Jump to content
Калькуляторы

Нужна помощь в выборе оборудования для маршрутизации в локальной сеть образовательного учреждения

Нужно навести порядок в локальной сети колледжа (схема во вложении). На смену неуправляемым коммутаторам были закуплены управляемые. Планируется разбить сеть на виланы для администрации, бухгалтерии, учебных классов, студентов общежития, видеонаблюдения и т.д.

Два вопроса:

  1. Какой коммутатор использовать для маршрутизации виланов?
  2. На что заменить существуйющий маршрутизатор (SNR-CPE-W4N) для пропуска студентов и сотрудников на файловый сервер из интернета?
  3. Нужен ли дополнительный межсетевой экран? Где? (сейчас используется Kaspersky Security Center 10)

По первому вопросу рассматриваю Cisco Catalyst WS-C3560G-24PS-S (однако, у него End-of-Support Date:31-JAN-2018 и уже сейчас "318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ", а может всплыть что-то более серьезное) и SNR-S2990G-24T (он 2+, достаточно ли будет его функционала для маршрутизации?)

В теме я новичок, только начинаю знакомится с управляемыми коммутаторами.

post-142304-066117000 1496306983_thumb.png

Share this post


Link to post
Share on other sites

Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает.

Share this post


Link to post
Share on other sites

Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает.

+1

Share this post


Link to post
Share on other sites

"WS-C3560G-24PS-S"

Нужен PoE вдобавок?

Ну и да, б-у 3560 самое то по цене сейчас из маршрутизирующих.

Edited by uxcr

Share this post


Link to post
Share on other sites

318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ

А кто же заставляет телнет голой Ж... в инет выставлять?

Share this post


Link to post
Share on other sites

318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ

А кто же заставляет телнет голой Ж... в инет выставлять?

 

Чукча не читатель. Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром.

 

 

По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО.

Share this post


Link to post
Share on other sites

А кто же заставляет телнет голой Ж... в инет выставлять?

Телнет отключить можно. Но что еще опубликуют? Студенты в общаге живут. На путнее мозгов не хватает, а попакастить...

Edited by seu

Share this post


Link to post
Share on other sites

Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром.

Белый ip есть. Поподробнее о беде можно? Т.к. на входе хочу поставить что-нибудь из микротиков и потом пускать к файловому серверу из интернета.

По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО.

"Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям."

А пока части публикуются настанет январь 18 года и циско перестанет выпускать что-либо для этой железки. А чего там опубликуют?

Потому и берут сомнения насчет оправданности покупки этой железки. Может SNR-S2990G-24T лучше взять? Как он под мои задачи? У кого есть опыт подобной эксплуатации?

 

Если ставить только микротик на входе, то, наверное, ему не хватит производительности для маршрутизации между виланами (2 вилана с видеонаблюдением по двум корпусам будут, из них данные в вилан администрации ходить). Потому и хочу ставить маршрутизатор (для общения с внешним миром) и L3(L2+) коммутатор для маршрутизации внутри сети.

 

Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов.

Share this post


Link to post
Share on other sites

А кто же заставляет телнет голой Ж... в инет выставлять?

Студенты в общаге живут. На путнее мозгов не хватает, а попакастить...

Но как ? Вынесенный влан управления, и никакого инета в нём. А так - да что угодно, без acl, с необх количеством портов. Если понадобится qos - тут надо призадуматься уже. А qos понадобится - чтобы видеонаблюдение нормально показывало. Ну уэ если уж там snr кругом, то толстенький snr и выбрать.

Share this post


Link to post
Share on other sites

Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов.

Ну я бывший практик, вынесли нас из 10этажной студобщаги административно. А так - было 6 сиско 48-портовых, в двух стойках разных корпусов. Тарифы были гуманные для каждого - 10Мбит за смешные деньги. Наибольший геморрой - кража/дележ аккаунтов, ну и локальные петли от старой кабельной инфраструктуры. Переделали всю скс в общаге - траблы с кабелями исчезли. Но в те времена ещё не было видеонаблюдения. Из текущей практики - огромная сеть оптового склада и ТЦ, с большой кучей видео тц, склада и периметров, вайфая на кладовщиков с роумингом, огромная куча кисок, древних. Ну и офис тоже немалый, на всех хватает одного тупого компа - он-же нат, он-же их вёб. Дирекцию пришлось правда выселить в отдельный влан, для создания у них благоприятности.

Share this post


Link to post
Share on other sites

seu, SNR-S2990G-24T все же L2+ коммутатор, L3 функционал на нем вспомогательный. Хоть ресурса коммутатора и достаточно для терминации всех устройств (судя по схеме) на данный момент, его может не хватить в дальнейшем.

Имхо, в вашем случае, действительно, лучше воспользоваться простым L2 коммутатором для агрегации доступа и его подключения к софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана.

Share this post


Link to post
Share on other sites

простым L2 коммутатором для агрегации доступа

например, модель ... или модель ...

 

софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана.

например, модель ... или модель ...

 

Пожалуйста, предлагайте модели. Если бы я мог выбрать сам, то сюда не писал бы.

В голове некоторые модели отложились, но я совершенно не могу оценить их производительность и определить подходят ли они под мои нужды. А потратить не 1-2 тыс. руб. предстоит.

Share this post


Link to post
Share on other sites

из бюджетных - mikrotik hex (RB750Gr3), должно хватить

а если денег много, то можно RB1100AHx4 или CCR младший

Share this post


Link to post
Share on other sites

Человек хочет l2+l3 бюджетно :) Не бывает. Просто у него далее l3хотелки вырастут, а оно не справится.

Share this post


Link to post
Share on other sites

seu, напишите какой ожидаете трафик для маршрутизации. Железо подбирается исходя из предполагаемой нагрузки. Может у Вас аплинк в мир 10Мбит? И сколько планируетеся между vlan пропускать?

Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер.

Исходя из озвученного бюджета на SNR, близко к нему подходят:

1) MikroTik CCR1009-7G-1C-1S

2) MikroTik CCR1016

3) Компьютер с MikroTik RouterOS.

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2. Лицензия RouterOS Level 4 стОит около 2000р. Остальное - тратим на "железо"

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер.

По моим наблюдениям, голая качественная ip-камера выдает макс 3Мбит. Видеорегистратором на стройке с 8 камерами выжирается на разных наблюдателей до 10Мбит. Под голой качественной имеется камера с хорошим обьективом и термокорпусом, а не гуаноподелки, хотя-бы для из-за того, что качественные просто долговечны. Хотя и древние. У нас один строитель камеру таскает уже на 5й обьект, лет этак 7. А мне чего - спд он купил, гоняет всё в собственном влан, поэтому его затраты - только на демонтаж и новый монтаж.

Share this post


Link to post
Share on other sites

3) Компьютер с

линуксом.

 

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2

решается вланами

Share this post


Link to post
Share on other sites

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2

решается вланами

Вы физические порты от логических интерфейсов отличайте. Речь именно о физических портах. На один 1Ge порт вы можете повесить хоть 100 vlan, он от этого 100Ge не станет.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

Share this post


Link to post
Share on other sites

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

 

может не так настраивали?:)

Share this post


Link to post
Share on other sites

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

 

Поставьте несколько микротиков. Один для шейпера, второй для роутинга, третий для ната и еще один для firewall.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this