Melhor abordagem para uma rede do tipo MAN

Guilherme Montelo · 16 de agosto de 2024

Galera, tenho o seguinte cenário:

Uma rede MAN com 100 pontos fornecida através do meu provedor de internet, o provedor usa FTTH e me entrega um ONU em cada ponto, através destes pontos consigo comunicação com cada nó da rede.

Recentemente surgiu a necessidade de segmentar as redes dos locais, através de ao menos 4 VLANs: VLAN 10 - Rede Cabeada e Wi-Fi Corporativo (Impressoras, Tablets etc), VLAN 20 - Wi-Fi Público, VLAN 30 - Telefonia IP e VLAN 40 - Laboratórios de Informática e meu provedor ~~não quer ou não consegue~~ realizar esta segmentação.

Desta forma estou pensando em montar uma infraestrutura própria sobre esta rede, baseada numa CCR2116-12G-4S+ como ponto concentrador e nas pontas RB750Gr3, a ideia inicial e que as RB750Gr3 fechem uma conexão VPN com L2TP/IPSec com a CCR2116-12G-4S+ e trafego das VLAN sejam transportados pela VPN com VLAN Trunk.

O Wi-Fi Público e Corporativo serão providos por meio de APs Unifi, muito provavelmente rodando a controller sob um container Proxmox, e usando o PFSense para gerir estre trafego redirecionando para um captive portal o trafego da VLAN 20 - Wi-Fi Público.

Em relação a VLAN 10 - Rede Cabeada e Wi-Fi Corporativo, as opções são duas, deixar que as próprios RB750Gr3 gerenciem o DHCP de cada unidade ou para que este serviço fique a cargo de um servidor Windows Server e/ou Samba, servindo um range /24 para as VLAN 10, VLAN 30 e VLAN 40 e um range /23 para a VLAN 20.

Será que esta solução é viável? É possível reduzir custos nos equipamentos especialmente escolhendo um roteador abaixo da CCR2116? Qual é o melhor forma de fechar essas VLAN? As RB750Gr3 suportam consistentemente um trafego de ao menos 200 Mbps mesmo usando IPSec?

Linio Alan · 17 de agosto de 2024

Seu provedor está te entregando a conectividade na MAN via links "IP puro", Lan-To-Lan (MPLS) ou eBGP?

A proposta da infra com CCR + RBs + PfSense (IPSec) parece uma abordagem honesta mas creio que acrescenta muito overhead ao tráfego limitado ao túnel L2TP, com a latência acrescida não apenas pela rede do próprio ISP mas claro ainda com a encriptação/decriptação do IPSec.

Por esses motivos acredito eu que o mais razoável, diante de tantos pontos dentro da sua MAN (100), faria muito mais sentido ter links LAN-to-LAN já que 100% do tráfego é gerido pelo provedor (mesmo backbone), não faz muito sentido do ponto de vista técnico, acrescentar overhead neste cenário, desperdício de tudo.

Caso o L2L ainda não seja opção tecnicamente viável do seu provedor, então acredito que o próximo passo seria caminhar no sentido de montar o SEU backbone MPLS L3VPN, faz muito mais sentido pra mim do que L2TP/IPsec, embora a complexidade seja também superior, enfim tudo são prós e contras cabe à você decidir qual direção tomar.

Cadu Campos · 21 de agosto de 2024

@Guilherme Montelo Olá amigo, tudo bem?

Veja se seu provedor tem a possibilidade de ativar o serviço de q-in-q, que dessa forma a conexão entre sua matriz x filial vai ficar de forma transparente pra eles, sem ter nenhuma necessidade de fazer trunk de vlan adicional, dessa forma, ficando parecendo que a fibra está diretamente conectada e saindo do seu ativo pra as filiais. Caso o mesmo não consiga lhe atender, recomendo você verificar a possibilidade nesse circuito que você informou, utilizando as mikrotiks, o protocolo EOIP (ethernet over IP), assim você vai ter comunicação de camada 2 e 3 entre suas filiais, dessa forma você vai poder passar vlan, visto que utilizando protocolo de vpn (pptp, l2tp, ipsec, wireguard e afins) não realiza o encapsulamento do ID de vlan em seu datagrama, já o EOIP sim.

Vale lembrar que se você utiliza a mesma operadora pra todas as suas filiais, o roteamento entre elas é confinado no backbone da operadora, onde a latência varia no máximo de 3ms, mesmo utilizando ip publico, então a ideia de utilizar o eoip fica mais assertiva.

Em relação ao pfsense, não tem nenhum problema e pode ser utilizado da forma que desejar, visando que se o mesmo tiver comunicação ou transporte entre as extremidades, o mesmo consegue chegar até as filiais.