Ciao, questo è il mio quesito:
ho 1 sw2950 su una LAN e vorrei configurargli 2 vlan, una per traffico LAN+WAN ed una solo per fare traffico WAN (consulenti). L'isp è fastweb con il suo pirelli che rilascia 2 ip nattati. Che apprato mi consigliate di inserire tra fastweb e il 2950? Router? Ci sono apparati + "casalinghi" che raggiungono lo stesso obiettivo? Che tipo di interfaccia si deve "affacciare" al pirelli fastweb? Ethernet?
Grazie.
configurare due vlan x connettività a Fastweb
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In sostanza vuoi un fw che gestisca wan, lan e dmz...?!
Per spendere poco si c'è qualche "firewallino" economico che gestisce la dmz.
Se invece vuoi stare in ambito Cisco va bene un asa 5505 con ios plus x la gestione della dmz
Per spendere poco si c'è qualche "firewallino" economico che gestisce la dmz.
Se invece vuoi stare in ambito Cisco va bene un asa 5505 con ios plus x la gestione della dmz
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
afiammenghi
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 12 dic , 2006 8:21 am
- Località: Roma
Grazie per la risposta. Ma è possibile far uscire in wan le diverse tipologie di apparati messi su un unico 2950? Devo implementare l'Ivlan routing secondo te? L'asa no, è un apparato sovradimensionato per la mia realtà. Consigli?
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Attendiamo zot che in questo ambito ne sa
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
ep
- Network Emperor
- Messaggi: 260
- Iscritto il: sab 06 dic , 2008 11:36 am
Se ho capito bene, tu vorresti che:
1. tutti gli "interni", i dipendenti, possano comunicare tra loro e con Internet, ma siano isolati dai consulenti
2. tutti i consulenti possano soltanto accedere a Internet ma non comunicare tra loro o con la LAN degli interni
3. tutti escano tramite il router di Fastweb, che però lascia uscire al massimo due client.
Una soluzione, se non vuoi comprare un ASA, potrebbe essere utilizzare un PC con m0n0wall o pfSense, che credo siano la soluzione migliore come combinazione di potenza, semplicità e stabilità.
1. configuri tutte le porte degli interni su una vlan, diciamo 10
2. configuri tutte le porte dei consulenti su di un'altra vlan, diciamo 20, con in più "switchport protected"
3. configuri una porta per il router Fastweb su una terza vlan, diciamo 30
4. configuri una porta come trunk per tutte e tre le VLAN, e ci attacchi il PC con m0n0wall.
A questo punto ti resta la configurazione di m0n0wall; durante il setup, sulla scheda di rete fisica potrai creare le 3 VLAN, e configurare per ciascuna il firewall in modo che 10 e 30 comunichino, così come 20 e 30, ma non 10 e 20.
Ciao!
1. tutti gli "interni", i dipendenti, possano comunicare tra loro e con Internet, ma siano isolati dai consulenti
2. tutti i consulenti possano soltanto accedere a Internet ma non comunicare tra loro o con la LAN degli interni
3. tutti escano tramite il router di Fastweb, che però lascia uscire al massimo due client.
Una soluzione, se non vuoi comprare un ASA, potrebbe essere utilizzare un PC con m0n0wall o pfSense, che credo siano la soluzione migliore come combinazione di potenza, semplicità e stabilità.
1. configuri tutte le porte degli interni su una vlan, diciamo 10
2. configuri tutte le porte dei consulenti su di un'altra vlan, diciamo 20, con in più "switchport protected"
3. configuri una porta per il router Fastweb su una terza vlan, diciamo 30
4. configuri una porta come trunk per tutte e tre le VLAN, e ci attacchi il PC con m0n0wall.
A questo punto ti resta la configurazione di m0n0wall; durante il setup, sulla scheda di rete fisica potrai creare le 3 VLAN, e configurare per ciascuna il firewall in modo che 10 e 30 comunichino, così come 20 e 30, ma non 10 e 20.
Ciao!
-
afiammenghi
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 12 dic , 2006 8:21 am
- Località: Roma
Grazie per questo tipo di soluzione EP, la prenderò seriamente in considerazione.
Comunque i client che escono in wan non sono solo 2 ma molti di più, forse mi sono spiegato male inizialmente.
Avrei preferito però poter magari utilizzare un router che facesse uscire "locali" e "stranieri" e che facesse l'IVrouting per la separazione delle Vlan interessate, non credo non sia fattibile anche questa soluzione vero? E non devo prendere in considerazione un device di fascia alta, giusto?
Comunque i client che escono in wan non sono solo 2 ma molti di più, forse mi sono spiegato male inizialmente.
Avrei preferito però poter magari utilizzare un router che facesse uscire "locali" e "stranieri" e che facesse l'IVrouting per la separazione delle Vlan interessate, non credo non sia fattibile anche questa soluzione vero? E non devo prendere in considerazione un device di fascia alta, giusto?
-
ep
- Network Emperor
- Messaggi: 260
- Iscritto il: sab 06 dic , 2008 11:36 am
In effetti io avevo capito che ci sono molti client, ma che il router di Fastweb prevede l'assegnazione soltanto di due indirizzi IP. Questo non sarebbe affatto un problema, in ogni caso!
Una soluzione del tipo che ti ho prospettato è molto flessibile; infatti, il "PC con m0n0wall" a cui mi riferisco è un router a tutti gli effetti, con un (bel) po' di funzionalità aggiuntive. Il software in questione ti consente di permettere o di proibire l'uscita verso Internet di ciascuna VLAN e addirittura di ciascun IP interno di tale VLAN, così come ti consente di permettere o di proibire la comunicazione tra le varie VLAN.
Può fare anche molte altre cose; come per esempio, l'autenticazione con captive portal per tutti o alcuni degli utenti. Se un giorno tu dovessi autenticare i consulenti con nome e password prima di farli uscire su internet, potresti farlo.
Siccome il 2950 è di "fascia bassa" (ne ho uno proprio per quello
) non è L3 e non gestisce l'inter-vlan-routing da solo, ma il software in questione può farlo tranquillamente. Di default, VLAN diverse *sono* separate e non comunicano tra loro, ma una soluzione di questo tipo è un "router-on-a-stick", cioè un router con una sola interfaccia di rete fisica (proprio grazie alle VLAN) e, se tu lo consenti nelle impostazioni del firewall, fa comunicare le varie VLAN.
Se non è chiaro… chiedi pure!:)
Ciao!
Una soluzione del tipo che ti ho prospettato è molto flessibile; infatti, il "PC con m0n0wall" a cui mi riferisco è un router a tutti gli effetti, con un (bel) po' di funzionalità aggiuntive. Il software in questione ti consente di permettere o di proibire l'uscita verso Internet di ciascuna VLAN e addirittura di ciascun IP interno di tale VLAN, così come ti consente di permettere o di proibire la comunicazione tra le varie VLAN.
Può fare anche molte altre cose; come per esempio, l'autenticazione con captive portal per tutti o alcuni degli utenti. Se un giorno tu dovessi autenticare i consulenti con nome e password prima di farli uscire su internet, potresti farlo.
Siccome il 2950 è di "fascia bassa" (ne ho uno proprio per quello
) non è L3 e non gestisce l'inter-vlan-routing da solo, ma il software in questione può farlo tranquillamente. Di default, VLAN diverse *sono* separate e non comunicano tra loro, ma una soluzione di questo tipo è un "router-on-a-stick", cioè un router con una sola interfaccia di rete fisica (proprio grazie alle VLAN) e, se tu lo consenti nelle impostazioni del firewall, fa comunicare le varie VLAN.Se non è chiaro… chiedi pure!:)
Ciao!
-
afiammenghi
- Cisco fan
- Messaggi: 42
- Iscritto il: mar 12 dic , 2006 8:21 am
- Località: Roma
Tutto chiarissimo, grazie.
Ultima cosa: m0no0wall è linux based?
Ultima cosa: m0no0wall è linux based?
-
ep
- Network Emperor
- Messaggi: 260
- Iscritto il: sab 06 dic , 2008 11:36 am
m0n0wall e pfSense sono basati su FreeBSD. Un'alternativa basata su Linux è Zeroshell. Comunque i primi due sono progetti più anziani e rodati e avendoli usati in produzione posso "garantire", su Zeroshell posso dire che ha più features, ma non ho esperienza diretta
Ciao!
Ciao!
