l2tp+IPSEC con accesso Roadarrior Mikrotik

lalospaceCliente aziendale, Reti

Richiesta

Il cliente negli ultimi anni sta acquisendo diversi punti vendita ed è diventato la figura principale delle rivendita farmaceutica nella provincia.

La necessità è quella di realizzare un’unica rete virtuale tra le sedi in modo che il traffico multidirezionale gli permetta di gestire il lavoro da ogni sede e anche fuori sede.

Considerazioni

Attualmente è in possesso di 3 firewall Checkpoint che presentano grossi limiti nella gestione in quanto mantenuti da un società terza che non permette la configurazione e gestione da altri operatori.

Lo scalare delle sedi da collegare tramite tunnel si sta avvicinando al punto in cui il costo delle licenze checkpoint comporterebbe un impegno notevole con canoni annuali per la gestione degli apparati.

Proponiamo quindi al cliente l’ installazione di tre Routerboard Mikrotik RB3011UiAS-RM

RB3011UiAS-RM

RB3011UiAS-RM

Tre router Rackmount, 2 core 1,4GHz Licenza livello 5 , 1GB Ram.

Questi prodotti sono ottimi per la versatilità, integrano features enterprise a costi accettabilissimi, gli unici limiti possono derivare dalle specifiche hardware ma sono facilmente scalabili con modelli più performanti.

Sviluppo

Connettività

La connettività su ogni sede è stata ridondata su due mezzi con floating IPs.

Due sedi utilizzano una connessione 100/20 fttc con backup LTE, mentre la terza sede sempre una fttc 100/20 con backup Hyperlan 5GHz.

VPN

Sono state configurate 3 vpn l2tp over IPSec tra sedi, con regole di routing di backup, anche se risulta improbabile che una delle principali rotte fallisca visto il tipo di connettività ridondata su tutte le sedi.

E’ stato predisposto anche un collegamento roadwarrior l2tp over IPSEC per notebook tablet o dispositivi mobili per il collagamento da fuori azienda.

Segmentazione

La rete è stata segmentate in tre vlan.

  • Dati.
  • Voip.
  • Videosorveglianza.

Questo per isolare il traffico ma sopratutto per poter gestire agilmente delle catene di priorità del traffico a servizi essenziali.

Schema logico dell' infrastruttura.

Schema logico dell’ infrastruttura.

 

Ogni sito scambia verso il nodo centrale anche tutti i backup di client e servers per un traffico giornaliero totale compreso tra i 0,3 – 0,4 Tb di dati circa il 30/40% della banda totale per ogni sito.

Prossimi step

Consolidare la parte di distribuzione locale core switching + distribuzione.

Centralizzare un unica infrastruttura server in HA con Backup in cloud.

 

 

Share this Project