CiscoForums.it

Salve a tutti
stiamo per realizzare rete VPN tra diverse sedi remote di un cliente.
Questa VPN potrebbe crescere fino a 1000 e più sedi remote.

Ora cosa mi consigliate di usare come classi di indirizzi ip?

io stavo pensando ad una classe A del tipo

Sede 1: 10.0.0.0
Sede 2: 10.0.2.0
Sede 3: 10.0.3.0

ecc

cosa ne pensate?
grazie a tutti gian paolo

Ma il subnetting è diventato un optional?

Dipende dalnumero di neccessario per ogni sede. Potresti anche organizzarli "logicamente" cosi da non appena senti un ip potresti dire la posizione geografica relativa della sede.

Ciao

Subnet di classe C
255.255.255.0

considerando che le sedi remote saranno collegate tra di loro tramite VPN....

Ma il subnetting è diventato un optional?

Con questo indendevo:
ma ti serveono tutti i 254 host ottenuti con un /24?
perche non utilizzi il subnetting "più spinto" viste le future esigenze?
una /26 non ti basta?


Ciao

Potrebbero anche bastarmi i 62 host che si possono ottenere da 255.255.255.192. Ma perche' mi consigli questo tipo di subnet?

E poi alle interfacce di tunnel che subnet assegno?

grazie
Gian Paolo

Non avevi menzionato i 1000 vpn peers? Chiassa se possono crescere? La struttura interna quanto sara grande? Crescera?

Davanti a queste domande mi pongo ma la 10.x.x.x mi basterà?
Sicuramente si!!!

Allora perche utilizzare subnet consecutive??? perche per ogni paese (vedi cosa succede quando non si consce la situazione esatta?!?!?!) o ogni regione non prendo un dei indirizzi di questo tipo:

10.10.3.0 /24 Italia - Toscana - Ufficio Firenze
10.10.4.0/24 Italia - Toscana - Ufficio 2 Firenze
10.1.1.0/24 Italia - Milano Sede Principale

ecc.

dove

10.x Indica la regione
10.x.y indica città o ufficio.

Cosi quando vai a leggere le tue conf sai di che si tratta a colpo d'occhio.

Poi per l'estero potresti utilizzare la privata di classe B

ad esempio

172.16.1.x per Germania e chene so cosa
172.17.2.x per Stati uniti - California
172.17.3.x per stati uniti - Utah


Rendo l'idea?

Interesante come l'argomento se ti va di discuterne via Skype mandami un MP


Ciao

Allora ti descrivo megli lo scenario:

cliente: istituto di vigilanza
scopo della vpn: collegamento sedi remote + sedi clienti per monitorare telecamere ip da centrale.

Gli host in ogni rete non saranno moltissimi.Prima domanda? Conviene usare una subnet /26 ? e se si perche'?

Seconda domanda alle interfacce di tunnel che subnet assegnare?

Io avevo intenzione di usare una classe 10.x.x.x per le reti interne e una classe 172.16.x.x. per le interfacce di tunnel cosi' da avere per sempio:
Sede centrale:
Classe: 10.0.0.0
router: 10.0.0.1
subnet 255.255.255.?
tunnel 172.16.0.1
subnet ?

cosa ne pensi?

Cosidera che in moltissimi punti remoti ci saranno solo il router e un convertitore analogico/digitale per le telecamere provvisto di interfaccia ethernet o al massimo un switch al quale verranno attestate tutte le telecamere.

saluti
gian paolo

Ehhh non è semplice...

e una scelta personale. Io ti consiglierei di utilizzare delle subnet per fare delle /26, non si sa un domani quanti sedi ci possano essere.
Cmq le LAN nelle sedi periferiche possono avere un IP qualsiasi, poi sempre fare un bel NAT anche sui tunnel IPSec.
Che dispositivo pensi di mettere su per far gestire 1000 sedi? Che collegamento a internet hai?


Ciao

Classe A:

10.x.x.x

a te servono 1000 sedi, per sicurezza ritaglia 12 bit di subnet ed il resto è tutto per gli host:

10.x.x.x /20 -> 10.x.x.x 255.255.240.0

MaiO:
Scusami ma io stavo pensando ad una cosa del genre:
Sede Centrale
Classe: 10.0.0.0
router: 10.0.0.1
subnet 255.255.255.192
tunnel 10.128.0.1
subnet ?

In pratica cosa volevo fare: dividere la classe 10.0.0.0 a metà:

da 10.0.0.0/26 a 10.127.255.0.0/26 per le lan interne delle sedi
da 10.128.0.0/? a 10.255.255.0/? per le interfacce di tunnel IPSEc.

Poi basterebbero delle seplici route ed il gioco è fatto.
Se i miei calcoli non sono errati facendo in questo modo potrei avere 32.640 reti diverse.

SithDrew: Onestamente non ho capito quello che intendi.
Classe A:

10.x.x.x

a te servono 1000 sedi, per sicurezza ritaglia 12 bit di subnet ed il resto è tutto per gli host:

10.x.x.x /20 -> 10.x.x.x 255.255.240.0



Altra cosa questo è un progetto che crescerà con il tempo, al momento ho un contratto dove devo consegnare la vpn tra tre sedi.
Visto che i collegamenti cresceranno mano mano al momento per il centro stella ho previsto un 1841 con c1841-advsecurityk9-mz.124-4.T.bin.
Ha fià un firewall integrato e due eth cosi' nel caso in cui avessi bisogno di una dmz ho la possibilità di implementarla.
Per le sedi perifieriche ho previsto 2 837.
La scelta dell'hardware è stata spinta ahce dal fattore economico in quanto il cliente ancora nuove deve prima poter apprezzare con mano le funzionalità di una infrastruttura del genere e poi possiamo espanderci quanto piu' vogliamo ma al momento ho dovuto dargli un prodotto di buona qualità ad un costo contenuto.
In seguito se la cosa andrà avanti questo router lo passeremo su una sede remota e qui metteremo un firewall e un buon router.

Approposito, con il 1841 quante vpn riesco a gestire?

Scelta del router di core PESSIMA....ALMENO un 2611XM...

Il router di cor al momento con 2 punti remoti penso vada bene.... in futuro all'aumentare dei punti sicuramente prevedero' qualcosa di adeguato che magari mi consiglierete.

Ora la cosa che mi preme è la definizione delle classi di indeirizzi ip.
Sono consapevole che progettare una vpn von 1000 punti remoti non è cosa semplice.
Al momento al centro stella e alle 2 periferie ho delle ADSL interbusiness 1280 / 256 kbps ma ho già contattato il commerciale telecom per farmi studiare una soluzione adeguata in termini di banda.

mi spieghi perche' mi hai consigliato una subnet 255.255.240.0 su una classe 10.0.0.0 ? e mi fai un esempi protico di classe interna da assegnare ad un nodo e ip del tunnel?

grazie tantissimo
gian paolo

Ehhh non so quante ne reggerà cmq...

Hai sentito per caso la telecom sulle offerte MPLS Hyperway??? Potrebbero fare il caso tuo.

Riguardo al core router ti consiglierei un PIX.

Per il resto magari stasera che sono in ufficio e non posso dedicarmici e raggionare a fondo.

Ciao

Rimango dell'idea che 1000 e più sedi sono decisamente troppe !!!!
e che anche un 26xx sia piccolino !!!.
Dato che ho seguito una rete bancaria vi garantisco che dovete
andare su un router un pò più performante.