La traccia della seconda prova di Sistemi e Reti del 2026 ruota attorno al sistema BIM, il Building Information Modeling. In questo articolo trovi il riassunto del problema e della soluzione proposta, dal progetto della rete di cantiere fino alla sede centrale, ai collegamenti e ai quesiti della seconda parte.
Il problema
Una grande società di ingegneria vuole gestire i propri cantieri tramite il sistema BIM. In cantiere vengono prodotti dati molto diversi, ovvero le scansioni 3D dette nuvole di punti realizzate con i tablet rugged, le foto delle fotocamere timelapse e i dati dei sensori di sicurezza. Tutti questi dati devono essere raccolti sul posto e inviati alla sede centrale in modo sicuro, dove i tecnici costruiscono i modelli tridimensionali. La difficoltà è doppia, perché il cantiere è un ambiente temporaneo e privo di rete fissa, mentre la sede dispone soltanto di una vecchia connessione ADSL.
La soluzione in breve
L’infrastruttura si articola in tre blocchi. Ogni cantiere ha una piccola rete locale autonoma, la sede centrale fa da cervello che raccoglie e archivia tutto e i due ambienti sono uniti da VPN cifrate che viaggiano sulla rete pubblica. Come ipotesi di dimensionamento consideriamo fino a dieci cantieri attivi contemporaneamente, ciascuno con alcuni tablet rugged, qualche fotocamera timelapse e una decina di sensori.
La rete del cantiere
Tutti gli apparati sono raccolti in un armadio rack blindato e impermeabile, collocato nel box ufficio del cantiere. La connessione a Internet è affidata a un router industriale 4G/5G con una connessione satellitare di backup per le zone isolate.
- Router e firewall 4G/5G che gestisce NAT, instradamento e VPN verso la sede
- Switch PoE gestito che alimenta gli apparati direttamente dal cavo di rete
- Più access point Wi-Fi 7 con stesso SSID e roaming veloce per coprire tutta l’area
- NAS locale che salva i dati sul posto e li invia di notte
- UPS che protegge dai blackout e spegne il NAS in modo sicuro
- Centralina sensori indipendente con SIM e batteria proprie, sempre attiva
Le scansioni sono file molto pesanti, perciò restano sul NAS durante il giorno e partono di notte, inviando solo le differenze rispetto a quanto già presente in sede. In questo modo la linea non viene mai saturata.
Le VLAN del cantiere
| VLAN | Uso | Politica |
|---|---|---|
| 10 | Tablet rugged e Wi-Fi | Priorità alta e accesso limitato alla VPN |
| 20 | NAS locale di cantiere | Isolata, parla solo con i tablet e con la sede |
| 30 | Telecamere timelapse | Banda controllata, separata dal Wi-Fi |
| 40 | Gestione degli apparati | Massima restrizione, solo dalla sede |
A ogni cantiere viene assegnato un blocco di indirizzi privati univoco, ad esempio 10.1.0.0 per il primo cantiere e 10.2.0.0 per il secondo, così le reti non vanno mai in conflitto e restano isolate tra loro, comunicando solo con la sede centrale.
La sede centrale
La sede viene rinnovata completamente. La vecchia ADSL lascia spazio a una linea in fibra simmetrica ad alta capacità con una seconda linea di backup. Un firewall enterprise termina tutte le VPN provenienti dai cantieri e protegge la rete interna, suddivisa in VLAN distinte per gli uffici tecnici, per i server e per la gestione. Nella sala server trovano posto un NAS veloce con cache a stato solido per assorbire i caricamenti notturni, il file server, il server di elaborazione con GPU per costruire i modelli 3D, il server di autenticazione e la piattaforma di monitoraggio Zabbix che tiene sotto controllo tutti i cantieri in tempo reale.
Il collegamento e la stima della banda
I cantieri si collegano alla sede tramite VPN IPsec, che garantiscono autenticazione, integrità e riservatezza grazie alla cifratura. Per la banda, un cantiere produce in media circa 50 GB al giorno, che scendono a circa 15 GB dopo deduplicazione e compressione. Trasferendoli di notte in otto ore servono poco più di 4 Mbps per cantiere. Con dieci cantieri in contemporanea la sede deve reggere circa 40 Mbps, valore ampiamente coperto dalla fibra da 1 Gbps con un buon margine per il futuro.
Sicurezza e autenticazione
L’accesso è consentito solo a chi è autorizzato. Un server RADIUS integrato con Active Directory gestisce le identità, lo standard 802.1X controlla gli apparati che si collegano alla rete e gli operatori usano l’autenticazione a più fattori, anche quando lavorano da remoto attraverso una VPN Remote Access. A protezione del tutto ci sono il firewall, i sistemi di rilevamento delle intrusioni, la cifratura dei dati a riposo e backup periodici per il ripristino in caso di attacco.
La seconda parte, i quesiti
- On premise o cloud. La soluzione on premise dà controllo totale e usa dischi in RAID, il cloud offre spazio scalabile e copie ridondanti ma ha costi di scaricamento. La scelta migliore è ibrida, dati recenti in sede e storico nel cloud.
- Ulteriori misure di sicurezza. Firewall e segmentazione, sistemi di rilevamento intrusioni, doppia connettività con failover e VPN ridondanti per garantire la continuità del canale.
- Bloccare le piattaforme di IA a scuola. Più livelli combinati, DNS interno con lista nera, proxy con ispezione del traffico, Deep Packet Inspection e blocco attivo solo nelle ore di laboratorio con regole orarie.
- Il comando SSH. È un caso di port forwarding, ovvero NAT di destinazione. Il dispositivo di frontiera inoltra la porta 25500 verso la porta SSH di una macchina interna, permettendo di gestirla da remoto senza esporla su Internet.
Scarica la soluzione completa
Questo è il riassunto. Lo svolgimento completo contiene gli schemi, tutte le tabelle delle VLAN e dell’indirizzamento, la stima dettagliata della banda e i quesiti svolti per intero.