Kamik Posted July 14, 2016 (edited) · Report post Добрый день, помогите с выбором оборудования в следующей конфигурации. 1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров. 2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП) 3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами. Хотелка шефа: 1. Подключить все филиалы через VPN к головному офису (AD + RDS) 2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage ) Мои предположения 1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера 2. в филиалах RB2011UiAS-2HnD-IN Вопросы: 1. Правильный ли выбор оборудования? 2. и типа VPN? 3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов? 4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном? 5. Как выставить приоритет телефоных каналов и/или задать для них минимальную ширину канала? Edited July 14, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SOs Posted July 14, 2016 · Report post Добрый день, помогите с выбором оборудования в следующей конфигурации. 1. Имеется головной офис и 6 филиалов вразных городах, в каждом от 3 до 7 компьютеров. 2. Головной офис имеет подключение со скоростью 100Мбит синхрон *(постоянный ИП), филиалы от 16/4 до 50/10 (динамический ИП) 3. Телефонная станция(OpenScape Bussines X3R) в головном офисе, в филиалах VoIP от провайдеров с 3-6 номерами. Хотелка шефа: 1. Подключить все филиалы через VPN к головному офису (AD + RDS) 2. Подключить все телефоны через станцию в головном офисе (SIP телефоны скорей всего будут OpenStage ) Мои предположения 1. Головной офис ставим CCR1009-8G-1S-1S+ для OpenVPN сервера 2. в филиалах RB2011UiAS-2HnD-IN Вопросы: 1. Правильный ли выбор оборудования? 2. и типа VPN? 3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов? 4. Потянет ли 100Мбитный канал это все? Математически вроде должен, но может опыт говорит об обратном? 1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше. 2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри. 3) пасс 4) QOS сделай чтобы не бодались в туннеле и потянет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 14, 2016 · Report post 3. Вопрос по телефонии. Стоит ли подключать к станции каждый SIP-Trunk с филиала? Может быть проще взять отдельный транк с SIPconnect1.1 с 20-30 каналами? В таком транке же могут быть номера с разных городов? 1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1? 2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 15, 2016 (edited) · Report post 1. Что значит "...взять отдельный транк с SIPconnect1.1..." ? Кто такой SIPconnect1.1? Протокол http://www.sipforum.org/sipconnect 2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны? АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер. еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :) Edited July 15, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 15, 2016 (edited) · Report post Просмотр сообщенияOcean07 (Вчера, 16:15) писал: 2. "... в филиалах VoIP от провайдеров с 3-6 номерами.... " какое оборудование в филиалах? Есть какая то АТС (софтсвитч)или VoIP (SIP trunk/line) сразу в IP телефоны? АТС только в одном филиале стоит там 2 отдельных транка с 3 и 4-мя номерами стоит. Предполагается ее убрать. Остальные филиалы/телефоны подключены через VoIP рутер. Я не работал с вашей АТС, по этому абстрагируемся от конкретной модели оборудования, а будем отталкиваться от принципов работа VoIP протокола SIP. Вы можете используя SIP trunk, зарегистрироваться у множества провайдеров, получать у них номерную емкость и с помощью вашей АТС маршрутизировать как входящую, так и исходящую связь по необходимым вам критериям. SIP абонентов из филиалов можно зарегистрировать на вашей АТС в головном офисе. Минусы: 1. Упадут каналы между филиалом и главным офисом - не будет телефонной связи (т.е. появляться единая точка отказа, нужно думать о резервировании). Как вариант, если телефон поддерживает вторую регистрацию, в случае недоступности основного SIP сервера (вашей АТС в главном офисе), он сможет самостоятельно зарегистрироваться у SIP провайдера. 2. Медиа трафик (голос) скорей всего будет ходить ВСЕГДА через АТС головного офиса. Тут конечно нужно смотреть как всё это настроено на АТС, может получится терминировать его и локально. Но тут есть и плюсы. Если стоит задача писать все соединения, то это будет легко, т.к. весь голосовой трафик проходит через одну точку. еще возник вопрос с беспроводными телефонами. только WiFi получается? или существуют что-то типа DECT станции с SIP подключением? :) Если в первую очередь важно качество связи, хендовер и время работы трубку от аккумулятора, то конечно нужно использовать SIP-DECT. Есть несколько производителей: Mitel SIP-DECT (ранее известный как Aastra SIP-DECT, а ещё ранее DeTeWe) SIP-DECT. И DECT фирмы Kirk Может кто-то ещё... По Mitel я немного описывал тут: http://www.tr-com.ru/products/aastra/sip-dect.html Сейчас вышла новая версия ПО и есть изменения, но не принципиальные. SIP-DECT будет дороже чем Wi-Fi но качественней. P.S. Родные трубки для SIP-DECT весьма дорогие (это у всех производителей). Но часто можно использовать трубки третьих производителей (у Mitel), даже бытовые трубки за 40$. Но их предварительно нужно тестировать. Часть функционала может конечно не работать. Например русские имена, датчики падения и оповещение о разных событиях, программируемые меню, СМС, XML и т.д. и т.п. Но часто это и не нужно. В большинстве случаев достаточно просто голосовой связи.) Edited July 15, 2016 by Ocean07 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted July 15, 2016 · Report post Используем SIP DECT Panasonic KX-TGP500. В комплекте база и трубка, можно прицепить ещё пять трубок - т.е. всего до шести трубок. Одновременно на базе могут говорить трое. Трубки годятся любых моделей и производителей, лишь бы умели DECT GAP стандарт. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 15, 2016 (edited) · Report post Если достаточно одной базы для покрытия DECT'ом, то решений много у разных производителей (тот же Siemens сейчас Gigaset), а вот если нужно создать большую DECT сеть для большой территории с множеством RFP (дект баз) то решений не так много и они не дешёвые. P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума. Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20 Edited July 15, 2016 by Ocean07 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 18, 2016 (edited) · Report post Хм. у меня только 3 сообщения в сутки разрешено. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше. 3011? Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится). Модели еще старше дороговато как-то :) Может, другого производителя взять? Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. CCR1016-12G вроде подойдет? P.S. Мне кажется, данная тема уже выходит за рамки тем, обсуждаемых в этой ветке форума. Нужно сюда http://forum.nag.ru/forum/index.php?showforum=20 Вы правы. Просьба модераторам перенести тему. По DECT понял. Спасибо. Edited July 18, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted July 18, 2016 · Report post Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится) Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 18, 2016 · Report post Но модели с беспроводной так и не выпустили до сих пор (думается мне, что не появится) Логично. Зачем роутеру, который стоит в серверной в стойке нужен Wifi ? в филиалах нету стоек, в том-то и дело что там желательна десктоп-версия. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted July 18, 2016 (edited) · Report post RB3011UiAS-RM можно ставить на столе. Не прикручивай уголки для крепления в стойке и став куда угодно. В комплекте есть резиновые ножки. Но если нужен Wifi , то можно поставить точку типа RBwAP2nD или RBwAPG-5HacT2HnD. Edited July 18, 2016 by mafijs Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 18, 2016 · Report post 1) Центр - модель может быть даже в притык (FW+NAT+QOS+IPSEC_100Mbps+etc). Я бы взял модель постарше. В филиале 2011 50Мб/с в одну сторону не прокачает, умрет. Бери старше. 2) Вместо OpenVPN (от в МТ ущербный) я бы использовал L2TP/IPSEC + OSPF внутри. 3) пасс 4) QOS сделай чтобы не бодались в туннеле и потянет. Ну да надо сначала закатить IPSEC а потом жаловаться что производительности не хватает - обычного L2TP без шифрования хватит для пропуска 100/100 мегабит трафика, НАТ же будет в центре делаться, а не в офисе, поэтому нагрузка на роутер будет только маршрутизация и все. Телефонию тоже можно гонять через центр, проблем с ней не будет. QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 19, 2016 · Report post QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять. Какие есть альтернативы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 19, 2016 · Report post QOS не поможет, т.к. придется урезать скорость каналов процентов на 10-15, иначе при большом наплыве трафика OSPF начнет связи терять. Какие есть альтернативы? Никаких, сколько не делали каналы в разные там офисы и филиалы, никогда проблем не возникало, т.к. если сотрудникам обрезать скорость интернета, и скорость доступа к внутрисетевым ресурсам, то они канал на всю не загружают, хотя даже если и загружают, то с телефонией не всегда возникают проблемы, при чем сотрудники уже все осведомлены, если телефония квакает, нужно посмотреть не качает ли кто и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 19, 2016 (edited) · Report post Итак, варианты железа в филиалах выглядит так: 1. RB2011UiAS-2HnD-IN + xDSL-модемы (Недостатки: может работать на пределе + собственные глюки модемов. Преимущества: все в одном) 2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD + xDSL-модемы (Недостатки: собственные глюки модемов) 3. APU2C4 + Wi-Fi witch OPNsense/Pfsense + свитч + xDSL-модемы (Недостатки: собственные глюки модемов/свитчей. производительность непонятна.) 4. Сisco 886vaw + свитч (производительность непонятна (performance with services for Cisco 880 Series ISRs is 8 Mbps). Недостатки: собственные глюки свитчей. Преимущества: все в одном. ) Не могу определиться :) Хочется, конечно, бюджетно, но с другой стороны стабильность имеет более высокий приоритет (до определенной планки, конечно) у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним? Edited July 19, 2016 by Kamik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 19, 2016 · Report post у же RDP есть свое шифрование, так что шифрование VPN, думается, будет излишним? Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование? Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Kamik Posted July 19, 2016 · Report post Ocean07 Согласен, что запас нужен. Какая конфигурация вам больше нравится? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mafijs Posted July 19, 2016 · Report post Личное мнение - 2. RB3011UiAS-RM + RBwAP2nD/RBwAPG-5HacT2HnD ARM CPU, довольно мощный. Роутер поставил на полке, в тумбочке - куда угодно и удобно. Точку wifi повесил на потолке. Нечего незагараживает покритие. Я бы так зделал. Вам виднее что и как на местах. Выбор за вами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 19, 2016 (edited) · Report post Ocean07 Согласен, что запас нужен. Какая конфигурация вам больше нравится? :) Нужно изучать вопрос (какая производительность к каждого устройства в разных режимах работы). У меня на это время сейчас нет, по этому выбор за вами. p.S. Мне кажется решение на базе OPNsense/Pfsense, это не то решение, которое "поставил и забыл". Хотя могу и ошибаться... Edited July 19, 2016 by Ocean07 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 19, 2016 · Report post Я бы закладывал оборудование с поддержкой шифрования, т.к. сейчас вам не нужно шифровать трафик, а завтра понадобится. Опять пойдете деньги выбивать на новое оборудование? Да и не шифровать VPN как то не очень... не известно какие ПД или конфиденциальные данные там будут ходить завтра. Не нужно шифрование, если брать линейку микротик, то что бы с ним работать нужен либо CCR, либо поддержка аппаратного шифрования у некоторых роутеров. Все программы и приложения, передающие конфиденциальные данные, сами их шифруют. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ocean07 Posted July 19, 2016 (edited) · Report post ...Все программы и приложения, передающие конфиденциальные данные, сами их шифруют. Конфиденциальные данные могут передаваться как угодно, хоть по ftp. Мы не знаем как организованы бизнес процессы в компании. Edited July 19, 2016 by Ocean07 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted July 20, 2016 · Report post Saab95, к сожалению, есть требования к организациям сетей передачи данных где обрабатываются ПДН, и передаче ПДН через Инернет. Там не ограничиваются шифрованием на уровне приложений. Они содержат указания на сертифицированные средства (маршрутизаторы и межсетевые экраны) использующие при передаче данных по сети алгоритмоы шифрования по ГОСТ. Увы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...