Jump to content
Калькуляторы

Построение сети, затык в оборудовании ... нужна помощь

Всем привет!
Делаю топологию сети офиса и хотел бы получить рекомендации, советы по оборудованию, да и построению самой сети в целом. Решаемые задачи по схеме, надеюсь, будут понятны.
Ремарка по поводу задачи Wi-Fi доступа в офисе:
Необходимо сделать бесшовный роуминг по всем этажам. На каждом этаже предполагаю 2 точки доступа, причем каждая должна вещать 2 SSID - гостевой (VLAN 9) и офисный (VLAN 5). Управление всех точек видимо через L3 или в случае необходимости L2, от которого бросаем транки на каждый этаж к роутерам D-Link, а на них определяем VLANы нужных сетей и подключаем к точкам доступа... У самого уже каша в голове, потому прошу помощи, подсказки с выбором оборудования... да и построения этой сети в целом.

Какой маршрутизатор или роутер лучше использовать что бы справился с предполагаемой нагрузкой? Сразу приходит на ум оборудование CISCO но дорогое оно... хотелось бы уложиться до 150 тыс. Очень нужна помощь... заранее спасибо.

Net-Topology_v.00.jpg

Share this post


Link to post
Share on other sites

Микротыква

Share this post


Link to post
Share on other sites

@nic_123  Количество сообщений для новичка ограничено. 

 

Если бюджет позволит то:

https://ru.wikipedia.org/wiki/IEEE_802.11r-2008 

 

Если бюджет не позволяет то  псевдо роуйминг. 

 

Это, это когда на точке доступ устанавливаешь порог по уровню сигнала, когда уровень сигнала становится плохим то точка кикает клиента и клиент начинает искать новую сеть, и находит новую точку с более лучшим сигналом. Если в этот момент разговаривать например в вайбере то будет разрыв. 

 

Связанность между клиентами нужна L2 или L3?

 

Сколько трафика? 

Железо новое или б\у

 

 

В 150к я бы взял juniper srx 320 + коммутатор, как и оборудование cisco нужно понимать cli 

 

Share this post


Link to post
Share on other sites

@nic_123 дипломная работа? Берите микротик CCR1009

Share this post


Link to post
Share on other sites

@pingz 

Нет.. боевые условия. Присматриваюсь к CCR-1036-12G-4S-EM в качестве L3 .. видимо еще L2 нужен сверху, а какой?

Share this post


Link to post
Share on other sites

@nic_123 Хорошая железка, сам использую, но для других задач.

 

1. Почитайте как настраивает балансировка при двух каналах от разных операторов.

https://forum.nag.ru/index.php?/topic/154373-balansirovka-na-ccr/

2. Почитайте как деградирует канал от количества фильтров.

3. Почитайте как работает nat.

 

Вы не озвучили сколько трафика.  

 

З.Ы. схема от сабба на каждый канал от оператора микротик(nat и фильр) потом OSPF  микротик с балансировкой + микротик, что бы разрулить в нутри сети фитра. 

З.З.Ы. :)

https://shop.nag.ru/catalog/00002.marshrutizatory/33636.dlya-provajderov-uslug-svyazi/34681.se100-br8-6-121-used

https://shop.nag.ru/catalog/02092.cisco/07123.asr1000/11123.asr1001

https://shop.nag.ru/catalog/02092.cisco/08901.mezhsetevye-ekrany-asa/23650.asa5515-k9

 

Share this post


Link to post
Share on other sites

@nic_123 с маршрутизацией в корпоративных сетях хорошо справляются недорогие FortiGate, на них помимо базового роутинга, NAT и Firewall также есть функционал IPSec/SSL-VPN сервера и расширенной защиты (IPS, антивирус, веб-фильтрация).

Если использовать точки доступа Fortinet, то он же может выступать в роли контроллера для удобства управления и организации бесшовного роуминга.

Конкретную модель следует выбирать, опираясь на вводные по нагрузке (как минимум объем трафика и количество VPN-сессий). В принципе с задачами небольшого офиса справится FG-40F стоимостью около 50к рублей.

 

Для снижения нагрузки на маршрутизатор, конечно, следует добавить L3-коммутатор, который будет агрегировать линки с доступа и, например, гонять трафик до файлового сервера, а на маршрутизатор отдавать только трафик в интернет.

SNR-S2995G-24FX или SNR-S2995G-24TX

Share this post


Link to post
Share on other sites
43 минуты назад, pingz сказал:

В 150к я бы взял juniper srx 320

за 50к srx300, с этой же производительностью. смысл в 320 только в mini-pim слоте, который очень редко нужен

PS: ну или б/у srx1400 могу продать за 30к, в набивке.

 

Share this post


Link to post
Share on other sites
1 час назад, nic_123 сказал:

Нет.. боевые условия. Присматриваюсь к CCR-1036-12G-4S-EM в качестве L3 .. видимо еще L2 нужен сверху, а какой?

Зачем вам маршрутизатор с расширенной памятью? Вы собрались пускать через него в сеть 5000 абонентов с буферизацией трафика для каждого без потерь?

 

Вы не написали какие объемы трафика и какие интерфейсы у провайдера.

 

Надо взять 2 устройства CCR1009-7G-1C-1S+, их поставите на прием каналов от провайдера, на них же настроите доступ VPN для удаленных клиентов. Сделаете копию их учеток и удаленщики смогут подключаться к любому из них.

 

В центр ставите или CCR2004-1G-12S+2XS, подключив через 10Г порты к первым микротикам, либо CCR1036-8G-2S+, подключив так же через 10Г порты к первым, либо CCR1016-12S-1S+, подключив по оптике 1Г к первым.

 

Далее выкидываете из схемы все длинки и ставите туда коммутаторы от микротика. Не ясно сколько у вас будет коммутаторов, но если менее 10 - то подключите оптикой к CCR1016. Если вам нужны большие скорости, то докупаете в центр 10Г коммутатор, например CRS317-1G-16S+ , а в него включаете остальные. Так у вас будет быстрая локалка.

 

На коммутаторах вланами разделяете порты на интернет, телефонию, видеокамеры и вайфай. Сам вайфай делаете на микротиках с капсман по L3. Если в центре надо подключать некие сервера, то подключаете их через коммутатор к центральному микротику, или напрямую в него, если серверов не много.

 

По сути у вас будет схема, когда первые 2 микротика предоставляют доступ в интернет, делают НАТ, центральный управляет каких клиентов через какой канал пустить, или распределяет трафик, или выбирает резерв, как настроите.

 

Ясно дело что вся эта сеть будет стоить дороже чем 150к.

 

51 минуту назад, Victor Tkachenko сказал:

Для снижения нагрузки на маршрутизатор, конечно, следует добавить L3-коммутатор, который будет агрегировать линки с доступа и, например, гонять трафик до файлового сервера, а на маршрутизатор отдавать только трафик в интернет.

Смысл тогда использовать рекомендуемые вами маршрутизаторы, если их производительность настолько мала, что еще L3 коммутатор нужен, что бы нагрузку с них снимать? Тот же микротик играючи все сделает без всяких там L3 коммутаторов.

 

И это, у микротика коммутаторы так же могут быть роутерами и в зависимости от требований, пропускают порядка гига трафика в роутинге, если больше не надо, можно всю сеть на L3 настроить.

Share this post


Link to post
Share on other sites
53 minutes ago, Saab95 said:

Смысл тогда использовать рекомендуемые вами маршрутизаторы, если их производительность настолько мала, что еще L3 коммутатор нужен, что бы нагрузку с них снимать?

 

53 minutes ago, Saab95 said:

у микротика коммутаторы так же могут быть роутерами и в зависимости от требований, пропускают порядка гига трафика в роутинге

"Рекомендуемые вами маршрутизаторы" "пропускают порядка гига трафика в роутинге".

Share this post


Link to post
Share on other sites
1 час назад, Saab95 сказал:

Смысл тогда использовать рекомендуемые вами маршрутизаторы, если их производительность настолько мала, что еще L3 коммутатор нужен, что бы нагрузку с них снимать? Тот же микротик играючи все сделает без всяких там L3 коммутаторов.

1) Ваш вопрос построен на ложном утверждении, я нигде не говорил, что производительности рекомендуемого маршрутизатора не хватит;

2) Смысл в том, что внутресетевой трафик можно разрулить и без участия маршрутизатора, снизив тем самым его стоимость и оставив запас на расширение по производительности/функционалу;

3) Смысл в применении специализированных решений, которые могут качественно решить поставленные задачи без необходимости лезть под капот;

4) Смысл в конце концов в возможности получить профессиональную поддержку, хотя тут она вероятно не потребуется, все легко настраивается, разве что cookbook почитать стоит.

 

1 час назад, Saab95 сказал:

И это, у микротика коммутаторы так же могут быть роутерами и в зависимости от требований, пропускают порядка гига трафика в роутинге, если больше не надо, можно всю сеть на L3 настроить.

Пожалейте человека - не советуйте плохого, такие решения принимают от безысходности, а не потому что работает. 2-ядерный ARM не может качественно обработать достаточный объем трафика с большим набором правил, я уже не говорю про IPSec.

Share this post


Link to post
Share on other sites
1 минуту назад, Victor Tkachenko сказал:

я уже не говорю про IPSec.

У микрота вроде есть что-то с аппаратным шифрованием

Share this post


Link to post
Share on other sites
Только что, VolanD666 сказал:

У микрота вроде есть что-то с аппаратным шифрованием

Да, но это явно не коммутатор.

Share this post


Link to post
Share on other sites
1 минуту назад, Victor Tkachenko сказал:

Да, но это явно не коммутатор.

Ну значит берем нормальный коммутатор, а терминируем на микроте. В любом случае коммутатор нужен нормальный.

Share this post


Link to post
Share on other sites
15 минут назад, Victor Tkachenko сказал:

Пожалейте человека - не советуйте плохого, такие решения принимают от безысходности, а не потому что работает. 2-ядерный ARM не может качественно обработать достаточный объем трафика с большим набором правил, я уже не говорю про IPSec.

А про чем тут IPSec и какие могут быть небольшие наборы правил на коммутаторе? Смотрите на первую картинку, там у человека компьютеры, ноутбуки, вайфай точки и видеокамеры. Телефоны еще.

Вайфай точки и ноутбуки это видимо одно целое, т.к. они подключаются к сети через вайфай. А видеокамеры, ну пусть даже по крутому 10М с каждой возьмем, а они данные большими пакетами передают. То есть по сути даже 10 камер создадут поток 100М, 10 компов ну пусть 200М, вайфайщики еще 100М и телефоны 5М. Менее 500М трафика, и указанный мной коммутатор передает почти 600М мелкими пакетами в роутинге 64байт. А на больших производительность еще выше.

 

И какие там нужны правила не ясно, если разбить порты и сразу повесить IP адреса, то и правила могут быть вида что камеры не могут зайти на компы, а компы на телефоны, ну еще одно правило добавить и 1 адрес лист. Нагрузки оно никакой не создаст.

 

23 минуты назад, Victor Tkachenko сказал:

2) Смысл в том, что внутресетевой трафик можно разрулить и без участия маршрутизатора, снизив тем самым его стоимость и оставив запас на расширение по производительности/функционалу;

А какой там может быть внутрисетевой трафик? Флуд? Если есть сервер то доступ до него кому надо, если вайфай сеть то ясно дело с нее все должно сходиться на маршрутизатор, и уже от него доступ в сеть, а не сливаться сразу где-то в коммутатор без должного контроля, компы тоже между собой должны общаться подконтрольно, что бы те же вирусы и всякую фигню прикрыть. По сути, если говорить про классическую схему, это надо на каждом порту коммутатора порт связать с уникальным вланом, эти же вланы создать на маршрутизаторе, и уже на нем что надо сбриджевать, а что не надо дропать. Тогда и не возникнет непонятных проблем работает или не работает.

 

25 минут назад, Victor Tkachenko сказал:

3) Смысл в применении специализированных решений, которые могут качественно решить поставленные задачи без необходимости лезть под капот;

Микротик разве не такое решение? Или микротик хуже чем какая-то мелкая фирмочка, сделавшая веб интерфейс над линуксом и запихнув в свои коробочки?

 

26 минут назад, Victor Tkachenko сказал:

4) Смысл в конце концов в возможности получить профессиональную поддержку, хотя тут она вероятно не потребуется, все легко настраивается, разве что cookbook почитать стоит.

У микротика тоже есть поддержка. И если вы почитаете темы на форуме, то все проблемы с ним лишь от того, что пытаются собрать схему методами циски или длинка на микротике, а не используя правильную схему решения этой задачи на микротике, только и всего.

 

Мы, например, с момента появления у микротика коммутаторов, только на них все и собираем. И в разных там зданиях, бизнес центрах, просто фирмах, заводах и предприятиях, везде ставим эти коммутаторы, сводим все на L3 и получаем полный контроль над всей сетью без темных мест. И если где-то что-то не работает, уже ясно почему, и не надо думать на всякий там флуд и т.п.

Share this post


Link to post
Share on other sites

Спасибо всем за участие, советы. Действительно, упустил по поводу трафика... ВПН клиентов более 10 -15 не будет, как правило с офисными документами и немного картинок, видео. Внутренний трафик более плотный:

VLAN1, 5 - в основном бросается офисными файлами, ну и иногда кто то смотрит ютюб

VLAN2, 4 - фото, видео контент... причем фото не маленькие до 100 мб прим., а видео и того больше (

VLAN6 - телефоны.. не много

VLAN7 - видеокамеры - 28 шт. при не большом сжатии H.264 и постоянно смотреть ~ 60мбит/c... вроде так %)

VLAN9 - гостевой ВайФай - с ними проще.. выдать им канал 5-10мбит и пусть радуются.

Да, слабое место коммутатор.. теперь осознаю ) Вот только какой? Кстати при таком трафике стоит ли бросать транки по SFP?

 

45 минут назад, VolanD666 сказал:

Ну значит берем нормальный коммутатор, а терминируем на микроте

Что значит "терминируем"?

Извиняюсь за возможно глупые вопросы, но я не силен в сетях, а решать эти вопросы приходится .

Share this post


Link to post
Share on other sites
8 минут назад, nic_123 сказал:

Что значит "терминируем"?

Извиняюсь за возможно глупые вопросы, но я не силен в сетях, а решать эти вопросы приходится .

Это значит что на роутере у вас будет ваши вланы терминироваться в L3 интерфейсы с ИПшниками и т.д.

Share this post


Link to post
Share on other sites
2 часа назад, Saab95 сказал:

А про чем тут IPSec и какие могут быть небольшие наборы правил на коммутаторе? Смотрите на первую картинку, там у человека компьютеры, ноутбуки, вайфай точки и видеокамеры.

Также на картинке есть VPN-клиенты, сервер для которых вполне можно организовать на том же устройстве штатными средствами, желательно с шифрованием (да-да, MikroTik это тоже умеет).

 

2 часа назад, Saab95 сказал:

А какой там может быть внутрисетевой трафик? Флуд?

Например, трафик от камер к регистраторам и от авторизованных устройств к файловому серверу.

Отмечу, что с авторизацией прекрасно справляется 802.1x и пользователи могут мирно существовать в одном VLAN, а для изоляции трафика между ними есть другие стандартные механизмы, не требующие создавать множество разных VLAN. То, что вы предлагаете, делают только в операторских сетях и причины там далеко не только в изоляции трафика.

 

2 часа назад, Saab95 сказал:

Микротик разве не такое решение? Или микротик хуже чем какая-то мелкая фирмочка, сделавшая веб интерфейс над линуксом и запихнув в свои коробочки?

Нет, MikroTik, безусловно, хорош, но призван решать сразу множество задач, иногда довольно топорными методами. При наличие грамотного инженера работать, конечно, будет.

О "мелких фирмочках" речи не шло, Fortinet - это компания с миллиардной капитализацией, которая специализируется как раз на таких корпоративных решениях, при чем предоставляет и довольно дешевые варианты.

 

 

2 часа назад, Saab95 сказал:

У микротика тоже есть поддержка. И если вы почитаете темы на форуме, то все проблемы с ним лишь от того, что пытаются собрать схему методами циски или длинка на микротике, а не используя правильную схему решения этой задачи на микротике, только и всего.

Зря затронул этот вопрос, посыл был в другом - наличии коммерческой поддержки с явным SLA, тут такое в общем-то не требуется. Опять же я не говорил, что в данном контексте есть нерашемые проблемы в ПО MikroTik, тут они исключительно в необходимости тюнить систему под задачу, в то время как есть специализированные устройства в ту же цену, где в еще более простой манере настраиваются политики маршрутизации и безопасности.

 

 

 

 

1 час назад, nic_123 сказал:

Кстати при таком трафике стоит ли бросать транки по SFP?

Трафик в данном вопросе роли не играет, важно понимать какую физику вам проще эксплуатировать в данных условиях (оптика или медь). Из плюсов оптики можно отметить дешевизну самого волокна, малые размеры, неприхотливость к длине и наводкам, но минусы в вашем случае могут быть существеннее - требуется специальное оборудование и навыки для сварки при монтаже или восстановлении линии.

Share this post


Link to post
Share on other sites
2 часа назад, Victor Tkachenko сказал:

Трафик в данном вопросе роли не играет, важно понимать...

Хм.. я всегда думал , что более высокая скорость в транке играет положительную роль т.к. передает больше , быстрее в коммутатор и далее ну  и отдает также т.е . как бы играет роль агрегированных каналов %) ? Поясните пожалуйста.

Share this post


Link to post
Share on other sites

Что вы понимаете под транком? Если использовать наиболее распространенную терминологию, например как у Cisco, то trunk - это передача дополнительных данных внутри кадра ethernet, таких как tpid, vlan id и приоритета(CoS).

Если использовать менее распространенную терминологию, то это агрегация каналов. 

Какое бы из понятий вы не подразумевали, с типом физики(медь или оптика) и с типом разъемов оно никак не связано.

 

То, что вы назвали транками, скорее всего правильнее назвать магистральными каналами. Не совсем верно, но близко. Это линки между вашими коммутаторами.  Если внутри здания и длины соединений не превышают ~90 метров, то смело прокладывайте медь.

Edited by rz3dwy

Share this post


Link to post
Share on other sites
6 часов назад, Saab95 сказал:

все проблемы с ним лишь от того, что пытаются собрать схему методами циски или длинка на микротике, а не используя правильную схему решения этой задачи на микротике, только и всего.

Вот это сейчас и хочу понять - как собрать сетку на Микротике правильно, какое , где оборудование использовать? Ранее изучал немного Циску, и сложилась несколько иная картина построения - на провайдера отправляю L3 маршрутизатор (ASL, NAT, VPN etс), а между ним и сеткой ставлю L2 коммутатор на котором поднимаю ВЛАНы и отдаю их в сеть далее... ну примерно как то так , возможно в силу малого опыта и практики мои представления не верны, а потому и хочется понять - как сделать правильно? В том числе и на другом оборудовании т.к. мне к рук. с парой вариантов бежать нужно )

 

rz3dwy

Что вы понимаете под транком?

 

Иначе говоря - тегированный канал.. да, с помощью него из одного роутера в другой передается информация в т.ч. принадлежащая разным ВЛАНам (по ВЛАН айди)... скорость одного ВЛАНа ограничена скоростью порта , соответственно скорость транка (тегированного канала) также ограничивается портом , но на транк может поступить информация от 3, 5, 10-ти ВЛАНов, вот и получается "бутылочное горлышко" и , естественно, если есть подозрения  что трафик ВЛАНов забьет транк - лучше его расширить, как вариант - агрегация каналов, когда два порта работают в одном направлении т.е. из скорости 1Гб на одном получаем 2Гб на двух , но они работают как один канал. Я всегда думал так.. поправьте плиз если не прав %)

 

 

Edited by nic_123
Доп. ответил )

Share this post


Link to post
Share on other sites

CRS326 на 24 порта с 2x10G аплинками можно найти за 13500р.

К нему CRS317 для агрегации портов, а дальше уже можем сделать бондинг 2x10G в ядро, которым может быть CCR1036-8G-2S+EM, и тут остается приличный запас по выносливости.

Share this post


Link to post
Share on other sites
10 часов назад, nic_123 сказал:

Хм.. я всегда думал , что более высокая скорость в транке играет положительную роль т.к. передает больше , быстрее в коммутатор и далее ну  и отдает также т.е . как бы играет роль агрегированных каналов %) ? Поясните пожалуйста.

Мы же говорим про гигабитные линии, верно? Не важно будет ли у вас медный или оптический линк, скорость та же - 1Gbps.

Share this post


Link to post
Share on other sites
2 часа назад, Victor Tkachenko сказал:

Мы же говорим про гигабитные линии, верно? Не важно будет ли у вас медный или оптический линк, скорость та же - 1Gbps.

Надо делать не гигабитные линки, а 10Г между коммутаторами и 1Г до всех пользователей.

 

12 часов назад, nic_123 сказал:

Вот это сейчас и хочу понять - как собрать сетку на Микротике правильно, какое , где оборудование использовать?

CRS326-24G-2S+RM - коммутатор с 24 портами 1Г и двумя портами 10Г для связи с центром.

CRS328-24P-4S+RM - коммутатор с 24 портами 1Г с подачей питания 48 вольт и 4 портами 10Г для связи с центром.

CRS317-1G-16S+RM - коммутатор с 16 портами 10Г - его в центр для связи со всеми коммутаторами.

 

У двух первых коммутаторов порты поделены на группы 1-8, 9-16 и 17-24. Вам надо придерживаться одного не сложного правила - все порты одной группы должны работать на одинаковой скорости. То есть если у вас в пределах одного коммутатора подключаются компьютеры, телефоны и камеры, то компьютеры должны все работать на гигабите и подключаться в 1-8, и, если не хватает портов, в 9-16, а телефоны и камеры, которые работают на скорости 100М, подключаться в 17-24. Или наоборот, если компьютеров 8, то 9-16 и 17-24 под камеры и телефоны.

 

У микротика есть еще коммутаторы на 48 портов, но нет смысла их использовать, т.к. они стоят в 2 раза дороже устройств на 24 порта. Производительность их хуже, в случае отказа отвалится много портов и т.п.

 

Если взять вашу картинку, то:

 

1. Вверху 53 порта для компов - ставите 3 коммутатора 326 и 1 коммутатор 328 для телефонии.

2. Чуть ниже 8 портов для точек и 6 камер - ставите 328.

3. Ниже 36 портов для компов и 3 для телефонов, ставите 1 коммутатор 326 и 1 коммутатор 328.

4. Чуть ниже так же 8 портов для точек и 6 камер - ставите 328.

5. Ниже 53 порта, ставите 2 коммутатора 326 и 1 328 для телефонов.

6. В самом низу 18 портов для вайфая и камер - один коммутатор 328

 

То есть на абонентскую раздачу нужно 3+1+2=6 коммутаторов 326 и 1+1+1+1+1+1=6 коммутаторов 328.

 

В центре ставите коммутатор CRS317-1G-16S+RM и своидте по оптике на 10Г 12 портов от коммутаторов разводки.

Для подключения серверов используете такой же коммутатор 326, что и на разводке. Лишние порты пойдут в запас.

 

Про центральный роутер пока не ясно - нужно уточнить каким образом будут подключаться провайдеры и какая у них скорость. В любом случае в центре тогда целесообразно поставить CCR1036-8G-2S+, а на прием каналов или RB4011, если они на скорости менее 300мбит каждый, если больше то уже CCR1009-7G-1C-1S+.

 

На всех коммутаторах настраиваете упаковку в свой влан, компы например во влан 2, телефонию во влан 3, камеры во влан 4. Управление коммутаторами напрямую без влана управления, а то подумаете еще в сторону этой дичи.

На центральном коммутаторе можете сбриджевать влан 2 между всеми коммутаторами, что бы они передавали файлы напрямую, влан 3 отправите на сервер телефонии, а влан 4 на сервер видеозаписи.

Коммутатор с серверами подключите или напрямую к компам, или через центральный маршрутизатор, это если надо там доступ ограничивать и т.п.

 

И будет у вас надежная и современная скоростная сеть, которой хватит на 10 лет с запасом.

Если же вы будете строить линки на скорости 1Г, то это будет плохая и медленная сеть.

 

 

16 часов назад, Victor Tkachenko сказал:

Зря затронул этот вопрос, посыл был в другом - наличии коммерческой поддержки с явным SLA, тут такое в общем-то не требуется. Опять же я не говорил, что в данном контексте есть нерашемые проблемы в ПО MikroTik, тут они исключительно в необходимости тюнить систему под задачу, в то время как есть специализированные устройства в ту же цену, где в еще более простой манере настраиваются политики маршрутизации и безопасности.

Вы говорите немного не то, коммерческая поддержка с явным SLA это именно поддержка, а не сделать сеть удаленно. То есть должен быть системный администратор с определенным набором знаний. Но вторая сторона вопроса - за все надо платить, и за эту поддержку будет заплачена такая высокая стоимость, что оборудование золотым выйдет.

 

И в данном вопросе она не нужна, т.к. настроить микротики один раз не так сложно, вланы там и порты на коммутаторах настраиваются через винбокс средствами бриджа, там понять всю схему 10 минут и дальше все по маслу идет.

 

16 часов назад, Victor Tkachenko сказал:

О "мелких фирмочках" речи не шло, Fortinet - это компания с миллиардной капитализацией, которая специализируется как раз на таких корпоративных решениях, при чем предоставляет и довольно дешевые варианты.

Ранее уже была циска с линксис, только дешевые варианты у нее это был всегда откровенный лютый китай в красивой упаковке. Нормально они не работали. И если посмотрите на приведенные мной решения на микротике, то оно достаточно бюджетное и даже дешевле представленных ранее длинков.

 

16 часов назад, Victor Tkachenko сказал:

Например, трафик от камер к регистраторам и от авторизованных устройств к файловому серверу.

Отмечу, что с авторизацией прекрасно справляется 802.1x и пользователи могут мирно существовать в одном VLAN, а для изоляции трафика между ними есть другие стандартные механизмы, не требующие создавать множество разных VLAN. То, что вы предлагаете, делают только в операторских сетях и причины там далеко не только в изоляции трафика.

Создать 3 влана это сложно? В случае использования простой схемы.

Да и если создавать по влану для всех - это тоже не сложно, и лучше реализовать такую схему, чем надеяться на программные плюшки, вида опции 82, которые иногда работают не адекватно.

 

16 часов назад, Victor Tkachenko сказал:

Также на картинке есть VPN-клиенты, сервер для которых вполне можно организовать на том же устройстве штатными средствами, желательно с шифрованием (да-да, MikroTik это тоже умеет).

VPN клиенты должны куда-то подключаться. А для этого нужен белый адрес на устройстве. А наличие белого адреса это не безопасно. Именно по этой причине VPN делают на отдельных устройствах, к которым применяют более строгие ограничения на доступ. Если то же самое делать на основном роутере, то его надо обвешать запрещающими правилами и сильно уменьшить его производительность, что не очень то и хорошо.

Обычно идут от малого, если извне подключаются 10-20 человек, то зачем создавать сложности остальным 2000, которые работают изнутри сети?

Share this post


Link to post
Share on other sites
44 minutes ago, Saab95 said:

И если посмотрите на приведенные мной решения на микротике, то оно достаточно бюджетное и даже дешевле представленных ранее длинков.

Длинк, в качестве основного фаерволла, к слову здесь никто не предлагал. А вот Фортинет и Джунипер выходят дешевле некротика, а по функционалу богаче и надёжней.

 

45 minutes ago, Saab95 said:

А для этого нужен белый адрес на устройстве. А наличие белого адреса это не безопасно.

Я правильно понимаю, что это выражение можно рассматривать как, что микротик априори является небезопасным оборудованием?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now