seu Posted June 1, 2017 Posted June 1, 2017 Нужно навести порядок в локальной сети колледжа (схема во вложении). На смену неуправляемым коммутаторам были закуплены управляемые. Планируется разбить сеть на виланы для администрации, бухгалтерии, учебных классов, студентов общежития, видеонаблюдения и т.д. Два вопроса: Какой коммутатор использовать для маршрутизации виланов? На что заменить существуйющий маршрутизатор (SNR-CPE-W4N) для пропуска студентов и сотрудников на файловый сервер из интернета? Нужен ли дополнительный межсетевой экран? Где? (сейчас используется Kaspersky Security Center 10) По первому вопросу рассматриваю Cisco Catalyst WS-C3560G-24PS-S (однако, у него End-of-Support Date:31-JAN-2018 и уже сейчас "318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ", а может всплыть что-то более серьезное) и SNR-S2990G-24T (он 2+, достаточно ли будет его функционала для маршрутизации?) В теме я новичок, только начинаю знакомится с управляемыми коммутаторами. Вставить ник Quote
murano Posted June 1, 2017 Posted June 1, 2017 Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает. Вставить ник Quote
VolanD666 Posted June 1, 2017 Posted June 1, 2017 Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает. +1 Вставить ник Quote
uxcr Posted June 1, 2017 Posted June 1, 2017 (edited) "WS-C3560G-24PS-S" Нужен PoE вдобавок? Ну и да, б-у 3560 самое то по цене сейчас из маршрутизирующих. Edited June 1, 2017 by uxcr Вставить ник Quote
myth Posted June 1, 2017 Posted June 1, 2017 318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ А кто же заставляет телнет голой Ж... в инет выставлять? Вставить ник Quote
GrandPr1de Posted June 1, 2017 Posted June 1, 2017 318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ А кто же заставляет телнет голой Ж... в инет выставлять? Чукча не читатель. Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром. По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО. Вставить ник Quote
seu Posted June 1, 2017 Author Posted June 1, 2017 (edited) А кто же заставляет телнет голой Ж... в инет выставлять? Телнет отключить можно. Но что еще опубликуют? Студенты в общаге живут. На путнее мозгов не хватает, а попакастить... Edited June 1, 2017 by seu Вставить ник Quote
seu Posted June 1, 2017 Author Posted June 1, 2017 Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром. Белый ip есть. Поподробнее о беде можно? Т.к. на входе хочу поставить что-нибудь из микротиков и потом пускать к файловому серверу из интернета. По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО. "Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям." А пока части публикуются настанет январь 18 года и циско перестанет выпускать что-либо для этой железки. А чего там опубликуют? Потому и берут сомнения насчет оправданности покупки этой железки. Может SNR-S2990G-24T лучше взять? Как он под мои задачи? У кого есть опыт подобной эксплуатации? Если ставить только микротик на входе, то, наверное, ему не хватит производительности для маршрутизации между виланами (2 вилана с видеонаблюдением по двум корпусам будут, из них данные в вилан администрации ходить). Потому и хочу ставить маршрутизатор (для общения с внешним миром) и L3(L2+) коммутатор для маршрутизации внутри сети. Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов. Вставить ник Quote
YuryD Posted June 1, 2017 Posted June 1, 2017 А кто же заставляет телнет голой Ж... в инет выставлять? Студенты в общаге живут. На путнее мозгов не хватает, а попакастить... Но как ? Вынесенный влан управления, и никакого инета в нём. А так - да что угодно, без acl, с необх количеством портов. Если понадобится qos - тут надо призадуматься уже. А qos понадобится - чтобы видеонаблюдение нормально показывало. Ну уэ если уж там snr кругом, то толстенький snr и выбрать. Вставить ник Quote
YuryD Posted June 1, 2017 Posted June 1, 2017 Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов. Ну я бывший практик, вынесли нас из 10этажной студобщаги административно. А так - было 6 сиско 48-портовых, в двух стойках разных корпусов. Тарифы были гуманные для каждого - 10Мбит за смешные деньги. Наибольший геморрой - кража/дележ аккаунтов, ну и локальные петли от старой кабельной инфраструктуры. Переделали всю скс в общаге - траблы с кабелями исчезли. Но в те времена ещё не было видеонаблюдения. Из текущей практики - огромная сеть оптового склада и ТЦ, с большой кучей видео тц, склада и периметров, вайфая на кладовщиков с роумингом, огромная куча кисок, древних. Ну и офис тоже немалый, на всех хватает одного тупого компа - он-же нат, он-же их вёб. Дирекцию пришлось правда выселить в отдельный влан, для создания у них благоприятности. Вставить ник Quote
Victor Tkachenko Posted June 2, 2017 Posted June 2, 2017 seu, SNR-S2990G-24T все же L2+ коммутатор, L3 функционал на нем вспомогательный. Хоть ресурса коммутатора и достаточно для терминации всех устройств (судя по схеме) на данный момент, его может не хватить в дальнейшем. Имхо, в вашем случае, действительно, лучше воспользоваться простым L2 коммутатором для агрегации доступа и его подключения к софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана. Вставить ник Quote
seu Posted June 2, 2017 Author Posted June 2, 2017 простым L2 коммутатором для агрегации доступа например, модель ... или модель ... софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана. например, модель ... или модель ... Пожалуйста, предлагайте модели. Если бы я мог выбрать сам, то сюда не писал бы. В голове некоторые модели отложились, но я совершенно не могу оценить их производительность и определить подходят ли они под мои нужды. А потратить не 1-2 тыс. руб. предстоит. Вставить ник Quote
YuryD Posted June 3, 2017 Posted June 3, 2017 Человек хочет l2+l3 бюджетно :) Не бывает. Просто у него далее l3хотелки вырастут, а оно не справится. Вставить ник Quote
nkusnetsov Posted June 3, 2017 Posted June 3, 2017 (edited) seu, напишите какой ожидаете трафик для маршрутизации. Железо подбирается исходя из предполагаемой нагрузки. Может у Вас аплинк в мир 10Мбит? И сколько планируетеся между vlan пропускать? Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер. Исходя из озвученного бюджета на SNR, близко к нему подходят: 1) MikroTik CCR1009-7G-1C-1S 2) MikroTik CCR1016 3) Компьютер с MikroTik RouterOS. Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2. Лицензия RouterOS Level 4 стОит около 2000р. Остальное - тратим на "железо" Edited June 3, 2017 by nkusnetsov Вставить ник Quote
YuryD Posted June 4, 2017 Posted June 4, 2017 Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер. По моим наблюдениям, голая качественная ip-камера выдает макс 3Мбит. Видеорегистратором на стройке с 8 камерами выжирается на разных наблюдателей до 10Мбит. Под голой качественной имеется камера с хорошим обьективом и термокорпусом, а не гуаноподелки, хотя-бы для из-за того, что качественные просто долговечны. Хотя и древние. У нас один строитель камеру таскает уже на 5й обьект, лет этак 7. А мне чего - спд он купил, гоняет всё в собственном влан, поэтому его затраты - только на демонтаж и новый монтаж. Вставить ник Quote
myth Posted June 4, 2017 Posted June 4, 2017 3) Компьютер с линуксом. Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2 решается вланами Вставить ник Quote
nkusnetsov Posted June 4, 2017 Posted June 4, 2017 (edited) Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2 решается вланами Вы физические порты от логических интерфейсов отличайте. Речь именно о физических портах. На один 1Ge порт вы можете повесить хоть 100 vlan, он от этого 100Ge не станет. Edited June 4, 2017 by nkusnetsov Вставить ник Quote
myth Posted June 5, 2017 Posted June 5, 2017 С микротика 1г бы хоть получить на задачах сложнее тупого роутинга... Вставить ник Quote
murano Posted June 5, 2017 Posted June 5, 2017 С микротика 1г бы хоть получить на задачах сложнее тупого роутинга... может не так настраивали?:) Вставить ник Quote
myth Posted June 5, 2017 Posted June 5, 2017 шейпинг, нат, роутинг, pppoe, firewall Вставить ник Quote
Saab95 Posted June 5, 2017 Posted June 5, 2017 С микротика 1г бы хоть получить на задачах сложнее тупого роутинга... Поставьте несколько микротиков. Один для шейпера, второй для роутинга, третий для ната и еще один для firewall. Вставить ник Quote
Serejka Posted June 6, 2017 Posted June 6, 2017 Песню как впаривают ведро микротиков можно слушать вечно. ТС - если не хотите горя знать берите циску, хотите развлечений - берите ведро микротиков. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.