PDA

View Full Version : Due o piu reti sullo stesso hardware


cagnaluia
16-05-2007, 14:50
Ciao,

mi chiedevo se era possibile creare due o piu reti usufruendo dello stesso hardware... switch, router, etc...

lo chiedevo per una cosa relativamente semplice...

1. mantenere sul cablato la rete esistente.

2. dividere una rete "virtuale" per tutti quelli che sono gli accessi dagli AP wireless (che poggiano appunto sugli stessi switch della rete cablata).

3. dividere una rete "virtuale" per macchine operatrici-produzione/videocamere/servizi (che non rientrano nell area PC + stampanti + server, ma che poggiano sempre sugli stessi switch della rete cablata e cablati sono anche loro..)

4. come la 3. ma dividendo gli apparecchi VoIP.

più o meno.. per rendere PULITO lo schema concettuale della rete.... e magarai mantenere un certo controllo sulle varie aree (PC | AP | produzione | VoIP ).

BTS
16-05-2007, 15:31
credo che l'idea migliore sia fare tutti ip aliasing e poi limitare i diritti tramite firewall

Sholn
16-05-2007, 15:46
credo che l'idea migliore sia fare tutti ip aliasing e poi limitare i diritti tramite firewall

mi interessa anche a me, mi faresti un esempio pratico se hai tempo?

cagnaluia
16-05-2007, 16:27
mi interessa anche a me, mi faresti un esempio pratico se hai tempo?

tramite firewall?

l'unico firewall che ho è quello tra la RETE e internet...

io intendo prendere la RETE che gia esiste... e virtualmente DIVIDERLA su piu piani..
Ogni piano ha delle caratteristiche.
(Ogni piano avrà uno spazio di indirizzi? questa la butto la...)
Ogni piano ha delle funzioni logiche (i PC ufficio con le stampanti, le wireless con i portatili collegati, le videocamere IP, le macchine-operatrici).

TUTTI questi piani però.. divisi "virtualmente" poggiano sulla stessa rete hardware...

Tutti questi piani possono essere REGOLATI da opportune policy di visibilità tra utenti (non so se questo Windows2003server può farlo). Per esempio.. l'utente pincopallino appartenente al gruppo "palla" SE non è autorizzato, NON deve accedere al piano "y".. altri possono farlo. Chi si collega senza alcuna autorizzazione non deve poter far nulla...




tra le mille cose, quello che non capisco è....
...server dell'hardware ad HOC a livello swich?

BTS
17-05-2007, 07:15
appunto, col fierwall LAN del router

cagnaluia
17-05-2007, 07:53
appunto, col fierwall LAN del router

scusami.. ma il firewall è un firewall hardware che filtra le richieste da esterno (internet) vanno verso l'interno (rete).

il firewall è appena dietro il router della cisco, installato da Telecom, alicebusiness.

il firewall NON è collegato direttamente alla rete.. ma ad un computer/server.

Il computer/server è collegato alla rete interna e al firewall hardware.
Su questo server c'è il servizio websense (su win2003) per il filtraggio delle richieste interne (rete) verso l'esterno (internet).


Io non penso che quel firewall hardware serva a qualcosa (meno che fare da firewall come ho spiegato).

BTS
17-05-2007, 09:28
ah, io pensavo al classico firewallino dei router che ti fa anche sbaghinare nella lan interna

Rottweiler
17-05-2007, 13:11
A mio avviso l'ip aliasing è una mostruosità di suggerimento: segmentare una rete ha il primo scopo di dividere i domini di broadcast per cui è una buona cosa, ma proprio perché dividi.

quello che vuoi fare si può tranquillamente fare tramite gli switch, se sono layer3 tramite il routing, oppure puoi fare delle VLAN tagged se i tuoi dispositivi le supportano (gli switch, certo, ma magari controlla se il videoserver funziona con questa tecnologia).

Se il tuo firewall gestisce più routes puoi fare le VLAN separate e gestire il routing dal firewall (configura una porta del firewall per ogni VLAN)

Sholn
17-05-2007, 16:06
A mio avviso l'ip aliasing è una mostruosità di suggerimento: segmentare una rete ha il primo scopo di dividere i domini di broadcast per cui è una buona cosa, ma proprio perché dividi.

quello che vuoi fare si può tranquillamente fare tramite gli switch, se sono layer3 tramite il routing, oppure puoi fare delle VLAN tagged se i tuoi dispositivi le supportano (gli switch, certo, ma magari controlla se il videoserver funziona con questa tecnologia).

Se il tuo firewall gestisce più routes puoi fare le VLAN separate e gestire il routing dal firewall (configura una porta del firewall per ogni VLAN)

questo significa dividere in sottoreti ? scusate se mi intrufolo ma mi interessa molto questo thread!

BTS
17-05-2007, 16:29
dividere le reti in maniera netta sarebbe proprio cambiare subnet ed ip ai vari pc, proprio riprogettarla da zero.
E poi comunque il firewall va settato che gli host della prima (meno privilegiata) non raggiungano gli ip particolari (stampanti ecc.) della seconda. host per host!
a mio avviso antovale restare sulla stessa rete, fare un alias su una rete diversa e bloccare l'accesso tra una e l'altra, solo gli host della rete privilegiata potranno raggiungere tali risorse senza che quelli della prima possano, ma comunque i pc risulteranno comunque nella stessa rete.
non vi piace?

Rottweiler
17-05-2007, 16:30
Non necessariamente, me se dividi in sottoreti diverse è sempre buona norma separare il traffico sugli switch.
Puoi puoi decidere di gestire i permessi tramite tramite gli switch stessi, il firewall, il server... dipende.

Separare le reti è sempre una buona norma, ti facilita l'amministrazione e soprattutto ti permette di individuare ed isolare molto più facilmente eventuali problemi (oltre che evitartene altri;))

Rottweiler
17-05-2007, 16:39
non vi piace?

Perdonami BTS: no non mi piace.. ma proprio per niente.
Dividere in sottoreti è una cosa banale. fare un'accozzaglia di traffico e poi limitarlo col firewall mi sembra concettualmente sbagliato.
Appena la tua rete sarebbe un minimo grande scommetterei che avresti non pochi problemi.

Sholn
17-05-2007, 18:00
Non necessariamente, me se dividi in sottoreti diverse è sempre buona norma separare il traffico sugli switch.
Puoi puoi decidere di gestire i permessi tramite tramite gli switch stessi, il firewall, il server... dipende.

Separare le reti è sempre una buona norma, ti facilita l'amministrazione e soprattutto ti permette di individuare ed isolare molto più facilmente eventuali problemi (oltre che evitartene altri;))

cosa intendi per non necessariamente? (riferito alle sottoreti)

Rottweiler
17-05-2007, 18:13
Scusami, la mia era una risposta al tuo messaggio.
Puoi dividere in sottoreti configurare le lan sugli switch e puoi configurare le vlan senza dividere in sottoreti.. per questo dicevo non necessariamente.

Ma è buona norma fare entrambe le cose: dividere le reti e configurare le vlan sugli switch.

BTS
17-05-2007, 22:07
anche io sono dell'opinione che sia una porcheria, ma forse è la cosa più facile, non da fare, ma da gestire