2012/10/4 Marco Gaiarin <[email protected]> > > Mandi! Marco Ermini > In chel di` si favelave... > > > Uhm, io direi ancora di no. Perché mai affidarsi alla criptazione del > > layer 2 - che se esiste, è comunque affidata a una password o una > > chiave installata nei router in gestione del tuo ISP - piuttosto che > > non usare la criptazione del protocollo (e.g. HTTPS/SSL?). > > ...diciamo che chi mi chiede di valutare la situazione non ha minimamente > pensato di mettere ''a budget'' anche la eventuale ''sistemazione'' del > livello applicativo, e ha tolto dal budget la gestione della VPN attuale > (fatta in casa con OpenVPN). > Insomma, MPLS è la soluzione a tutti i mali, a priori, a prescindere. ;) > > > >> Nel secondo caso, inoltre, ti ricordano gentilmente che poi non c'è da > >> sperare che il (loro) QoS funzioni. ;) > > Questa non l'ho capita, invece. > > A questo livello di contatto, i vendor mi comunicano che fanno QoS > sostanzialmente port-based, quindi se grezzamente io ci faccio una VPN > sopra, ''maschero'' tutto dietro a un unico set di porte. > Ciao. Conosco una realtà enterprise dove esistono varie VPN IPSEC end-to-end che attraversano una rete MPLS (doppia in realtà per HA con due carrier notissimi) Il traffico IPSEC viene "colorato" con diffserv sui firewall end point del tunnel IPSEC del cliente, basandosi su informazioni diffserv prodotte dai router , sempre del cliente, a monte dei firewall, e contrattualmente il fornitore offre QOS differenziati, basati sulle classi diffserv implementate dal cliente stesso.
Un saluto Elia ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
