Jump to content
Калькуляторы

Построение сети в офисе, выбор Mikrotik или...? 500$

Добрый день!
Прошу подсказать по такому вопросу: какое лучше всего выбрать оборудование для построения сети в офисе.

 

Что есть сейчас:

В данный момент сеть в офисе работает на:

Оптика 1 Гбит/с, входит в медиаконвертер D-Link DMC1910R

Оптика 20 Мбит/с, входит в медиаконвертер Foxgate.

Патч-корд от одного из медиаконвертеров входит в Asus RT-N12 VP.

По всем помещениям проложена СКС, расшиты патч-панели, патч-корды подключены к трем коммутаторам:
D-Link 1226G
D-Link DES 1024A
D-Link DES 1024A

В офисе 50 рабочих станций, на Ubuntu, почти у всех сотрудников мобильные устройства, которым нужен wi-fi. Рабочие станции подключены 5e.

Есть несколько серверов, подняты на Proxmox, контроллер домена, сервер терминалов для приложений, которые работают только на Windows.

 

Вся сеть одноранговая, 192.168.0.0/24

 

Что хочу купить, бюджет 500$

 

1шт. маршрутизатор Mikrotik RB1100AHx4. (хотелось бы Dude Edition, но превышает бюджет)
2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC)

 

Также, есть возможность купить двухлетний б/у  MikroTik CCR1016-12G.

 

Что хочу реализовать:


В целом, хотелось бы более обезопасить сеть, внедрить различные вещи:

 

Хотспот - чтобы на смартфонах/планшетах можно было подключаться без паролей, заходя на сайт с кнопкой Подключиться

 

обезопасить wi-fi, внедрить wpa2-enterprise

 

бесшовный wifi, чтобы две сети от двух роутеров совмещались в одну сеть, включая оба диапазона 2,4 и 5. Т.е. чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц

 

разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos.

Начитался разной информации про ipsec, выбрал именно модели Mikrotik  с аппаратной поддержкой. Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции.

 


Вопрос:
Подскажите, что думаете про мой выбор оборудования? Может, стоит обратить внимание на другого производителя, либо в корне изменить схему построения структуры сети? Может, купить б/у Cisco или Juniper?

Бюджет на всё 30 тыс. руб (500$). На роутер и wifi.

 

Свитчи планирую заменить в будущем, на это будет отдельный бюджет.

Share this post


Link to post
Share on other sites

RB4011iGS+5HacQ2HnD-IN RB4011iGS+5HacQ2HnD-IN

или RB4011iGS+RM

или Mikrotik RB1100AHx4 

 

У Mikrotik hAP ac2  слабый wifi, не дай бог рядом будет свыше 100 точек, 2.4MHz работать не будет. 

Edited by Chexov

Share this post


Link to post
Share on other sites

Наш офис это отдельное одноэтажное здание, стоит в стороне от многоэтажек. Другие сети wifi ловятся, конечно, но их 4-6 шт. и слабенькие они.

 

Раньше wifi раздавал TP-Link 941ND. Было отлично, почти весь офис был в зоне покрытия.

Сейчас Asus N12 VP, тоже жалоб нет.

 

Мне просто не с чем сравнить из Mikrotik.

 

Неужели у Mikrotik hAP ac2, которых я хочу поставить две штуки, будет слабее wifi?

Share this post


Link to post
Share on other sites
1 час назад, NicholasLazarev сказал:

Наш офис это отдельное одноэтажное здание, стоит в стороне от многоэтажек. Другие сети wifi ловятся, конечно, но их 4-6 шт. и слабенькие они.

 

Раньше wifi раздавал TP-Link 941ND. Было отлично, почти весь офис был в зоне покрытия.

Сейчас Asus N12 VP, тоже жалоб нет.

 

Мне просто не с чем сравнить из Mikrotik.

 

Неужели у Mikrotik hAP ac2, которых я хочу поставить две штуки, будет слабее wifi?

Если рядом мало точек тогда все нормально. 

Лучше вместо Mikrotik RB1100AHx4  взять RB4011iGS+5HacQ2HnD-IN

Mikrotik RB1100AHx4  модель очень хорошая в офис тоже купили, но сейчас будем брать RB4011iGS+5HacQ2HnD-IN,

а где не нужен wifi Mikrotik RB1100AHx4

Edited by Chexov

Share this post


Link to post
Share on other sites

@NicholasLazarev Зачем вам  ipsec?  

Всё будет в приделах одного здания. Если кому ли бо нужно будет, что либо слить он сольет.  

Если вам нужно шифрование до каждой рабочей станции это софт на PC + linux на сервере. Микротик не прожует столько трафика в шифровании. 

Вы верно двигаетесь в сторону сигметации по VLAN. Если вы хотите клиентов разделать то valan per user ваше все. 

 

При моделирование сети не забывайте, что у микротика при включённом connection tracking(без него нат работать не будет) в эту таблицу будет попадать не только трафик ната, но и весть трафик маршрутизации. 

 

По поводу Сisco, большое комьюнити и материалов на русском. Цены на б\у циску сильно не кусаются. 

По поводу Juniper маленькое комьюнити на ру сегменте и так же мало материалов на русском. Если не знаете англиканский то придется либо про крупицам собирать информацию на ру сегменте. или читать документацию на англиканском. Из плюсов очень богатый функционал SRX вам подойдет под безопасность(но не забывайте у кого MX, EX, QFX, могут вам не помочь т.к. линейки разные одну и ту же задачу решают по разному советы будут непосредственные). 

 

З.Ы. Самый главный совет "Не хватает микротиков!!!!! Нужно больше микротиков" в каждой шутке есть доля шутки.  

Share this post


Link to post
Share on other sites
2 часа назад, pingz сказал:

По поводу Сisco, большое комьюнити и материалов на русском. Цены на б\у циску сильно не кусаются. 

Спасибо за советы.

А какие конкретно модели Cisco могут подойти для решения моей задачи? 

Например, Cisco RV345P-K9-G5?

Share this post


Link to post
Share on other sites

@pingz 

По juniper:

На базовые вещи - русской документации по SRX полно.

Шифрование на L2 - MacSec (уточнять только по поддержке/лицензиям, для srx - это 3xx)

у джунов - уже нет wifi. Хотя могу предложить wlc + пару точек 532х

Share this post


Link to post
Share on other sites

@NicholasLazarev 

Полноценный бесшовный wifi на микроте так и не завезли. Если будет голосовая связь и частые перемещения - не совсем хорошо

Share this post


Link to post
Share on other sites

Я планирую сделать так:

Взять две шт. Mikrotik hAP ac2.

В каждый будет входить сетевой кабель.

Первый hAP ac2 настроить как wifi роутер, с сетью Work, а второй hAP ac2 настроить как точку доступа, которая расширяет wifi сеть Work.

И через capsman настроить переключение клиентов от одного hAP ac2 к другому.

Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый.

Share this post


Link to post
Share on other sites

@NicholasLazarev лучше на микротиках выставить одну и ту же SSID, но разную частоту. И настроить дроп по уровню сигнала.  При переходе с  первой на вторую, первая будет дропать по уровню сигнала клиента, а вторая будет доступна для клиента. 

 

ИМХО плохая идея гонять трафик по воздуху. 

Share this post


Link to post
Share on other sites
7 минут назад, pingz сказал:

лучше на микротиках выставить одну и ту же SSID, но разную частоту. И настроить дроп по уровню сигнала.  При переходе с  первой на вторую, первая будет дропать по уровню сигнала клиента, а вторая будет доступна для клиента. 

Спасибо за совет.

Share this post


Link to post
Share on other sites
5 часов назад, NicholasLazarev сказал:

Взять две шт. Mikrotik hAP ac2.

Зачем? Достаточно взять сар ас 2шт.

capsman ставите на rb1100ahx4, wi-fi залуливаете через его бридж в отдельную сеть. 

34 минуты назад, pingz сказал:

И настроить дроп по уровню сигнала.

Плохая идея. Не нужно дропать, нужно подстроить мощность точек так чтобы в зоне действия одной вторая была бы с гораздо худшим уровнем сигнала. Клиент сам перепрыгнет с точки на точку и очень быстро. Естессно один ssid и разные каналы на точках.   

 

5 часов назад, NicholasLazarev сказал:

Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый

Двух точек может и не хватить. Лучше точки поставить плотнее и занизить мощность, чем воткнуть 2 по разные концы коридора и в середине клиент будет афигевать за что ему зацепиться. Начните с трех точек по коридору. По-канально разнестись есть место

 

6 часов назад, vvertexx сказал:

Полноценный бесшовный wifi на микроте так и не завезли.

И на убики не завезли. А там где завезли наверно цена контроллера будет в весь бюджет топикстартера

Share this post


Link to post
Share on other sites

на 20 Мбит интернета и 50 клиентов 1100AHx4 - перебор. Тут справится и 3011 (про шифрование трафика внутри сети уже сказали - если надо, то оно поднимается между клиентами и серверами непосредственно). Высвободившееся деньги лучше употребите на более устойчивое и управляемое WiFi решение, на ubiquity или (если уж ASUS вам зашли) на ASUS Lyra, в этих решениях также будет гораздо легче увеличивать плотность сети, если после сборки выяснится, что есть мёртвые зоны.

Share this post


Link to post
Share on other sites

Можно использовать RB951G-2HnD в качестве точек, и они же будут коммутаторами для кабельных подключений, вайфай у них более пробивной.

 

Что бы вайфай нормально работал, нужно установить больше точек, на каждой установить минимально возможную мощность - тогда даже тонкая стена внесет достаточные затухания, что бы не создавать помехи точкам в других помещениях. Капсман не нужен, нужно на каждую точку завести свой влан, сбриджевать его с wi-fi, на центральном микротике добавить эти вланы в бридж, запретить пропуск трафика между ними, так же блокируете весь трафик между клиентами точки. Основная проблема вайфая в том, что по сети летит много не нужного мусора, что создает нагрузку на сеть и снижает скорость. Когда все отфильтровано - мусора почти нет, а скорость может на 20-30 процентов увеличится.

Share this post


Link to post
Share on other sites
1 час назад, Saab95 сказал:

Можно использовать RB951G-2HnD в качестве точек, и они же будут коммутаторами для кабельных подключений, вайфай у них более пробивной.

 

Что бы вайфай нормально работал, нужно установить больше точек, на каждой установить минимально возможную мощность - тогда даже тонкая стена внесет достаточные затухания, что бы не создавать помехи точкам в других помещениях. Капсман не нужен, нужно на каждую точку завести свой влан, сбриджевать его с wi-fi, на центральном микротике добавить эти вланы в бридж, запретить пропуск трафика между ними, так же блокируете весь трафик между клиентами точки. Основная проблема вайфая в том, что по сети летит много не нужного мусора, что создает нагрузку на сеть и снижает скорость. Когда все отфильтровано - мусора почти нет, а скорость может на 20-30 процентов увеличится.

Вайвай, в тех задании написано, надо чтоб былo и 5MHz

Много на складах RB951G-2HnD? Может ценник скинуть так сразу разберут.

 

Edited by Chexov

Share this post


Link to post
Share on other sites

Если 5ггц принципиально, то, как вариант - Mikrotik OMNITik - у него и антенны с достаточным для помещения усилением, и встроенный коммутатор. Есть решения и с AC, и с подачей питания на 4 порта - то есть можно от одного сразу 4 других запитать. Экономия на проводах и разводке.

 

Собственно понимание вопроса определяется после нескольких установок (обычно хватает десятка), что бы понять что хорошая работа и покрытие, и одновременно маленькая цена - такого не бывает. Мы, например, когда где-то собираемся делать беспроводную сеть в помещении - привозим много разного оборудования и устанавливаем на штативах в нужных местах, провода кидаем по полу. Показываем заказчику как работает сеть. Тут же можно убирать или доставлять точки, сразу отвечая на вопросы качества работы и итоговой стоимости. Действует это почти всегда - заказчики сразу видят как меняется покрытие.

 

И годами отработанная схема - когда в каждом кабинете устанавливается своя точка доступа - это самое верное решение.

Share this post


Link to post
Share on other sites
8 часов назад, Saab95 сказал:

Если 5ггц принципиально, то, как вариант - Mikrotik OMNITik - у него и антенны с достаточным для помещения усилением, и встроенный коммутатор. Есть решения и с AC, и с подачей питания на 4 порта - то есть можно от одного сразу 4 других запитать. Экономия на проводах и разводке.

 

Собственно понимание вопроса определяется после нескольких установок (обычно хватает десятка), что бы понять что хорошая работа и покрытие, и одновременно маленькая цена - такого не бывает. Мы, например, когда где-то собираемся делать беспроводную сеть в помещении - привозим много разного оборудования и устанавливаем на штативах в нужных местах, провода кидаем по полу. Показываем заказчику как работает сеть. Тут же можно убирать или доставлять точки, сразу отвечая на вопросы качества работы и итоговой стоимости. Действует это почти всегда - заказчики сразу видят как меняется покрытие.

 

И годами отработанная схема - когда в каждом кабинете устанавливается своя точка доступа - это самое верное решение.

Для офисов   cAP ac   намного лучше и по характеристикам и по цене.

Edited by Chexov

Share this post


Link to post
Share on other sites
В 27.09.2018 в 19:31, NicholasLazarev сказал:

Спасибо за совет.

 По поводу поставить много-много ап, плавали. Поставили аж 20 ап убнт в потолке оптового склада, чтобы покрыть всё. Бесшовность - один ссид на всех. так вот, в 2.4, 10 из них оказалось ненужными, и складовщики со своим фифи-сканнерами товаров и мест вполне общаются  с бд комплекса. Не те скорости обмена, и время на бесшовность не то. Остальные бс просто мешали, клиент топтался меж базами, как буриданов осёл.

Share this post


Link to post
Share on other sites
В 29.09.2018 в 15:00, YuryD сказал:

10 из них оказалось ненужными

Если не нужными - значит поставили не правильно, только и всего.

Share this post


Link to post
Share on other sites
В 01.10.2018 в 13:42, Saab95 сказал:

Если не нужными - значит поставили не правильно, только и всего.

 Склад высотой 3 этажа (без перекрытий - бывший сборочный цех тягачей кзкт) и намного побольше стадиона, металлические стеллажи и прочее, закладывались по расчётам, излишне... Ничего страшного не произошло, даже базы не снимали, просто погасили. Ибо поменять уже что-то под потолком в заполненном складе - почти невозможно технически. Да и строители-проектанты о том-же думали, поставили кучу светодиодных светильников, ибо даже лестницу или вышку там не особо используешь. Ну и антивандальность - там 8 шкафов с коммутаторами, чтобы погрузчиком не снесло - они на высоте 6 метров. Так что склад - не самое удобное место для эксплуататора лвс, поэтому сразу и резерв появился :) Нареканий по wifi оттуда нету, как и по видеонаблюдению, коммутаторы в оптокольце, за 5 лет только одна киска умерла по БП, но она и была старая по жизни.

Share this post


Link to post
Share on other sites

Для офиса в 50-100 пк в качестве шлюза вполне себе подойдёт juniper srx-210

Share this post


Link to post
Share on other sites

@stefbarinov 

Нет wi-fi. Если только в качестве файерволла, а точки микротиковские.

PS: решение только на juniper: srx240 + wlc8 + 2*WLA532-WW я оцениваю дороже, ближе к $800. Покрывает все "хотелки", даже избыточно

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now