View Full Version : Progettazione rete con VOIP, VLAN, FIREWALL E PROXY


NEON_GENESIS
19-04-2012, 15:58
Ciao a tutti, come da titolo devo creare una rete ex-novo in azienda;
La rete sara dotata di:
1 o 2 PRI VOIP (PATTON 30 canali),
3 switch Cisco serie 300 da 52 porte,
1 Server con 8 schede di rete ( ma se ne possono sempre aggiungere )
1 Mini-server con 4 schede di rete, anche qui nessun limite alla schede di rete.
Eventuali altri mini-server all'occorrenza.

La rete dovrebbe essere configurata cosi:

Ogni 10 client una VLAN, per un totale di 6 VLAN. ( Chiamiamole "Batteria X")

Una VLAN con 6 client, ognuno che controlla una delle precedenti VLAN. ( Chiamiamola "TeamLeader" )

Una VLAN con X client per l'amministrazione. ( Chiamiamola "Amministrazione" )

Una o più VLAN ( ancora non lo so ) per le VM/Server ( DomainController, Firewall, Proxy, Centralino VOIP + CRM, Router ) ( Chiamiamola/e " Server" )

Allora, i rami della struttura sono semplici, ogni parte dell'azienda è divisa in VLAN in modo da evitare contatti indesiderati, broadcast, mulitcast, ecc... , il problema è che non avendo mai fatto nulla di simile, non conosco alcune cose magari banali come:

Il DC con Server2008R2 vede tutti i client nelle VLAN?
Come faccio a far uscire tutte le VLAN dal Proxy Server e dal Firewall, in modo da riconoscere se sono client, server o amministrazione?
Visto sopra, LDAP mi può dare una mano per la gestione del Proxy? O devo creare un router con un server?
Il Centralino ed il CRM vengono visti internamente anche se è in un'altra VLAN?

Probabilmente ho ancora altre domande ma ora sono un po fuso e non mi vengono in mente....

Per dare qualche suggerimento, ho guardato:
IPCOP
ZEROSHELL
SQUID
FIRESTARTER
altro che ora non ricordo.....

Insomma, devo progettare questa rete e sono solo, non l'ho mai fatto in vita mia e quindi mi tocca disturbare voi del forum....Grazie.

EDIT:
Aggiungo una foto di uno schizzo di quello che dovrebbe essere la rete, ma non conoscendo alcune cose di teoria, come si evince dalle domande che ho fatto, credo che ci siano parecchi errori e mancanze....
http://img339.imageshack.us/img339/6066/nuovarete.jpg (http://imageshack.us/photo/my-images/339/nuovarete.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

stepvr
19-04-2012, 18:03
Mi lascia un po' perplesso il tuo progetto … 2 osservazioni che restano solo delle mie opinioni.


Se un domani 2 di quelle reti in classe C devono parlarsi, cosa fai cambi il mask? E il traffico tra le 2 reti riusciresti a controllarlo?
Dal tuo post interpreto che le VLAN sono terminate sul server domain controller. Quello e' un domain controller, non un router e tanto meno un firewall.

stepvr
19-04-2012, 20:21
Se pensi di costruire n reti sullo stesso cablaggio con solo alcuni punti in comune, e' meglio se fai convergere il tutto sul firewall che poi ti permettera' anche di gestirle con maggior flessibilita'.

Sempre mia opinione.

NEON_GENESIS
19-04-2012, 20:45
...

Grazie per aver letto il mio post :)
Allora, lo schizzo che vedi come descritto è impreciso ed è dimostrazione della mia incompetenza in questo ambito:(.
Comunque, le reti "Batteria X" tra di loro non devono comunicare, ma devono comunicare con i server ( DC, PBX, FW, PROXY ) che sono su altre VLAN, come dovrei configurare il tutto affinché funzioni? Uso IP-COP e metto tutto su GREEN? Poi il DC come fa a vedere i pc in VLAN diverse dalla sua?
Potresti aiutarmi a grandi linee spiegandomi il minimo di teoria che serve ( anche solo la struttura ) e poi mi studio la realizzazione? In rete non ho trovato degli esempi di reti complesse con VLAN, PROXY, DC ecc...per questo ho deciso di scomodare il Forum per aiutarmi a non perdere il posto di lavoro :help:

cisketto
21-04-2012, 13:03
Le VLAN le crei tutte nello Switch e associ le porte in base a dove devono appartenere i Client.

La connessione che va verso l'Host Zeroshell dato che deve portare tutte le VLAN la farai in modalità Trunk in modo che ti porti tutte le VLAN dentro il Firewall e te le gestisci come interfacce da li.(quindi puoi decidere chi far parlare e verso dove)

Il centralino? se metti le policy corrette sul Zeroshell puo essere anche visto da tutti.

Consoderato il traffico che devono sopportare ipotizzerei quantomeno un link multiplo attivo attivo(Portchannel ammesso che zeroshell lo gestisca)

Poi altra cosa sull'indirizzamento.

Se hai solo 10 Host non ti conviene usare una classe C per VLAN.

Basta fare un corretto subnetting e risparmi indirzzi.

per esempio 6 vlan da 10 host son 60 host!!! 255 IP per vlan sono un po tanti risparmiar non fa mai male.
risolvi tutto sezionando un unica 192.168.0.0/24 in

192.168.0.0/28 16 IP
192.168.0.16/28 16 IP

E cosi via...tanto ammesso e non concesso che qualcuno vuole fare il furbo e cambiare la subnet lo stesso non comunica con gli altri dato che hai un firewall.

Saluti

nuovoUtente86
22-04-2012, 17:34
Non trovo alcuna logica valida sulla distribuzione delle VLAN. Il progetto è sicuramente da rivedere.