ARGOMENTO:

Buongiorno,
sto affrontando questo corso CCNA e vorrei porvi una domanda extracorso. Vorrei un consiglio su router cisco da poter utilizzare a lavoro.
C'è una sede principale con circa 50 pc collegati che va in WAN tramite WIMAX e poi altre 20 sedi secondarie collegate in vpn che vanno in WAN tramite adsl2+(ogni sede circa 10-20 pc).
Vorrei sapere quale router utilizzare affinchè possa fare un buon investimento iniziale e poter sfruttare questo e i corsi futuri cisco.
Ho visto i cisco 867va, 897va, 1841? Servono licenze attivate?

Una cosa che mi servirebbe è anche il content e url filtering per il filtraggio di contenuti hot e social network (anche https).

Ma cerchi un isr oppure un router?

Credo siano più indicati gli ISR per le sedi secondarie cosi ho un tutto-in-uno e per la sede centrale una coppia router/Firepower Next-Generation.

Ciao,

puoi spiegarti meglio? Ti serve un singolo router? Dove andrà installato? Oppure devi realizzare il sistema che hai descritto e devi scegliere un router per ciascuna sede?
Grazie.


Andrea

Ciao,
devo realizzare il sistema(già c'è in maniera limitata) e devo scegliere dei router adatti alla realizzazione. Vorrei sfruttare i corsi ipcert per poter a poco a poco riuscirli a configurare.
Ecco qui la topologia generale della rete:
una sede centrale con postazioni pc e DMZ dove risiedono i server Web. Dalle sedi secondarie devono collegarsi in VPN ai Web Server. La sede centrale è dotata di connessione Ethernet con autenticazione e backup su linea Adsl. Le sedi secondarie hanno o una linea ADSL o VDSL dietro le quali ci sono 10/30 postazioni pc che devono navigare con content filtering (social network, siti non consentiti).

La topologia è molto semplice, ma non so cosa offre il mercato cisco:
1) Quale modem/router scegliere per le sedi secondarie? Per il content filtering è necessaria una licenza?
2) Quale firewall per la sede centrale? Ci sono licenze da pagare per le VPN o solo per quelle aggiuntive?




grazie tante.

Allora ecco la panoramica : www.cisco.com/c/en/us/products/routers/8...ex.html#~stickynav=1

Personalmente utilizzerei un 887va solo in caso di connettività inferiore a 100mbit, mentre per l'897va se posso spingermi oltre, questo perché l'887va ha porta FE mentre l'897 ha porte GE.

Poi se ci vuoi anche il wifi o meno questo è a tua scelta personale.

Scegliti il modello esatto in base alla connessione che vuoi ed all features del prodotto che ti interessano.

Ovviamente se poi qualcuno cambia tipologia di connettività, ad esempio passi in fibra ottica ffth con fastweb poi devi controllare che quel tipo particolare di connettività è supportata dal prodotto che hai già.

Per evitare questo tipo di problemi, di solito si tende a lasciare il router fornito dal provider di connettività ed installare un proprio router/firewall di frontiera, da cui esce la vpn che ti interessa.

Buon networking



Federico.

In effetti la parte di security è meglio farla fare a dei firewall e per diversi motivi:
- router a carico del provider
- vpn offloading: la cifratura viene eseguita in hardware, sui router in software a meno di installare a bordo dei moduli vpn specifici
- url filtering/content filtering/ips/antivirus/ssl inspection: sebbene qualcosa sia possibile fare anche sui router, se usi un firewall NGFW queste configurazioni sono molto più facili ed efficaci. Ad esempio Fortinet ne ha una gestione molto valida e funzionale, principalmente via GUI ma con una CLI sottostante da cui puoi agire in profondità

Cisco dal punto di vista dei firewall è rimasta un po' indietro. I servizi FirePower dovevano essere l'applicazione per il rilancio ma si sono rivelati non molto funzionali e da quello che ne so al momento sono stati abbandonati in favore di una ulteriore step evolutivo. Fortinet, al contrario, per questi servizi si è dimostrata sul pezzo e quindi è una piattaforma che ti consiglierei. Come licenze conviene acquistare le macchine in bundle con i servizi.

Per quanto riguarda il design andrebbero fatte un paio di considerazioni:
- se la navigazione utilizza i link wan locali allora usa i firewall anche nei branch offices, e realizzerai le vpn site-to-site direttamente tra i firewall
- se la navigazione invece uscisse tutta dalla sede principale allora potresti utilizzare dei router per interconnettere branch con HQ (usando quindi DMVPN, sistema abbastanza semplice e che scala) ed un solo firewall centralizzato, magari in HA, dove concentrare tutte le impostazioni e policy relative

Buon weekend.


Andrea

La navigazione utilizza i link wan locali e quindi da come suggerito potrei utilizzare un firewall fortinet e come router (gigabit, adsl2+) quale potrei acquistare?

Domanda: se in una sede non avessi bisogno del firewall(perchè ad es. non ho bisogno di certe caratteristiche come antivirus, url filtering ecc.), potrei instaurare una vpn site-to-site dal router cisco ad un firewall fortinet? Se si, ci sono licenze da acquistare? Bisogna scegliere determinati modelli?

grazie

Emessina, un antivirus non sostituisce un firewall.
Per tua conoscenza, prova a leggerti i libri della ccna/p security che così ti si chiariranno completamente le idee.
In nessun caso un firewall è un prodotto opzionale, ma sempre indispensabile.

Federico.

Ciao emessina, come dice federico un firewall risulta essere un elemento essenziale e non sacrificabile in una rete moderna (sono poi certo che non volesse suonare perentorio in tal senso ^^)

Se proprio però queste sedi periferiche non uscissero in alcun modo direttamente su internet potresti pensare ad una architettura con sicurezza centralizzata, per quanto di sicuro un approfondimento in tal senso sarebbe certamente auspicabile - ma diamo tempo al tempo, gettiamo prima delle solide basi e poi si capirà la strada da seguire.

In bocca al lupo

Un firewall è sicuramente essenziale e lo vedrò nei prossimi corsi che andrò a fare, il mio però era un modo generalistico per dire che anzichè una accoppiata cisco+next generatio firewall nelle sedi periferiche dove non c'è bisogno di un firewall avanzato potrei andare a scegliere un dispositivo "tutto in uno" con funzionalità firewall integrate (sono gli isr cisco?).

Resto in attesa di consigli su router cisco. Io di solito vedo i cisco 1841 ovunque. C'è un successore?

Per i successori dei Cisco 1841 ci sono i Cisco 1941 in sù.

ciao federico,
ho visto il 1941 e sulla pagina ufficiale cisco dice che è già fuori commercio e di scegliere la serie 4000 che sono gli ISR che hanno già alcune funzionalità integrate. Per questo poi mi è sorta la domanda alla quale mi ha già risposto DOrsi "url filtering/content filtering/ips/antivirus/ssl inspection: sebbene qualcosa sia possibile fare anche sui router, se usi un firewall NGFW queste configurazioni sono molto più facili ed efficaci.". Sarebbe inutile spendere soldi per una accoppiata ISR+Firewall (Fortinet o Cisco che sia) quando ho già la possibilità di fare vpn ed altro tramite la serie ISR.

I 4000 sono piuttosto costosi, magari tra gli altri ISR trovi qualcosa di più consono e con le caratteristiche che stai cercando:

ISR 800: www.cisco.com/c/en/us/products/routers/8...dels-comparison.html
ISR 1000: www.cisco.com/c/en/us/products/routers/1...r/compare-model.html
ISR 4000: www.cisco.com/c/en/us/products/routers/4...dels-comparison.html

Vedi se le funzionalità di security sono sufficienti per quello che ti serve, oltre alle prestazioni generali (numero di host, throughput, cifratura in vpn, eccetera).

Per quanto riguarda una ipotetica vpn IPSec tra Fortinet e Cisco non ci sono problemi, è supportata e funziona (parlo per esperienza personale). Su Cisco credo tu abbia bisogno della licenza Security, che ti conviene acquistare in bundle con il router.

Un momento, tu hai parlato del 1841 ed il 1841 non è un ISR, è un semplice router Cisco, di classe enterprise.
Se cerchi un ISR devi andare su altri modelli.
Il 1941 è il successore del 1841 ed anche questo NON è un ISR.
Questo giusto per chiarire la questione.


Federico