Esperti di switch

[misterx]

Sono in una rete di classe C ed usciamo su internet attraverso un proxy server. Mappando la mi rete ho visto che esistono parecchi switch di questo tipo:
http://www.cisco.com/en/US/products/...627/index.html

avendo in mente una configurazione(cablaggio) di tipo seriale nel senso che, io ho in mente la seguente configurazione semplicistica di una rete che è:

interner<--->modem<--->firewall<--->proxy<--->switch<--->client......

Nel caso reale invece, mi pare che gli switch e idem il proxy, non sia connesso in modo seriale, ma direttamente connesso ad uno switch in una posizione qualunque.

Il mio dubbio è: se devo controllare attraverso il proxy gli accesso ad internet ed il collegamento non è di tipo seriale, significa che gli switch che ho evidenziato nel link sono programmabili e cioè, se vedono un certo tipo di traffico vengono settati per dirigerlo sul proxy ????

grazie 1000

[BTS]

credo di no...

comunque sia il fatto che il proxy sia messo a valle degli switch (diciamo allo stesso strato dei client) non pregiudica il funzionamento del medesimo.


che ip di gateway hanno i client?

[hmetal]

ma se il proxy lo imposti sul client, in qualunque posto il client si troverà sarà comunque obbligato a raggiungere il proxy per navigare.

Ovvio che sul firewall l'unico host abilitato a gerare traffico http dovrà essere il proxy.

per la cronaca non ti server un 2950

ciao

[misterx]

Quote:

Originariamente inviato da hmetal

ma se il proxy lo imposti sul client, in qualunque posto il client si troverà sarà comunque obbligato a raggiungere il proxy per navigare.

Ovvio che sul firewall l'unico host abilitato a gerare traffico http dovrà essere il proxy.

per la cronaca non ti server un 2950

ciao

ed hai ragione, che sbadato

[misterx]

Quote:

Originariamente inviato da BTS

che ip di gateway hanno i client?

192.168.4.1

[BTS]

beh, a dire il vero quelli per me sono solo 4 numeri.

intendevo se come gateway usavi il proxy....

[misterx]

Quote:

Originariamente inviato da BTS

beh, a dire il vero quelli per me sono solo 4 numeri.

intendevo se come gateway usavi il proxy....

no, c'è un 3550 della cisco

[Ilpastore]

infatti nella stragrande maggioranza dei casi non si fa tutto a cascata, come hai disegnato tu... (non dire SERIALE... mi confondi)

Il proxy in genere si mette in una DMZ che dovrà gestirti l'apparato che ti fa routing (ex. firewall)

Una classica configuraione di proxy potrebbe essere una cosa del genere:

- Internet ->
- Router ADSL in bridge ->
- FIREWALL (in modalità ROUTING ed in WAN con PPPoE) ->

porta 1 del Firewall -> LAN INTERNA
porta 2 del Firewall -> DMZ con il server access-proxy (ex. squid)

- - - - -

Come gateway imposti cmq il firewall, per l'uscita, ma che succede, una volta che la tua richiesta arriva al FW, lui inoltra la riciesta al proxy che ti deve Autenticare (magari in un radius) e poi puoi andare...

Se invece fai come avevi disegnato tu devi fare doppio routing; sia nel firewall, sia nel proxy e ti incasini di molto....

[hmetal]

Quote:

Se invece fai come avevi disegnato tu devi fare doppio routing; sia nel firewall, sia nel proxy e ti incasini di molto....

Non è proprio vero nel senso che la DMZ non è pensata a questo scopo; se utilizzi il proxy in DMZ e poi rispedisci indietro al firewall, è un uso "alternativo" della dmz ma non è quello nativo. Comunque si puo fare anche cosi.

Se il proxy è in lan (come di solito è) non devi fare nessun tipo di routing.

ciao

[Ilpastore]

Quote:

Originariamente inviato da hmetal

Non è proprio vero nel senso che la DMZ non è pensata a questo scopo; se utilizzi il proxy in DMZ e poi rispedisci indietro al firewall, è un uso "alternativo" della dmz ma non è quello nativo. Comunque si puo fare anche cosi.

Beh dipende dalla definizione esatta ce TU dai alla DMZ.. io, a parte quello che si dice sui libri, l'ho sempre cosiderata come una sorte di LAN2 (o più di una ne caso si usassero più di una DMZ)
Tanto poi nelle regole di routing e di firewalling avrai LAN-to-DMZ; WAN-to-DMZ; ecc... quindi mi dissocio da quello che i libri ci insegno come: DMZ=zona non protetta. Alla fine come visto sopra le fai cmq tu le regole di entrata/uscita, sia per la WAN, che per LAN, ma anche per DMZ.

Quote:

Originariamente inviato da hmetal

Se il proxy è in lan (come di solito è) non devi fare nessun tipo di routing.

Questo è quello che avevo già scritto io ed è questo l'importante.

[utente_medio_]

puoi usare un firewall che abbia il proxy integrato per una cosa poco complessa...

sugli switch (la maggior parte) puoi impostare delle Vlan che permettono di "programmare ed assiocare" porte dello switch ad una determinata rete ed avere piu reti che girano sullo stesso switch..

[hmetal]

Quote:

Beh dipende dalla definizione esatta ce TU dai alla DMZ.. io, a parte quello che si dice sui libri, l'ho sempre cosiderata come una sorte di LAN2 (o più di una ne caso si usassero più di una DMZ)
Tanto poi nelle regole di routing e di firewalling avrai LAN-to-DMZ; WAN-to-DMZ; ecc... quindi mi dissocio da quello che i libri ci insegno come: DMZ=zona non protetta. Alla fine come visto sopra le fai cmq tu le regole di entrata/uscita, sia per la WAN, che per LAN, ma anche per DMZ.

Non è quella che IO do alla dmz....

Non è considerabile un altra LAN altrimenti si chiamarebbe appunto LAN2, LANn

Si chiama DMZ perche ha un ruolo specifico, ed è logicmanete (potrebbe essere fisicamente dislocata dall'altro capo della terra in VPN...) correlata e collegata alla LAN.

ma stiamo andando OT. Al limite apriamo un thread a posta

per il resto sono daccordo con te.

ciao

[BTS]

per me la dmz è sia come dice ilpastore che come dice hmetal.

chiuso ot

[misterx]

da me sulla DMZ ci hanno implementato il traffico della posta, internet ed ftp.
Quindi mi è parso di capire che nel mio caso ci si redirige verso il proxy attraverso il settaggio del browser e quindi il proxy decide se inoltrare al gateway o meno traffico fuori dalla LAN.

Che differenza c'è tra un 3550 e un 2950 cisco ?

[Ilpastore]

Quote:

Originariamente inviato da BTS

per me la dmz è sia come dice ilpastore che come dice hmetal.

chiuso ot

concordo OT. Chiudo anch'io. Semmai ne riparleremo in altro thread