[WildWildUser]

Добрый день.

Возможно не в том разделе создано, не пинайте сильно.

Вопрос следующий.

Хотим сделать "как надо".

Решили остановиться на оборудовании Mikrotik/

Задача следующая:

Текущее состояние:

5 офисов (дальнейшее расширение будет),

телефония на базе AVAYA,

общее количество пользователей порядка 100.

Резервного канала интернет нет.

Распределение/ограничания трафика по сервисам нет(запускают торент, телефония падает).

 

Хотелось бы иметь/предусмотреть:

Масштаби́руемость (увеличение количества офисов, пользователей без высоких доп. затрат в дальнейшем.)

Резервирование (завести резервные каналы от провайдеров, возможно 4G(LTE))

VPN между офисами.

Распределение/ограничания трафика по сервисам.

Хорошо бы было еще и биллинг какой нибудь прикрутить.

[Leninxxx]

Топология между офисами какую планируете? Центральный узел будет? Или каждый офис самодостаточный и нужна лишь связь для доступа к сетевым папкам?

 

Исходя из предположения что будет центр? с запасом на будущее:

В центр ставите 3011. Ну можно раскошелиться на 1100 Dude (особенно если будете хорошо расти)

в офисах, думаю, будет достаточно 750gr3

[WildWildUser]

Думается что будет центр. Потому как и почта там и сервер терминальный с вездесущей 1С

[Parenkin]

Плюсом ко всему, на данный момент, имеются два mikrotik rb493g. которые будут задействованы в данной связке.

[Leninxxx]

Ну тогда как выше написал. А 493 можно поставить в филиалы вместо 750. Но 750 будет пошустрее, особенно с IPsec.

[nkusnetsov]

WildWildUser, давайте сначала определимся с планами. Какое увеличение трафика и внешних узлов закладываете в проект? В цифрах, пожалуйста.

Пока, не видя Ваших планов и цифр, абстрактный план такой:

Для связывания офисов, весьма желательно на туннелях иметь IPSec. Поддерживаю, предложение Leninxxx о применении RB750Gr3 в качестве роутера удаленного офиса. Обратите внимание при покупке. Нужна версия именно "Gr3". Также при настройке алгоритмов шифрования на rb750Gr3, обратите внимание, что аппаратное ускорение поддерживается только для алгоритмов 128,192,256-bit aes-cbc; sha1,sha256

Предлагаемый им же вариант RB3011 не имеет аппаратного ускорения криптографии (RB1100HAx4 Dude Edition - сыроват, что-то я опасаюсь его в продакшне пока). Чтобы создать адекватную IPSec "пару" для группы RB750Gr3, лучше обратиться в сторону CCR. Хотя бы младший, CCR1009.

На крайний случай, при отсутствии на старте денег в бюджете, можно в центр воткнуть RB1100AHx2 (PPC, 2 ядра, аппаратное ускорение IPSec AES ~400-500MBit/s). Впоследствии, если вырастите дальше, замените его на CCR, а старый rb1100 сошлёте в наиболее крупный филиал.

 

P.S. камрады, если у кого есть положительный опыт по "RB1100AHx4 DE"+IPSec, отпишитесь. Действительно интересно.

Изменено 31 июля, 2017 пользователем nkusnetsov

[Parenkin]

Два офиса (в том числе центральный) 15 - 20 человек трафик пойдет: почта, файловый сервер, RDP, телефония.

И на данный момент 2 офиса численностью примерно 3-5 человек трафик: те же сервисы.

Центральный офис ширина канала 30 мбит в филиалах по 10

[WildWildUser]

+2 офиса открываются через 2-3 месяца

[nkusnetsov]

Топология "звезда" - все офисы связываются через центр?

В Интернет каждый из офисов пойдет самостоятельно или через центральный, где будет фильтроваться?

[Parenkin]

Топология "звезда" - все офисы связываются через центр?

В Интернет каждый из офисов пойдет самостоятельно или через центральный, где будет фильтроваться?

Каждый в интернет самостоятельно, в центральном офисе только перечисленные выше сетевые сервисы и в одном из филиалов IP АТС Avaya (не в центральном офисе)

[WildWildUser]

а существует аналог RB750Gr3 с модулем WiFi?

[DRiVen]

Нет.

[Leninxxx]

а существует аналог RB750Gr3 с модулем WiFi?

Под вышеуказанные задачи, где в филиале будет 30-50 Мбит максимум, вы можете со спокойной совестью взять RB951Ui-2HnD(проверен годами) или hAP, hAP ac lite (поновее).

В теории можно поставить даже hAP lite(у меня два офиса запитаны ими больше года, проблем нет), и свои 15-20 Мбит шифрованного PPTP он выдаст, но по мне - не очень серьезное решение.

Так что, под Ваши задачи, думаю, можно не смотреть на аппаратное ускорение. Берите что больше нравится.

 

вариант RB3011 не имеет аппаратного ускорения криптографии

Все может быть, у меня его нет, но помнится мне что обещали допилить. Допилили или нет, не знаю.

И тем не менее. Я в соседней теме писал что 2011 и 951 в паре прокачали порядка 80 Мбит L2tp+IPsec уперевшись в 100% CPU.

3011 все-таки прилично шустрее будет. Так что сотку он точно прокачает и без аппаратного ускорения, а этого более чем достаточно на 5-8 небольших филиалов.

 

Резюмируя:

в филиалы hAP или hAP ac lite, но лучше RB750Gr3 или RB951Ui-2HnD

в центр - 3011.

Оставшийся бюджет можно положить на расширение каналов.

Изменено 3 августа, 2017 пользователем Leninxxx

[HarDik]

в филиалы hAP или hAP ac lite, но лучше RB750Gr3 или RB951Ui-2HnD

Всегда надо брать с запасом, тем более будет рост, да и не всегда все можно предусмотреть... В центр лучше RB1100x4 dude, ну крайний случай RB3011

в филиалы RB750Gr3 так как у него и процессор лучше, и поддерживает аппаратное шифрование, на край hAP или hAP ac lite если надо Wifi

Изменено 4 августа, 2017 пользователем HarDik

[Leninxxx]

на край hAP или hAP ac lite если надо Wifi

Забавно. Говорите про запас, и отметаете 951. А ведь он поинтереснее будет чем hAP.

[WildWildUser]

остановились на связке

центральный офис CCR1009-7G-1C-1S+

периферия пара RB750Gr3 и имеющаяся пара Mikrotik RB493G(будут плохо себя вести заменим на RB750Gr3).

руководству как всегда нужно обоснование почему нельзя использовать старое оборудование.

[Saab95]

В центр лучше RB1100x4 dude

 

Это устройство совершенно бесполезное в плане производительности и у него нет SFP портов. CCR1009 намного интереснее.

[WildWildUser]

Всем спасибо. Выбор сделан.