Voltar para Geral

Sugestão a respeito de uma infraestrutura

Home Fórum Geral Sugestão a respeito de uma infraestrutura

Visualizando 10 respostas da discussão
  • Autor
    Posts
    • #48749
      danillodias
      Participante

      Boa noite a todos, gostaria da ajuda de vocês a escolher a melhor maneira para construção de uma infraestrutura.

      O meu objetivo é ligar dois campus por meio de uma fibra e fazer que o campus B consiga ter acesso as aplicações que rodarão em um servidor localizado no Campus A. A ligação dessa fibra será por meio de dois switches layer 3 Cisco com módulo VPN-IPSEC, onde no Campus A terá a seguinte infraestrutura: Firewall com 3 NICS, onde uma delas receberá a Internet, outra será uma DMZ com o servidor de aplicação e na última placa será conectada ao switch. No outro campus terá apenas máquinas ligadas ao switch.
      Esses switches terão VLANs e precisarão se comunicar com o Servidor do Campus A, uma VPN vinda da Internet também precisará se conectar ao servidor. Pensando na segurança o servidor estaria na DMZ para que não haja acesso a rede interna.

      Gostaria de saber a sugestão de qual modelo escolher para os switches e como poderia ser feita a configuração para a comunicação do Campus B acessar o servidor do Campus A através da fibra rodando VPN-IPSEC. Que tipo de regras teria no Switch para fazer esse tipo de roteamento e também quais regras teria no firewall para encaminhar para o servidor.

      Segue o arquivo com uma ilustração de como supostamente seria essa infraestrutura.

      Agradeço a colaboração de todos.

    • #115371
      Edson
      Participante

      Salve!

      Me perdõe, mas não entendi onde entra a VPN-IPSEC entre os campus.
      Essa fibra que interligará os sites é de algum provedor? É compartilhada?

      Qual a distância entre os prédios?

      No meu ponto de visto, se vc tiver switches com capacidade para L3, faria uma conexão entre os switches com uma rede /30, com isso faria roteamento entre os campus, poderia ser estático, pois não acredito que hajam muitas redes ou com um protocolo simples, tipo RIPv2 para não complicar mto o negócio.

    • #115372
      danillodias
      Participante

      É uma fibra compartilhada sim, e o Contratante quer um nível de segurança bem elevado… a distância entre os Campus é entre 15 – 20km. Na verdade os campus tem q se comunicar de uma forma eficiente para que o Campus B tenha acesso as aplicações do Campus A.

    • #115373
      Edson
      Participante

      Ah saquei, nesse caso acho que você precisará de um firewall em cada ponta, ou ainda um roteador, pois acredito que a maioria dos switches L3 não suporta a criação de túneis VPN IPSEC.
      Se o intuito dessa ligação for única e somente para acessar a aplicação do servidor A, não seria mais barato fazer o acesso via Internet? Afinal o servidor vai estar em uma DMZ com acesso público.

    • #115374
      Edson
      Participante

      Bom, pelo que vi aqui rapidamente, só o 6500 com o módulo para VPN poderia fazer esse túnel site-2-site.
      Nesse caso, acho interessante usar outros dois hosts pfSense, adquirir um ASA ou um firewall de outro fabricante e em último caso apelar para um roteador mesmo.

      Fecha a VPN site-2-site usando essa fibra como conexão, faz o roteamento estático para o seu host e boa diversão

    • #115375
      danillodias
      Participante

      Valeu, estou com outras ideias aqui… assim q definir posto aqui pra vcs darem uma opinada!

    • #115376

      Sinceramente, o módulo de criptografia do 6500 é uma bela merda e cheio de bugs, a gente usava no banco e tivemos que tirar a criptografia dos links, alem de vc ter que rotear por uma vlan etc… se for criptografar com modulo de 6500 usa o ASA SM.

    • #115377
      Igor Mendonça
      Participante

      @Fernando
      As WiSM também eram assim. 1000x uma WLC5500 caro do que uma WiSM de graça.

    • #115378
      danillodias
      Participante

      Valeu a dica, pensei direitinho e em vez de investir em um switch desses acho que seria melhor montar uma infra com switch e roteador. Um router da linha 1900 (encarregado de fazer as ACLS e fechar as VPNS de fora da rede e um Switch da linha ME 3400 fazendo a ligação das redes por meio de fibra e usando criptografia nesse meio. No final um switch de acesso para ligar as estações, assim como mostra a foto anexada.

    • #115379
      Edson
      Participante

      Fala aí!

      Parece bacana, fiquei curioso sobre o ME3400, que tipo de criptografia ele suporta?
      Dei uma olhada por cima e não vi nada relacionado: http://www.cisco.com/c/en/us/products/collateral/switches/me-3400-series-ethernet-access-switches/prod_bulletin0900aecd8052f3d5.html

    • #115380
      Daniel.Matozinhos
      Participante

      Fala aí…

      Pelo que eu entendi:

      1 – Vc quer criptografar somente o tráfego para o servidor de aplicação?
      2 – Ou quer criptografar TODO o tráfego de um campus para o outro (inclusive para o servidor de aplicação)?

      Se a primeira pergunta endereça sua necessidade, você já pensou em utilizar o IPSec incluso no sistema operacional (já que é Windows server 2008) e nas estações???? Já implementei e testei essa funcionalidade, e funciona á contento e terás mais performance do que direcionar este tráfego por uma VPN (já que irá utilizar o link de fibra). Além disso, seu custo será zero (uma vez que é uma funcionalidade nativa do S.O). Segue link de sugestão:

      http://www.mcsesolution.com/Windows-Server-2008/configurando-o-ipsec-no-windows-server-2008.html
      https://www.youtube.com/watch?v=OtIKLxn-ceo

      Agora se a segunda pergunta endereça sua necessidade, tu vai ter que posicionar um baita equipamento (em termos de Hardware) entre as pontas, dependendo do volume do tráfego, para criptografia/decriptografia. Por isso, veja bem a sua real necessidade, para que atenda somente o tráfego desejado.

      Qualquer dúvida, a disposição.

Visualizando 10 respostas da discussão
  • Você deve fazer login para responder a este tópico.