Создание новой сети и необходимость более 200 беспроводных устройств

Я планирую сеть для нового офиса моей компании. Я не эксперт, поэтому я хотел бы представить свой план и попросить всех хороших людей сказать мне, если и где я делаю ошибки.

Предположения:

• Офис 300 кв.м на одном этаже с преимущественно гипсокартонными стенами.
• В настоящее время у нас 18 работников.
• В связи с ожидаемым ростом офис должен комфортно обслуживать 50 рабочих мест.
• Мы являемся компанией, занимающейся мобильными приложениями, поэтому между нашей командой разработчиков и нашими тестировщиками нам нужна беспроводная поддержка более 200 устройств, в основном смартфонов.
• Большая часть нашего трафика идет в и из Интернета, а не изнутри
• Требуется несколько беспроводных сетей (как минимум внутренних и гостевых)
• Нет на серверах сайта (кроме разработчиков, работающих на локальном компьютере для разработки и тестирования).
• Весь код, документация, производственные серверы и т. Д. Являются облачными. (Мы используем Dropbox для резервного копирования, Atlassian для JIRA и слияния, BitBucket для репозиториев, S3 для серверов и т. Д.)
• Интернет-провайдер может предоставить 30 Мбит / с d / l и 2 или 4 u / l
• все рабочие станции Apple (сетевые карты все 10/100/1000)

Мой текущий план:

1. 2 падения локальной сети на рабочую станцию, подключение CAT5e к коммутационной панели, должно составлять около 100 терминалов.
2. Модем - Cisco 887. Это входит в пакет интернет-провайдера.
3. Маршрутизатор / брандмауэр - Soekris 6501, на котором выполняется pfSense ( http://soekris.com/products/net6501.html )
4. Коммутатор (проводной) - HP 2510-48G, L2 полностью управляемый, гигабитный. Я начну с одного и только подключить рабочие станции в использовании. Если мне нужно больше, я могу добавить больше.
5. Беспроводной контроллер с несколькими точками беспроводного доступа.
6. Настройте все локальные сети на маршрутизаторе.
7. Соедините проводной коммутатор с маршрутизатором и используйте проводной коммутатор в качестве немого переключателя.
8. Подключите беспроводной контроллер к маршрутизатору, чтобы он был физически отделен от основной локальной сети.
9. Настройте 2 беспроводные сети с беспроводной аутентификацией с WPA2

Вопросов:

1. Для Soekris есть несколько вариантов (RAM, CPU). Могу ли я пойти с базовым или мне нужно, чтобы получить варианты высокого класса?
2. Что касается настройки беспроводной сети, я не до конца понимаю разницу между тем, когда использовать беспроводной контроллер и точку беспроводного доступа. Мне нужны оба, один, ни один? Я провел много часов, читая и разговаривая с людьми, и я все еще не знаю, что получить.
3. Мой лучший ответ на поставленный выше вопрос заключается в том, чтобы получить либо беспроводной контроллер Cisco CT-2504-5, либо систему беспроводного управления Netgear ProSafe 16-AP вместе с точками доступа Cisco или Netgear. Оба контроллера стоят около 1000 долларов и, кажется, делают то же самое. Есть ли важные различия?
4. Что касается точек доступа, я тоже в замешательстве. Netgear имеет WNDAP350 и WNDAP360. Опять же, я не могу понять разницу здесь.
5. Действительно ли я выигрываю, соединяя коммутатор с маршрутизатором?
6. Я иду за борт здесь? Я планировал экскаватор, когда все, что мне нужно, это лопата?

Пара мыслей. Я могу более подробно рассказать о любом из них, если понадоблюсь.

-Когда речь идет о беспроводной связи, есть два способа планирования. Один для покрытия, другой для емкости. Исходя из количества описываемых вами устройств (емкости) и пространства (покрытия), я полагаю, что емкость станет более решающим фактором. Помните, что беспроводная связь - это как использование концентратора старой школы. Все слышат все. Это также означает, что только один клиент может одновременно общаться с одной точкой доступа. Это не ограничение устройства (Cisco vs. Netgear), это ограничение физической среды (воздушного пространства). Поскольку вы программируете для мобильных устройств, которые будут поддерживать только один поток, вы должны запланировать одну двухдиапазонную точку доступа на 50 устройств. Если вы решите поддерживать только 2,4 или 5 ГГц (например, проблемы с воздушным пространством в соседних офисах), запланируйте 1 AP на 30 устройств.

- Cisco 887 имеет только 100 МБ соединение. Если вы придерживаетесь своего текущего плана и выполняете всю маршрутизацию L3 на 887, это станет узким местом для всего, что маршрутизирует между вашими внутренними сетями. Примеры включают в себя: локальную репликацию для Dropbox, беспроводную синхронизацию между i-устройствами и itunes, копирование файлов с машины A на B, резервное копирование машины времени и т. Д. И т. Д. Это узкое место возникает из-за того, что в любое время данные должны передаваться из одной сети в другую (wlan to lan). ) он должен быть маршрутизирован и должен выходить, а затем возвращаться обратно с того же 100-мегабитного интерфейса. Это может не иметь большого значения, но я хотел бы упомянуть об этом, на всякий случай.

Беспроводные контроллеры - хорошая идея. Первоначальная настройка занимает немного больше времени, но с этого момента становится очень легко развернуть больше точек доступа или WLAN. Я ничего не знаю о них из личного опыта, но я слышал хорошие вещи о AP Meraki. Это облачное решение для контроллеров, которое недавно купила Cisco. РЕДАКТИРОВАТЬ для ясности: я ничего не знаю о решении Meraki. Я знаю много о беспроводных контроллерах Cisco :-).

-Как ты питаешь свои AP? Планируете ли вы использовать VOIP в будущем? Примите во внимание оба из них, когда решаете, стоит ли заказывать коммутатор с PoE.

-Также, только что заметил, вы планируете установить брандмауэр после маршрутизатора. Это еще больше усложняет ваш план маршрутизации между подсетями. Я планировал бы купить переключатель L3. Это значительно упростит развертывание.

Надеюсь это поможет. Удачи.

1. Я запускал устройства, аналогичные Soekris с PFSense и M0n0wall. Я могу протолкнуть довольно мало трафика через них с довольно низкими характеристиками. (Порядка 100 Мбит / с)
2. Беспроводные контроллеры дают вам две большие вещи. Первое - это централизованное управление. Вы можете управлять всеми своими точками доступа с одного интерфейса. Нужно добавить SSID? Легко. Добавьте это к контроллеру, и это будет выдвинуто к AP. Второе - это централизованное применение ACL. Обычно (хотя и не всегда) беспроводные контроллеры туннелируют трафик обратно к себе и имеют единственную точку выхода в корпоративную сеть. Это позволяет вам применять такие вещи, как зоны безопасности, в одном месте, а не в каждом месте, где подключена ваша точка доступа. Кроме того, вы можете создать единую подсеть для беспроводных клиентов в более крупной сети.
3. Из-за размера вашей сети я бы порекомендовал вам заглянуть в Ubquiti Networks . Они предлагают вам те же преимущества, что и наличие сети на основе контроллера, но без контроллера и по гораздо более низкой цене. Я успешно использовал их в различных проектах. Если вы не можете использовать один из двух вариантов, вы выбрали правильные для вашего размера.
4. Что касается спецификаций, то они выглядят практически идентичными из краткого обзора технических спецификаций. Возможно, один должен быть установлен на потолке, другой - настольная версия?
5. Главное, что вы получаете, это возможность создавать разные исходящие точки из разных VLAN. Вы можете использовать маршрутизатор для настройки различных подинтерфейсов для VLAN. Таким образом, для вашей гостевой беспроводной сети вы можете поместить их в VLAN 50, в то время как остальные ваши внутренние клиенты находятся в VLAN 10. Затем вы можете применить политики безопасности относительно того, какой трафик разрешен между двумя VLAN.
6. Нет.

Изменить: С точки зрения беспроводной связи, если у вас есть все 200 устройств, пытающихся получить доступ к ресурсам одновременно, вы можете оказаться в затруднительном положении, если у вас есть только несколько точек доступа, обрабатывающих трафик. Я бы порекомендовал вам внимательно следить за использованием, когда вы закончите развертывание, и посмотреть, нужно ли вам увеличить плотность беспроводной инфраструктуры. Теперь, имея только 18 сотрудников и мобильные устройства, было бы трудно заставить их всех выдвигать достаточно трафика, чтобы иметь значение, но по мере роста я буду следить за этим, чтобы вы не столкнулись с какими-либо проблемами. Только один клиент может говорить за один раз в беспроводной сети (на точку доступа / частоту). Поэтому обеспечение достаточной пропускной способности имеет первостепенное значение.

Отказ от ответственности: Похоже, что ответ придет от HP PreSales Solution Architect. (Обсудите это на мета ).

OK. Я сразу заметил одну проблему. Вы хотите использовать коммутатор 2510-48G и хотите точки доступа WLAN. Как вы собираетесь питать эти AP? Я думаю, вы могли бы использовать адаптеры питания и подключить их к розеткам, но вы действительно хотите посмотреть на PoE-коммутатор, чтобы включить их. Во-вторых, HP анонсировала серию 2530 в декабре и вместе с тем EOL серии 2510.

Итак, как архитектор решений HPN PreSales, я рекомендую:

1. Вы также можете использовать свой Cisco 877 в качестве локального маршрутизатора. Его только 4x100Mb подключения к локальной сети. Если ваш провайдер предлагает услугу только по проводам, то изучите и другие маршрутизаторы. Cisco 877 теперь EOL, и больше не продаются. HP имеет серию MSR930 с 4x GbE-каналами и встроенным межсетевым экраном.
2. Wireless. Рассмотрим охват против емкости в первую очередь. Вам требуется 200х устройств для подключения, но сегодня только 18х пользователей. Поэтому, если предположить, что не все устройства находятся в сети в одно и то же время, вы, вероятно, можете обойтись без кластерных точек доступа. Это позволяет одной точке доступа контролировать другие точки доступа. С HP вы можете взглянуть на точку доступа M220, где можно управлять до 10 AP.
3. Если вы хотите решение с управляемой беспроводной локальной сетью, рассматривали ли вы контроллер беспроводной локальной сети MSM720 ? Пожизненная гарантия и поддержка до 40 точек доступа (10 из коробки), затем используйте точки доступа MSM430
4. Глядя на страницу Netgear для WNDAP360, кажется, что единственное отличие заключается в « простом потолочном / настенном монтаже». В нем не упоминается Dual Spatial Stream, поэтому я предполагаю, что максимальная поддержка на радио составляет 150 Мбит / с.
5. Определить транкинг? Предполагая, что вы имеете в виду агрегацию каналов, а не термин Cisco в отношении нескольких VLAN на одном канале? Агрегация ссылок обеспечивает большую производительность и большую устойчивость в случае сбоя одного из каналов.
6. Нет. Помните, в конце концов, что бы вы ни предоставили, нужно взвесить, принесет ли это мне деньги? Это сэкономит мне деньги? Это уменьшит наш риск? Вы должны взвесить их друг против друга.

Беспроводные контроллеры предназначены для координации RF точек доступа и позволяют клиенту перемещаться между точками доступа. Вы можете проверить зону проектирования Cisco, чтобы помочь с вашим дизайном.

Лично я не пошел бы с простым WPA2, но с EAP, также удостоверьтесь, что вы запрещаете общение между клиентами.

Я повторяю предложение Bigmstone о Ubiquiti Networks для вашей WLAN. Я развернул их на нескольких сайтах, и они работают очень хорошо. Они предлагают несколько версий, но я действительно рекомендую UAP-PRO, потому что он использует настоящий 802.3af (в отличие от пассивного POE в моделях более низкого уровня) (см. Разницу здесь )

Если вы используете AP повсеместного доступа, вы также можете посмотреть на их EdgeSwitch. Он поддерживает 802.3af POE, а также пассивные POE (которые, как я уже упоминал, используют их более дешевые точки доступа). Поддержка пассивных POE великолепна, потому что тогда вам не нужны все эти адаптеры POE.

Как сказал bigmstone, вам не нужен контроллер для использования точек доступа, но он нужен для начальной установки точек доступа. К счастью, программное обеспечение контроллера бесплатное и очень простое в использовании, и, если вы амбициозны, для дешевого постоянного контроллера Raspberry Pi работает очень хорошо!

Вам нужна проводная сеть (коммутаторы Ethernet) и беспроводная сеть вместе с устройством безопасности / многоуровневым шлюзом (ALG). ISP / WAN - это эстафетная передача Ethernet.
BYOD, управление локальной сетью,

WLAN на основе контроллера IPS / NGFW устарели.

(Предвзятый ответ от централизованного интегратора Cisco)
Получите Meraki MX100 , Cisco WS-C2960X-48TS-LL и (3) точки доступа Meraki MR32 .