+ Responder ao Tópico



  1. #1

    Padrão Projeto Inicial - Análise do esboço básico

    Olá pessoal,

    Estou começando um projeto em uma cidade pequena. Seguindo as dicas que andei lendo muito aqui no fórum, decidi pela segmentação da rede e minha estrutura será como na imagem mais abaixo.

    O provedor parceiro, irá me fornecer o link e oferecerá um bloco de IP´s e a ligação com o POP central deles será via VLAN (Não sei exatamente o que eles usam, (Juniper/Catalyst)... o que sei é que entregarão o link para mim e ligarão uma VLAN até o datacenter deles, onde terei meus equipamentos lá dentro (assim como meu link e rede de saida)

    A autenticação em meus clientes será via PPPoE.
    Usarei um software de gestão de provedores (ainda estou testando para escolher.. poderá ser RadiusNet, MK-Auth, etc..)

    Minha duvida agora é:

    Sei que autenticação PPPoE pode ser um pouco suscetível a quedas e por isso estou em dúvida:

    - Fazer toda autenticação no ponto final (RB1100AHX2) ou fazer a autenticação em cada torre buscando dados no RADIUS do servidor?

    Estou tentando organizar bem a rede para que eu possa expandir sem dor de cabeça no futuro.

    O que acham?
    Alguém poderia dar alguma dica?


    Abraços

    Nome:      WM9uMIR.gif
Visitas:     162
Tamanho:  28,7 KB

  2. #2

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Olha pela banda e quantidade de clientes que vc vai ter nesse cenario.

    PTP 25 km.
    Eu usaria 2 enlaces colocando 2 rb 450G, uma em cada torre fazendo Bonding Bckp.
    OU
    Substitui o ptp em 5.8 por radio licenciado da SIAE ou we2be. devido a qualidade do enlace.

  3. #3

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por edmarmega Ver Post
    Olha pela banda e quantidade de clientes que vc vai ter nesse cenario.

    PTP 25 km.
    Eu usaria 2 enlaces colocando 2 rb 450G, uma em cada torre fazendo Bonding Bckp.
    OU
    Substitui o ptp em 5.8 por radio licenciado da SIAE ou we2be. devido a qualidade do enlace.
    Realmente o PTP é algo que já me preocupa.
    Mesmo que a operadora me entregue uma conexão VLAN eu posso fazer o bonding com o mikrotik, correto?

    No caso, você acha que a autenticação ficaria nas torres também? fazendo nas 450g que estaria fazendo o bounding? ou melhor deixar tudo no ponto final dentro do datacenter?


    Obrigado pela dica!!!

  4. #4

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Use autenticação nas pontas sem sombra de dúvidas, cliente no backbone JAMAIS!

  5. #5

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por felipeandrade55 Ver Post
    Use autenticação nas pontas sem sombra de dúvidas, cliente no backbone JAMAIS!
    No caso eu poderia usar 01 RB450g cada torre... e "linkar" ela com meu servidor RADIUS para autenticar os clientes?

    No caso o gateway dos clientes e controle de banda continuaria sendo a RB1100AHX do backbone, correto?

    Vlw pela dica!

  6. #6

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Por partes...

    Sim, uma 450G com autenticação via radius marcada, dai ela busca as informações de login dos usuários em seu sistema de gestão.

    Não, o gateway dos clientes será a 450G, e ela encaminha o cliente até o gateway da sua rede (1100ahx2).

    Se ajudei, estrelinha..kkkk

  7. #7

    Padrão Re: Projeto Inicial - Análise do esboço básico

    autenticação na ponta ou no começo pouco importa se a rede estavel, rede com latencia sempre é problema com autenticação nas pontas ou nao.

  8. #8

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por felipeandrade55 Ver Post
    Por partes...

    Sim, uma 450G com autenticação via radius marcada, dai ela busca as informações de login dos usuários em seu sistema de gestão.

    Não, o gateway dos clientes será a 450G, e ela encaminha o cliente até o gateway da sua rede (1100ahx2).

    Se ajudei, estrelinha..kkkk
    Com certeza ajudou amigo.. estrelinha entregue! rsssssss

    realmente eu estava pensando só na segmentação "física" digamos.

    No caso, preciso já "quebrar" a rede de ips válidos para possibilitar que em cada torre eu possa ter opção para clientes que precisam de ip público. Correto?

    A RB1100AHX passaria a ser somente um roteador de borda.

    Seria mais ou menos assim:

    exemplo:

    Roteador de Borda:

    WAN Link da operadora
    LAN 200.200.200.1

    Torre1
    IP WAN 200.200.200.2
    GW 200.200.200.1

    IP LAN 192.168.100.1
    Pool IP: 192.168.100.2 ~ .254
    GW 192.168.100.1

    Torre2
    IP WAN 200.200.200.3
    GW 200.200.200.1

    IP LAN 192.168.100.1
    Pool IP: 192.168.100.2 ~ .254
    GW 192.168.100.1

    e assim por diante....


    O raciocínio está correto?

  9. #9

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Ajack,

    Seria mais ou menos isso, porém acredito que não tenha necessidade de usar ips válidos "quebrados", use ips privados mesmo "A título de economizar ips válidos", e coloque apenas um ip de Loopback "/32" em cada Autenticador/Concentrador, não se esquecendo de fazer um firewall neles! Sim, a 1100ahx2 só como roteador, não como concentrador, vc economiza recursos dela e segmenta a rede assim, isolando problemas vindos de uma "Perna" de sua rede, a esta própria perna e não a rede toda.

  10. #10

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Prezado @edmarmega,

    Tenho que descordar de você meu amigo. A autenticação na ponta além de mais segura, proporciona um "isolamento" de problemas vindos desta "Ponta". Você diminui o Broadcast "Não é muito isso e verdade, mas existe e não custa nada caprichar!" e previne possíveis problemas futuros (Loop, ips duplicados derrubando a rede, entre outros). Concordo que com a latência da rede sendo baixa, os problemas serão minimizados, mas já que está montando a rede agora, o melhor seria já fazer correto, daqui a pouco o provedor cresce muito e fica muito mais difícil fazer uma mudança drástica assim sem paradas, sem falar que o amigo acima, perguntou a "Melhor maneira" de se fazer. Mas, tudo tem o seu ponto de vista, se for pensar, a autenticação centralizada também pode funcionar de maneira muito boa! Se configurado de maneira correta, usando MPLS/VPLS por exemplo, com a rede roteada mas os túneis levando os clientes até o seu concentrador, fica show de bola embora eu prefira autenticação nas pontas.

  11. #11

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por felipeandrade55 Ver Post
    Prezado @edmarmega,

    Tenho que descordar de você meu amigo. A autenticação na ponta além de mais segura, proporciona um "isolamento" de problemas vindos desta "Ponta". Você diminui o Broadcast "Não é muito isso e verdade, mas existe e não custa nada caprichar!" e previne possíveis problemas futuros (Loop, ips duplicados derrubando a rede, entre outros). Concordo que com a latência da rede sendo baixa, os problemas serão minimizados, mas já que está montando a rede agora, o melhor seria já fazer correto, daqui a pouco o provedor cresce muito e fica muito mais difícil fazer uma mudança drástica assim sem paradas, sem falar que o amigo acima, perguntou a "Melhor maneira" de se fazer. Mas, tudo tem o seu ponto de vista, se for pensar, a autenticação centralizada também pode funcionar de maneira muito boa! Se configurado de maneira correta, usando MPLS/VPLS por exemplo, com a rede roteada mas os túneis levando os clientes até o seu concentrador, fica show de bola embora eu prefira autenticação nas pontas.
    Gosto é gosto.
    aqui temos quase 1.000 clientes, e usamos autenticação centralizada, usando hotspot, ip fixo, dividido em 3 faixas de ip diferentes.

    Não temos problemas, funciona bem a rede, a latencia bem baixa.
    A torre mais longe esta a cerca de 80 km, e tem 4 saltos aproximados, teste de banda no cliente com Simet.nic.br fica em 10 a 20 ms e banda dentro do controle de banda.

  12. #12

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por felipeandrade55 Ver Post
    Ajack,

    Seria mais ou menos isso, porém acredito que não tenha necessidade de usar ips válidos "quebrados", use ips privados mesmo "A título de economizar ips válidos", e coloque apenas um ip de Loopback "/32" em cada Autenticador/Concentrador, não se esquecendo de fazer um firewall neles! Sim, a 1100ahx2 só como roteador, não como concentrador, vc economiza recursos dela e segmenta a rede assim, isolando problemas vindos de uma "Perna" de sua rede, a esta própria perna e não a rede toda.
    Entendi..
    No caso dos ips validos, minha preocupação é que talvez algumas empresas necessitem de ip valido.. (acessar cameras remotamente, etc..)

    Nesse caso como você recomendaria?

    Eu não entendi bem a parte do ip de Loopback /32 em cada autenticador...
    Qual seria a finalidade?

    Obrigado pelas dicas!!!

  13. #13

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Não muda em nada se usar ips válidos somente nas loopback, o cliente pode pegar o ip valido normalmente independente se seu backbone todo usar ip privado ou não. Loopback é uma interface virtual que nunca cai por não ter vínculo com nenhuma interface física, com ela vc evita as quebras de ip, por exemplo um /30 tem 4 ips, porém somente 2 utilizáveis, ou seja, vc perde 2 ips válidos para cada /30 que vc cria, e assim vai.... Com ips /32 não existe quebra, assim também vc não perde ips. Fica a dica.

  14. #14

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Citação Postado originalmente por felipeandrade55 Ver Post
    Não muda em nada se usar ips válidos somente nas loopback, o cliente pode pegar o ip valido normalmente independente se seu backbone todo usar ip privado ou não. Loopback é uma interface virtual que nunca cai por não ter vínculo com nenhuma interface física, com ela vc evita as quebras de ip, por exemplo um /30 tem 4 ips, porém somente 2 utilizáveis, ou seja, vc perde 2 ips válidos para cada /30 que vc cria, e assim vai.... Com ips /32 não existe quebra, assim também vc não perde ips. Fica a dica.
    Abusando da sua boa vontade...
    Para usar loopback /30 para prover acesso com ip valido... vc se refere a fazer tunelamento até o roteador de borda que tenho?

  15. #15

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Não nada a ver com tunelamento, roteamento puro mesmo. Corrigindo, seria /32 e nao /30. O ip de loopback de nada vai interferir para mandar ips validos em seus clientes, vc manda com ou sem ele. Dei a ideia do loopback apenas para vc nao quebrar seu bloco e perder muitos ips. Mas para entregar ips validos aos clientes, vc pode usar ips privados em toda a sua rede, isso de nada vai atrapalhar.

  16. #16

    Padrão Re: Projeto Inicial - Análise do esboço básico

    Bom dia amigo.
    A questão de onde ficará seu autenticador, se é na ponta ou no meio ou no fim...
    pouco importa, pq no final o que vale é a latência total do cliente até seu roteador central. onde a autenticação estará, será somada em ms pra frente ou pra trás até seu roteador.
    Aqui eu tenho aproximadamente 180kms de transporte, com todas as torres no modo AP e apenas um Concentrador PPPOE. ele está no meu escritório, o resto é tudo transporte VLANs, Filtros, redundância de transporte,etc... lógico, é tudo bem vindo.
    Aqui usamos Huawei pra transporte onde o cliente tem apenas 5ms até meu concentrador (isso já foi um sonho realizado) e tenho tbm mikrotik pra redundância.
    não vejo problema algum nessa estrutura...