quindi metterei un 871 per la VPN e la sicurezza.

Se in base a questi dati, hai dei consigli da darmi, sono benvenuti.

P.S.: gli switch da te elencati (WS-CE500-24TT, WS-C2950T-24 o WS-C2960-24TT-L) non mi permettono però di collegare il server ad 1 Gbit oppure posso collegarlo alla porta di uplink ?