Unire 2 linee internet per 2 sedi: consigli apparati

zulianino

Ciao,
un'azienda con cui collaboro mi sta chiedendo aiuto per sistemare la loro rete.
Sono 2 uffici distinti ognuno con la sua linea internet.
Vorrebbero mantenere le 2 linee da usare in contemporanea e come failover.

Questo è quello che avrei in mente per loro:

le vlan 10 e 20 sono le reti dei due modem internet (per ora su xDSL)
la vlan 30 è la rete di accesso dei pc client il cui L3 e DHCP è gestito dal router load balancer.
le vlan sono trasportate in L2 su un link fibra (MM 1 o 10G) tra i due switch nei due uffici.

Dato che vorrebbero qualcosa da gestire facilmente tramite gui e non cli, per i devices pensavo di proporre ubiquiti; come router il ER4 mentre gli switch va bene qualsiasi modello con sfp o sfp+ (anche solo L2 tanto si tratterebbe solo di gestire Tag/Untag Access/Trunk).

Secondo voi ubiquiti come qualità/prezzo può andar bene?

Qualcuno conosce il ER4?
è in grado di gestire anche DNat (con le dovute rotte) per esporre servizi su ip pubblico?
sarebbe in grado anche di gestire le porte in trunk per evitare i 3 link separati?

Io per lavoro uso Cisco, Juniper e Arista ma per queste realtà sono decisamente troppo costosi.

Grazie

[cancellato]

zulianino le vlan sono trasportate in L2 su un link fibra (MM 1 o 10G) tra i due switch nei due uffici.

Regola zero: niente multimodale fuori dalla porta. Non ha più senso visti i costi. Distanza tra gli uffici? Avete terreno privato contiguo tra le sedi?
Regola uno: aborro il L2, usa domini L3 più piccoli possibili e fai routing, piuttosto che "trasportare" VLAN da una parte all'altra.

zulianino le vlan 10 e 20 sono le reti dei due modem internet (per ora su xDSL)

E questo va anche bene.

zulianino la vlan 30 è la rete di accesso dei pc client il cui L3 e DHCP è gestito dal router load balancer.

Mi piace poco dov'è messo, che succede se cade il link tra le due sedi? Ognuna dovrebbe essere in grado di funzionare almeno come "isola" separata, dato che immagino per ragioni di continuità operativa non sia in discussione l'idea di spegnere nessuno dei due collegamenti ad "internet".
Tra l'altro vedo ora... per come l'hai disegnato è sostanzialmente un "router on a stick", che è una soluzione che odio. Se non ci son porte per carità si fa, ma dato che prevedi di "sprecare" 3 porte per passare negli switch di core quando lo potresti collegare direttamente al router WAN, è una soluzione tutto fuorché ottimale.

zulianino Io per lavoro uso Cisco, Juniper e Arista ma per queste realtà sono decisamente troppo costosi.

Bah oddio... parliamone. Se vuoi andare su Cat9000 + DNA e compagnia assolutamente sì, se scendi ad esempio nelle soluzioni small business, probabilmente costano meno che ubiquiti (che è per me "tanto fumo e poco arrosto", o meglio, se investissero nella qualità di hardware e software quello che investono in design, lucine, schermetti e pubblicità sarebbero la miglior compagnia SOHO/SB). Guarda gli apparati Meraki e Aruba InstantON come possibili alternative. Mikrotik anche per quanto riguarda il routing se sai come configurarlo (e qui purtroppo la CLI è sostanzialmente inevitabile).

zulianino In caso di fault del router, come workaround veloce, basta cambiare vlan delle porte di accesso dalla 30 alla 20 o alla 10 e riprendi a navigare

IMHO, toglietevi dalla testa questo concetto: un business che "lavora" non ha tempo di star lì a pensare cosa è andato down, come fare a girare attorno al problema, e quali porte cambiare di VLAN. E poi comunque minimo si deve andare a riassegnare tutti gli indirizzi/rinnovare tutti i lease dato che sposti le postazioni di rete in rete.
Il networking deve star su da solo, anche con i pezzi rotti, altrimenti non è una soluzione aziendale ma "domestica" attaccata con lo scotch.

Metti piuttosto due box pfsense/opnsense in failover tra loro, se non puoi usare switch L3 "decenti" che supportino routing dinamico (per poter "girare attorno" ai fault).

Volt

Ciao, solo un appunto, con questa configurazione se hai un guasto al router o allo switch nell'ufficio 2, o al collegamento in fibra, anche l'ufficio 1 non naviga più.
Io valuterei una configurazione simmetrica aggiungendo un router anche nell'ufficio 1, non trasporterei le vlan da un ufficio all'altro, ma gestirei il tutto a layer 3 con un paio di rotte statiche tra i due uffici.
Non conosco però le specifiche del tuo progetto, magari non puoi fare routing tra gli uffici per altri motivi.

zulianino

si questo l'abbiamo considerato. Potremmo avere due router, 1 per sede, ed ogni sede con la sua vlan di accesso ma poi gestire le rotte ed i L3 potrebbe diventare complicato per chi non è espertissimo.
In caso di fault del router, come workaround veloce, basta cambiare vlan delle porte di accesso dalla 30 alla 20 o alla 10 e riprendi a navigare

Volt

zulianino In caso di fault del router, come workaround veloce, basta cambiare vlan delle porte di accesso dalla 30 alla 20 o alla 10 e riprendi a navigare

Diciamo di si, oltre che a cambiare ip e gateway di ogni dispositivo.

Comunque, tornando alla domanda iniziale:
Per quanto riguarda il router, quello che chiedi è fattibile anche con dispositivi economici tipo ubiquiti, mikrotik o netgate (pfsense).
Valuta a livello di GUI quello che ti aggrada di più.

Per gli switch c'e solo l'imbarazzo della scelta, si parte da un dlink serie DGS a salire.
Se li vuoi con delle sfp+, Mikrotik ha qualcosa di economico.
Gli switch Ubiquiti Unifi non hanno una GUI, li puoi gestire da cli o dal controller Unifi (su cloud o su una macchina in locale).

zulianino

[cancellato]
so bene che il top sarebbero tutti link P2P con OSPF ma poi vai a spiegarlo.

ho detto 2 sedi ma in realtà sono due uffici diversi nello stesso capannone quindi si tratta di circa 80mt di tratta. Per quello optavo per MM di cui costano meno gli SFP.

quindi tu useresti 2 SG-1100 (1 per sito) in failover tra di loro? Potrei si collegare la lan del modem direttamente al router/fw però comunque dovrei cross trasportare le reti internet per avere la seconda connessione nell'altro sito.

Di fatto questa configurazione: https://docs.netgate.com/pfsense/en/latest/recipes/high-availability-multi-wan.html

[cancellato]

Volt un dlink serie DGS

No per carità.... Mai metterei in un business roba DLink, neanche come "toppa" temporanea (che non sia uno "stupido" switchetto L2, ma anche lì avrei i miei dubbi, stante che ho visto un ufficio tirato giù da un bel loop L2 causato proprio da quel tipo di apparati, anche se non erano DLink).

Volt Se li vuoi con delle sfp+, Mikrotik ha qualcosa di economico.

Mmmm.. ho letto "peste e corna" sullo switching 'tik. Rounting senza problemi, ma switching... @LSan83

Volt

[cancellato] No per carità.... Mai metterei in un business roba DLink

Sono sorprendentemente buoni per quello che costano, non ho trovato di meglio in quella fascia di prezzo.

[cancellato] Mmmm.. ho letto "peste e corna" sullo switching 'tik.

Confermo, hanno sofferto di bug catastrofici. SwOS ritengo sia stabile da non più di 6 mesi.

LSan83

[cancellato] Mmmm.. ho letto "peste e corna" sullo switching 'tik. Rounting senza problemi, ma switching... @LSan83

Se lo switching lo fai sotto RouterOS non ho letto lamentele. Ma non tutti i loro switch hanno il dual boot.

juststupid

Condivido appieno il discorso di @[cancellato] . Quella architettura non va bene.
Inter datacenter stretched L2 domain sono il male assoluto. Lo so che tutti i vendor cercano di vendere questa idea malsana ma così si rischia un L2 meltdown soprattutto con apparecchi baracca. Detto questo la regola generale è: le reti sono come un sottomarino bisogna compartimentare (= routing). Detto questo il buon ospf ed isis (che preferisco personalmente) non hanno mai ucciso nessuno.

[cancellato]

zulianino si tratta di circa 80mt di tratta. Per quello optavo per MM di cui costano meno gli SFP.

Ma costa di più la fibra.. alla fine probabilmente vai pari, ma ti "tagli le gambe" per possibili upgrade futuri. YMMV.
Su FS.com parliamo a memoria di 10€ a SFP di differenza... onestamente, non mi porrei nemmeno il dubbio.

Valuta se possibile di fare un anello/doppia tratta fisicamente separata. La sfiga ci vede benissimo.

zulianino quindi tu useresti 2 SG-1100 (1 per sito) in failover tra di loro?

No, non lo posso dire senza sapere altri dettagli sul progetto, uno su tutti la capacità di banda richiesta e il numero di client presenti... gli SG-1100 si schiantano a 3-400Mbps massimo di throughput.
Mancano informazioni anche su budget e use case, nonché di chi dovrà amministrare il tutto quando è a regime.

zulianino il top sarebbero tutti link P2P con OSPF ma poi vai a spiegarlo.

Non necessariamente, ma mi sfugge il "vai a spiegarlo"... se è un qualcosa che devi realizzare e consegnare "in amicizia", IMHO scappa subito prima di muovere un solo dito, altrimenti sarai on-call gratuitamente per il resto della vita della rete perché "l'ha fatta lui". Salvo scoprire che chiunque poi ci ha messo le mani e giustamente non funziona più una mazza, oppure l'azienda cambierà il suo modo di lavorare e usare le apparecchiature e il tuo progetto non andrà più bene (anche se in ambito SOHO, non è che le strade siano poi tante).
Se invece sei tu il responsabile/addetto a seguirlo, non serve che spieghi per filo e per segno cos'è un routing dinamico, ti basta dire che il traffico segue una rotta o l'altra a seconda della presenza o meno di fault.

Addendum sul load balancer: evita categoricamente il doppio NAT, mi raccomando, che vengono fuori casini in tempo zero, soprattutto se hai telefonia VoIP.

zulianino

[cancellato] mi stanno chiedendo consigli per capire se è un qualcosa che potranno gestire loro internamente ed io sto cercando qualcosa di semplice e non troppo complicato per capire anche i costi.
Si rivolgeranno sicuramente anche a società esterne ma vorrebbero arrivarci con delle richieste esaustive ed avere poi un confronto anche sui costi.

Su MM e SM ero rimasto a differenze più grandi; lavorando ormai solo con i 40G o 100G (rigorosamente originali cisco, juniper, arista, F5, ...con i compatibili abbiamo sempre avuto rogne) dove li differenze tra MM e SM sono ancora molto grosse, ho perso i numeri.

Per evitare i doppi NAT devo usare la funzione DMZ del router verso i fw o provare col PPPoE passthrough (ma qui devo trasportare L2 per forza)

[cancellato]

zulianino Per evitare i doppi NAT devo usare la funzione DMZ del router verso i fw o provare col PPPoE passthrough (ma qui devo trasportare L2 per forza)

No, semplicemente al posto dei router del menga dei provider basta usare qualcosa di un po' più serio (mikrotik o appunto pfsense, se sei attento ai costi) e far fare il NAT anche per indirizzi non direttamente connessi. I PC andrebbero poi messi su VLAN diverse che vengono appunto dinamicamente inviate a uno dei due router (il principale diciamo).
O in alternativa avere il link iner-site attestato su router "di frontiera", così che ognuno possa vedere la sua isola di ufficio e alla bisogna con un hop in più inviare il traffico dall'altra parte per uscire su internet se la connessione dovesse cadere.

Il tutto ovviamente pensando che i fornitori siano diversi e meglio ancora le connessioni siano su media diversi (es. FTTC e FTTH o FTT* e FWA), altrimenti non è un vero failover.

Insomma, le soluzioni possibili sono tante, sempre per carità basate sul concetto di interconnessione tra sedi, ma le strategie realizzative cambiano a seconda di quanto traffico viene fatto e ad altri dettagli che solo tu che hai visto l'ambiente puoi conoscere. Io posso dirti solo attento ai single point of failure, e non presupporre che chi sia in loco sappia riconfigurare la rete in fault. 😉

zulianino Si rivolgeranno sicuramente anche a società esterne ma vorrebbero arrivarci con delle richieste esaustive ed avere poi un confronto anche sui costi.

Mmmm.. dipende da che rapporto hai con il committente, ma io ci andrei molto cauto in questi casi. Meglio se gli dai una eventuale opinione su un preventivo già fatto, ma se fanno fare il lavoro ad una ditta esterna, a meno che non si limiti a passar cavi e basta, non vedo tanto bene partire dicendo "voglio uno switch tale in questo posto attaccato di qui... quanto mi fai?", sia perché non è corretto nei confronti di chi fa per mestiere la cosa e perde tempo a progettarti la soluzione, sia perché ti vincoli ad una tua visione, che magari lasciando un progettista libero di agire ti può proporre una soluzione diversa, migliore o peggiore che sia, ma almeno la valuti.

Come hai capito a me le cose "a mezzo" non piacciono... poi non si sa mai quando succedono i casini (e succedono) di chi sia effettivamente la colpa.

zulianino

[cancellato] non è per andare a chiedere "voglio questo modello e questo ecc..." ma per capire bene le esigenze tipo ridondanza di linea ed anche ridondanza di apparati automatica e cose di questo tipo.
Ovvio che se ti rivolgi ad un'azienda devi lasciar fare loro tutto il lavoro ma almeno indicargli qualcosa di più preciso a livello di fattibilità

[cancellato]

Se devono far passare 80m di cavo fra i due uffici io farei passare un multifibra con almeno 4 fibre, attestate su cassetti ottici, così da poter fare collegamenti diretti e separati fra modem e router, router e switch, e se è necessario (per una valida ragione) che PC in entrambi gli edifici siano nella stessa VLAN/subnet senza passare per il router, fra gli switch.

A quel punto load balancing e failover sulle due connessioni internet le fa il router, che diventa single point of failure - se vuoi eliminarlo ci vuole un sistema in cluster HA

[cancellato]

gandalf2016 infrastruttura con catalyst 9300 e stack ci ha attaccato degli switch UniFi per il Wi-Fi rovinando l’intera opera

Ma... Ma... Perché un cliente che compra Cat9300 dovrebbe aggiungerci switch UniFI?? Per il wireless poi... Posso capire gli access point (anche se i 9300 dovrebbero avere già il WLC integrato, quindi boh), ma perché aggiungere uno switch a parte?

[cancellato] Se devono far passare 80m di cavo fra i due uffici io farei passare un multifibra con almeno 4 fibre, attestate su cassetti ottici

Ottimo punto, ma farei 12fo (dimensione di un "pettine" e/o connettore MPO/MTP). Metterne 4 significa avere due duplex di fatto, se ti si rompe anche una sola fibra resti con una linea sola usabile, a meno di usare un duplex e un BiDi, ma costano una cifra...

gandalf2016

Ho guardato velocemente lo schema... penso ti siano già stati dati validissimi consigli.
Se posso e non è ancora già stato detto:
Evita gli switch UniFi perché sono scarsamente resilienti
mi orienterei su hw migliore.

Breve storia triste presso un cliente:
infrastruttura con catalyst 9300 e stack ci ha attaccato degli switch UniFi per il Wi-Fi rovinando l’intera opera 🤣🤣🤣🤣

gandalf2016

[cancellato] Ma... Ma... Perché un cliente che compra Cat9300 dovrebbe aggiungerci switch UniFI?? Per il wireless poi... Posso capire gli access point (anche se i 9300 dovrebbero avere già il WLC integrato, quindi boh), ma perché aggiungere uno switch a parte?

Non saprei... perché hanno fatto di testa loro. Sì comunque, farebbe anche quello. A loro discolpa non erano POE, ma avremmo fatto un replacement senza problemi col modello poe

zulianino

Rieccomi!
iniziano ad arrivare le soluzioni da diversi fornitori. Qualcuno offre come router multiwan il TP-Link TL-ER7206.
Lo conoscete? che performance offre?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile