NicholasLazarev Опубликовано 26 сентября, 2018 · Жалоба Добрый день! Прошу подсказать по такому вопросу: какое лучше всего выбрать оборудование для построения сети в офисе. Что есть сейчас: В данный момент сеть в офисе работает на: Оптика 1 Гбит/с, входит в медиаконвертер D-Link DMC1910R Оптика 20 Мбит/с, входит в медиаконвертер Foxgate. Патч-корд от одного из медиаконвертеров входит в Asus RT-N12 VP. По всем помещениям проложена СКС, расшиты патч-панели, патч-корды подключены к трем коммутаторам: D-Link 1226G D-Link DES 1024A D-Link DES 1024A В офисе 50 рабочих станций, на Ubuntu, почти у всех сотрудников мобильные устройства, которым нужен wi-fi. Рабочие станции подключены 5e. Есть несколько серверов, подняты на Proxmox, контроллер домена, сервер терминалов для приложений, которые работают только на Windows. Вся сеть одноранговая, 192.168.0.0/24 Что хочу купить, бюджет 500$ 1шт. маршрутизатор Mikrotik RB1100AHx4. (хотелось бы Dude Edition, но превышает бюджет) 2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC) Также, есть возможность купить двухлетний б/у MikroTik CCR1016-12G. Что хочу реализовать: В целом, хотелось бы более обезопасить сеть, внедрить различные вещи: Хотспот - чтобы на смартфонах/планшетах можно было подключаться без паролей, заходя на сайт с кнопкой Подключиться обезопасить wi-fi, внедрить wpa2-enterprise бесшовный wifi, чтобы две сети от двух роутеров совмещались в одну сеть, включая оба диапазона 2,4 и 5. Т.е. чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos. Начитался разной информации про ipsec, выбрал именно модели Mikrotik с аппаратной поддержкой. Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции. Вопрос: Подскажите, что думаете про мой выбор оборудования? Может, стоит обратить внимание на другого производителя, либо в корне изменить схему построения структуры сети? Может, купить б/у Cisco или Juniper?Бюджет на всё 30 тыс. руб (500$). На роутер и wifi. Свитчи планирую заменить в будущем, на это будет отдельный бюджет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 26 сентября, 2018 (изменено) · Жалоба RB4011iGS+5HacQ2HnD-IN RB4011iGS+5HacQ2HnD-IN или RB4011iGS+RM или Mikrotik RB1100AHx4 У Mikrotik hAP ac2 слабый wifi, не дай бог рядом будет свыше 100 точек, 2.4MHz работать не будет. Изменено 26 сентября, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 26 сентября, 2018 · Жалоба Наш офис это отдельное одноэтажное здание, стоит в стороне от многоэтажек. Другие сети wifi ловятся, конечно, но их 4-6 шт. и слабенькие они. Раньше wifi раздавал TP-Link 941ND. Было отлично, почти весь офис был в зоне покрытия. Сейчас Asus N12 VP, тоже жалоб нет. Мне просто не с чем сравнить из Mikrotik. Неужели у Mikrotik hAP ac2, которых я хочу поставить две штуки, будет слабее wifi? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 26 сентября, 2018 (изменено) · Жалоба 1 час назад, NicholasLazarev сказал: Наш офис это отдельное одноэтажное здание, стоит в стороне от многоэтажек. Другие сети wifi ловятся, конечно, но их 4-6 шт. и слабенькие они. Раньше wifi раздавал TP-Link 941ND. Было отлично, почти весь офис был в зоне покрытия. Сейчас Asus N12 VP, тоже жалоб нет. Мне просто не с чем сравнить из Mikrotik. Неужели у Mikrotik hAP ac2, которых я хочу поставить две штуки, будет слабее wifi? Если рядом мало точек тогда все нормально. Лучше вместо Mikrotik RB1100AHx4 взять RB4011iGS+5HacQ2HnD-IN Mikrotik RB1100AHx4 модель очень хорошая в офис тоже купили, но сейчас будем брать RB4011iGS+5HacQ2HnD-IN, а где не нужен wifi Mikrotik RB1100AHx4 Изменено 26 сентября, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 сентября, 2018 · Жалоба @NicholasLazarev Зачем вам ipsec? Всё будет в приделах одного здания. Если кому ли бо нужно будет, что либо слить он сольет. Если вам нужно шифрование до каждой рабочей станции это софт на PC + linux на сервере. Микротик не прожует столько трафика в шифровании. Вы верно двигаетесь в сторону сигметации по VLAN. Если вы хотите клиентов разделать то valan per user ваше все. При моделирование сети не забывайте, что у микротика при включённом connection tracking(без него нат работать не будет) в эту таблицу будет попадать не только трафик ната, но и весть трафик маршрутизации. По поводу Сisco, большое комьюнити и материалов на русском. Цены на б\у циску сильно не кусаются. По поводу Juniper маленькое комьюнити на ру сегменте и так же мало материалов на русском. Если не знаете англиканский то придется либо про крупицам собирать информацию на ру сегменте. или читать документацию на англиканском. Из плюсов очень богатый функционал SRX вам подойдет под безопасность(но не забывайте у кого MX, EX, QFX, могут вам не помочь т.к. линейки разные одну и ту же задачу решают по разному советы будут непосредственные). З.Ы. Самый главный совет "Не хватает микротиков!!!!! Нужно больше микротиков" в каждой шутке есть доля шутки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 27 сентября, 2018 · Жалоба 2 часа назад, pingz сказал: По поводу Сisco, большое комьюнити и материалов на русском. Цены на б\у циску сильно не кусаются. Спасибо за советы. А какие конкретно модели Cisco могут подойти для решения моей задачи? Например, Cisco RV345P-K9-G5? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 сентября, 2018 · Жалоба @NicholasLazarev у меня в сети mikrotik и juniper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 27 сентября, 2018 · Жалоба @pingz По juniper: На базовые вещи - русской документации по SRX полно. Шифрование на L2 - MacSec (уточнять только по поддержке/лицензиям, для srx - это 3xx) у джунов - уже нет wifi. Хотя могу предложить wlc + пару точек 532х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 27 сентября, 2018 · Жалоба Джуны и циско дороги, боюсь, не влезу в бюджет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 27 сентября, 2018 · Жалоба @NicholasLazarev Полноценный бесшовный wifi на микроте так и не завезли. Если будет голосовая связь и частые перемещения - не совсем хорошо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 27 сентября, 2018 · Жалоба Я планирую сделать так: Взять две шт. Mikrotik hAP ac2. В каждый будет входить сетевой кабель. Первый hAP ac2 настроить как wifi роутер, с сетью Work, а второй hAP ac2 настроить как точку доступа, которая расширяет wifi сеть Work. И через capsman настроить переключение клиентов от одного hAP ac2 к другому. Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 27 сентября, 2018 · Жалоба @NicholasLazarev лучше на микротиках выставить одну и ту же SSID, но разную частоту. И настроить дроп по уровню сигнала. При переходе с первой на вторую, первая будет дропать по уровню сигнала клиента, а вторая будет доступна для клиента. ИМХО плохая идея гонять трафик по воздуху. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 27 сентября, 2018 · Жалоба 7 минут назад, pingz сказал: лучше на микротиках выставить одну и ту же SSID, но разную частоту. И настроить дроп по уровню сигнала. При переходе с первой на вторую, первая будет дропать по уровню сигнала клиента, а вторая будет доступна для клиента. Спасибо за совет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boav Опубликовано 27 сентября, 2018 · Жалоба 5 часов назад, NicholasLazarev сказал: Взять две шт. Mikrotik hAP ac2. Зачем? Достаточно взять сар ас 2шт. capsman ставите на rb1100ahx4, wi-fi залуливаете через его бридж в отдельную сеть. 34 минуты назад, pingz сказал: И настроить дроп по уровню сигнала. Плохая идея. Не нужно дропать, нужно подстроить мощность точек так чтобы в зоне действия одной вторая была бы с гораздо худшим уровнем сигнала. Клиент сам перепрыгнет с точки на точку и очень быстро. Естессно один ssid и разные каналы на точках. 5 часов назад, NicholasLazarev сказал: Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый Двух точек может и не хватить. Лучше точки поставить плотнее и занизить мощность, чем воткнуть 2 по разные концы коридора и в середине клиент будет афигевать за что ему зацепиться. Начните с трех точек по коридору. По-канально разнестись есть место 6 часов назад, vvertexx сказал: Полноценный бесшовный wifi на микроте так и не завезли. И на убики не завезли. А там где завезли наверно цена контроллера будет в весь бюджет топикстартера Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 сентября, 2018 · Жалоба на 20 Мбит интернета и 50 клиентов 1100AHx4 - перебор. Тут справится и 3011 (про шифрование трафика внутри сети уже сказали - если надо, то оно поднимается между клиентами и серверами непосредственно). Высвободившееся деньги лучше употребите на более устойчивое и управляемое WiFi решение, на ubiquity или (если уж ASUS вам зашли) на ASUS Lyra, в этих решениях также будет гораздо легче увеличивать плотность сети, если после сборки выяснится, что есть мёртвые зоны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NicholasLazarev Опубликовано 27 сентября, 2018 · Жалоба Спасибо всем за советы, буду думать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 сентября, 2018 · Жалоба Можно использовать RB951G-2HnD в качестве точек, и они же будут коммутаторами для кабельных подключений, вайфай у них более пробивной. Что бы вайфай нормально работал, нужно установить больше точек, на каждой установить минимально возможную мощность - тогда даже тонкая стена внесет достаточные затухания, что бы не создавать помехи точкам в других помещениях. Капсман не нужен, нужно на каждую точку завести свой влан, сбриджевать его с wi-fi, на центральном микротике добавить эти вланы в бридж, запретить пропуск трафика между ними, так же блокируете весь трафик между клиентами точки. Основная проблема вайфая в том, что по сети летит много не нужного мусора, что создает нагрузку на сеть и снижает скорость. Когда все отфильтровано - мусора почти нет, а скорость может на 20-30 процентов увеличится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 27 сентября, 2018 (изменено) · Жалоба 1 час назад, Saab95 сказал: Можно использовать RB951G-2HnD в качестве точек, и они же будут коммутаторами для кабельных подключений, вайфай у них более пробивной. Что бы вайфай нормально работал, нужно установить больше точек, на каждой установить минимально возможную мощность - тогда даже тонкая стена внесет достаточные затухания, что бы не создавать помехи точкам в других помещениях. Капсман не нужен, нужно на каждую точку завести свой влан, сбриджевать его с wi-fi, на центральном микротике добавить эти вланы в бридж, запретить пропуск трафика между ними, так же блокируете весь трафик между клиентами точки. Основная проблема вайфая в том, что по сети летит много не нужного мусора, что создает нагрузку на сеть и снижает скорость. Когда все отфильтровано - мусора почти нет, а скорость может на 20-30 процентов увеличится. Вайвай, в тех задании написано, надо чтоб былo и 5MHz Много на складах RB951G-2HnD? Может ценник скинуть так сразу разберут. Изменено 27 сентября, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 сентября, 2018 · Жалоба Если 5ггц принципиально, то, как вариант - Mikrotik OMNITik - у него и антенны с достаточным для помещения усилением, и встроенный коммутатор. Есть решения и с AC, и с подачей питания на 4 порта - то есть можно от одного сразу 4 других запитать. Экономия на проводах и разводке. Собственно понимание вопроса определяется после нескольких установок (обычно хватает десятка), что бы понять что хорошая работа и покрытие, и одновременно маленькая цена - такого не бывает. Мы, например, когда где-то собираемся делать беспроводную сеть в помещении - привозим много разного оборудования и устанавливаем на штативах в нужных местах, провода кидаем по полу. Показываем заказчику как работает сеть. Тут же можно убирать или доставлять точки, сразу отвечая на вопросы качества работы и итоговой стоимости. Действует это почти всегда - заказчики сразу видят как меняется покрытие. И годами отработанная схема - когда в каждом кабинете устанавливается своя точка доступа - это самое верное решение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 28 сентября, 2018 (изменено) · Жалоба 8 часов назад, Saab95 сказал: Если 5ггц принципиально, то, как вариант - Mikrotik OMNITik - у него и антенны с достаточным для помещения усилением, и встроенный коммутатор. Есть решения и с AC, и с подачей питания на 4 порта - то есть можно от одного сразу 4 других запитать. Экономия на проводах и разводке. Собственно понимание вопроса определяется после нескольких установок (обычно хватает десятка), что бы понять что хорошая работа и покрытие, и одновременно маленькая цена - такого не бывает. Мы, например, когда где-то собираемся делать беспроводную сеть в помещении - привозим много разного оборудования и устанавливаем на штативах в нужных местах, провода кидаем по полу. Показываем заказчику как работает сеть. Тут же можно убирать или доставлять точки, сразу отвечая на вопросы качества работы и итоговой стоимости. Действует это почти всегда - заказчики сразу видят как меняется покрытие. И годами отработанная схема - когда в каждом кабинете устанавливается своя точка доступа - это самое верное решение. Для офисов cAP ac намного лучше и по характеристикам и по цене. Изменено 28 сентября, 2018 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 29 сентября, 2018 · Жалоба В 27.09.2018 в 19:31, NicholasLazarev сказал: Спасибо за совет. По поводу поставить много-много ап, плавали. Поставили аж 20 ап убнт в потолке оптового склада, чтобы покрыть всё. Бесшовность - один ссид на всех. так вот, в 2.4, 10 из них оказалось ненужными, и складовщики со своим фифи-сканнерами товаров и мест вполне общаются с бд комплекса. Не те скорости обмена, и время на бесшовность не то. Остальные бс просто мешали, клиент топтался меж базами, как буриданов осёл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 октября, 2018 · Жалоба В 29.09.2018 в 15:00, YuryD сказал: 10 из них оказалось ненужными Если не нужными - значит поставили не правильно, только и всего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 2 октября, 2018 · Жалоба В 01.10.2018 в 13:42, Saab95 сказал: Если не нужными - значит поставили не правильно, только и всего. Склад высотой 3 этажа (без перекрытий - бывший сборочный цех тягачей кзкт) и намного побольше стадиона, металлические стеллажи и прочее, закладывались по расчётам, излишне... Ничего страшного не произошло, даже базы не снимали, просто погасили. Ибо поменять уже что-то под потолком в заполненном складе - почти невозможно технически. Да и строители-проектанты о том-же думали, поставили кучу светодиодных светильников, ибо даже лестницу или вышку там не особо используешь. Ну и антивандальность - там 8 шкафов с коммутаторами, чтобы погрузчиком не снесло - они на высоте 6 метров. Так что склад - не самое удобное место для эксплуататора лвс, поэтому сразу и резерв появился :) Нареканий по wifi оттуда нету, как и по видеонаблюдению, коммутаторы в оптокольце, за 5 лет только одна киска умерла по БП, но она и была старая по жизни. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stefbarinov Опубликовано 15 октября, 2018 · Жалоба Для офиса в 50-100 пк в качестве шлюза вполне себе подойдёт juniper srx-210 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 15 октября, 2018 · Жалоба @stefbarinov Нет wi-fi. Если только в качестве файерволла, а точки микротиковские. PS: решение только на juniper: srx240 + wlc8 + 2*WLA532-WW я оцениваю дороже, ближе к $800. Покрывает все "хотелки", даже избыточно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...