Побудувати нову мережу та потрібно 200+ бездротових пристроїв

Я планую мережу для нових офісних приміщень моєї компанії. Я не експерт, тому я хотів би представити свій план і попросити всіх приємних людей сказати мені, чи і де я роблю помилки.

Припущення:

• Офіс - 300 кв.м на одному поверсі з переважно гіпсокартонними стінами.
• Наразі у нас 18 робітників.
• Завдяки очікуваному зростанню, офіс повинен комфортно підтримувати 50 робочих станцій.
• Ми є компанією мобільних додатків, тому між нашою командою розробників та нашими тестерами нам потрібна підтримка бездротового зв’язку для 200+ пристроїв, переважно смартфонів.
• Більша частина нашого трафіку - це Інтернет та Інтернет, а не внутрішній
• Потрібно кілька бездротових мереж (мінімум внутрішніх та гостьових)
• Ні на серверах сайтів (крім розробників, які виконують локально для розробки та тестування).
• Весь код, документація, виробничі сервери тощо є хмарними. (Ми використовуємо Dropbox для резервного копіювання, Atlassian для JIRA та злиття, BitBucket для repos, S3 для серверів тощо)
• Інтернет-провайдер може забезпечити 30 Мбіт / с і / або 2 або 4 у / л
• робочі станції - це все Apple (мережеві карти всі 10/100/1000)

Мій поточний план:

1. 2 краплі локальної мережі на робочу станцію, підключення CAT5e до патч-панелі, має становити близько 100 завершень.
2. Модем - Cisco 887. Це входить в комплект провайдера.
3. Маршрутизатор / брандмауер - Soekris 6501 під керуванням pfSense ( http://soekris.com/products/net6501.html )
4. Вимикач (провідний) - HP 2510-48G, L2 повністю керований, Гігабіт. Почну з однієї і лише підключити робочі станції, які використовуються. Якщо мені потрібно більше, я можу додати ще.
5. Бездротовий контролер з кількома точками бездротового доступу.
6. Налаштуйте всі локальні мережі на маршрутизаторі.
7. Підключіть дротовий перемикач до маршрутизатора і використовуйте дротовий комутатор як тупий перемикач
8. Підключіть бездротовий контролер до маршрутизатора, щоб він фізично був відокремлений від основної локальної мережі.
9. Налаштуйте 2 бездротових мережі з бездротовою автентифікацією за допомогою WPA2

Запитання:

1. Для Soekris існує купа варіантів (оперативна пам'ять, процесор). Чи можу я перейти з базовим або мені потрібно отримати варіанти високого класу?
2. Що стосується налаштування бездротового зв’язку, я не повністю розумію відмінності між і коли використовувати бездротовий контролер та бездротову точку доступу. Мені потрібні обидва, один, жоден? Я провів багато годин, читаючи та розмовляючи з людьми, і досі не знаю, що взяти.
3. Я найкраще здогадуюсь над вищезазначеним питанням - отримати або бездротовий контролер Cisco CT-2504-5, або систему бездротового управління Netgear ProSafe 16-AP разом із точками доступу Cisco або Netgear. Обидва контролери коштують близько 1000 доларів і, здається, роблять однакові речі. Чи є важливі відмінності?
4. Щодо точок доступу, я також розгублений. Netgear має WNDAP350 і WNDAP360. Знову ж таки, я не можу зрозуміти різницю тут.
5. Чи дійсно я отримую підключення перемикача до маршрутизатора?
6. Я сюди за борт? Чи планував я екскаватор, коли все, що мені потрібно, це лопата?

Пару думок. Я можу детальніше зупинитися на будь-якому з них, якщо вам потрібно.

-Коли мова йде про бездротовий зв’язок, є два способи планування. Одне - для покриття, інше - для нарощування. Виходячи з кількості описаних вами пристроїв (місткості) та простору (покриття), я вважаю, що ємність стане найбільш важливим фактором. Пам’ятайте, що бездротовий зв’язок - це використання концентратора старої школи. Усі чують все. Це також означає, що лише один клієнт може одночасно спілкуватися з одним AP. Це не обмеження пристрою (Cisco vs. Netgear), це обмеження фізичного середовища (повітряного простору). Оскільки ви програмуєте для мобільних пристроїв, які підтримуватимуть лише один потік, вам слід планувати 1 дводіапазонний AP на 50 пристроїв. Якщо ви вирішили підтримувати лише 2,4 або 5 ГГц (проблеми повітряного простору з сусідніми офісами), тоді плануйте 1 AP на 30 пристроїв.

-Cisco 887 має лише 100Mb з'єднання. Якщо ви будете дотримуватися свого поточного плану і виконати всю свою маршрутизацію L3 на 887, це стане вузьким місцем для всього, що проходить між вашими внутрішніми мережами. Приклади включають: локальну реплікацію для Dropbox, бездротове синхронізація між i-пристроями та itunes, копіювання файлів з машини A на B, резервне копіювання машин часу тощо. Це вузьке місце виникає через те, що в будь-який час дані повинні надходити з однієї мережі в іншу (від локальної мережі до локальної мережі) ) його потрібно буде перенаправити, і він повинен вийти, а потім повернутися з того ж інтерфейсу 100 Мб. Це може бути не великою справою, але я хотів це зазначити, про всяк випадок.

- Бездротові контролери - хороша ідея. Початкова настройка займає трохи більше часу, але з цього моменту стає більш легко розгортати більше AP або WLAN. Я нічого не знаю про них з особистого досвіду, але чула хороші речі про Меракі АП. Це хмарне рішення для контролерів, яке Cisco нещодавно придбав. EDIT для наочності: Я нічого не знаю про рішення Меракі. Я знаю багато про бездротові контролери Cisco :-).

-Як ви живите свої AP? Чи плануєте ви використовувати VOIP у майбутньому? Розглянемо обидва ці питання, розглядаючи, чи варто замовляти комутатор з PoE чи ні.

-Также, щойно помітив, ви плануєте встановити між собою брандмауер після маршрутизатора. Це ще більше ускладнює ваш план маршруту між підмережами. Я б планував придбати вимикач L3. Це значно спростить розгортання.

Сподіваюсь, це допомагає. Удачі.

1. Я запускав подібні пристрої Soekris з PFSense і M0n0wall. Я можу підштовхнути зовсім небагато трафіку через них досить низькими характеристиками. (На замовлення 100Mbps)
2. Бездротові контролери отримують дві великі речі. Перший - централізоване управління. Ви можете керувати всіма AP-адресами з одного інтерфейсу. Потрібно додати SSID? Легко. Додайте його до контролера, і він натисне на AP. Друга річ - це централізоване правозастосування ACL. Зазвичай (хоча і не завжди) бездротові контролери тунелюють трафік до себе і мають єдину точку виходу в корпоративну мережу. Це дозволяє застосовувати такі речі, як зони безпеки в одному місці замість кожного місця, де підключений ваш AP. Це також дозволяє мати єдину підмережу для бездротових клієнтів у більшій мережі.
3. Через розмір вашої мережі я рекомендую вам заглянути в мережі Ubquiti . Вони пропонують вам ті самі переваги, як мережа на базі контролера, але без контролера і за значно нижчою ціною. Я їх успішно використовував у різних розгортаннях однієї будівлі. Якщо ви померли, використовуючи один із двох ваших варіантів, тут ви вибрали правильні для вашого розміру.
4. Що стосується специфікацій, вони виглядають майже однаково від короткого сканування технічних характеристик. Можливо, один повинен бути встановлений на стелі, а інший - це настільний варіант?
5. Головне, що ви отримуєте, - це можливість створювати різні точки виходу з різних VLAN. Ви можете використовувати маршрутизатор для налаштування різних під інтерфейсів на VLAN. Отже, для вашої гостьової бездротової мережі ви можете поставити їх на VLAN 50, а решта ваших внутрішніх клієнтів - на VLAN 10. Потім ви можете застосувати політику безпеки щодо того, який трафік дозволений між двома VLAN.
6. Ні.

Редагувати: з точки зору бездротового зв’язку, якщо у вас є всі 200 пристроїв, які намагаються одночасно отримати доступ до ресурсів, ви можете опинитися у заважанні, якщо у вас є лише кілька прикладних програм, що управляють трафіком. Я рекомендую вам уважно стежити за своїм використанням, коли закінчите розгортання, і побачите, чи потрібно додати більшої щільності до бездротової інфраструктури. Тепер, маючи лише 18 співробітників і мобільних пристроїв, важко було б, щоб усі вони підштовхували достатню кількість трафіку до матерії, але в міру того, як ви зростаєте, я б постійно спостерігав за цим, щоб у вас не виникало проблем. Одночасно може спілкуватися лише один клієнт у бездротовій мережі (за AP / частоту). Тому забезпечення вашої достатньої доступної пропускної здатності є надзвичайно важливим.

Відмова від відповідальності. Здається, відповідь надходить від архітектора HP PreSales Solution. (Обговоріть це на мета ).

ДОБРЕ. Я відразу помітив одне питання. ви хочете використовувати комутатор 2510-48G, і ви хочете використовувати AP-адреси WLAN. Як ти збираєшся владувати тими АП? Я думаю, ви могли б використовувати адаптери живлення та підключити їх до настінних розеток, але ви дійсно хочете подивитися на перемикач PoE, щоб увімкнути їх. По-друге, HP анонсувала серію 2530 у грудні, а разом з цим EOL серії 2510.

Отже, як архітектор HPN PreSales Solution Architect, тут я рекомендую:

1. Ви також можете використовувати свій Cisco 877 як локальний маршрутизатор. Єдиний підключення до локальної мережі 4х100 Мб. Якщо ваш Інтернет-провайдер пропонує лише послугу проводів, то також досліджуйте інші маршрутизатори. Cisco 877 тепер EOL, і більше не продаються. HP має серію MSR930 з 4x GbE-посиланнями та вбудованим брандмауером.
2. Бездротовий. Розгляньте спочатку покриття порівняно з потужністю. Для підключення вам потрібно 200-кратні пристрої, але сьогодні лише 18x користувачів. Тож припускаючи, що не кожен пристрій є в мережі в будь-який момент, ви, ймовірно, могли піти з кластерними AP-адресами. Це дозволяє одному AP також контролювати інші AP. З HP ви можете подивитися на точку доступу M220, де до 10-кратну точку доступу можна керувати як єдину.
3. Якщо ви хочете керувати рішенням бездротової локальної мережі, чи розглядали ви контролер WLAN MSM720 ? Пожиттєва гарантія та підтримка до 40x AP (10 з коробки), потім використовуйте точки доступу MSM430
4. Переглядаючи сторінку Netgear для WNDAP360, здається, єдиною відмінністю є "Легкий монтаж стелі / настінне кріплення". У ньому не згадується подвійний просторовий потік, тому я припускаю, що максимальна підтримка на радіо становить 150 Мбіт / с.
5. Визначити транкінг? Якщо припустити, що ви маєте на увазі агрегування посилань, а не термін Cisco щодо кількох VLAN на одному посиланні? Агрегація посилань забезпечує більш високу продуктивність та більшу стійкість у разі відмови одного з посилань.
6. Ні. Пам'ятайте, зрештою, все, що ви надаєте, повинно зважувати, чи зроблять це гроші? Чи це заощадить мені гроші? Чи знизить це наш ризик? Ви повинні зважити їх один на одного.

Бездротові контролери призначені для узгодження RF точок доступу та забезпечення можливості роумінгу клієнтів між точками доступу. Ви можете оглянути зону дизайну Cisco, щоб допомогти вам у дизайні.

Особисто я б не хотів із простою WPA2, а з EAP, також переконайтесь, що ви забороняєте спілкування між клієнтами.

Я повторюю пропозицію bigmstone щодо мереж Ubiquiti для вашої WLAN. Я розгорнув їх на декількох сайтах, і вони працюють дуже добре. Вони пропонують кілька версій, але я б дуже рекомендував UAP-PRO, оскільки він використовує справжній 802.3af (проти пасивного POE в нижньому кінці моделей) (різницю див. Тут )

Якщо ви переходите з всюдисущими AP-кодами, ви також можете заглянути в їх EdgeSwitch. Він підтримує 802.3af POE, а також пасивні POE (які, як я вже згадував, використовують їх дешевші AP-адреси.) Підтримка пасивного POE є чудовою, тому що тоді вам не потрібні всі ці грубо адаптери POE.

Як сказав bigmstone, вам не потрібен контролер, щоб використовувати AP, але вам потрібен такий, щоб налаштувати AP-файли спочатку. На щастя, програмне забезпечення контролера є безкоштовним і дуже простим у використанні, і якщо ви амбітні, для дешевого постійного контролера Raspberry Pi працює дуже добре!

Вам потрібна дротова мережа (комутатори Ethernet) та бездротова мережа разом із пристроєм безпеки / багатошаровим шлюзом (ALG). ISP / WAN - це передача Ethernet.
BYOD, управління локальною мережею, бездротові локальні мережі на базі

контролера IPS / NGFW застаріли.

(Обережна відповідь від інтегратора, орієнтованого на Cisco)
Отримайте додатки Meraki MX100 , Cisco WS-C2960X-48TS-LL та (3) AP Meraki MR32 .