[i_afonin]

Всем доброго времени суток!

 

Волей судьбы попал я в один из санаториев крыма, где необходимо построить "нормальную" сеть для работы и гостей.

Если коротко:

6 зданий на одной территории соединенных оптикой;

~100 рабочих устройств;

до 1500 гостевых подключений в максимуме(обычно до 300), на которых нужен только интернет;

2 входящих интернет-канала по 100 мбит (static IP и PPPoE), которые нужно максимально использовать по возможности (т.е. балансировка и резервирование)

 

Есть ещё несколько вещей реализацию которых хотелось бы видеть во внутренней сети: детализация(оно же netflow, как я понимаю), shaping, captive portal, фильтрация и в далёком будущем биллинг.

 

Из имеющегося сетевого колхоза сейчас MikroTik CRS212, ZyXEL ZyWALL USG 100, wi-fi модули UniFi и солянка из всяких свичей.

 

На начальном этапе хотелось бы отделаться малой кровью поставив MikroTik CRS212 в роли коммутатора в центре и настроив какой-нибудь имеющийся ПК на работу в качестве маршрутизатора (например на VyOS).(зухель предположительно будет отправлен в резерв)

В дальнейшем обкатав как-то предполагаемый набор, поставить вместо ПК нормальный "тазик"(уже более-менее понимая требования к нему) и скорее всего микротик заменить на что-то более подходящее.

 

Собственно цель создания этого поста - услышать от сообщества насколько верное выбрано направление мыслей? Насколько возможна реализация описанных функций на софтовом решении, что посоветуете использовать в качестве софта и был ли у кого опыт подобного проекта?

Можно рассмотреть помощь в конечной настройке за вознаграждение.

[Ivan_83]

Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам.

Отдельно манагемент влан и отдельно влан для сотрудников.

И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям.

Микротик в качестве свича ...гм... ну если он сможет..

[myst]

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

[i_afonin]

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

 

 

 

Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам.

Это уже побито, но дело в том, что в рамках одного корпуса присутствуют как гостевые так и рабочие доступы.

 

Отдельно манагемент влан и отдельно влан для сотрудников.

Их как раз можно постараться раскидать по разным vlan`ам.

 

И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям.

Оба провайдера крайне нестабильные, т.е. нужна настройка резервирования. При этом хотелось бы выжать из имеющихся двух каналов максимум скорости приближающийся к их суммарной пропускной способности(100mbs + 100mbs), а для этого нужно, как я понимаю, настраивать грамотную балансировку.

 

Микротик в качестве свича ...гм... ну если он сможет..

Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее.

Edited October 27, 2015 by i_afonin

[myst]

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

 

В каком плане чем? В разные вланы + разные SSID их запихайте и маршрутизируйте чем хотите. Хоть на роутер приземлите, хоть на центральном л3 коммутаторе.

У циски кстати есть решения контроллерные когда одна из точек в сети может сама являться контроллером и управлять до 25ти (помойму другими).

На корпус этого более чем.

[ShyLion]

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее.

 

Контроллеры приземляют траффик из гостевого WLAN в отдельном VLAN, сам контроллер к свичу цепляется 802.1q транком. Captive portal есть прямо на самом контроллере, авторизовать подключения можно на радиусе. "freeradius + perl + xSQL + прямые руки" творит чудеса. Для ленивых гостевые учетки можно делать на самом контроллере, хотя это не айс.

Для связи между контроллером и точками доступа можно использовать любую IP сеть, даже маршрутизируемую, весь траффик точками заворачивается в специальные пакеты и с рабочим траффиком сети не пересекается вообще никак. Это просто копец как удобно.

WLC 2500 до 75 точек доступа, до 1000 абонентов.

[ShyLion]

У нас в конторе 4 контроллера.

 

Щупал UniFi - детский сад, ясельная группа, по сравнению с.