Выбор оборудования для локальной сети?

Question

[Олег Попов]

Всем привет.

Вообщем имеем большой автосервис, который откроется ближе к весне, и сейчас стал выбор оборудования в серверную, подскажите как и на чем лучше это все реализовать.

Итак имеем:
1. Порядка 20-30 IP камер + 2 регистратора.
2. Рабочая сеть (20-30 компьютеров + принтеры+ 1С и т.д)
3. Рабочая сеть wifi
4. Гостевая сеть wifi

На данный момент, пока прикинул, что в ядре сети будет MikroTik < RB1100AHx2 >. На нем же, будет развернуто несколько dhcp серверов (а именно 4 шт).
Дальше планирую использовать гигабитные Dlink для подключения к местам.
Под wifi хочу задействовать Ubiquiti UniFi AP 3-pack на них развернуть 2wifi сети.

Вообщем пока вырисовывается такая схема. Может есть что то лучше? Стоит ли разворачивать dhcp на "железе" или воспользоваться win2012 для развертки dhcp?

Comments

[alexdora]

Начал вам отвечать подробно, а вы удалили. Чтобы не затерялось:

В свое время у нас был парк D-link 3226. Последние 2 цифры [26] = 24 порта 100мбит + 2 1Гбит.

Скажу честно, меняли раз в 2 года, дохли внутренние кулера и железка отходила в мир инной. Но это было 5 лет назад. Сейчас, я посмотрел эта серия называется 3200-xx. Где xx это количество портов. Плохое - только кулеры и я не знаю, исправили или нет эту проблему. Когда сваливал с работы, уже стали ставить Edge-Core ES3526YA. Это дочерняя организация Cisco (была, пять лет назад. Сейчас не знаю). Две штуки я утащил с собой, одна дома работает. Другая в офисе. 5 лет и они еще работают. Стоимость с длинками была одинаковая.

Как бы я сделал:

1. 2 железки L2 уровня на коммутацию.
2. Вайфай железку _под гостей_ тычем в порт и принудительно выставляем 10мбит / порт. Дешево и сердито. Зачем разбираться и шейпить скорость вайфая для гостей если её можно срезать железно и не заниматься ерундой и ловлей ведьм.
3. L2 там позволяет сделать VLAN сети по портам. Делим всю сеть VLAN согласно "хотелкам".
4. DHCP как я уже сказал под вопросом. Не рекомендую использовать для IP-камер, лучше их забить вручную.
5. Если руки дойдут, покрутить на железке L2 настройки безопасности. То, что вы сможете сделать и может пригодится:
- Жестко привязать MAC-адрес к порту коммутатора
- Обрезать мультикаст-сообщения. Они вам нужны не на каждом порту.
- Постоянный маршрут к DHCP серверу

*VLAN: Поясню, если вы не знаете что такое VLAN: Например первые 10 портов вы отдали под камеры, делаем настройку что это VLAN 1. Абсолютно пофиг, какие адреса будут у камер. Если вы находитесь с ними не в одном VLAN, то обратится вы к ним можете только через шлюз. А на шлюзе вы уж настраиваете, может человек из некой "Гостевой сети (VLAN 2)" или "Рабочей (VLAN 3)" обратится к камере или нет. Что удобно для решение разных задач, включая ваши. Звучит сложно, настраивается минут за 5-10 при наличии понимания что такое VLAN (Википедия в помощь). Тем более на шлюзе у вас Microtik, который 1000% умеет работать с VLAN'ами

[Олег Попов]

alexdora: спасибо, про vlan знаю.
По поводу самого оборудования, вы что посоветуете?

[alexdora]

Олег Попов: Я чуть выше сказал, что у меня в офисе стоят старые железки Edge-Core ES3526YA.
Шлюз на основе сервера linux
Вайфай - две башни Apple Airport Extreme
Принтер, 14 компьютеров по проводу. Штук 50 по вайфаю, 8 ip-камер
В прошлом году на рождество отвалился принтер, не мог получить адрес DHCP. А я в этот момент Нью-Йорке был. 1.5 часа пытался понять в чем причина удаленно, теперь всё DHCP осталось только на Wi-fi. В остальных местах принудительно проставил статику. Поэтому и противник DHCP.
Он ( throughtheether ) тоже дело говорит, прислушайтесь. Хотя мы друг друга понять не можем ;)

[Олег Попов]

alexdora: возможно мой вопрос покажется "ламерским" но как, к примеру, если будут неуправляемые коммутаторы (если денег много не дадут) контролировать статические ip на компах? Вести документацию, где писать какой ип какому компу присвоен.
А так получится присвоил ИП устройству, а когда другое с таким же ИП включилось, пойдут косяки. А по скольку объект будет по большей части на аутсорсе, бегать выяснять кто еще с таким ИП как то не хочется, да и простой в работе будет.

[alexdora]

Олег Попов: Я понимаю ваш вопрос, но не знаю что ответить.
Исходят из того, что было написано в ваших комментариях:

20-30 мбит входящий канал
20-30 камер
30 компов
вайфай

Если вы задаете вопрос, как сделать максимально бюджетно и со вкусом исходя из того что имеем, то мой ответ будет такой:

MikroTik < RB1100AHx2 > - выкинуть нахер
Ubiquiti UniFi - выкинуть нахер
2 регистратора. - выкинуть нахер

Вместо этого всего хлама (Микротик хорошая штука, без обид. Но исходя из задач и бюджета - лишняя трата денег) мы покупаем дешевенький компьютер/сервак, который выполняет роль: Шлюза, хранилища(регистратора) и просто сервера.

По поводу вайфаев, я сразу прошу простить меня. Я никогда не пользовался теми штуками, которые вы написали. Для меня это хлам, тк столбики Apple Airport Extreme, которые дешевле еще имеют и более мощный передатчик по ТТХ. И конечно, мне не понятно, исходя из каких параметров вы их выбирали?
И не просто на словах, а на деле роутеры Airport хороши по площади покрытия. У меня один такой столбик забирает 270квм дом 4-х этажный + офис 450 квадратов две такие штуки перекрывают на ура со всеми стенами
Комментировать по вайфаю или спорить с кем-то не буду, извините. Как в этой задачи, так и в моих - нет пункта заставить работать вайфай для населения Парижа.

[alexdora]

У вас реально каша в голове. Вы берете железку за 25 рублей на маршрутизатор с производительностью 3Гбит, но при этом у вас шлюз всего на 30 мбит. Выпишите на листочек задачи, необходимые функции. Попейте чаю с лимоном, поспите и на утро взгляните на список. Ваша задачу можно решить правильно и за разумные деньги. Лучше себе излишки денег возьмите и на шлюх потратите. Ну, я бы так сделал.

[Олег Попов]

alexdora: насчет Apple Airport Extreme цена за 1 столбик 15к, цена моего решения(которое уже неоднократно использовал) 17к за 3 тарелки, которые можно раскидать по всему помещению. Так же на них можно развернуть несколько wifi сетей. Apple Airport даже в руках не держал :) скажите он может несколько "точек" в себе разворачивать?

[alexdora]

Олег Попов: Я вбил на маркете вашу модель и у меня цена в Питере 24 рубля средняя. Особо не вникал как там антенки и прочее. Airport действительно стоит от 11 тыс рублей (смотря какую покупать, серую или нет). Мы в свое время купили в офис только по причине того, что 2 штуки объединялись в одну без танцев с бубнами (они еще не в формате столбиков были, а плашки ;)) 6 месяцев назад просто обновили их на новые. Лично у меня претензий никаких нет. Настроил и забыл. У других претензии есть. Например, тонко вы их не настроите. Они не умеют подключатся к провайдеру по VPN и нет даже намека на возможность настроить как-то по другому маршрутизацию. Я не знаю поймете вы меня или нет - это просто "хороший вайфай" без излишеств. Я не помню, чтоб хоть раз он завис или что-то еще. Хотя клиентов вайфай у нас очень много и трафик по радио очень активный.

Answer 1

[throughtheether]

Я бы так решал вашу задачу.

1. Порядка 20-30 IP камер + 2 регистратора.

Все камеры вывести на отдельный коммутатор, туда же подключить NVR, от него L3-линк до офиса, чтобы удаленно на картинки смотреть. Все адреса прописать статически, без DHCP.

2. Рабочая сеть (20-30 компьютеров + принтеры+ 1С и т.д)

По коммутатору на этаж/отдел. DHCP только для пользовательских компьютеров. Использовать вланы.

3. Рабочая сеть wifi
4. Гостевая сеть wifi

По wi-fi не специалист, мой комментарий вряд ли будет полезен. Единственное, под wi-fi выделил бы отдельные префиксы ("подсети"), т.е. не использовал бы бриджинг, если в этом нет необходимости.

Стоит ли разворачивать dhcp на "железе" или воспользоваться win2012 для развертки dhcp?

Думаю, вполне логично использовать DHCP на устройстве, играющем роль маршрутизатора по умолчанию для клиента. Естественно, необходимо корректно назначить IP-префиксы ("подсети"). Целесообразность наличия отдельного DHCP-сервера под вопросом.

Также хотелось бы отметить пару моментов:
1) сетевое оборудование питать через ИБП.
2) отдельный сервер (возможно, виртуальный) под мониторинг всего (ИБП, сетевые устройства, состояние линков)
3) Рано или поздно один из пользовательских ПК создаст L2-петлю (через wi-fi и ethernet в случае бриджевого режима работы wifi; неправильное включение IP-телефона со встроенным коммутатором и т.д.). Необходимо это предусмотреть.

По поводу оборудования: непонятно, для чего нужны гигабитные линки в офисе. Возможно, потребуются гигабитные линки до серверов и NVR. Вместо новых D-link, если бюджет ограничен, я бы использовал б/у коммутаторы линеек catalyst 3560, 2960.

Comments

[Олег Попов]

Спасибо, за ответ . Все это должно и будет сходиться в серверную. По поводу гигабитных линков, планирую использовать их для компов, для NVR. Камеры естественно по 100 будут подключаться.

Answer 2

[alexdora]

Раньше занимался сетями, точнее был техническим директором провайдера и отвечу, на чтобы я обратил внимание при построении сети исходя из задачи:

1. DHCP сеть разворачивать имеет смысл только с привязкой по MAC-адресу. Сам по себе объект (количество компьютеров) слишком маленькое, чтобы вообще разворачивать DHCP. В данном случае, это больше костыль, нежели полезная приблуда.
   Основной недостаток: Устройство, которое должно работать всегда. Не важно, что это за устройство. Будет не приятная история, если перезагрузка онного выпадет ровно на тот момент, когда некоторые устройства обновляют аренду. Или устройство после падения электропитание включалось долго и некоторые устройства не дождались IP-адреса, а у вас есть критичный компонент - камеры.
   Касательно 4 DHCP-серверов я ничего не понял. Одно устройство и 4 DHCP сервера? Вы имеете ввиду DHCP сервер на разные подсети? Если да, то мне становится страшно.
   
2. Самые критичные компоненты вы забыли. Вы говорите: Будет такой-то сервак на шлюзе, такие-то вай-фаи. Я что-то не увидел в вашем опусе: На связь между компьютерами буду использовать коммутаторы второго уровня. Ваша сеть будет веерно падать на обычных "тупых" свитчах после заражения единственного компьютера. А вы будете бегать схватившись за голову и не понимать: Что приключилось, почему сеть сама зависает. В основе сети должны коммутаторы L2 (100 мбит). Они без настройки дадут самое главное - сеть не рухнет если один из компьютеров начнет широковещательный шторм.
   
   
3. Исходя из того, что я прочитал - рекомендую приложить к голове лед и немного остыть. Всю вашу сеть надо упрощать. Если вы сделаете это, то она получится надежная. Потом спасибо скажите.
   
   

Comments

[throughtheether]

>Ваша сеть будет веерно падать на обычных "тупых" свитчах после заражения единственного компьютера.

>В основе сети должны коммутаторы L2 (100 мбит). Они без настройки дадут самое главное - сеть не рухнет если один из компьютеров начнет широковещательный шторм.

Не вполне ясно, в чем отличие "тупых свитчей" и "коммутаторов L2". Или вы имеете в виду управляемые коммутаторы?
Также не вполне ясно, как ненастроенный L2-коммутатор (тем более, без указания конкретной модели) защитит от широковещательного трафика. Или вы имели в виду L3-коммутатор?

[alexdora]

L2 - уровень глубины коммутации, и мне в свою очередь не понятен вопрос: "Не вполне ясно, в чем отличие "тупых свитчей" и "коммутаторов L2"
Само по себе принадлежность коммутатора к уровню L2 говорит о том, что он управляемый. Он умеет читать заголовки пакетов и резать штормы (при настройке). К нему уже применимо понятие PPS (Packets per seconds). Если сейчас взять железку второго уровня, то её производительность примерно 80-90% покрывает скорость всех портов. У тупой железки нет никакого управления, да и сама коммутация напоминает нападение сперматозоидов на яйцеклетку: Пришел пакет с маком, отправить во всех дырки. Авось где-то найдется.
L3 коммутатор, это тоже глубина коммутации. Их ставят уже на магистрали и ветки. Стоимость растет с количеством PPS. Если в уровне два, смотрятся только заголовки и можно дешево сделать производительную сеть. Ведь пакет целиком не читается, только заголовки. То на L3 можно фильтровать уже конкретно залезая в каждый пакет. Производительные железки сейчас стоят довольно дорого. Я имею ввиду, где хороший PPS равный 80-90% емкости портов.

[throughtheether]

>Само по себе принадлежность коммутатора к уровню L2 говорит о том, что он управляемый.
Можете уточнить, на каком основании вы делаете такое утверждение? Я всегда полагал, что "управляемость" коммутатора - это наличие некоего интерфейса для настройки.

>У тупой железки нет никакого управления, да и сама коммутация напоминает нападение сперматозоидов на яйцеклетку: Пришел пакет с маком, отправить во всех дырки. Авось где-то найдется.
Повторно прошу уточнить, что именно вы имеете в виду под "тупой железкой". Это хаб, которых уже не выпускают? Или это все-же коммутатор? Если коммутатор, то как к нему относится вот это ваше утверждение?
>Пришел пакет с маком, отправить во всех дырки.

Возьмем для примера вот этот продукт: www.dlink.ru/ru/products/1/1984_b.html
Производитель его позиционирует как неуправляемый коммутатор, при этом:
1) производительность матрицы коммутации заявлена как 4,8 гигабит/c. Понятно, что это значение, скорее всего, получено при использовании "удобной" длины фрейма, но это 100% утилизация всех портов одновременно
2) размер таблицы MAC-адресов заявлен в 8K записей. Это значит, что фильтрация по MAC-адресам есть. Опять же неясно, как сюда относится ваше утверждение:
>Пришел пакет с маком, отправить во всех дырки. Авось где-то найдется.

[alexdora]

throughtheether:
вот читаю вас и не знаю с чего начать. Вы так буквально читаете и буквальностью давите.

"Можете уточнить, на каком основании вы делаете такое утверждение? Я всегда полагал, что "управляемость" коммутатора - это наличие некоего интерфейса для настройки. "
А мне всегда казалось, что если коммутатору дают залезть в глубину пакета, то это делают для двух вещей:
- Чтобы человек мог настроить (управлять), т.е есть интерфейс
- Чтобы сделать Hi-End железку под определенные задачи

Я тут от юмора пойду: Где вы видели Неуправляемый коммутатор уровня L2

">Пришел пакет с маком, отправить во всех дырки. Авось где-то найдется." не в буквально, просто я подошел с юмором к описанию.
"размер таблицы MAC-адресов заявлен в 8K записей. Это значит, что фильтрация по MAC-адресам есть."
Это значит, что есть таблица мак-адресов. На этом все. Она есть. И все. Фильтрации нету, коммутация есть.
"производительность матрицы коммутации заявлена как 4,8 гигабит/c. Понятно, что это значение, скорее всего, получено при использовании "удобной" длины фрейма, но это 100% утилизация всех портов одновременно"
Если вы намекаете на то, что в "идеальной" сети этот свитч пропустит через себя поток хотя бы 4Gbit одновременно при любом фрейме, то я готов поставить на это шоу деньги. Более того, я выйграю их. Такие тесты транзитные делали и поверьте на слово, при ИДЕАЛЬНЕЙШИХ УСЛОВИЯХ 0,5Gbit = предел этих железок. Они намертво зависали.
Кстати, надо посчитать. Там даже PPS какой-то есть

[throughtheether]

alexdora: >Я тут от юмора пойду: Где вы видели Неуправляемый коммутатор уровня L2
так я же выше ссылку привел, неуправляемый L2-коммутатор от D-link.

Я считаю, что "управляемость" коммутатора (management plane) - это вещь, в общем случае независимая от его других характеристик (data plane-харакстеристик). Да, управляемый L2-коммутатор должен иметь зачаточные L3-возможности, чтобы обработать telnet, ssh или http-трафик управления. Но эти возможности не распространяются на клиентский трафик.

>Вы так буквально читаете и буквальностью давите.
Прошу прощения, не хотел давить, только прояснить некоторые моменты.

>Это значит, что есть таблица мак-адресов. На этом все. Она есть. И все. Фильтрации нету, коммутация есть.
Прошу прощения за не вполне ясную формулировку, под фильтрацией имел в виду зависимость процесса обработки фрейма (послать на один порт, на все порты, отбросить) от его MAC-адреса источника. В этом смысле иногда (например, в интерфейсе устройств D-link) таблицу MAC-адресов иногда называют FDB (filtering database), а коммутаторы иногда называют "filtering bridge".