Vai al contenuto

MauriFerrari

Rete Ethernet Aziendale

Recommended Posts

MauriFerrari

Ciao a tutti, ho cercato su internet un forum dove trovare gente esperta per provare ad ottimizzare la rete della mia azienda.

 

Ho provato a fare uno schema:

 

2rqexcx.jpg

 

Il router principale è un Draytek Vigor 2830n, gestisce la connessione 20Mb della Telecom (business) e tutto il resto della rete tramite uno Switch unmanaged della TP-Link a 24 porte.

Ci sono tre "sedi" nella rete, collegate tramite antenne della Ubiquity in modalità trasparente, cioè come se fossero un cavo di rete diretto.

Alla sede principale sono collegati 5 o 6 PC (gigalan), un NAS Synology 214+ che fa da server, un NAS identico che fa da backup posizionato in una postazione remota. Inoltre ci sono un'altra decina di dispositivi fra stampanti di rete, robot, telecamere IP, smartphone... quindi in totale circa 15-20 dispositivi.

Alla prima sede staccata è collegato un router in modalità access point D-Link DIR-600 che gestisce un paio di PC e 4 o 5 smartphone per un totale di 8-10 dispositivi.

La seconda sede staccata è a sua volta suddivisa in due "blocchi". Il blocco principale è gestito da un router TP-LINK TD-W8970 V1, che però fa come specie di ripetitore perchè a gestire DHCP e IP è sempre il draytek vigor.  Questo TP-LINK V1 gestisce, nel suo "blocco", una quindicina di dispositivi fra smartphone, PC ed altro...poi è cablato al secondo "blocco" e raggiunge un router TP-LINK TD-W8970 V3 nella medesima modalità (cioè tutto è gestito indirettamente dal Draytek Vigor) per servire una decina di altri dispositivi tra PC e smartphone ed altro.

Mi scuso innanzitutto nel caso non fossi stato chiaro visto che non sono molto esperto di reti e di terminologie relative.

Avrei qualche domanda da fare in proposito a questa struttura.

1) Il Draytek Vigor deve gestire e smistare internet e ethernet per 50 o 60 dispositivi, secondo il vostro parere subisce un carico troppo elevato?

2) Io ho cercato di mantenere tutto su 192.168.0.x in modo da poter avere accesso ai dispositivi di rete da qualsiasi punto, così facendo però devo far lavorare esclusivamente il router principale, esiste un'alternativa?

3) Sarebbe opportuno, secondo voi, utilizzare il Draytek Vigor solo come router ed utilizzare un modem dedicato per il collegamento web?

Queste domande mi nascono a seguito di sbalzi di ping anomali e di perdite di prestazione nella rete di cui non sono riuscito ad identificare la causa (ho provato anche a cambiare router, ad isolare progressivamente i vari dispositivi eccetera....non vorrei fosse semplicemente la struttura della rete che è organizzata male).

Grazie infinite!

Maurizio

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

La soluzione migliore, dal mio punto di vista, è cominciare a implementare delle VLAN nella rete (meglio se subnet diversificate) per suddividire le utenze: es. TVCC, VoIP, Utenti, ecc ecc.

Fatto questo servirebbe far gestire tutto ad un router principale sul quale dovrebbero essere implementate regole di traffic-shaping e QoS. Sinceramente non ricordo molto bene il Draytek.....sicuramente gestisce le VLAN ma dubito che abbia la possiilità di gestire le code sulle VLAN.

Anche il discorso antenne occorre valutarlo meglio: prima di tutto magari è una domanda banale, ma l'allineamento è corretto? dato che mi sembra di capire che da un lato esistono due AP vicini, le frequenze sono ottimizzate? il livello di rumore? (possono anche darsi fastidio essendo vicine). La negoziazione che protocollo usa?

Tutte queste domande perchè quando si creano dei link PTP radio occorre settare in modo molto attento tutti i parametri.

Potrebbe anche essere che il problema che lamenti sia causato da un "collo di bottiglia" causato sui link radio......però su questo dovresti dirci tu se noti il problema solo su un segmento o su tutta la rete.

 

Detto questo fossi io l'amministratore di rete di sicuro cambierei il router principale e quelli delle sedi remote con dei Mikrotik in modo da poter gestire con la massima dinamicità l'infrastruttura. E poi valuterei bene l'impostazione delle nanostation (anche in questo caso Mikrotik farebbe la differenza).

Per esempio sul router principale si imposta la banda disponibile da internet (i famosi 20Mb) e si creano delle code per i vari utenti in modo che tutti abbiano sempre lo stesso peso sulla rete, con priorità però ad alcune utenze: es. la VLAN della telefonia VoIP, il PC del capo ecc ecc. Insomma davvero ci si può divertire a creare regole  e funzioni.

 

 

Diversificare i compiti al Vigor e al Modem non ti cambia il problema.

 

Ciao!

Andrea

Condividi questa discussione


Link discussione
Condividi su altri siti
fradifog

Radation74 potrebbe insegnare reti.

Un consiglio:su ebay ci sono in vendita "vecchi switch" cisco con cavo  console,con i quelli potresti già iniziare ad implementare le vlans.

In questo modo dovresti diminuire i domini di collisione.

Ovviamente,poi c'è da configurare il ruoting delle vlans,ma non credo sia così difficile..

 

 

 

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

Troppo buono! :smile:

 

Comunque hai ragione, con Cisco si possono gestire VLAN ecc. La gestione code però è abbastanza complesso sia si Mikrotik ma soprattutto su Cisco (su quest'ultimo avrei serie difficoltà anche io) dove molto è ancora solo a riga di comando.

Si potrebbe fare anche un sistema diverso: es. prendi degli switch managment (i Cisco consigliati da Fradifog vanno benissimo) sui quali dichiari tutte le VLAN che ti servono e poi passi tutto in pancia ad un buon firewall; anche qui c'è da sbizzarrirsi su quale modello.........uno semplice ma potente a mio avviso è PfSense: lo puoi installare su un PC dedicato, su un vecchio hardware tipo WatchGuard, oppure molto più semplicemente su una board Alix. Pfsense ha una stupenda interfaccia WEB e può gestire tutto quello che ti occorre. La figata è che ha un sacco di plugin utili; ad esempio per mandarti un report via mail ogni sera, una volta alla settimana ecc con allegato grafici di carico e impegno banda dicisi per interfaccie, subnet, vlan ecc.

Inoltre sul web ci sono anche molti tutorial per ogni singola funzione (es. la gestione del traffic shaping).

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Innanzitutto un augurio di un sereno 2016!

Grazie mille per le risposte e complimenti sinceri per le vostre competenze!

Le antenne le ho regolate bene per quanto riguarda l'allineamento eccetera, mi ha aiutato un tecnico che ho trovato su uno forum della ubiquity veramente molto competente. Abbiamo trovato le frequenze meno disturbate, le impostazioni ideali, eccetera. Sebbene il tipo di antenna non sia l'ottimale (in futuro le dovremo implementare con un sistema differente e meno direzionale), fanno il loro lavoro abbastanza bene.

Devo approfondire un po' la questione delle VLAN e della relativa gestione perchè per ora sono veramente a digiuno dell'argomento!

La gestione tramite switch managed è molto interessante..tra l'altro guardo al mio switch attuale con sospetto, da profano ho paura che non si all'altezza del lavoro che deve fare.

Appena ho studiato un po', tornerò a rompervi le scatole sicuramente intanto vi ringrazio di nuovo!

Se vi venisse in mente qualche idea o consiglio ulteriore scrivetelo pure! grazie ancora!

 

 

Condividi questa discussione


Link discussione
Condividi su altri siti
fradifog

Un 'altra cosa che mi viene in mente è quelle degli ups.

Metti tutto sotto ups...

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Per gli UPS in teoria li abbiamo ordinati tramite quella famigerata iniziativa statale e a quanto pare dovrebbero arrivare entro marzo.

Nel leggere riguardo alle VLAN mi sorge però un dubbio..se avessi la necessità di poter "vedere" tutti i dispositivi della mia rete, il fatto che si trovino in VLAN differenti non comporterebbe un problema in questo senso?

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

No, nessun problema;anzi. 

 Puoi taggare una VLan a discrezione o crearne una di managment e tramite regole di routing fai quello che vuoi. 

Nel tuo caso la comodità di usare vlan sta nella privacy ma anche in una miglior gestione del traffico.

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Ok! Grazie! mi studio bene le VLAN!!

Condividi questa discussione


Link discussione
Condividi su altri siti
fradifog

Potresti anche fare delle vlans dinamiche legate al mac address,cosi non sei legato alla porta dello switch....

 

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

lo so che vi chiedo tanto, ma non potreste farmi un esempio di "schema" o qualcosa del genere? se avete tempo e voglia ovviamente. Ho visto che ci sono svariati tipi di configurazioni di queste VLAN, volevo solo capire pressapoco quale potrebbe essere quella che fa più al caso mio.

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

Difficile senza capire che hardware vuoi usare e soprattutto come intendi creare/modificare l'infrastruttura esistente..... cioè quali sono le esigenze? Quali sono le utenze che devono essere gestite? Si vuole dare della privacy a queste utenze? Oppure si vuole solo gestire delle priorità?

 

 

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

Credo che non gli sia d'aiuto......

Vediamo se riesco a spiegarti una ipotesi.....

Switch/Router principale:

definisci N Vlan e le suddividi su N gruppi/subnet; ogni subnet/gruppo avrà un suo indirizzamento e raggrupperà le porte dello switch locale che ti interessa associare.

Tutte le Vlan che hai creato sorgeranno da una porta ETH che andrai a definire. Per esempio ETH1 porta WAN ETH2 trunk Vlan. Dove Vlan100 Utenti2, Vlan101 Utenti2, Vlan 200 Telefonia, Vlan 300 TVCC ecc ecc.

La porta 2 sarà la porta che userai come TRUNK per portarti in giro le VLAN sui vari apparati (puoi fare un gruppo con più porte) .

A ogni switch dove arriva il trunk devi ridefinire tutte le Vlan che hai creato e le assegerai nuovamente a dei gruppi/subnet di quell'apparato ......e così via.

Sul router principale creerai delle regole di routing in base ai permessi che vuoi dare alle Vlan (es. tutte l Vlan useranno lo stesso GW e quindi permettere la navigazione). Analogamente delle route statiche per permettere (se lo si desidera) la navigazione tra Vlan .......o solo su alcune.

Infine nelle regole di traffic shaping si da un "peso" (tier)  ad ogni VLAN per dedinire chi ha priorità in caso di congestione della banda.

 

In queste due screenshot alcuni esempi pratici dicome si possono gestire le Vlan e i pesi

 

 

 

1.png

2.png

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

è poi possibile fare delle rappresentazioni grafiche dinamiche per monitorare, ricevere SMS/mail di alert ecc.

 

5.png

 

 

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

x radiation74,

Difficile senza capire che hardware vuoi usare e soprattutto come intendi creare/modificare l'infrastruttura esistente..... cioè quali sono le esigenze? Quali sono le utenze che devono essere gestite? Si vuole dare della privacy a queste utenze? Oppure si vuole solo gestire delle priorità?

 Innanzitutto grazie ancora per la spiegazione e per la pazienza tua e di fradifrog, piano piano inizio a capire qualcosa. Grazie mille per gli schemi e per la spiegazione!

Cerco di chiarire meglio la situazione della rete per evidenziarne le esigenze e la struttura.

La sede principale è la ditta, le due sedi secondarie sono due abitazioni distanti un centinaio di metri.

La ditta ha la sua rete cablata, la telefonia è gestita separatamente.

Abbiamo un gestionale access front-end, back-end che condividiamo fra PC nella ditta e PC nelle abitazioni.

Condividiamo internet, che utilizziamo per la navigazione e per altri dispositivi domestici (domotica, appleTV, PS4, smartphone,...).

La priorità della rete è il gestionale, al secondo posto viene la navigazione internet, e a seguire tutto il resto. Avremmo tenuto le utenze casalinghe separate, ma spesso ci è comodo accedere al gestionale e al NAS dalle abitazioni, quindi abbiamo fatto questa scelta.

Per quanto riguarda l'infrastruttura esistente la possiamo implementare, ma per quanto riguarda il "come" ovviamente prima vorrei avere idee più chiare. Potrei appoggiarmi a qualche tecnico esperto (quelli che conosco non sono in grado) ed affidare a terzi questa questione...ma secondo me è importante riuscire ad intervenire personalmente e conoscere personalmente queste cose. Alla fine è il SNC dell'azienda...se si blocca siamo fermi, e riguardo a queste cose (visto quanto sono nevralgiche per quanto riguarda il lavoro), per quanto è possibile vorremmo averle sotto controllo noi.

Acquisto di switch/router e quello che serve lo valutiamo sicuramente se è necessario a sistemare la meglio la rete esistente (tramite le VLAN come consigliate voi).

Per quanto riguarda la privacy nessun problema, i PC alla fine sono client e il server principale è il NAS.

Io avevo cercato di creare una sorta di rete "a stella", partendo da un unico router principale...con uno switch al quale sono collegati tutti i dispositivi. Credendo nella mia ingenuità che più semplice fosse stata la struttura, meno problemi avrebbe avuto.

Spero di non aver scritto cavolate e di essere riuscito a spiegare meglio la situazione.

 

PS: Ho installato "the dude", anche se praticamente sono a digiuno di tutto provo a fare una mappa della rete per valutare meglio la situazione poi ve la posto qui.

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

La privacy ip per esempio la intendevo che se un utente vuole usare "air-play" sulla sua Apple TV o altri dispositivi non vada poi a finire su Aplle TV o altro dell'altra abitazione. Io le abitazioni le avrei messe su subnet differenti con regole di firewall che impediscano di vedersi se non con opportune eccezioni.

Il fatto poi di accedere a utenze "comuni" non è certo un problema. Anche in questo caso con delle route statiche fai quello che vuoi.

 

Dopo la tua descrizione resto fermamente convinto che devi usare delle VLAN (almeno 3: network DB, navigazione, tutto il resto)  e un  buon firewall. Resto anche più che mai convinto che l'ottimo è usare tutti appliance Mikrotik; eventualmente come firewall/router un bel PfSense. Con questa accoppiata stai sereno che puoi fare quello che vuoi e gestire al meglio l'intero network.

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

La privacy ip per esempio la intendevo che se un utente vuole usare "air-play" sulla sua Apple TV o altri dispositivi non vada poi a finire su Aplle TV o altro dell'altra abitazione.Io le abitazioni le avrei messe su subnet differenti con regole di firewall che impediscano di vedersi se non con opportune eccezioni.

Ah okk! In effetti adesso la situazione è un po' questa, anche se non è mai capitato alcun episodio particolare. Inizialmente potrei provare a fare quest'operazione, come esercitazione e per capire un po' come si impostano le reti su subnet differenti. Cioè potrei magari iniziare a creare subnet diverse e studiarmi come si impostano.

Il fatto poi di accedere a utenze "comuni" non è certo un problema. Anche in questo caso con delle route statiche fai quello che vuoi.

Ecco era questa la cosa che mi premeva, da ignorante ho sempre pensato che due reti con subnet differenti non potessero comunicare..

Dopo la tua descrizione resto fermamente convinto che devi usare delle VLAN (almeno 3: network DB, navigazione, tutto il resto)  e un  buon firewall.

Seguirò certamente il tuo consiglio! Anche perchè nel vedere la mappa che mi ha fatto dude mi sto rendendo conto di avere veramente tanti dispositivi in ballo (a colpo d'occhio un'ottantina se non di più). Occorre un po' di gestione del traffico sicuramente.

Resto anche più che mai convinto che l'ottimo è usare tutti appliance Mikrotik; eventualmente come firewall/router un bel PfSense. Con questa accoppiata stai sereno che puoi fare quello che vuoi e gestire al meglio l'intero network. 

Sarà fatto, dopo l'esercitazione sulle subnet differenti verrò a chiederti/vi dei consigli sui modelli e proverò magari a mettere giu uno schemino che eventualmente, se avrete tempo e voglia, mi controllerete e correggerete.

Grazie ancora! scusa se ho quotato punto per punto ma altrimenti mi perdevo...in questo periodo ho un casino di cose da sistemare!

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Riesumo questa discussione perchè non sono riuscito a trovare aiuto (il ragazzo che avevo contattato non mi ha più dato risposta) ma, comunque, sto iniziando a capire forse qualcosa...quindi volevo un paio di dritte per arrangiarmi in qualche modo da solo.

 

Volevo chiedervi se una struttura tipo quella che viene spiegata in questi video...

https://www.youtube.com/watch?v=aBOzFa6ioLw&index=1&list=PLqJFkL1HpS26KacRAvSHpmidoFCiU9-sP

...potrebbe essere simile a quella che dovrei in qualche modo implementare io e che mi avete consigliato.

 

Qui spiegano con i cisco, qualcosina ho capito...cioè dopo aver visto i video tutorial (secondo me fatti molto bene...anche quello strumento "cisco packet tracker" è molto utile), nel rileggere quello che mi consigliate non mi sembra più arabo anche se non ho colto tutto al 100%.

 

Se la struttura fosse simile, non mi rimarrebbe che capire quali dispositivi acquistare. Prima ancora che la marca vera e propria...intendo il tipo e le caratteristiche che devono avere.

 

Grazie mille!

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

In realtàva bene "qualsiasi brand" purchè supporti le Vlan. Farlo con Cisco non è certo un gioco da ragazzi. Anzi. Anche io ammetto che con Cisco ho alcuni limiti.

Io ti avevo consigliato Mikrotik perchè è davvero il caso ideale; nel senso che sono ottimi prodotti flessibili (integrano un po' di tutto ......da firewall a routing a switching) a un prezzo decisamente contenuto.

Tra l'altro se dovessi realizzare tutto con Mikrotik(magari anche le antenne) hai il vantaggio di sfruttare il software di controllo centralizzato (Dude) che è davvero utile.

Per esempio non tutti i prodotti cisco possono fare routing.

 

Alternativa abbordabile potrebbe anche essere Peplink.

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Ti ringrazio innanzitutto ancora per la pazienza.

 

Avevo letto che parlavate anche di switch cisco di seconda mano e mi era sfuggito il tuo consiglio di optare esclusivamente per mikrotik.

Farò così.

 

Il passo iniziale che sto cercando di fare è quello di capire i dispositivi che mi servirebbero e di comprendere bene la struttura della rete.

Devo capire se usare switch oppure switch/router (esempio: https://routerboard.com/CRS125-24G-1S-2HnD-IN ) e come posizionarli nella struttura della rete (per me è ancora difficile comprendere le differenze e capire il tipo di prodotto di cui ho bisogno).

Per le antenne mi trovo in una situazione temporanea nella quale a breve (entro uno o due anni) dovrò sostituirle poichè mi si aggiunge una terza sede e quindi l'AP dovrà essere omnidirezionale...quindi o anticipo la sostituzione (adesso sono half duplex, le cambierei scegliendo delle full duplex) oppure le porto avanti fino al termine ultimo e quindi le sostituirò in seguito. In ogni caso se prendo tutti dispositivi mikrotik, le antenne saranno dello stesso brand sicuramente.

 

Per quanto riguarda il numero di dispositivi la situazione è allarmante, ho provato con Dude ed allego un'immagine (l'ho dovuta rimpicciolire fino all'inverosimile per rispettare i 100k di limite, quindi non si vede molto ma credo si intuisca la situazione)

 

 

 

Dude Rete 5.jpg

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

Secondo me come router principale dovresti usare almeno  una 1100 (https://routerboard.com/rb1100)  

che risulta già essere un buon prodotto robusto e con un'ottimo processore. Se invece vuoi salire e usare prodotti di eccelenza devi orientarti sulla serie CCR (soprattutto se utilizzi delle fibre).

Come swiching invece puopi restare sulle serie CRS che avevi visto (nascono proprio per fare switching) .

 

Il Dude è sviluppato proprio per i dispositivi Mikrotik, infatti non solo ti rappresenta graficamente la mappa, ma puoi visualizzare anche le informazioni che più ti interessa controllare. Ad esempio quanta banda passa su un trunk, che segnale c'è tra due antenne, quanti utenti connessi su un AP, e tantissimo altro ancora; inoltre può inviare mail, sms  in caso di perdita periferiche o situazioni che puoi definire liberamente anche attraverso script personalizzati.

Quello che hai visto tu facendogli fare la scansione della tua rete è solo una piccola parte delle funzioni.

Tra l'altro il Dude può essere anche installato direttamente su un apparato mikrotik senza dedicare dell'altro hardware.

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Quindi, come dispositivi che dovrei acquistare sarebbero:

- N°1 RB110 (sede principale)

- N°3 CRS109-8G-1S-2HnD-IN    oppure    CRS125-24G-1S-2HnD-IN a seconda del numero di porte che mi servono, uno per ogni sede.

 

Il CRS della sede principale mi farebbe anche da modem? In modo da poter eliminare il Draytek e sostituire completamente i dispositivi? Oppure dovrei tenere il Draytek in funzionalità modem o prendere un modem mikrotik?

 

Scusa il bombardamento di domande, ma mi servono per valutare il budget...grazie per il tuo tempo e la tua disponibilità.

 

PS: Interessante Dude, mi guardo qualche video appena ho 2 minuti

Condividi questa discussione


Link discussione
Condividi su altri siti
radiation74

Mikrotik NON produce modem. Di solito si mette in bridge 1:1 il modem oppure si imposta  in passthrough la PPoE e la si fa gestire al Mikrotik (soluzione che io preferisco).

 

Condividi questa discussione


Link discussione
Condividi su altri siti
MauriFerrari

Ho capito.

 

La situazione dovrebbe essere quella che allego.

 

Ho 3 domande da farti per vedere se ho capito qualcosa o non ho capito niente:

 

1) Siccome gli switch sono L3 dovrebbe bastare un solo router.

Il router permette alle VLAN di comunicare fra di loro e bilancia il traffico a seconda della VLAN (voip, PC, ecc..), giusto?

 

2)Un cavo mi connette lo switch della sede principale all'antenna che fa da AP... la quale comunica in half duplex con le due STAtion delle sedi distaccate.

La situazione è gestita dall'antenna quindi che fa da "switch" (spero non da hub!). E' un collo di bottiglia? Ci possono essere problemi?

 

3) Gli switch CRS vanno bene collegati a cascata come nello schema? Se non sbaglio dovrebbero essere collegati in trunk

 

Grazie.

 

 

 

 

Diagramma1.jpeg

Condividi questa discussione


Link discussione
Condividi su altri siti

Registrati o accedi per inserire messaggi

Devi essere un utente registrato per lasciare un messaggio. La registrazione è GRATUITA.

Crea un account

Iscriviti alla nostra comunità. È facile!

Registra un nuovo account

Connettiti

Hai già un account? Connettiti qui

Connettiti adesso


×