Divisione Rete

[maxumi]

Ciao, avrei bisogno di qualche consiglio e confronto per risolvere una situazione quasi tragica.
Ho una rete con circa 900 device tra BS, CPE, Etc. Ovviamente dovrei in qualche modo sezionare questo enorme bridge. Attualmente viene usata come subnet 10.0.0.0/16 e gateway unico. le esigenze sono molteplici:

1- sezionare grosso modo per zone.
2- non dover andare (per lo meno in questa prima fase) a cambiare tutti gli indirizzi delle CPE e relativo GW.
3- trovare un sistema per poter accedere in management ad ogni dispositivo della rete da ogni punto.

avete qualche consiglio o indicazione? se serve espongo piu nel dettaglio la situazione.
thz

[piciccia]

e dici poco !!!

C.

[ppraz]

Quanto meno dividi in vlan e assegna un gateway per ogni vlan (stesso router ma diverse interfacce virtuali) almeno limiti il broadcast

Ma è solo il primo passo, devi segmentare con dei router... troppo difficile comunque da esporre così in breve

[maxumi]

Come posso fare per chiederti maggiori info piu dettagliate?

[ppraz]

Dimmi pure qua, preferisco rispondere in pubblico così tutti traggono informazioni dal tuo caso!

Parto io: la prima ipotesi non è male, quella di segmentare in VLAN, ma c'è il problema che se sulla BSU1 hai messo utenti con IP 10.0.0.2 ma anche 10.0.5.35 è un casino, si troverebbero nella stessa VLAN pur avendo IP completamente differenti.

Diciamo così, in tutti gli snodi che hai sulla rete metti un router, diciamo un RB450G o similari, configurata in bridge puro, ma marcati su ogni ethernet cosa stai collegando, ti servirà dopo.
Quindi parti da una BSU periferica, cioè piazzata in un punto da cui non riparti più.
Qui DEVI cambiare IP a tutti gli utenti connessi, ad esempio chiama la "zona" come "zona1" e dai a tutti IP 172.16.1.0/24
Il gateway 172.16.1.1 sarà la porta della RB450G dove hai connesso la BSU.
Questa RB450 avrà come gateway 10.0.0.1 immagino
Sul gateway 10.0.0.1 darai come rotta statica la 172.16.1.0/24 sull'ip del router 450G in questione
Aggiungi la NAT per la rete 172.16.1.0/24

Se questo primo step funziona puoi procedere in maniera simile al secondo step

Comunque per dettagli privati contattami in MP

[maxumi]

ok grazie, concordo in pieno per il post pubblico.

Ok bene per l'ipotesi del sezionamento con routing privato, perfetto in effetti è il primo step che ho ipotizzato e realizzato già in una zona. Ok nel continuare zona per zona con subnet sempre diverse.

Ora l'indecisione nasce per la zona, chiamiamola di backbone. ovvero tutta la parte di collegamento tra le varie zone periferiche. La lascio tutta nella stessa subnet 10.x in bridge? o è meglio farmi tanti piccoli segmentini di routing? in teoria, in questo modo posso anche realizzarmi path ridondanti senza problemi di loop e sfruttarli eventualmente con routing dinamico interno.

un altro aspetto: voi attualmente come gestite gli IP delle CPE? cioè avete disponibilità di IP pubblici per ogni CPE dei vostri clienti e li distribuite con PPPOE? o usate altre soluzioni?
io attualmente devo Nattare tutti i clienti e con eventuale NAT 1:1 porto l'IP pubblico sulla CPE del cliente che ne richiede il servizio. ed in più spesso non utilizzano neanche un sotto router e quindi devo configurargli anche io a mano le porte per le loro varie esigenze interne. voi avete mai provato ad usare upnp con routeros per una esigenza del genere?

thz max

[ppraz]

Nell'ordine:

-la rete di backbone per semplicità puoi lasciarla con gli IP originali fosse anche una /16, così non ti sbagli, sarà comunque una rete più piccola, quindi meno broadcast, perchè avrai "tolto" tutti i rami.
Ricorda che una rete funziona male non perchè ha una netmask troppo ampia, ma perchè ci sono dentro tropppi host. Una /16 con 50 host lavora benone

-credo che il modo migliore di assegnare gli IP agli utenti sia in pppoe con l'ausilio di un radius server, l'uso di IP statici è di difficile gestione, conosco reti anche molto grandi gestite in static ma ci vuole un coordinamento in azienda e gente con le palle (e anche un CRM con le palle).
Gestisco più realtà, sia con IP pubblici per ogni cliente (è autonomous system), sia con "pochi" IP pubblici, nattati 1:n o 1:1 dove richiesto (gli ip pubblici sono quelli assegnati dall'operatore da cui si acquista banda), ma tutte pppoe+radius, nessuno statico

-quando un cliente vuole gestirsi le porte per conto suo gli faccio comprare un router wan, collegato alla cpe, natto tutto verso il router e lui se la gestisce. l'upnp funziona da dio, ho risolto un sacco di problemi con playstation e xbox grazie all'upnp di mikrotik

[maxumi]

Intanto grazie dei vari consigli!!!

Nell'ordine:

-la rete di backbone per semplicità puoi lasciarla con gli IP originali fosse anche una /16, così non ti sbagli, sarà comunque una rete più piccola, quindi meno broadcast, perchè avrai "tolto" tutti i rami.
Ricorda che una rete funziona male non perchè ha una netmask troppo ampia, ma perchè ci sono dentro tropppi host. Una /16 con 50 host lavora benone

---Si per semplicità di gestione posso anche lasciarla cosi. pero in quel modo dovrei cmq stare sempre attento a non creare percorsi in loop (tralasciando STP). in quel modo non potrei crearmi percorsi multipli. per questo l'ipotesi di molte piccole sottoreti con routing dinamico. certo è, che ovviamente posso fare tutto in step successi graduali.

-credo che il modo migliore di assegnare gli IP agli utenti sia in pppoe con l'ausilio di un radius server, l'uso di IP statici è di difficile gestione, conosco reti anche molto grandi gestite in static ma ci vuole un coordinamento in azienda e gente con le palle (e anche un CRM con le palle).
Gestisco più realtà, sia con IP pubblici per ogni cliente (è autonomous system), sia con "pochi" IP pubblici, nattati 1:n o 1:1 dove richiesto (gli ip pubblici sono quelli assegnati dall'operatore da cui si acquista banda), ma tutte pppoe+radius, nessuno statico

---Quindi imposti tutte le CPE con PPPOE con relativo account? senza neanche un ip statico privato di management? se per qualche motivo non dovessi avere qualche intoppo nel percorso verso il radius in questo modo, non si ha neanche la possibilita di fare management nelle varie CPE. Non potrebbe essere meglio; portare tramite pppoe un ip pubblico o altro di instradamento internet e assegnare un ip statico in alias per management?

-quando un cliente vuole gestirsi le porte per conto suo gli faccio comprare un router wan, collegato alla cpe, natto tutto verso il router e lui se la gestisce. l'upnp funziona da dio, ho risolto un sacco di problemi con playstation e xbox grazie all'upnp di mikrotik

---Fare troppe NAT una dietro l'altra, non puo creare problemi per alcuni protocolli? L'upnp a seconda dell'nterfaccia dove lo configuri necessità di inserimento di password per gestirlo? mi sembra di no. Quindi se uso una CPE mikrotik e lo attivo per la if interna posso anche evitare di usare router secondari, giusto? Mi sembra che anche le Ubiquiti hanno implementato questa funzione di recente.

thx max

[ppraz]

Ovviamente attento a qualsivoglia loop!
Pianteresti tutta la rete
La netmask non fa nulla ovviamente, nel bene e nel male, puoi usare 10.0.0.0/16 per la backbone e le reti 10.X.0.0/24 con x diverso la 0 per le "aree" in terminologia ospf
non ho nessun ip di management, non mi serve, in caso di fault entro in mac-telnet
Per configurare l'Upnp configura la ethernet come internal e la pppoe-out come external, poi fa tutto lui.
Troppe nat non sono il massimo, ma se si tratta di un singolo utente residenziale chissenefrega
Poi comunque la nat 1:1 è poso invasiva, lascia inalterate anche le porte di origine e destinazione

[edit]
scusa dimenticavo che usi ubnt, su quelle sono poco pratico, forse un ip di management statico potrebbe aiutare in quel caso

[maxumi]

grazie, grazie, grazie !!!

un ultima questione che ancora non mi è chiara.
divido i vari segmenti in zone con subnet 172.x.etc. mantengo la 10.x.etc per il backbone.
alle CPE delle singole zone distribuisco IP con pppoe. ecco questo è il punto:

- per ogni zona presumo dovrò avere pppoe server che si collega al radius principale. ?
- con il pppoe distribuisco esclusivamente gli ip della subnet di quella zona? in questo caso all'occorrenza dell'assegnazione di un ip pubblico ad una CPE, dovrei fare un paio di NAT 1:1 nei vari router che attraverso giusto?
- con il pppoe distribuisco anche l'ip pubblico? e dopo come posso instradarlo?
thz