[seu]

Нужно навести порядок в локальной сети колледжа (схема во вложении). На смену неуправляемым коммутаторам были закуплены управляемые. Планируется разбить сеть на виланы для администрации, бухгалтерии, учебных классов, студентов общежития, видеонаблюдения и т.д.

Два вопроса:

1. Какой коммутатор использовать для маршрутизации виланов?
   
2. На что заменить существуйющий маршрутизатор (SNR-CPE-W4N) для пропуска студентов и сотрудников на файловый сервер из интернета?
   
3. Нужен ли дополнительный межсетевой экран? Где? (сейчас используется Kaspersky Security Center 10)
   

По первому вопросу рассматриваю Cisco Catalyst WS-C3560G-24PS-S (однако, у него End-of-Support Date:31-JAN-2018 и уже сейчас "318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ", а может всплыть что-то более серьезное) и SNR-S2990G-24T (он 2+, достаточно ли будет его функционала для маршрутизации?)

В теме я новичок, только начинаю знакомится с управляемыми коммутаторами.

[murano]

Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает.

[VolanD666]

Вполне подойдет микротик. По характеристикам это уже Вам предстоит выбрать. Вполне хорошее решение для уровня SOHO. Там и сетевой экран, и шейпер, и роутинг, и все, что только душа пожелает.

+1

[uxcr]

"WS-C3560G-24PS-S"

Нужен PoE вдобавок?

Ну и да, б-у 3560 самое то по цене сейчас из маршрутизирующих.

Изменено 1 июня, 2017 пользователем uxcr

[myth]

318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ

А кто же заставляет телнет голой Ж... в инет выставлять?

[GrandPr1de]

318 моделей коммутаторов Cisco содержат уязвимость, которую использует ЦРУ

А кто же заставляет телнет голой Ж... в инет выставлять?

 

Чукча не читатель. Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром.

 

 

По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО.

[seu]

А кто же заставляет телнет голой Ж... в инет выставлять?

Телнет отключить можно. Но что еще опубликуют? Студенты в общаге живут. На путнее мозгов не хватает, а попакастить...

Изменено 1 июня, 2017 пользователем seu

[seu]

Если на железке есть белый ип - жди беды, даже если acl-ом закрыто для общения с миром.

Белый ip есть. Поподробнее о беде можно? Т.к. на входе хочу поставить что-нибудь из микротиков и потом пускать к файловому серверу из интернета.

По уязвимостям уже есть патчи, не стоит их боятся, главное обновиться на последнее ПО.

"Джулиан Ассанж также упомянул, что опубликованная порция Year Zero — всего 1% от общего объёма Vault 7. Документы находятся в распоряжении Wikileaks и будут выкладываться по частям."

А пока части публикуются настанет январь 18 года и циско перестанет выпускать что-либо для этой железки. А чего там опубликуют?

Потому и берут сомнения насчет оправданности покупки этой железки. Может SNR-S2990G-24T лучше взять? Как он под мои задачи? У кого есть опыт подобной эксплуатации?

 

Если ставить только микротик на входе, то, наверное, ему не хватит производительности для маршрутизации между виланами (2 вилана с видеонаблюдением по двум корпусам будут, из них данные в вилан администрации ходить). Потому и хочу ставить маршрутизатор (для общения с внешним миром) и L3(L2+) коммутатор для маршрутизации внутри сети.

 

Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов.

[YuryD]

А кто же заставляет телнет голой Ж... в инет выставлять?

Студенты в общаге живут. На путнее мозгов не хватает, а попакастить...

Но как ? Вынесенный влан управления, и никакого инета в нём. А так - да что угодно, без acl, с необх количеством портов. Если понадобится qos - тут надо призадуматься уже. А qos понадобится - чтобы видеонаблюдение нормально показывало. Ну уэ если уж там snr кругом, то толстенький snr и выбрать.

[YuryD]

Выше писал, что у самого опыта пока нет. Теоретиков много, а хочется ответов практиков-реалистов.

Ну я бывший практик, вынесли нас из 10этажной студобщаги административно. А так - было 6 сиско 48-портовых, в двух стойках разных корпусов. Тарифы были гуманные для каждого - 10Мбит за смешные деньги. Наибольший геморрой - кража/дележ аккаунтов, ну и локальные петли от старой кабельной инфраструктуры. Переделали всю скс в общаге - траблы с кабелями исчезли. Но в те времена ещё не было видеонаблюдения. Из текущей практики - огромная сеть оптового склада и ТЦ, с большой кучей видео тц, склада и периметров, вайфая на кладовщиков с роумингом, огромная куча кисок, древних. Ну и офис тоже немалый, на всех хватает одного тупого компа - он-же нат, он-же их вёб. Дирекцию пришлось правда выселить в отдельный влан, для создания у них благоприятности.

[Victor Tkachenko]

seu, SNR-S2990G-24T все же L2+ коммутатор, L3 функционал на нем вспомогательный. Хоть ресурса коммутатора и достаточно для терминации всех устройств (судя по схеме) на данный момент, его может не хватить в дальнейшем.

Имхо, в вашем случае, действительно, лучше воспользоваться простым L2 коммутатором для агрегации доступа и его подключения к софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана.

[seu]

простым L2 коммутатором для агрегации доступа

например, модель ... или модель ...

 

софт-роутеру (например, микротик), на который лягут функции и L3 агрегации и связи с внешним миром и сетевого экрана.

например, модель ... или модель ...

 

Пожалуйста, предлагайте модели. Если бы я мог выбрать сам, то сюда не писал бы.

В голове некоторые модели отложились, но я совершенно не могу оценить их производительность и определить подходят ли они под мои нужды. А потратить не 1-2 тыс. руб. предстоит.

[Negator]

Какой трафик?

Сколько абонентов?

[neuron911]

из бюджетных - mikrotik hex (RB750Gr3), должно хватить

а если денег много, то можно RB1100AHx4 или CCR младший

[YuryD]

Человек хочет l2+l3 бюджетно :) Не бывает. Просто у него далее l3хотелки вырастут, а оно не справится.

[nkusnetsov]

seu, напишите какой ожидаете трафик для маршрутизации. Железо подбирается исходя из предполагаемой нагрузки. Может у Вас аплинк в мир 10Мбит? И сколько планируетеся между vlan пропускать?

Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер.

Исходя из озвученного бюджета на SNR, близко к нему подходят:

1) MikroTik CCR1009-7G-1C-1S

2) MikroTik CCR1016

3) Компьютер с MikroTik RouterOS.

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2. Лицензия RouterOS Level 4 стОит около 2000р. Остальное - тратим на "железо"

Изменено 3 июня, 2017 пользователем nkusnetsov

[YuryD]

Тот же видеорегистратор отдает наблюдателю поток гораздо меньше, чем сумма потоков всех камер.

По моим наблюдениям, голая качественная ip-камера выдает макс 3Мбит. Видеорегистратором на стройке с 8 камерами выжирается на разных наблюдателей до 10Мбит. Под голой качественной имеется камера с хорошим обьективом и термокорпусом, а не гуаноподелки, хотя-бы для из-за того, что качественные просто долговечны. Хотя и древние. У нас один строитель камеру таскает уже на 5й обьект, лет этак 7. А мне чего - спд он купил, гоняет всё в собственном влан, поэтому его затраты - только на демонтаж и новый монтаж.

[myth]

3) Компьютер с

линуксом.

 

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2

решается вланами

[nkusnetsov]

Комп за близкие деньги даст гораздо более высокую производительность, но имеет меньше портов по сравнению с вариантами 1 и 2

решается вланами

Вы физические порты от логических интерфейсов отличайте. Речь именно о физических портах. На один 1Ge порт вы можете повесить хоть 100 vlan, он от этого 100Ge не станет.

Изменено 4 июня, 2017 пользователем nkusnetsov

[myth]

Естественно.

[dignity]

100ge гыгы)

[myth]

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

[murano]

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

 

может не так настраивали?:)

[myth]

шейпинг, нат, роутинг, pppoe, firewall

[Saab95]

С микротика 1г бы хоть получить на задачах сложнее тупого роутинга...

 

Поставьте несколько микротиков. Один для шейпера, второй для роутинга, третий для ната и еще один для firewall.