Какое выбрать оборудование для построения локальной сети?

Question

[fscomm]

Привет.

Встал вопрос в выборе оборудования для построения локальной сети. Сначала я написал много букаф, потом стёр и теперь короче:

Два офисных здания в разных частях города, в каждом из них нужно до 48 портов подключения юзеров.
Нужно всех выпустить в инет плюс связать между собой роутингом. Между оконечными точками шифрованный канал.
Разделить всех по подсетям (вланами), с возможностью ограничения доступа между подсетями.
Трафик - максимум до 30 Мбит/сек (в интернет) на каждой стороне (это максимум, сейчас меньше). Внутренний трафик между клиентами - до 100 Мбит (хотя не откажусь от некоторого кол-ва 1g-портов для серверов).

Теперь как я вижу решение этой задачи:
Нужно на уровень access с каждой стороны поставить один 48 портовый или два 24 портовых управляемых свитча, включить в них клиентов. Разделить их по вланам (access порты). Дальше надо поставить по роутеру (микротик?) и в роутер уже пойдёт транк от свитча, где уже роутер всех отмаршрутизирует в интернет и если надо, ограничит доступ между подсетями.

Потом можно будет подумать над такими вкусными вещами как qos, статистика по трафику и т.д.

В правильном ли направлении я думаю? Какое оборудование посоветуете на роутинг и на свитчинг?

Comments

[fscomm]

В данном вопросе я не опытный спец, можно сказать только начинаю строительство сетей. Предпочитаю 100 раз взвесить и потом один раз сделать, но хочется чтобы всё было по уму.

[lexalex]

Вам стоит указать в какой бюджет нужно уложиться

Answer 1

[Клёвый Админ]

Всё правильно думаете. На роутинг подходящий по количеству портов и цене RoutersBoard. Можно попробовать поставить CRS (но на 48 портов пока моделей нет). Трафика мало, шифрование 30 мегабит поддержат все более менее старшие модели начиная хоть с того же RB2011.

На access я (у меня овер 240 портов) поставил SNR 2990, очень дельная железка за свои деньги. У меня на них вся сеть построенна. Выглядит это так:


У меня сеть побольше, потому есть два уровня (на access вот эти вот l2+, а на ядро уже старшая модель SNR S3750G L3 - на картинке к ней идёт оптика).
Вам с таким можно не заморачиваться. Ограничится просто 2990 и RB.

UPD. Про микротик. Самосборные конфигурации, в основном, используются для реализации хитрых конфигураций, например точки доступа с шестью антенами, или точки с 10 портами и тремя картами.
Для вашей сети лучше брать готовое и в корпусе, тот же 2011 что вы выбрали - более чем.
Циски можно, если что, взять БУ, но всё равно там не получится за те же деньги собрать, что на SNR, например.

Comments

[lexalex]

Евгений, позвольте полюбопытствовать с чем связан ваш выбор подключения свичей уровня доступа к ядру по оптике, стоят же рядом?

[Клёвый Админ]

lexalex: порты. Если подключать медью - я займу дополнительные порты и тогда у меня не будет коммутации вида: один порт патч панели = один порт аццесс свича. Ну и не вижу причин использовать не оптику, если оборудование это позволяет.

[lexalex]

Евгений Быченко: если можно использовать медь и нет явной необходимости терменировать много оптических линков, то имело бы смысл покупать свич с ethernet портами, т.к. значительно дешевле

[lexalex]

Евгений Быченко: хотя конечно в будущем sfp порты универсальней, если архитектура сети может сильно меняться

[lexalex]

Евгений Быченко: только сейчас понял о чём вы говорите, внимательно разглядев свич. Я думал, что у него комбо порты, а оказывается 2 езернет порта консольные, как я понимаю

[Клёвый Админ]

lexalex: именно! =) У него нет особо вариантов, а моделей на 50 гигабитных портов не нашлось.

Answer 2

[Сергей]

А у меня все на Cisco построено.
VPN между двумя Cisco ASA, с одной стороны ASA 5510 и ответка с другой ASA 5505. Внутрненние свичи Cisco Catalist, например C2960 итп.
В общем если хотите спокойной жизни берите Cisco.
Ну а если с деньгами напряги, то без разницы что вы поставите внутри.
Можно например на базе FreeBSD+OpenVPN с обоих сторон, выстроить сеть. Когда-то и такое у меня было

Answer 3

[Алексей Черемисин]

Берите коммутаторы DLink DES/DGS 1210-28/ME(52) или 1510-28(52). Можно даже D-link DES/DGS-1100-24, но он не очень мультикаст тянет, а в остальном очень стабилены. Длинки поставляем всем заказчикам под проекты, да и у самих стоят, только на них и работаем. Умеют и VLAN и мультикаст и ACL-ы и даже 802.1x + DHCP-snooping.
И да, мы занимаемся IPTV, поэтому знаю, о чем говорю.

Что касается роутера, то я уже давно делаю так.
Беру обыкновенный комп с двумя сетевыми картами с Core i3/i5 и 8-16Гб памяти, 2-4 HDD. За все про все 20-30к рублей.
Ставлю на него ubuntu:
- KVM
- SAMBA
- FireHol (фаервол)
- OpenVPN
- делаю диски в RAID 10
На фаерволе прописываю маскарадинг, настраиваю файлопомойку на Samba.
На KVM разворачиваю несколько виртуалок, одна с IP-телефонией (FreePBX), вторая с Windows Server 2008 (можно и самбой обойтись), третья для WEB/RedMine/Trac (ubuntu).
Дополнительно на последнюю виртуалку ставлю inflyxdb + grafana, на основной хост collectd. Получаю статистику и красивые графики.

В результате получаю:
- мощный роутер
- файлопомойку
- домен виндовс
- телефонию
- организацию VPN с шифрованием и удаленным доступом
- web-сервер с инструментами для коллективной работы (записки, заметки тикеты)
И самим и заказчикам такое делаем практически на потоке!

Answer 4

[DastiX]

Поддерживаю D-link'и. Тоже все на них. На L2 DGS-1500-52 (сейчас уже более новая 1510), ядро на DGS-3620-28SC и роутинг на Mikrotik CCR1016-12G с VPN между филиалами.
Не могу сказать, что сильно бюджетно, но в любом случае дешевле чем циско и иже с ними.
Микротик хорош, как Т34. Надежный мощный, но надо уметь его курить. Я, честно говоря, хочу добавить к нему Kerio для кошерного контроля интернета.
В Вашем случае, когда так мало клиентов, то просто один DGS-1500-52 + RouterBoard в каждый офис и все будет ок.

Answer 5

[fscomm]

Супер, спасибо. Блин дороговатая железка конечно, 2990.

Вот по RB ещё такой вопрос. Зашёл на их сайт - там много предложений - есть готовые решения - integrated ehternet routers - RB 750, 750up, 2011iL, а есть отдельно платы -RouterBoard RB 450, 411GL, это я так понял для самосборки? Так на что здесь ориентироваться, подойдёт просто купить что-то готовое?

Пока задумываюсь о routerboard.com/RB2011UiAS-2HnD-IN

UPD: Да не, циска это точно не для нас. Деньги тут у нас любят счёт :). Что касается фряхи и опенвпна - сейчас как раз пытаемся уйти от чего-то подобного. То есть, сейчас сеть построена, грубо говоря, на уровне - "всех в один коммутатор" и в инет через линукс с iptables. Никакого управления и гибкости. Но при этом как таковых простоев, можно сказать, и сейчас не случается .

Comments

[Клёвый Админ]

Берите любой l2 access c поддержкой VLAN (хотя из задачи не ясно зачем они вам, провайдеринг?) какой подойдёт по бюджету. Коммутационные матрицы у всех современных моделей на хорошем уровне, различие в фичах.

[Клёвый Админ]

Евгений Быченко: ну и да 2990 - это чистый гигабит, вам, возможно и 100 хватит.

[DastiX]

100 мегабит давно не торт.

[Клёвый Админ]

DastiX: глубоко с вами согласен, и видно что у меня гигабит на всех портах =)

[fscomm]

Читаю ваше обсуждение, и пытаюсь себе придумать, зачем нам может реально понадобиться гигабит в сетке. Условно разобьём пользователей на группы: часть людей сидит и активно работает с сайтами, например что-то постит, читает почту, сёрфит, заполянет доки. Не нужен тут гигабит. Окей, поехали дальше - девелоперы. Сделали git clone, запилили сырец, git push. Погуглили. Не нужен и тут гигабит. Ну да, бывает надо дамп базы перекинуть на локальный дев сервер. Но у нас это редкость. Кто там ещё остался. Допустим - телефония, астериск - да зачем здесь гигабит? Пусть будет локальный контроллер домена, пользователи авторизуются, да даже складывают доки на сервер. При небольшом кол-ве пользователей опять не нужен гигабит.

Просто у вас, видимо, организации такого размера, что на distribution уровне 100Мбит маловато. В компании как у нас, если в офисе например до 50 человек - вообще непонятно куда этот гигабит может понадобиться.

А разница в цене на оборудование существенна. Если например надо взять 4 свитча 24 портовых, + может быть ещё резерв оборудования. Я неправ?

[lexalex]

fscomm: если не нужен гигабит на доступе, берите стомегабитные порты на доступ не задумываясь, ничего в этом зазорного нет :) У меня вот тоже сотка на аксессе, и даже сотки за глаза. Фразы типа: "100 мегабит не торт" - мальчишество

Answer 6

[gorczko]

Для роутинга если не циска, то микротик. Предложенной Вами модели будет достаточно. Железка очень хорошая. У меня такой "держал" сетку из 12 филиалов (GRE + IPsec) с резервным каналом. В филиалах были RB951Ui-2HnD.

Answer 7

[lexalex]

Как видите вариантов масса.
Для доступа действительно выбирайте любой управляемый l2 свич. Учитывайте, что бывают свичи которые иногда подвисают. Какие точно надежно работают, а какие нет, нельзя однозначно назвать модели, т.к. у всех разный опыт имеется. Так у кого-то dlink подвисает, и даже циска. Всё зависит от модели, настроек, прошивки, трафика. Меня не подводили:
- hp/3com Baseline Switch 2226
- Cisco SF200-48
- Cisco Catalyst WS-C2950G-48-EI (покупались б/у железки и уже работают без проблем несколько лет)

Ещё в свичах бывает удобная функция option 82, стоит сейчас задуматься нужна ли она вам.

Для маршрутизации вам бы подошёл даже mikrotik 750, но он не потянет 100mbit на шифрованном туннеле. Вам нужен процессор мощнее.

Бюджетным вариантом может быть обычный ПК с любым дистрибутивом linux (есть спец. версии, например VyOS) или *BSD. Также можно купить лицензию RouteOS для x86.

p.s.
Вообще ключевым параметром при выборе маршрутизатора является не пропускная способность, а кол-во пакетов/сек (pps), также стоит учитывать сколько правил для firewall планируется.