Jump to content
Калькуляторы

Помогите с топологией сети

33 минуты назад, Collector сказал:

Теперь CCR1009 со всеми справится? из активной оборудовании получается достаточно 2 свича D-Link DGS 3120-24SC и один роутер CCR1009  ?

Именно так.

 

33 минуты назад, Collector сказал:

Только файрвол там "туповат". надо будет потом что то нормальное ставить еще.

Нормальный там файрвол. Нормальное это зиксель чтоль за 40 тыс? =) Там задача то будет ограничить список IP для подключения извне, ограничить внутренний трафик, что бы кому не надо никуда не ходил, да скоростью интернета управлять. Вот и все задачи. Кроме всего нужен будет какой-то мониторинг. ЧТо бы за доступностью оборудования следил, загрузку портов смотрел и т.п.

Share this post


Link to post
Share on other sites

А еще лучше в центр, в самое ядро вашей мегасети поставить циску серии 6500. Там в одном коммутаторе можно разместить и медные порты и все ваши оптические.

Вон смотрите сколько дырок свободных!

 

 

image.thumb.png.34e8847489b7df464c1eee9c9bf0346e.png 

 

Резервирование питания важная штука! два блока питания по 3 киловата в пике нагрузки! МОЩЬ! 

Из минусов под нее тяжко будет найти бесперебойник, а из плюсов можно обуви сушить зимой сапоги меховые!

 

image.thumb.png.36d02570624499b0d02034f5f51986cd.png

 

Ну еще можно от нее сделать обогрев на один - два коровника.

Китайцы будут довольны!

 

Share this post


Link to post
Share on other sites

Резюмируем:

Схема

http://images.vfl.ru/ii/1560800223/d0aa7913/26918196.jpg

 

Материалы:

Кабель - 16, 8-и волоконный.
В1, В9(x2), В8(x2), В6 - 16-и волоконный кросс
C7, B2 - 3 кросса по 8 волокон

Остальные - 2 кросса по 8 волокон

 

В7 - там можно без кросса? Туда пойдет 8-и волоконный провод и одно волокно задействовано будет.

 

На всех остальных узлах по 2 кроссов на 8 волокон.

 

Оборудование на серверную: (Обьект "В")

2 кросса по 16 волокон
Свич - D-Link DGS 3120-24SC  - 2 штук
Роутер - Mikrotik CCR1009 - 1 штук. 

 

------------------

Далее надо разобраться оборудованием для "клиентов". Какие оборудование ставить ? в основном во всех обьектах будут подключены камеры, может не сразу, но потом точно. телефона будет я 3-4 обьектах вроде.

Еще надо трансиверы подобрать, чтоб с этими оборудованиями работали.

 

 

 

Edited by Collector

Share this post


Link to post
Share on other sites

Я бы тока заместо D-Link DGS 3120-24SC воткнул бы  SNR-S2995G-24FX/SNR-S2995G-24FX-UPS, все же 10Г порты sfp+, а не sx4

Ну для POE можно D-Link DES-1100-10P/SNR-S2985G-8T-POE/SNR-S2982G-24T-POE/SNR-S2985G-24T-POE-E

Или брать обычные л2 железки и городить кучу инжекторов (что выгоднее будет зависит от числа poe хвостов)...

Edited by ShumBor

Share this post


Link to post
Share on other sites
12 minutes ago, ShumBor said:

Я бы тока заместо D-Link DGS 3120-24SC воткнул бы  SNR-S2995G-24FX/SNR-S2995G-24FX-UPS, все же 10Г порты sfp+, а не sx4

ну SNR вроде даже чуть подешевле получается.  А вот по функционалу не знаю. не с первым, не с вторым не имел дело.

 

13 minutes ago, ShumBor said:

Ну для POE можно D-Link DES-1100-10P/SNR-S2985G-8T-POE/SNR-S2982G-24T-POE/SNR-S2985G-24T-POE-E

То есть для "клиентов" ?
Очень дорого, тотже микротик CRS112-8P-4S-IN можно за 11 тыс купить.
 

 

20 minutes ago, ShumBor said:

Или брать обычные л2 железки и городить кучу инжекторов (что выгоднее будет зависит от числа poe хвостов)...

Скорее всего так и сделаем. PoE планируется 25 камер где то. по всему периметру.

Share this post


Link to post
Share on other sites

Ну мы у себя на агрегации DGS 3120-24SC на SNR-S2995G-24FX меняем. Функционала вам, имхо, будет достаточно. Разве что у SNR управление через консоль, а у Длинка консоль+web управление.

 

Для "клиентов" имелось ввиду конечное на домах/зданиях . Тут уж кому с чем удобнее работать для камер. Хоть неуправляемые POE железки, хоть ТФортисовские внешние блоки и т.п. 

 

Share this post


Link to post
Share on other sites

@ShumBor тут как-бы не поселок подключают, а локалку на производстве строят.. на кой им 10г???)))

Edited by Zxx

Share this post


Link to post
Share on other sites
3 часа назад, Collector сказал:

В7 - там можно без кросса? Туда пойдет 8-и волоконный провод и одно волокно задействовано будет.

Поставьте туда маленький пластмассовый, оптику все равно же куда-то заводить надо.

Пластиковые стоят дешево, есть на 2 порта, есть на 4. Разварите нужные волокна и все.

 

1 час назад, ShumBor сказал:

Разве что у SNR управление через консоль, а у Длинка консоль+web управление.

Вот это и основное, по которой причине SNR и не нужно использовать, т.к. через веб все более понятно управляется, чем через консоль.

 

1 час назад, Collector сказал:

Скорее всего так и сделаем. PoE планируется 25 камер где то. по всему периметру.

Поставьте в каждом здании микротик на прием с оптики, например RB760iGS (стоит 4.5тыс) у него вход оптика SFP разьем, выход 5 гигабитных портов. К нему подключите 2 самых дешевых хаба на нужное количество портов по 500-1000р. и в каждый интернет, камеры или видео (тогда хаба 3). Плюсы такого решения в том, что вылет портов от статики или в грозу потребует замены лишь дешевого свича. А микротик логически все разделит, проблем не будет.

Так же есть вариант Mikrotik hAP AC - то же, только у него и вайфай сразу есть - можно будет в здании со смартфона подключаться, но и цена уже 8 тыс.

Питание лучше развешать инжекторов, чем покупать PoE коммутаторы. Ведь инжектор может или с камерой сразу идти, или его отдельно купить.

Share this post


Link to post
Share on other sites

@Saab95  ок !

 

Quote

через веб все более понятно управляется, чем через консоль.

да, я и так плохо соображаю в этом ))) лучше конечно Web интерфейсом.

А что скажете насчет оборудования в остальных обьектах? что поставить, чтоб относительно дешевке был и можно было рулить VLAN_ами ?
PoE то ладно, можно инжекторами камеры подключить, инжекторы спрятать в шкафах, где сами свичи и будут.

Share this post


Link to post
Share on other sites

@Saab95 Кому что, я быстрее через консоль в длинк/циcку и etc. залезу, чем через напичканное тормояще-глючащими java-скриптами web странички. А некторым железкам еще и осла подавай ибо под другими они глючат безбожно...

Share this post


Link to post
Share on other sites
4 минуты назад, Collector сказал:

А что скажете насчет оборудования в остальных обьектах? что поставить, чтоб относительно дешевке был и можно было рулить VLAN_ами ?
PoE то ладно, можно инжекторами камеры подключить, инжекторы спрятать в шкафах, где сами свичи и будут.

Я же написал про микротик RB760iGS. Если в каждом помещении поставите по такому, слово "вланы" вам будет не нужно, т.к. можно будет настроить маршрутизацию через OSPF и получить L3 сеть, что намного лучше чем L2.

 

Схема будет такая:

1. CCR1009 - заводите на нем допустим 32 влана, по одному для каждого порта SFP коммутатора в центре. Вешаете IP с маской /30 на каждый.

2. На коммутаторах центра заводите вланы в соответствии со своим SFP портом.

3. В каждом здании на микротике указываете на SFP порту ответный адрес с маской /30 и включаете OSPF.

3.1 В каждом здании например на 1 порт вешаете подсеть 10.10.1.0/24 для адресации компьютеров, на 2 порт подсеть 10.11.1.0/24 для адресации телефонов и на 3 порт подсеть 10.12.1.0/24 для адресации камер. К каждому порту подключаете по дешевому коммутатору, и туда подключаете кабельную разводку до них. Если в здании нужен только интернет, то настраиваете раздачу интернета с 1-5 портов и можно подключить 5 компов. Если нужно например 3 компа и 2 телефона - то все это можно подключить к микротику напрямую. И когда уже все порты закончатся - подключить дополнительный не управляемый хаб. Управлять всем будет микротик.

 

Соответственно в здании номер 2 у вас будут сети 10.10.2.0/24 10.11.2.0/24 и 10.12.2.0/24 - все просто. Логически в каждом здании сможете подключить 254 компа, 254 телефона или 254 камеры =) При этом каждый потребитель будет заблокирован друг от друга на этом же роутере, то есть человек с компа этого здания никак не попадет на камеры или на телефонию. Если только физически кабели не пойдет и не переключит=)

Share this post


Link to post
Share on other sites

после SNR-S2995G-24FX-UPS нафик этот веб-интерфейс не нужен. Достаточно SHOW.

 

Чем глюки ловить с настройками длинка через веб то не так пропишет то не это настроит....

 

Графики, суммарную инфу - да удобно выводить. Для настроек нафик не нужен этот веб.

Share this post


Link to post
Share on other sites

@Saab95 

Спасибо вам большое. Но есть пару моментов, которые я не понял.

Разве RB760iGS не управляемый? он же вроде lavel 4, зачем к нему подключить доп хаб, если например мне надо к кему подключить 1 комп, 1 телефон и 1 камеру? Или как в основном будет - один комп и 2 камеры.  Там 5 портов, один из них даже PoE. Если не получится, тогда зачем переплатить за PoE? может еще дешевле купить, например  Mikrotik RB260GS (стоит 2800 руб.)

 

 

3 hours ago, Saab95 said:

CCR1009 - заводите на нем допустим 32 влана, по одному для каждого порта SFP коммутатора в центре. Вешаете IP с маской /30 на каждый.

Если все будет делать роутер, то может тогда 2 свичи брать попроще/подешевле? или их тоже надо будет настроить VLAN_ы все дела? кстати, а как же RSTP / MSTP ? Их тогда надо будет настроить или они по умолчанию уже работают?

 

 

3 hours ago, Saab95 said:

При этом каждый потребитель будет заблокирован друг от друга на этом же роутере, то есть человек с компа этого здания никак не попадет на камеры или на телефонию.

"Много" компов будут в обьекте "В1" (25 компов) и в В9(около 5 компов). Еще 5 компов будут раскиданы по территории.
начальник охраны сидит в В1. Он хочет со своего компа посмотреть камеры. Также, админу тоже надо будет дать доступ и к телефонию и к видеонаблюдению. Эти VLAN_ы можно будет "скрещивать", чтоб определенные компьютеры имели доступ?
 

 

3 hours ago, Saab95 said:

Если только физически кабели не пойдет и не переключит=)

А этим справится наверно "port security"

Share this post


Link to post
Share on other sites
1 час назад, Collector сказал:

Разве RB760iGS не управляемый? он же вроде lavel 4, зачем к нему подключить доп хаб, если например мне надо к кему подключить 1 комп, 1 телефон и 1 камеру? Или как в основном будет - один комп и 2 камеры.  Там 5 портов, один из них даже PoE. Если не получится, тогда зачем переплатить за PoE? может еще дешевле купить, например  Mikrotik RB260GS (стоит 2800 руб.)

RB760iGS это не коммутатор, а роутер. А RB260GS это коммутатор. Разница в том, что первый может сам своим локальным сегментом сети управлять, а второй нет. Если надо подключить 3 устройства то как раз RB760iGS подойдет. Переплатив 2000р. вы получите L3 сеть, и она в эксплуатации и надежности лучше, чем L2 по старинке. Да и настраивается все удобнее, т.к. все, что этого здания касается - на этом роутере и настраивается.

 

1 час назад, Collector сказал:

Если все будет делать роутер, то может тогда 2 свичи брать попроще/подешевле? или их тоже надо будет настроить VLAN_ы все дела? кстати, а как же RSTP / MSTP ? Их тогда надо будет настроить или они по умолчанию уже работают?

А какие подешевле - надо же что бы с SFP портами были. Это если только CRS328-4C-20S-4S+RM от микротика, ну он стоит 370 баксов и у него 20 оптических SFP портов. Если будет схема с роутерами, никакие RSTP не надо, по сути коммутатор просто локально количество портов размножит.

 

1 час назад, Collector сказал:

"Много" компов будут в обьекте "В1" (25 компов) и в В9(около 5 компов). Еще 5 компов будут раскиданы по территории.
начальник охраны сидит в В1. Он хочет со своего компа посмотреть камеры. Также, админу тоже надо будет дать доступ и к телефонию и к видеонаблюдению. Эти VLAN_ы можно будет "скрещивать", чтоб определенные компьютеры имели доступ?

Если компов много то ставьте сразу микротик CRS326-24G-2S+RM , у него 24 гигабитных сетевых порта и 2 оптических. Как раз к нему можно 25 компов подключить, засунув в один SFP порт медный SFP модуль.

Если нужно 5 компьютеров, то уже RB760iGS или там RB2011LS, если надо 10 компов. У микротика есть много решений. Так же сразу подумайте про вайфай - нужен ли он.

Share this post


Link to post
Share on other sites

начальнику охраны нафик не нужно смотреть камеры. так что не надо ничего скрещивать. сидят они в своем влане и нехай сидят. а еще лучше в своей сети на отдельном волокне. начальнику нужен доступ до второго интерфейса рега/сервера. вот так будет правильнее.

Share this post


Link to post
Share on other sites
1 час назад, Collector сказал:

А этим справится наверно "port security"

С этим ничего не справится. Т.к. если злоумышленник получит физический доступ к оборудованию, он просто воткнет кабель в свободный порт, или выдернет один кабель от камеры и воткнет в разрыв коммутатор, просканирует доступные IP и сможет делать попытки подключения, если знает пароль, или пустить туда какой-то вредоносный трафик, который прервет запись и т.п. Именно по этой причине и делают L3 сети, т.к. если у вас такая сеть, и в каждом здании несколько камер, то этот вредитель сломает только камеры этого помещения, а на другие здания повлиять не сможет.

 

Вот если сеть вся на L2, то он попав в коммутатор с камерами, сможет увидеть все камеры и центральное оборудование, и своими действиями сможет сломать уже все камеры. Самое простое это на свой ноутбук такой же IP адрес поставить, как у регистратора и всего делов. На L3 сети вредитель так сделать не сможет.

 

1 минуту назад, ALEX_SE сказал:

начальнику охраны нафик не нужно смотреть камеры. так что не надо ничего скрещивать. сидят они в своем влане и нехай сидят. а еще лучше в своей сети на отдельном волокне. начальнику нужен доступ до второго интерфейса рега/сервера. вот так будет правильнее.

Ну если сеть будет L2 то да, сложностей много. Если сеть L3, то начальник охраны сможет камеры откуда угодно смотреть, достаточно ему доступ разрешить. Или вообще из дома, если по VPN к сети подключится.

Но что бы так смотреть все же не дешевый китайский регистратор нужен, а серьезная система записи, например сервер с линией или иным ПО.

Share this post


Link to post
Share on other sites

Зачем случайным людям давать доступ до камер? Не нужны они ему. Нехай смотрит в CMS желательно из отдельной сети. 

L2 там или L4 не вижу особенной разнимцы все организовывается.

 

4 minutes ago, Saab95 said:

он просто воткнет кабель в свободный порт

И ничего не получит.

 

4 minutes ago, Saab95 said:

или выдернет один кабель от камеры и воткнет в разрыв коммутатор, просканирует доступные IP и сможет делать попытки подключения

Сработает тот же порт секурити и ip mac port binding как минимум если настроено.

Что помешает сделать аналогичную фичу на L3 подставив себя как роутер и пройти в другие сети? ничего не помешает если физический доступ к интерфейсам есть. На третьем уровне рулят по другим причинам. Мало ли - удобство, нехватка вланов, и т.п.

Share this post


Link to post
Share on other sites
36 минут назад, ALEX_SE сказал:

Сработает тот же порт секурити и ip mac port binding как минимум если настроено.

Втыкаем микротик в разрыв кабеля, смотрим какой там IP и какой МАК, ставим себе эти данные и понеслось.

 

37 минут назад, ALEX_SE сказал:

Что помешает сделать аналогичную фичу на L3 подставив себя как роутер и пройти в другие сети?

Хотя бы шифрование в настройках OSPF, его же нельзя узнать не попадя в настройки роутера. Навредить он сможет только в пределах портов этого роутера и все. Никаким образом на центр никакой вредоносный трафик не попадет.

 

38 минут назад, ALEX_SE сказал:

На третьем уровне рулят по другим причинам. Мало ли - удобство, нехватка вланов, и т.п.

Вот как раз удобство и есть основная причина. Да еще отсутствия десятков двух проблем, которые возникают на L2 сетях. И еще все дешевле обойдется, чем на L2 коммутаторах строить, если микротик использовать.

Share this post


Link to post
Share on other sites
14 hours ago, Saab95 said:

RB760iGS это не коммутатор, а роутер. А RB260GS это коммутатор.

Хорошо. понял, значит роутер.

 

14 hours ago, Saab95 said:

Это если только CRS328-4C-20S-4S+RM от микротика, ну он стоит 370 баксов и у него 20 оптических SFP портов.

Может его тогда записать? 24 тыс стоит.

 

15 hours ago, Saab95 said:

С этим ничего не справится. Т.к. если злоумышленник получит физический доступ к оборудованию, он просто воткнет кабель в свободный порт, или выдернет один кабель от камеры и воткнет в разрыв коммутатор, просканирует доступные IP и сможет делать попытки подключения, если знает пароль, или пустить туда какой-то вредоносный трафик, который прервет запись и т.п. Именно по этой причине и делают L3 сети, т.к. если у вас такая сеть, и в каждом здании несколько камер, то этот вредитель сломает только камеры этого помещения, а на другие здания повлиять не сможет.

Ну а я скажу, что тут с вами не согласен. port security это какраз для этого и сделано. У нас в коллег на работе так и сделано. если свой ноут например захотеть подключить в розетку, то порт сразу блокируется. В свиче прописаны МАК адреса, которые допущены. если в порт поставить что то НЕ из трастовых  МАК_ов, то порт просто блокируется.

НУ да ладно, это вторичные моменты.

 

@ALEX_SE 

Quote

начальнику охраны нафик не нужно смотреть камеры.

Камеры захотят смотреть и начальники, и бригадиры. Я там не руководитель и не штатный сотрудник. сами решают кому какие камеры должны видеть. Но то что минимум 2-3 сотрудники захотят доступ из компа к камерам, это точно. По этому надо к этому быть готов.
 

 

15 hours ago, Saab95 said:

Втыкаем микротик в разрыв кабеля, смотрим какой там IP и какой МАК, ставим себе эти данные и понеслось.

Это уже из разряда злобных хамеров. Там нет таких. Там максимум кто то может принести свой ноут у втыкать в свич/ в RJ45 розетку. такая "защита от дурака" в полне можно реализовать средствами port security. 

 

------------

 

И есть вопрос еще от монтажников:

То есть на порты развариваем все (8 и 8), а потом вы скоммутируете патч-кордами?
Или все-таки на 1 порт развариваем одно волокно, а остальные варим напрямую внутри кросса?

как лучше/правильнее делать ?

 

Share this post


Link to post
Share on other sites
6 минут назад, Collector сказал:

как лучше/правильнее делать ?

Правильнее так: нарисовать схему кроссировки:

- учесть, что два кабеля также можно вводить в кросс;

- можно волокна пускать транзитом, разваривая только часть (но это уже думать и организовывать надо и смотреть стоимость:));

- не рекомендуется всего одно волокно подводить к оборудованию (не на что переткнуть будет, если что случится ).

Все, пофлудил и ухожу:) 

Share this post


Link to post
Share on other sites
22 minutes ago, frol13 said:

Все, пофлудил и ухожу:) 

Вот не флудили, и не надо было начать )))

Share this post


Link to post
Share on other sites
42 минуты назад, Collector сказал:

как лучше/правильнее делать ?

правильней "развариваем все (8 и 8)", хоть и не дешевле, но гибче.

Share this post


Link to post
Share on other sites
3 минуты назад, Collector сказал:

Вот не флудили, и не надо было начать )))

Давайте, давайте... На пальцах все монтажникам объясните. Потом на пальцах и работу принимать будете :) Каждый ССЗБ. :) 

Share this post


Link to post
Share on other sites
3 minutes ago, Andrei said:

правильней "развариваем все (8 и 8)", хоть и не дешевле, но гибче.

Боюсь только на этих сварках минимум 300 тыс пойдет )) а такой гибкость нужна там вообще? ведь в каждом обьекте одно волокно. остальные идут в другие обьекты. зачем все 8 вывести в пигтейлы?

 

2 minutes ago, frol13 said:

На пальцах все монтажникам объясните. Потом на пальцах и работу принимать будете

Умеем, магем

 

572ce66d6c32160f23748cba.png

Share this post


Link to post
Share on other sites

Корректировка:

 

Quote

Свич - D-Link DGS 3120-24SC  - 2 штук
Роутер - Mikrotik CCR1009 - 1 штук. 

 

Серверная:

Свич - MikroTik CRS328-4C-20S-4S+RM  (2 штук)
Роутер - MikroTik CCR1009-7G-1C-1S+ (1 штук)

 

 

В остальных помещениях - MikroTik hEX S RB760iGS

Там , где много компов планируется, ставим - Mikrotik CRS326-24G-2S+RM

 

Все верно?

 

 

 

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now