Tratto dallo speciale:

I servizi di un access gateway ideale

di Marco Mori

scritto il

Quali sono i servizi che un moderno access gateway aziendale dovrebbe poter offrire: Voip, connettività Wi-Fi, strutture di sicurezza e servizi di gestione.

In un articolo precedente abbiamo descritto quali sono le caratteristiche da prendere in considerazione nell’acquisto di un Acces Gateway “ideale”. È il momento ora di esaminare in dettaglio quali sono i possibili servizi che in linea teorica possono essere integrati sul nostro apparato.

Servizi VoIP

Il VoIP, senza scendere troppo in dettaglio, è una tecnologia che ci permette di effettuare una conversazione telefonica, utilizzando il protocollo IP, attraverso una connessione internet invece che usufruire della rete PSTN (Public Switched Telephone Network). In realtà bisogna distinguere in che modo debbano essere effettuate le chiamate VoIP poiché generalmente tali conversazioni avvengono in modo peer-to-peer ovvero tra utenti Internet. Per poter chiamare “in modo VoIP” un utente PSTN, vi sono almeno 2 possibilità:

  • fare un contratto con una società che faccia da Gateway VoIP verso la rete tradizionale (es, Skype o altri);
  • interfacciarsi con il proprio apparato alla rete tradizionale.

La prima ipotesi non rientra nella ottica dell’AG per cui ci concentreremo sulle caratteristiche che un dispositivo hardware deve avere per connettersi alla rete PSTN.

Gli apparati VoIP possono integrare 2 tipi di interfacce analogiche: FXS e/o FXO. Le interfacce FXS (Foreign eXchange Station) sono interfacce analogiche attive a cui si può connettere un apparto utente (telefono tradizionale) o l’interfaccia FXO di un centralino telefonico, mentre le interfacce FXO (Foreign eXchange Office) sono interfacce analogiche passive con cui è possibile connettersi direttamente alle reti tradizionali.

Alla luce di quanto detto è evidente che, per poter effettuare una chiamato VoIP verso un utente PSTN, è necessario che il nostro apparato abbia integrata almeno una interfaccia FXS per connettersi ad un PABX (Private Branch eXchange: centralino telefonico) oppure un’interfaccia FXO con cui collegarsi direttamente alla rete PSTN. È opportuno inoltre evidenziare che se volessimo utilizzare un telefono tradizionale per effettuare una chiamata dovremmo avere sul nostro AG almeno un’altra interfaccia FXS a cui connetterlo e nel caso in cui non fosse disponibile avremmo bisogno di un telefono IP “nativo” da connettere alla LAN.

I parametri di valutazione di un AG con VoIP engine embedded sono: il numero delle chiamate gestibili contemporaneamente e la molteplicità di protocolli di segnalazione (SIP, H323 , MGCP) e di codecs (G711, G729, G723) supportati.

Servizi WI-FI

La necessità di mobilità e allo stesso tempo di connettività all’interno di una struttura ci pone di fronte all’esigenza di disporre di un modulo WI-FI integrato sul nostro AG. La preferenza di un apparato dovrà essere quindi indirizzata verso dispositivi in grado di supportare: la maggior parte degli standard IEEE 802.11xx, un numero elevato di clients WIFI connessi contemporaneamente e almeno i più noti protocolli di sicurezza WEP, WPA-PSK, TKIP, WPA2. Da non sottovalutare inoltre il supporto QoS (Quality of service: qualità del servizio) direttamente sul modulo WIFI.

Nella tabella seguente sono riassunti gli standard IEEE 802.11xx e le relative velocità di trasferimento:

Servizi Router

Un router per definizione è un apparto che è in grado di inoltrare il traffico dati su reti diverse, sia per tecnologia (Wi-fi, Ethernet, Token-ring) che per protocollo o indirizzamento. In una LAN di piccole e medie dimensioni abbiamo bisogno che questo apparato supporti:

  • DHCP Server/Relay per poter indirizzare automaticamente (DHCP Server) i terminali che richiedono una connessione alla LAN o per inoltrare (DHCP Relay) le richieste di indirizzamento ad un DHCP server preesistente sulla LAN;
  • NAT dinamico e NAT statico 1:1/1:N per poter gestire i flussi di dati esterni (internet) verso i terminali all’interno della LAN (es. gestione PC della LAN in desktop remoto);
  • Supporto VLan (IEEE 802.1q) per separare virtualmente la LAN fisica in più domini di broadcast (es creare delle vlan specifiche per i traffico Wi-Fi oppure delle vlan per i vari server , etc);
  • Supporto dei principali protocolli di routing come RIP o OSPF in modo da poter gestire il traffico delle varie vlan e del routing statico ad esempio per inoltrare il traffico proveniente dall’interfaccia WAN verso un firewall all’interno della rete locale;
  • Supporto QoS in modo da poter imporre ai pacchetti sulla LAN o verso la WAN delle politiche di qualità del servizio ovvero delle priorità di inoltro. Questa feature è molto importante se si pensa di implementare VoIP o altri servizi con throughput garantito e con quindi latenze molto basse.

Servizi VPN Server/Pass-through

La necessità di avere un Server VPN integrato nella AG è legata all’esigenza di far accedere in sicurezza alla propria LAN, utenti remoti oppure di interconnettere, attraverso una rete geografica, due o più infrastrutture di rete.

Nel caso in cui non si abbia questo tipo di esigenza e si debba semplicemente raggiungere un terminale della LAN in modo sicuro è necessario che l’AG supporti la modalità VPN pass-through. In entrambi i casi è importante verificare quali siano i protocolli supportati (IpSec, PPTP, SSL , L2TP, GRE) e quante sessioni contemporanee possano essere gestite.

Servizi di gestione

L’ultimo aspetto da tenere in considerazione è il Management dell’apparato. Con questo termine ci si riferisce a tutte le azioni volte al monitoraggio, la gestione del dispositivo sia in locale (tipicamente attraverso una porta console) che da remoto.

Attualmente la quasi totalità degli apparati è gestibile attraverso una interfaccia grafica navigabile dal browser che ne semplifica e velocizza la fruibilità ma è importante tener presente che in alcuni casi attraverso l’interfaccia non è possibile utilizzare tutte le caratteristiche del dispositivo. Per questo motivo molti vendors mettono a disposizione dell’utente un server Telnet/SSH per la configurazione a linea di comando (CLI: Command Line Interface).

Per quel che riguarda gli aggiornamenti è apprezzabile la possibilità di poter effettuare un aggiornamento del firmware mentre per quanto concerne il monitoraggio risulta indispensabile avere un servizi di log di sistema (SysLOG) e in aggiunta, ma non è vincolante, un Agent SNMP (Simple Network Management Protocol) grazie al quale inviare ad un server SNMP (detto Manager) informazioni sull’apparato come prestazioni, carico delle interfacce e altre tipologie di dati. Esistono 3 revisioni del protocollo SNMP (SNMPv1, v2 e v3) che si differenziano tra loro per l’aggiunta di nuove funzionalità tra cui la crittografia (a partire dalla versione 2) nello scambio di dati tra Agent e Manager.