WAN, VPN, MPLS e Tipi di Connessioni

LAN, WAN e MAN

Una LAN (Local Area Network) è una rete che connette i computer e altri dispositivi in un'area relativamente piccola, come un singolo edificio o gruppo di edifici.
Una WAN (Wide Area Network) è una rete geograficamente distribuita che connette più LAN insieme, come potrebbe essere una rete che connette due uffici di una stessa azienda, che si trovano in due città diverse.
Una MAN (Metropolitan Area Network) è una rete che connette computer e altri dispositivi in un'area geografica più larga di una LAN, ma più piccola di una WAN.

VPN

Le VPN (Virtual Private Network) forniscono un tunnel virtuale tra le reti private attraverso una rete pubblica condivisa come Internet.
Il traffico che viaggia in questo tunnel viene criptato e può essere letto solo dagli utenti autorizzati che si trovano ai capi del collegamento.
Gli utenti possono condividere dati attraverso il tunnel come se fossero connessi con un link privato.
Le VPN permettono alle aziende di usare gli stessi link fisici per collegare gli uffici sia ad Internet sia tra di loro. Inoltre, visto che usano la stessa infrastruttura condivisa, le connessioni VPN sono solitamente meno costose dei link fisici dedicati.

VPN Site-To-Site

Le connessioni delle VPN Site-To-Site finiscono su di un router o firewall in ogni ufficio.
Non c'è bisogno di installare alcun software sui PC degli utenti.
Viene solitamente usato IPsec per criptare.

Configurazioni VPN Site-To-Site

• Tunnel IPsec: Normale tunnel IPsec standard aperto, non supporta multicast.

• GRE (Generic Routing Encapsulation) attraverso tunnel IPsec: aggiunge il supporto al multicast

• VTI (Virtual Tunnel Interface) IPsec: Proprietà Cisco, configurazioni semplificate e supporta il multicast.

• DMVPN (Dynamic Multipoint VPN): Proprietà Cisco. Configurazione scalabile e semplice con stile "hub and spoke" che permette una connettività diretta full mesh attraverso tutti gli uffici.

• FlexVPN: Proprietà di Cisco. Molto simile a DMVPN, ma con tecnologia più recente.

• GETVPN (Group Encrypted Transport VPN): Proprietà Cisco. Policty scalabile e centralizzata per VPN attraverso infrastruttura non pubbliche (come la MPLS).

VPN ad Accesso Remoto

Le connessioni a questo tipo di VPN sono tra un router o firewall nell'ufficio e il software della VPN installato sul dispositivo dell'utente.
L'utente può accedere alla VPN da ovunque ci sia connessione ad Internet.
Per criptare viene usato SSL, ma alcune volte viene usato anche IPsec.

Opzioni di Connessione WAN

Ci sono molte opzioni disponibili per poter collegare uffici molto distanti tra loro, ma non tutte le opzioni possono essere presenti in tutte le regioni. Inoltre, ciò che viene molto usato in una potrebbe essere considerato obsoleto in un'altra.
Le principali sono:

• Linea dedicata (leased line)

• MPLS (Multi Protocol Label Switching)

• Satellite

Solitamente il provider fornisce un SLA (Service Level Agreement) che garantisce l'uptime ed il ritardo e perdita del traffica sul collegamento.
Le linee dedicate e satellitari possono essere usate per la connessione ad Internet, tra gli uffici direttamente, e/o tra gli uffici attraverso VPN.
La MPLS usa una parte dell'infrastruttura condivisa con l'ISP e può essere usata per la connessione ad Internet e/o tra gli uffici attraverso VPN.

Fibra Ottica

La fibra ottica è migliore del ramo di cavo se usata per coprire lunghe distanze.
Viene usata anche internamente dagli ISP, ma può essere anche offerta ai suoi clienti e prende il nome di servizio "FTTx", dove la x cambia a seconda di dove arriva il collegamento in fibra:

• Fiber to the Home (fibra fino a casa): Il collegamento in fibra ottica raggiunge direttamente ogni unità abitativa. E' la soluzione più costosa, ma anche la migliore in attesa dell'arrivo della nuova tecnologia

• Fiber to the Premises (Fibra fino al locale): Termine che viene usato per indicare in modo generico l'FTTH e FTTB

• Fiber to the Building (Fibra fino all'edificio): Il collegamento in fibra arriva al limite del palazzo o della schiera di più unità abitative.

• Fiber to the Node o Neighborhood (Fibra fino al nodo): Il collegamento in fibra arriva fino ad una cabina distante diversi kilometri.

Dense Wavelenght Division Multiplexing - DWDM

La DWDM combina più segnali ottici in un unico segnale ottico trasmesso su di un singolo cavo della fibra.
Ad ogni segnale viene assegnata una lunghezza d'onda differente.
DWDM permette di aggiungere più capacità all'infrastruttura esistente senza aggiornamenti costosi e viene usata in tutti i tipi di connessioni importanti moderne.

Fibra Oscura

Molti ISP hanno installato più cavi di fibra ottica di quanto ne avessero effettivamente bisogno e vendono questa fibra non usata con il nome di "Fibra Oscura"

Opzioni di Backup per Uffici tramite WAN

Le opzioni meno costose offerte agli utenti singoli per accedere ad Internet possono essere usate come opzioni di backup con VPN in una WAN dalle aziende grosse, ma solitamente non si hanno SLA con questi serivizi.
Ecco una lista di opzioni che possono essere usate come metodo di connessione primario alla WAN della rete aziendale dagli uffici più piccoli e dei dipendenti che lavorano da casa in smart working:

• Digital Subscriber Line

• Cavo

• Wireless (come 4G)

Ecco una lista dei metodi che venivano usati per la connessione alle reti:

• Public Switched Telephone Network (PSTN): La classica linea telefonica, i modem 56k si connettevano a questa

• Integrated Services Digital Network (ISDN): Come la PSTN, ma per le aziende grosse e più veloce

• Frame relay

• Asynchronous Transfer Mode (ATM)

Linea Dedicata

Una linea dedicata è una connessione fisica dedicata tra due posti.
Ha una larghezza di banda fissa e riservata che non viene condivisa da nessun'altro e la stessa larghezza di banda è disponibile in entrambe le direzioni.
La compagnia potrebbe possedere l'infrastruttura di rete ma più comunemente è presa in prestito da un ISP ad un costo mensile, da qui il nome "Leased line".
Le linee dedicate di solito collegano un ufficio aziendale a:

• Un altro ufficio aziendale, fornendo una connettività punto-a-punto tra i due uffici

• Un data center che è connesso all'esistente WAN aziendale, che fornisce una connettività a più punti tra gli uffici

• Un data center che è connesso ad Internet, fornendo connettività ad Internet, e volendo anche una connessione agli uffici aziendali tramite VPN

Molte linee dedicate usano una connessione seriale, che richiede la giusta NIC (scheda di rete, "Network Interface Card") nel router.
Le linee dedicate sono solitamente più costose della altre opzioni e di solito richiedono un tempo maggiore di installazione.
Le opzioni Ethernet tramite rame o fibra stanno diventando più comuni delle linee seriali.

Linea Satellitare

Le connessioni satellitari condividono le stesse caratteristiche delle linee cablate dedicate: sono costose e con poca larghezza di banda, tuttavia potrebbero essere l'unica opzione disponibile in una particolare area geografica.

Linea Telefonica

I collegamenti T1 e E1 erano molto usati per la connessione alla rete telefonica detta PWTN (Public Switched Telephone Network).
Il cavo analogico presente nella casa di ognuno è capace di portare una chiamata alla volta, mentre una linea digitale T1 riesce a portare 24 chiamate TDM contemporaneamente, mentre una linea E1 può portare fino a 30 chiamate.
Oggi è molto comune trovare tra le connessioni Ethernet il VoIP (Voice over IP) che usa il protocollo SIP (Session Initiation Protocol).

Multi Protocol Label Switching (MPLS)

La connessione WAN può essere offerta tramite una struttura MPLS, di solito gestita dall'ISP.
Il traffico tra diversi clienti può viaggiare attraverso la rete MPLS condivisa dell'ISP, quindi questo è un servizio VPN e quindi ci sono diversi livelli di SLA con diversi uptime e ritardo e perdita del traffico.
Vengono solitamente utilizzate connessioni Ethernet verso il router del cliente e le MPLS forniscono una topologia della rete full mesh.

MPLS VPN di Livello 3

Nell'immagine soprastante vediamo che il cliente A ha un ufficio a New York e due a Boston (A1 e A2), mentre il cliente B ha un ufficio a New York e uno a Boston.
Notare che la sottorete del cliente B di Boston e quella del cliente A nell'ufficio A2 hanno la stesso IP: questo non risulta in problemi perché le sottoreti virtuali vengono tenute separate dall'ISP e quindi non possono comunicare.
La MPLS passa attraverso il "core" del provider tramite i router PE e P di quest'ultimo.
I router CE non sono a conoscenza della MPLS, sono impostati come normali router IP e si interfacciano al Livello 3 con i router PE del provider.
Vengono create delle route statiche manualmente o attraverso un protocollo di routing tra i router CE e quelli PE.
I router core del provider sono invisibili ai clienti ed i router PE vengono visti dai clienti come ogni altro router.
Ovviamente le reti dei clienti sono in sottoreti IP differenti.

Configurazione del Router CE - Route Statiche Manuali

Ecco come configurare le route statiche sul router CE del cliente A dell'ufficio di New York:

CE1(Config)#int g0/0
CE1(config-router)#ip address 192.168.0.2 255.255.255.252
CE1(config)#ip route 10.0.0.0 255.255.0.0 192.168.0.1

Il secondo comando imposta l'indirizzo IP 192.168.0.2 sull'interfaccia g0/0 del router CE di New York.
Il terzo comando imposta una route statica verso la sottorete 10.0.0.0/16 attraverso l'indirizzo IP 192.168.0.1 del router PE lato New York.

Configurazione del Router CE - Route statiche attraverso RIP

Vediamo ora come configurare RIP sul router CE del cliente A di New York:

CE1(config)#int g0/0
CE1(config-router)#ip address 192.168.0.2 255.255.255.0
CE1(config)#router rip
CE1(config-router)#version 2
CE1(config-router)#network 10.0.0.0
CE1(config-router)#network 192.168.0.0

Il secondo comando imposta l'indirizzo IP 192.168.0.2 sull'interfaccia g0/0.
Il terzo comando serve per entrare nelle opzioni del protocollo RIP.
Il quarto comando dice a RIP che vogliamo la versione 2.
Il quinti comando serve a "pubblicizzare" la nostra rete interna 10.0.0.0.
Il sesto comando serve ad attivare RIP anche per la sottorete 192.168.0.0 che è verso il PE del Provider.

MPLS VPN di Livello 2

I dispositivi CE non si interfacciano con i dispositivi PE. Tutta la rete del provider è invisibile al cliente.
La rete dell'ISP agisce come uno switch gigante e i clienti condividono le stesse sottoreti IP.
Questo può essere richiesto per fare un cluster di un'applicazoine tramite WAN e può anche essere utile nella migrazione degli host durante un Disaster Recovery.
Ecco due tipi di VPN di Livello 2:

• Virtual Private LAN Service (VPLS): VPN multipunto di Livello 2

• Virtual PseudoWire Service (VPWS): VPN punto-a-punto di Livello 2

PPP over Ethernet - PPPoE

Viene comunemente usato nelle linee DSL (Digital Subscriber Line) e può essere configurata o sul modem DSL oppure sul router

Topologie Possibili - Hub and Spoke (Star)

Vantaggi: Semplicità, Policy di sicurezza centralizzata
Svantaggi: Unico punto di fallimento, flusso del traffico subottimale

Hub and Spoke Ridondante

Vantaggi: Rimuove il singolo punto di fallimento, Policy di sicurezza centralizzata.
Svantaggi: Costo più alto, flusso del traffico subottimale.

Full Mesh

Vantaggi: Flusso del traffico ottimale.
Svantaggi: Complessità e costi più alti.

Mesh Parziale

Questa è una via di mezzo tra le opzioni precedenti.
Questa topologia costerà più di una semplice hub and spoke, ma la connessione tra gli uffici di Washington, Los Angeles e New Orleans sarà migliore.

Opzioni Ridondanza Internet per Casa

L'immagine soprastante riassume i 4 tipi di connessione che possiamo avere a casa col Provider:

• Single Homed: Il cliente è collegato all'ISP tramite un router. Singolo punto di fallimento.

• Dual Homed: Il cliente è collegato all'ISP tramite due router. Opzione più sicura, ma più costosa.

• Multihomed: Il cliente è collegato a due ISP diversi tramite due router diversi.

• Dual Multihomed: Il cliente è collegato a due ISP diversi tramite due router in configurazione mesh parziale.