Jump to content
Калькуляторы

Проектирование и построение сети для санатория

Всем доброго времени суток!

 

Волей судьбы попал я в один из санаториев крыма, где необходимо построить "нормальную" сеть для работы и гостей.

Если коротко:

6 зданий на одной территории соединенных оптикой;

~100 рабочих устройств;

до 1500 гостевых подключений в максимуме(обычно до 300), на которых нужен только интернет;

2 входящих интернет-канала по 100 мбит (static IP и PPPoE), которые нужно максимально использовать по возможности (т.е. балансировка и резервирование)

 

Есть ещё несколько вещей реализацию которых хотелось бы видеть во внутренней сети: детализация(оно же netflow, как я понимаю), shaping, captive portal, фильтрация и в далёком будущем биллинг.

 

Из имеющегося сетевого колхоза сейчас MikroTik CRS212, ZyXEL ZyWALL USG 100, wi-fi модули UniFi и солянка из всяких свичей.

 

На начальном этапе хотелось бы отделаться малой кровью поставив MikroTik CRS212 в роли коммутатора в центре и настроив какой-нибудь имеющийся ПК на работу в качестве маршрутизатора (например на VyOS).(зухель предположительно будет отправлен в резерв)

В дальнейшем обкатав как-то предполагаемый набор, поставить вместо ПК нормальный "тазик"(уже более-менее понимая требования к нему) и скорее всего микротик заменить на что-то более подходящее.

 

Собственно цель создания этого поста - услышать от сообщества насколько верное выбрано направление мыслей? Насколько возможна реализация описанных функций на софтовом решении, что посоветуете использовать в качестве софта и был ли у кого опыт подобного проекта?

Можно рассмотреть помощь в конечной настройке за вознаграждение.

Share this post


Link to post
Share on other sites

Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам.

Отдельно манагемент влан и отдельно влан для сотрудников.

И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям.

Микротик в качестве свича ...гм... ну если он сможет..

Share this post


Link to post
Share on other sites

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

Share this post


Link to post
Share on other sites

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

 

 

 

Клиентов изолировать друг от друга и от внутренней сети, лучше побить на отдельные л2 и л3 сегменты, например по корпусам.

Это уже побито, но дело в том, что в рамках одного корпуса присутствуют как гостевые так и рабочие доступы.

 

Отдельно манагемент влан и отдельно влан для сотрудников.

Их как раз можно постараться раскидать по разным vlan`ам.

 

И инет провайдеров тоже в принципе можно поделить одного для себя второго гостям.

Оба провайдера крайне нестабильные, т.е. нужна настройка резервирования. При этом хотелось бы выжать из имеющихся двух каналов максимум скорости приближающийся к их суммарной пропускной способности(100mbs + 100mbs), а для этого нужно, как я понимаю, настраивать грамотную балансировку.

 

Микротик в качестве свича ...гм... ну если он сможет..

Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее.

Edited by i_afonin

Share this post


Link to post
Share on other sites

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

 

В каком плане чем? В разные вланы + разные SSID их запихайте и маршрутизируйте чем хотите. Хоть на роутер приземлите, хоть на центральном л3 коммутаторе.

У циски кстати есть решения контроллерные когда одна из точек в сети может сама являться контроллером и управлять до 25ти (помойму другими).

На корпус этого более чем.

Share this post


Link to post
Share on other sites

Есть подозрение, что "гостевые подключения" это вифи. Ибо стационарные рабочие станции вроде как в санатории ну нафиг никому не упали.

Апосему контроллерное решение на базе Cisco по отдельной сети на каждый корпус. Остальное обычный ЛВС для сотрудников. Ну максимум STP закольцевать для надежности. И все.

Чем маршрутизировать? Отделить физически гостей от рабочих не выйдет, в каждом корпусе есть и работники и гости.

Поскольку он уже есть, то хотя бы попробовать. Если не взлетит нормально, то заменить на что-то более подходящее.

 

Контроллеры приземляют траффик из гостевого WLAN в отдельном VLAN, сам контроллер к свичу цепляется 802.1q транком. Captive portal есть прямо на самом контроллере, авторизовать подключения можно на радиусе. "freeradius + perl + xSQL + прямые руки" творит чудеса. Для ленивых гостевые учетки можно делать на самом контроллере, хотя это не айс.

Для связи между контроллером и точками доступа можно использовать любую IP сеть, даже маршрутизируемую, весь траффик точками заворачивается в специальные пакеты и с рабочим траффиком сети не пересекается вообще никак. Это просто копец как удобно.

WLC 2500 до 75 точек доступа, до 1000 абонентов.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.