control en cascada
Mauricio Robles
mrobles en atentus.com
Lun Ene 30 09:41:00 CLST 2006
Sip...como ya se nombraron en un mail anterior lo que falta es un
BRIDGE, lo otro es ver que puedas sacar los router y poner unos linux
como VPN y Router, de esta manera dejas mas control sobre tu trafico y
ACL's por todos lados...pero en todo caso la solucion mas economica en
un bridge(ya que solo es una maquina por segmento)...no requieres de un
gran pc...lo pones antes del router tu RA oRB o RC...y listo...
Hya barios proyectos en bulma.net sobre BRIDGE.... :-)
Percy Gonzales wrote:
>Hola listeros, en mi oficina tenemos la siguiente arquitectura de red:
>una oficina central y 3 sucursales, cada una de estas en un segmento
>de red y enlazadas mediante un router al router de la oficina central,
>la oficina central es la encargada de brindar las conexiones a
>Internet y enlaces externos, como muestro en la figura:
>
> RP
> 192.168.5.1
> LAN:192.168.5.0/24
> |
> ---------------------------------------
> | | |
> RA RB RC
> 192.168.10.1 192.168.20.1 192.168.30.1
> LAN:192.168.10.0/24 LAN:192.168.20.0/24 LAN:192.168.30.0/24
>
>Actualmente tropezamos con un problema, que los enlaces de las
>sucursales a la oficina central se saturan frecuentemente, debido a
>que los usuarios de cada una estas subredes intentan acceder a
>servicios no estan permitidos (aunque existe un control, pero este se
>encuentra en la oficina central), como veran aunque exista un control
>en la oficina central, el trafico ya se genero y saturo los enlaces en
>cada caso, por lo cual deseamos establecer un control en cada una de
>las oficinas (suponemos podria ser: squid e iptables), de tal forma
>que solo se deje pasar el trafico escencialmente necesario y de esta
>forma mejorar el rendimiento de los enlaces que se tiene.
>
>Es asi que recurro a uds. para solicitarles colaboracion y me orienten
>con una solucion adecuada. Escencialmente deseamos que exista
>comunicacion en ambos sentidos (desde y hacia la foficina central y
>sucursales), controlar que solo las aplicaciones permitidas tengan
>acceso.
>Un aspecto importante es que no queremos que las direcciones IP de los
>usuarios de cada segmento se transformen, ya que en las aplicaciones
>de algunos enlaces externos hacen un control por IP.
>
>Si alguno ha trabajo en algo parecido y me podria brindar alguna
>colaboracion u orientar en como hacer que eto funcione de forma
>adecuada, se lo agradecere mucho.
>
>
>
>
--
------------------------------
Mauricio Alberto Robles
SysAdmin
Atentus.com
fono: 7770092
Linux user #\389526 with the Linux Counter.
Más información sobre la lista de distribución Linux