Linea FTTO per MPLS

BrianFurious · 2022-01-19T18:06:47+00:00

Buonasera, prossimamente dovrò collegare 2 nuove sedi e volevo puntare su una MPLS. Mi è stato offerto una FTTO per un costo di 1082€ / mese collegando 4...

juststupid

[cancellato]
non ho mai detto che è la stessa cosa, difatti ho chiesto cosa lo ha spinto a valutare mpls. Dipende dalle esigenze ma non è detto che uno non possa ottenere il risultato voluto senza mpls. Dipende anche dai contratti di accesso che una firma e con che isp lo firmi (banda garantita quanto, fino a dove, latenze medie garantite verso che nodi ecc).
Non tutti gli isp sono uguali. es: due sedi con due ispdiversi che mi garantiscono 30ms al mix di milano con banda X dove hanno anche un peering privato, il tutto ha buone possibilità di funzionare bene. Non è detto che debba fare un mpls tra sedi legandomi contrattualmente ad un solo isp. Le cuciture mpls tra isp le lascio ai più fantasiosi perchè se non ne hai proprio la necessità le eviterei come la peste.

[cancellato]

juststupid Dipende dalle esigenze ma non è detto che uno non possa ottenere il risultato voluto senza mpls.

Il traffico IP è sempre in best effort e non distingue le priorità. Non puoi ottenere garanzie di QoS con soluzioni SD-WAN se lo strato sottostante non le garantisce a sua volta.

Se il traffico tra sedi è solo "bulk", va bene lo stesso. Se iniziamo a mettere in ballo VoIP, multimedia o altro time- o jitter-sensitive il castello di carte crolla. Chi afferma il contrario, probabilmente è un commerciale, non si può andare contro la fisica.

GiovanniCriscione

i firewall si bucano. MPLS NO

Karakurt

GiovanniCriscione
L'MPLS terminerà prima o poi su qualche router in "casa" (o in giro) e se ti fidi ciecamente di quello, beh allora stringi le... 😉

[cancellato] L'mpls ti semplifica il fatto che non vai la vpn ma le sedi periferiche non avrebbero banda internet per loro, utilizzano quella della sede centrale.

In realtà non per forza il traffico delle MPLS deve passare dalla sede.
Almeno io con Vodafone ho il loro router fuori non so dove, che si piglia tutto.
Poi adesso ho visto che ti spingono tutti a fare SD-WAN.

PinetaFiera

GiovanniCriscione i firewall si bucano

Matteo_Mabesolani

GiovanniCriscione
GiovanniCriscione ah beh qui non è vero: MPLS nella maggior parte dei casi non è crittografata, è in chiaro. Da un cliente abbiamo tunnel IPSEC su circuito MPLS per questioni di sicurezza.

BrianFurious I nostri firewall sono dei Meraki MX100, le altre due sedi acquisite hanno già un Sophos XG (210 mi sembra).

Parere personale: meraki solo per piccole installazioni. Per le grosse o Firepower o Fortinet (io sono un pro Fortinet da quando l'ho conosciuto)

[cancellato]

BrianFurious penso si riesca a dare una buona limata.......essendo tre sedi magari si ragiona di gruppo e si ottiene qualche cosa dippiù.
Quindi la sede principale ha 1Gbps e le due periferiche 100Mbps....
L'mpls ti semplifica il fatto che non vai la vpn ma le sedi periferiche non avrebbero banda internet per loro, utilizzano quella della sede centrale....e Comunque se cerchi massima sicurezza il traffico tra le sedi non è comunque crittografato.
Di contro per le vpn 1gbps in ipsec richiede buone macchine (utilizzo fortinet e non conosco i tuoi hardware specifici).

gandalf2016

Karakurt Almeno io con Vodafone ho il loro router fuori non so dove, che si piglia tutto

Si in Datacenter che fa da exit per tutti, è il Cloud MPLS

juststupid

[cancellato]
Per esempio non mi risulta che tutti i lavoratori in smart working abbiano mpls a casa. Sicuramente ci saranno persone con problemi ma una gran parte bene o male riesce a svolgere le proprie riunioni ecc in modo adeguato nonostante contratti home e zero garanzie e finti pseudo isp. Dipende dal ISP e dal contratto non è che mpls faccia da solo i miracoli. La cosa fondamentale è scegliere isp capaci e contratti con delle garanzie. Per quanto riguarda il voip per fortuna il nostro cervello compensa abbastanza bene fino a certi ritardi/perdite. Se un isp mi da banda garantita fino a ad un nodo e un latenza media garantita accettabile non vedo proprio il problema, sarà il mio apparato (fw, router, sdwan ecc..) ad avere un qos in uscita corretto e dare priorità alle applicazioni che lo necessitano, isp deve solo trasportare il pacchetto in tempo come da contratto fino al nodo, per lui che sia voce dati o video no gliene deve importare. Ripeto che va valutata situazione per situazione mpls non è detto che sia sempre necessaria. Poi voglio vedere tutti i pseudo isp al primo problema di LDP-IGP Sync come se la cavano...

Karakurt

gandalf2016
Ecco non mi ricordavo più il nome.
Si può anche avere separato, noi, per esempio, sede principale e DR viaggiano per i fatti loro

ThomasGallo

Se le sedi non sono distantissime anche l'ipotesi fibra spenta potrebbe aver senso.

[cancellato]

juststupid Per esempio non mi risulta che tutti i lavoratori in smart working abbiano mpls a casa.

Scusami, ma che discorsi sono?
Si parla di rilegare tra loro intere sedi, con chissà quanti dipendenti e quali requisiti di capacity, QoS, latenza e jitter per le loro applicazioni intra-site, NON di dare accesso terminale a VDI/RDP per un telelavoratore singolo.

juststupid Per quanto riguarda il voip per fortuna il nostro cervello compensa abbastanza bene fino a certi ritardi/perdite.

Non è un pretesto per usare un sottostante schifoso, perché poi le proteste se le beccano i poveri tecnici di assistenza del VoIP, e ogni minimo problema va a sommarsi.

juststupid Se un isp mi da banda garantita fino a ad un nodo e un latenza media garantita accettabile non vedo proprio il problema, sarà il mio apparato (fw, router, sdwan ecc..) ad avere un qos in uscita corretto e dare priorità alle applicazioni che lo necessitano, isp deve solo trasportare il pacchetto in tempo come da contratto fino al nodo, per lui che sia voce dati o video no gliene deve importare

E qui ti sbagli di grosso, è proprio su questo punto che giocano i disgraziati del marketing SD-WAN selvaggio. Il traffico nella tua rete non è tutto con la stessa priorità, e se lo imbusti in un "qualcosa" che non è in grado di categorizzarlo e decidere cosa favorire e cosa scartare, dall'altro capo del filo ti arriva qualcosa a caso. Punto. Da qui non puoi scappare, perché non puoi trattare con i guanti le porcellane e poi consegnarle al corriere generico che le lancia a ufo nel cassone assieme ad una lavatrice e 4 casse di meloni. Al destinatario arrivano se va bene i pezzi.
QoS funziona fintantoché tutta la network dove vuoi operare lo rispetta. Se ci metti in mezzo anche solo un link in best effort il tuo livello di servizio potrà essere rispettato solo in modo probabilistico, perché risolvi un problema di tuning nel modo più economico ma meno ortodosso che ci sia, buttando su banda a palate perché costa zero e replicando il traffico su più link+FEC (scartando i duplicati all'altro capo) per ovviare ai packet loss. È proprio così infatti che funzionano le tanto "sofisticate" soluzioni commerciali SD-WAN, lavorano su replica, FEC e ritardi artificiali introdotti nei router per mascherare l'aleatorietà del canale trasmissivo.

L'ho già scritto e lo riscrivo: finché si tratta di traffico bulk le soluzioni SD-WAN fanno al più aggregazione di banda, e va bene così. Prova a mandare flussi NDI o multimedia su canali in best effort e cade il palco. 😉

Il cloud MPLS se fatto bene è una rotta staticamente configurata nella maglia dell'ISP, e la tua bandwidth concordata è staticamente riservata sui link attraversati sia che tu la stia usando sia che sia idle. Il traffico generico IP di una DIA passa per tutta un'altra serie di apparati e percorsi, che sotto sotto (guarda un po') sono mappati su pseudowire MPLS, ma che possono essere affetti da altro traffico di altri clienti e da altri eventi (es. un DDoS ad un IP di una connettività che termina sugli stessi BRAS ti stende anche il tuo traffico IP/PPP, mentre i router che fanno label switching di questo se ne fregano altamente).

ThomasGallo

[cancellato] non puoi trattare con i guanti le porcellane e poi consegnarle al corriere generico che le lancia a ufo nel cassone assieme ad una lavatrice e 4 casse di meloni. Al destinatario arrivano se va bene i pezzi.

ahah immagine stupenda. Direi che rende molto bene l'idea 🙂

Il QoS è tale solo se è end-to-end altrimenti è solo fuffa 😃

BrianFurious

Vi ringrazio per le risposte, non riesco a taggare tutti ma cerco di rispondere in modo generico un po per tutti.

Rientrando nella situazione interna aziendale siamo in pochi, le 2 nuove sedi sono state acquisite. L'esigenza principale è di collegare questi 3 siti fra di loro per garantire agli ex-dipendenti di accedere in modo dinamico a prescindere da dove saranno destinati. Qualcuno magari si chiederà perché non ci "sporchiamo" le mani per fare una configurazione VPN site to site. Semplicemente perché siamo in pochi e non abbiamo veramente tempo per fare eventuali troubleshooting o di spendere "a caso" appaltando sistemisti per fare un lavoro sporco quando eventualmente con poco più possiamo avere una rete "pulita" dedicata per l'interscambio dei dati.

Dunque come ho già detto vorrei considerare semplicemente una tipologia che rientra nei costi / velocità / affidabilità. Abbiamo circa 11 giorni per fare il tutto, il tempo stringe e non vorrei avere una cosa che alla fine singhiozza. Se dovessimo fare una VPN usando la rete principale internet, vuol dire che il costo di una MPLS non giustifica l'esigenza.

Le caratteristiche dell'offerta più precisa sono:

collegamento monofibra fino alla centrale TIM (sono già cliente TIM su un altro contratto internet)
servizio L3 con rete Intranet MPLS
Offrono TIR Integrata L3
Scheda SFP
Costo _1000€/mese/sede (una tantum ₁₁₅₀/sede)

La distanza dalla sede principale e una è di 40km mentre l'altra a 19km

La vecchia sede ha dei server dentro un datacenter (4° sede di cui si parlava prima per una MPLS temporanea) che saranno previsti di essere migrati nella sede principale per tagliare 40k / anno di costi.

Questi server hanno db, fileserver ecc. I file che sono sopra non sono solo file "word" ma anche modelli 3D da 500MB. L'idea era di fare anche un triangolo di disaster recovery, per tagliare ulteriormente costi di affitti datacenter, ma tenendo 1Gb di connessione privata tra le 3 sedi.

Ora ripeto, ho già provato a far funzionare il mio firewall (Cisco meraki MX100) con due Sophos SG210/230 senza successo dopo piu di 3 ore, dunque se il costo di TIM è troppo elevato, quello che sicuramente farò è mettere altri 2 meraki per la VPN Site to Site, tanto l'upgrade a 1Gbit con fibra a progetto la farò comunque su entrambe le sedi

Per la parte VoIP avrò una linea dedicata VDSL 200Mb che è overkill ma praticamente regalata con il contratto di fonia, cosi da non giocare con le SD WAN e lasciare la cosa il più pulito possibile. Sposterò anche il centralino in cloud cosi da non avere problemi, guasti che fisicamente richiede un tecnico a venire in 24 ore , aprire il ticket ecc ecc ecc. e che mi facilita anche da gestire i numeri interni anche per le sedi extra.

Karakurt

BrianFurious ho già provato a far funzionare il mio firewall (Cisco meraki MX100) con due Sophos SG210/230 senza successo dopo piu di 3 ore

Che problemi hai con Sophos?
Non riesci proprio a tirar su la VPN o non passano dati?

FeliceMonteleone

BrianFurious ho già provato a far funzionare il mio firewall (Cisco meraki MX100) con due Sophos SG210/230 senza successo dopo piu di 3 ore

Ma il problema del tunnel IPSec ce l'hai sulla fase1 o fase2 ?

ThomasGallo

BrianFurious La distanza dalla sede principale e una è di 40km mentre l'altra a 19km

su quella distanza (19km) TIM stessa potrebbe darti in lease una coppia di fibre e dovrebbe costare meno dell' MPLS su FTTO dandoti una flessibilità d'utilizzo nettamente maggiore.
Non so se trattando si possa arrivare ad un prezzaccio tale per cui entrambe le sedi ti costino uguale o meno in fibra spenta che con delle FTTO.
Si fosse trattato di centinaia di km di distanza il discorso era diverso (già da over 50 per entrambe).

PS: che poi spingano per vendere servizi attivi questo è risaputo ma a quel punto con le giuste ottiche puoi metterti almeno un canale a 10Gbps full tutto per voi su ogni link 🙂

GiovanniCriscione

Matteo_Mabesolani ah beh qui non è vero: MPLS nella maggior parte dei casi non è crittografata, è in chiaro. Da un cliente abbiamo tunnel IPSEC su circuito MPLS per questioni di sicurezza.

Le Banche hanno reti hyperway in MPLS senza firewall e fin qui penso che basta.
Se poi vogliamo andare avanti la rete di trasporto TIM é in MPLS.

BrianFurious

Matteo_Mabesolani Per le grosse o Firepower o Fortinet (io sono un pro Fortinet da quando l'ho conosciuto)

Quanto viene un Fortinet che deve sostenere 800 host? Il firewall si raggiunge dal cloud?

[cancellato]

GiovanniCriscione Le Banche hanno reti hyperway in MPLS senza firewall e fin qui penso che basta.

Dipende, van fatte le valutazioni caso per caso. Se la considerano rete untrusted e sopra ci fan passare solo flussi applicativi cifrati, può non servire la crittografia di canale.

Matteo_Mabesolani

GiovanniCriscione Le Banche hanno reti hyperway in MPLS senza firewall e fin qui penso che basta.

Si, la ditta per cui lavoro ha anche banche come clienti e le filiali sono in MPLS, l'uscita Internet è infatti nella sede centrale con firewall. Ma ci sono MPLS crittografate e non crittografate. Se uno vuole avere la certezza assoluta di aver dati crittografati fa una IPSEC su circuito MPLS, come da un altro cliente.

BrianFurious Quanto viene un Fortinet che deve sostenere 800 host? Il firewall si raggiunge dal cloud?

Domani do un occhio al listino in ditta, direi che un 600F dovrebbe andar bene a memoria. Per cloud che intendi? Forse "alla Meraki"? Di solito il firewall lo raggiungi dall'IP del provider sull'outside, ma puoi avere una macchina per la gestione che può essere una VM oppure un hardware fisico. Nei Cisco Firepower è addirittura obbligatoria per la gestione, nei Fortinet puoi scegliere, ma per installazioni grosse è comoda per i log.

mark129

BrianFurious Quanto viene un Fortinet che deve sostenere 800 host?

Che intendi per 800 host? Il throughput di 800 host oppure 800 tunnel concorrenti?

BrianFurious

mark129 Mi riferisco in generale all'hardware se regge il traffico con IPS, SD-Wan, IPSec ecc

Karakurt Il mio meraki riesce a vedere online l'altro end. Il sophos da errore di collegamento IPSec.

FeliceMonteleone Fase 1

ThomasGallo Ci sta, purtroppo anche dopo un meeting oggi considero un paio di settimane fra permessi e cambio società ecc. Considera che devo avere pronto tra 10 giorni circa. Farò intervenire qualche supporto di Sophos altrimenti cambierò firewall per avere almeno il collegamento che mi serve

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile