CiscoForums.it

Buondi!

Volevo fare un paio di domandone...

1) Considerando un Sito fisico, avente due connettività:

a) sHDSL 4mbit simmetriche (mcr 200)
b) aDSL 2048/512 (mcr 200)

qua abbiamo un range /29 con dei server, che in base alla connettività che
cade, si auto-ruota sulla secondaria, o la "a" o la "b".

Attualmente dispongo dei seguenti modelli, e non ho possibilità di
acquistarne di nuovi e recenti:

2x2650 (32F/128D) 12.4 a scelta
1x2621XM (48F/256D)
2x2611 (16F/32D) 12.3(24) o (25)
1x2610 (16F/32D) 12.3(25) ADVSECURITYK9
1x837 (12F/48D) 12.4(17) ip plus frw


---------------------
Ho in mente le seguenti soluzioni:

PREMESSA:
sul router perimetrale ci gira giusto qualche ACL di sgrosso (le ACL
classiche anti-spoofing) e qualche rule di IOS/IDS e CBAC in entrata. no VPN
no NAT niente.

Soluzione A:

Router perimetrale C2650, con WIC-ADSL + WIC-1SHDSL-V2
la Fast0/0 ha il primo ip del range /29
uno degli altri ip del range sarà di un altro router (IDEALMENTE tipo 2611
con doppia eth/fast-eth) che fa da terminatore vpn e da NAT.



tengo l'altro con configurazione identica e stesse WIC da cambiare in
diretta in caso di casini (non so come implementare l'HSRP in quanto ho 2
connettività wan)

Soluzione B:

1x2650 + 1x2650 - ognuno gestisce una connettività, mi sa di cacata pazzesca
in quanto uno solo di questi router è in grado (a mio parere secondo i
datasheet) di gestirle entrambe.

Soluzione C:

Router perimetrale C2621XM con WIC-ADSL + WIC-1SHDSL-V2
(secondo me è uno spreco assurdo)



-----------------------------------------
Avrei trovato un bel 3620 in giro.. considerando che potrei espandere con
pochissimi euro la memoria, portandolo a 16F/64D, e avendo già in casa qui
una NM che integra 2wic+1eth, e avendo sottomano anche
due moduli NM-4E e anche un NM-FE-TX ...mi domandavo se poteva essermi di
qualche utilità rispetto al 2650 o agli altri della serie 2600 (non XM).

Che mi dite, sulla carta un 3620 è praticamente pari ad un 2650... con la
limitazione che il 3620 ha meno RAM e non so fino a che punto posso
spingermi con le IOS nuove. Sul 2650 ho messo le stesse IOS che girano per
gli XM, senza problemi (ovviamente io ragiono di montare la IOS con le
caratteristiche minime che mi servono, al fine di risparmiare RAM e
quant'altro), faccio un esempio
Avevo un 2611 con la 12.3(24) IP FRW PLUS 3DES Basic- l'ho sostituita con la
12.3(25) ADVSECURITYK9 e al boot, con la medesima configurazione ho 20mb di
RAM liberi invece che 10 su di un memory pool.
Ho perso (di quello che avevo implementato prima) solamente il tunnel
6-to-4, che onestamente non mi serve a nulla...


Che mi dite???
Quale potrebbe essere la soluzione migliore, e che uso potrei farne ORA di
un 3620 ?


PS: avrei anche modo di avere oltre al 3620, anche un 3640, ma sempre da considerare come apparato puramente perimetrale.

A presto

Guarda io se posso tendo a dividere il più possibile...nel tuo caso farei una cosa del tipo 1 router per sHDSL,1 per ADSL ed un apparato che gestisca la connetività verso entrambi i router "perimetrali".
Potresti usare una cosa del tipo 2 Pfsense configurati in failover e con 2 interfacce WAN...Così facendo stai sicuro che se a livello di connetività non avrai mai problemi(tranne alluvioni,terremoti.... ) .
Se metti le due interfacce DSL su un unico apparato,se a questo gli si brucia l'alimetatore,perdi tutte le connetività....

Ciao, grazie della tua risposta.

Dunque dunque:
il mio ISP, a cui ho spiegato la mia esigenza, cioè di avere un sito con un relativo range /29 SEMPRE raggiungibile, mi ha detto che mi assisterà in fase di installazione per configurare la ridondanza tra le due conettività.
Mi ha spiegato che verranno configurate delle ruote statiche, in caso di caduta della prima linea (e quindi di irrangiugibilità del primo GW della shdsl) tutto verrà girato sulla seconda. Ho spiegato che la mia esigenza non è USCIRE dalla mia rete verso fuori, ma che da fuori continuino ad arrivare dentro, mi ha detto che si fa, e amen, spero di si .

Io quindi potrei utilizzare un apparato solo per la SHDSL e uno per la ADSL
(consideriamo ora per fare un esempio)

1x2650 + WIC-1ADSL
1x2650 + WIC-1SHDSL-v2 o v3.

Bene.
E adesso?
Il primo IP della /29, il cosiddetto GW, dove lo infilo?
considera che avrò uno switch con attaccati i server, i quali avranno sulle relative ETH gli ip pubblici direttamente (e come loro gw il primo ip della /29)

come configuro il resto???

I server per essere raggiungibili da fuori debbono sempre avere la giusta rotta,o meglio in caso di problemi ad un link wan devono sapere come raggiungere l'altro.
Tu dici di avere shdsl 4/4 quindi immagino fastweb che gestisce in toto il loro router...loro configurerebbero na rotta vero il router con connetività ADSL e così i server sarebbero in grado di uscire in caso di problemi al link SHDL.....ma non sarebbero in grado di essere raggiunti dall'esterno perchè cambierebbe il loro IP pubblico.
Per fare in modo che siano sempre raggiungibili,devi essere in grado di gestire i DNS relativi ai tuoi server.
Per Es. se un tuo server si chiama pippo.it questo sarà stato configurato per rispondere un un IP pubblico,se cambia connetività di sicuro cambia anche l'IP pubblico e quindi dovresti avere la possibilità di aggiornare il record DNS che gestisce il tuo dominio pippo.it con il nuovo indirizzo IP.
Se non hai necessità di un dominio di 2° livello (pippo.it appunto)potresti usare un dns dinamico tipo dyndns.org : il tuo dominio diventerà pippo.dyndns.org ma,configurando un programmino sui server(o su un'altro apparato da mettere a fra i router ed i sever) avrai sempre corrispondenza con l'indirizzo IP che useranno i server.

maggiore81 ha scritto: Il primo IP della /29, il cosiddetto GW, dove lo infilo?
considera che avrò uno switch con attaccati i server, i quali avranno sulle relative ETH gli ip pubblici direttamente (e come loro gw il primo ip della /29)

come configuro il resto???

Il discorso "semplicistico" che ti hano fatto mi porta a pensare che non abbiano capito il problema...o meglio se ne fregano.
A meno che anche l'ADSL non sia di Fastweb e facciano routing sulle due linee .....ma non ci credo neanche se lo vedo....
Il primo IP della /29 se lo piglia il router di fastweb e questo sarà il default GW dei tuoi IP pubblici.
Sul router di fastweb essi imposteranno la rotta di backup verso il ruoter ADSL,ques'ultimo però non potrà che nattare il traffico verso i tuoi server perchè non puoi usare gli stessi IP su un'altra linea.

Il consiglio che ti do è quello di usare un altro apparato messo tra i router ed i server che gestisca le rotte ed ,eventualmente anche i DNS.

Comunque cosa pubblichi e quanti dominii?

maggiore81 ha scritto: qua abbiamo un range /29 con dei server, che in base alla connettività che
cade, si auto-ruota sulla secondaria, o la "a" o la "b".

Ma il range /29 a quale connetività è associato?
Quanti IP hai sulla connessione ADSL?

Potresti anche impostare le rotte direttamente sui server a seconda di quello che devi pubblicare..

Ti fermo al volo!!

Io ho una connettività DSL 2048/512 con 1 ip statico.
Tutti i router sono miei.
Attualmente vi è un 837, vabè andrà rimosso probabilmente.

Ho in arrivo una sHDSL 4/4 con 1 ip pubblico di base (associato al router) + un range /29 aggiuntivo.

I server li metto direttamente con gli ip pubblici assegnati alle relative eth, e come gw il primo ip della /29.
nel router (se avessi una sola connettività) imposterei un ip route 0.0.0.0 0.0.0.0 11.11.11.11 (ip punto punto -1)

Di base ogni connettività di questo tipo, RFC1483 con 1 unico ip, assegno l'ip pubblico alla atm0.1

ti faccio un esempio pratico cosi ci capiamo:
Connettività ADSL:
ip assegnatomi 88.88.88.6
ip punto punto 88.88.88.5
connettività di tipologia RFC1483


io andrò a configurare:
int eth0 192.168.0.254
int atm0.1 88.88.88.6
faccio nat overload dalla atm0.1 alla eth0
ip route 0.0.0.0 0.0.0.0 88.88.88.5
-----------
nel caso mi diano un range da 8 aggiuntivo
mi dicono: il tuo range è:
77.77.77.208/29
quindi esempio sulla eth1 del router imposto
77.77.77.209 255.255.255.248
la riga di route generale la lascio cosi come sopra.



------------------------------------------

Dovrò avere raggiungibili nell'ordine:
webserver
sql server
mailserver (i backup mx sono 2 e sono in due siti fisici diversi)
router che mi fa da vpn punto punto tra la lan e un'altra mia sede

Il fornitore in questione è KPNQWest, ho parlato direttamente con il loro capo NOC e gli ho spiegato il problema, ha preferito l'uso di rotte statiche piu che protocolli piu complessi come il BGP.

I router, i cui modelli ti ho elencato al primo post, sono tutti di mia proprietà e a mio esclusivo controllo e gestione. Loro mi forniranno assistenza in fase di installazione per la configurazione (da contratto)

Ti faccio un riassuntone:




Ho due connessioni:
1) shdsl 4mbit e 1 ip pubblico
2) adsl 2/512 e 1 ip pubblico
3) entrambe RFC1483 e anche ho una /29 assegnata

Ho parlato con l'ISP e configurando sul mio router delle rotte statiche esco con una o con l'altra connettività, idem i miei ip /29 saranno raggiungibili sulla connettività 1 o 2 in base alla raggiungibilità rilevata (presumo con keepalive, non mi configurano bgp).

Io sono messo cosi:

situazione A:

router con 2 WIC
atm0.1 ip shdsl
atm1.1 ip adsl
eth0 primo ip /29
----------

teoricamente tutto funziona.

Se però mi si cuoce il router io sono isolato.

Volevo fare cosi:
Situazione B:
router 1 - wic shdsl

router 2 - wic adsl

sulle relative eth volevo fare una sorta di HSRP e avere come ip virtuale il primo ip utile della /29 (il gw)

ho bisogno che i miei server a valle abbiano forzatamente l'ip pubblico direttamente sulla eth.
il nat sulla mia lan lo faccio tramite un 2611 che sta su uno degli ip pubblici della /29.

Idealmente cosi:

R1 R2
| |
| |
\ /
\ /
VIRTUAL IP (primo della /29)

|
switch (entrambe le eth dei router connesse allo sw)
e relativi server.

in questo modo ho si come punto di failure lo switch ma quello penserò di rindondarlo in futuro.
se nei router ho anche una eth2 , farò un bridge group e ogni porta la metto in uno switch diverso (2 in tuto saranno)
i server avrano 2 sk di rete, in teaming cosi saranno connesse ad uno switch diverso.

ORA MI DOMANDO:

che protocollo uso per fare il failover dei router (ognuno con la sua connettività)? HSRP? va bene.. ma come imposto sul virtual il primo ip della /29 ?

come imposto il gw della /29 in modo che i server usino lui come gw predefinito e abbiamo gli ip pubblici sulle eth?