In questi giorni ho dovuto progettare ed implementare una soluzione che risolvesse un problema abbastanza delicato.
Situazione:
In un importante ospedale della provincia di Palermo vi sono , al reparto di cardiologia, dei client che devono collegarsi in maniera assolutamente affidabile, ad un server che si trova presso un CED a parecchi chilometri di distanza; tutto ciò al fine di effettuare la refertazione su elettrocardiogrammi memorizzati in formato elettronico sul server di cui sopra.
Tutto avrebbe funzionato per il meglio se non fosse che la banda a disposizione dell’ospedale era apprezzabilmente saturata dal resto degli utenti (qualche decina) che utilizza la stessa terminazione HDSL per navigare e scaricare file da Internet.
Questo ovviamente creava seri problemi al collegamento tra client di refertazione e il server dove sono memorizzati i tracciati.
Ho risolto il problema utilizzando l’ottimo IPCop: la distribuzione Linux ottimizzata per fare da firewall e da proxy server. La struttura modulare, inoltre, permette di poterla potenziare aggiungendo, all’occorrenza funzionalità di anti spam, anti virus, server vpn, …
Ecco lo schema topologico:
Cliccare per ingrandire
Ho sostanzialmente messo dietro il firewall IPCop tutti i client che utilizzano internet solo per la normale consultazione di siti web e posta elettronica, lasciando nell’ fuori i client di refertazione per i quali occorre che ci sia una banda garantita.
IPCop offre di base un’ottima sezione dedicata alla limitazione della banda per gli host che hanno la sua interfaccia GREEN come default gateway.
Ho quindi impostato un limite di utilizzo della banda a 500Kbit/s sia in download che in upload (la connessione fornita da Telecom è una HDSL da 2Mbit/s di cui la metà garantiti)
La divisione fisica tra le due LAN è stata fatta utilizzando uno switch managed Allied Telesyn sul quale ho creato una VLAN alla quale fanno partei client di cui sopra, l’interfaccia RED di IPCop e l’interfaccia untrusted del firewall Netscreen, in gestione a Telecom, che materialmente offre l’accesso ad internet fungendo da gateway principale.
L’utilizzo della vlan, configurata solo sulle porte dello switch utilizzate, rende praticamente impossibile collegarsi al segmento di rete di cui fanno parte i client privilegiati senza staccare gli host collegati o senza conoscere la password di amministrazione dello swicth managed.
Il collaudo è andato molto bene: i client di refertazione raggiungono il server del CED con velocità e affidabilità finalmente accettabili ed il primario è soddisfatto.
Ancora una volta una soluzione Linux Based si è rivelata all’altezza delle aspettative.