i_afonin Posted October 26, 2015 · Report post Всем доброго времени суток! Волей судьбы попал я в один из санаториев крыма, где необходимо построить "нормальную" сеть для работы и гостей. Если коротко: 6 зданий на одной территории соединенных оптикой; ~100 рабочих устройств; до 1500 гостевых подключений в максимуме(обычно до 300), на которых нужен только интернет; 2 входящих интернет-канала по 100 мбит (static IP и PPPoE), которые нужно максимально использовать по возможности (т.е. балансировка и резервирование) Есть ещё несколько вещей реализацию которых хотелось бы видеть во внутренней сети: детализация(оно же netflow, как я понимаю), shaping, captive portal, фильтрация и в далёком будущем биллинг. Из имеющегося сетевого колхоза сейчас MikroTik CRS212, ZyXEL ZyWALL USG 100, wi-fi модули UniFi и солянка из всяких свичей. На начальном этапе хотелось бы отделаться малой кровью поставив MikroTik CRS212 в роли коммутатора в центре и настроив какой-нибудь имеющийся ПК на работу в качестве маршрутизатора (например на VyOS).(зухель предположительно будет отправлен в резерв) В дальнейшем обкатав как-то предполагаемый набор, поставить вместо ПК нормальный "тазик"(уже более-менее понимая требования к нему) и скорее всего микротик заменить на что-то более подходящее. Собственно цель создания этого поста - услышать от сообщества насколько верное выбрано направление мыслей? Насколько возможна реализация описанных функций на софтовом решении, что посоветуете использовать в качестве софта и был ли у кого опыт подобного проекта? Можно рассмотреть помощь в конечной настройке за вознаграждение. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted October 26, 2015 · Report post Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам. Отдельно манагемент влан и отдельно влан для сотрудников. И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям. Микротик в качестве свича ...гм... ну если он сможет.. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted October 27, 2015 · Report post Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали. Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
i_afonin Posted October 27, 2015 (edited) · Report post Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали. Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все. Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости. Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам. Это уже побито, но дело в том, что в рамках одного корпуса присутствуют как гостевые так и рабочие доступы. Отдельно манагемент влан и отдельно влан для сотрудников. Их как раз можно постараться раскидать по разным vlan`ам. И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям. Оба провайдера крайне нестабильные, т.е. нужна настройка резервирования. При этом хотелось бы выжать из имеющихся двух каналов максимум скорости приближающийся к их суммарной пропускной способности(100mbs + 100mbs), а для этого нужно, как я понимаю, настраивать грамотную балансировку. Микротик в качестве свича ...гм... ну если он сможет.. Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее. Edited October 27, 2015 by i_afonin Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted October 27, 2015 · Report post Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости. В каком плане чем? В разные вланы + разные SSID их запихайте и маршрутизируйте чем хотите. Хоть на роутер приземлите, хоть на центральном л3 коммутаторе. У циски кстати есть решения контроллерные когда одна из точек в сети может сама являться контроллером и управлять до 25ти (помойму другими). На корпус этого более чем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 27, 2015 · Report post Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали. Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все. Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости. Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее. Контроллеры приземляют траффик из гостевого WLAN в отдельном VLAN, сам контроллер к свичу цепляется 802.1q транком. Captive portal есть прямо на самом контроллере, авторизовать подключения можно на радиусе. "freeradius + perl + xSQL + прямые руки" творит чудеса. Для ленивых гостевые учетки можно делать на самом контроллере, хотя это не айс. Для связи между контроллером и точками доступа можно использовать любую IP сеть, даже маршрутизируемую, весь траффик точками заворачивается в специальные пакеты и с рабочим траффиком сети не пересекается вообще никак. Это просто копец как удобно. WLC 2500 до 75 точек доступа, до 1000 абонентов. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted October 27, 2015 · Report post У нас в конторе 4 контроллера. Щупал UniFi - детский сад, ясельная группа, по сравнению с. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...