четверг, 3 апреля 2014 г.

Организация сети малого офиса: решения, технологии и оборудование

 

В прошлой статье «Организация сети мини-офиса: решения, технологии и оборудование» было предложено несколько вариантов построения локальной сети для небольшого количества пользователей (до 20 человек). В продолжение будут даны рекомендации сети на оборудовании D-Link для большего количества подключений.

Для управления локальной сетью и доступа в Интернет используется маршрутизатор. Если количество хостов от 20ти и выше, то следует использовать как минимум роутер DSR-500. Старшее устройство из линейки унифицированных роутеров - DSR-1000 - станет еще лучшим выбором. Особенно если число пользователей составляет 30 и более (или же такое расширение штата планируется в будущем). При жестком ограничении бюджета можно применить в качестве маршрутизатора и DSR-250 (примерная схема построения сети описана в предыдущей статье). Но в этом случае стоит быть готовым к проблемам с производительностью и некоторой ограниченностью функционала по сравнению с DSR-500/1000.

 

image

Между собой DSR-500 и DSR-1000 отличаются только производительностью (частота процессора и количество оперативной памяти). Все остальное – функционал и количество интерфейсов - практически идентично. Какие преимущества, кроме производительности, дает использование именно этих устройств по сравнению с линейкой DIR или DSR-150/250?

 

  • Прежде всего, это наличие двух Ethernet WAN портов, которые позволяют задействовать второй канал связи как одновременно с основным (балансировка нагрузки), так и в качестве резервного (в младших моделях можно было настроить только 3G в качестве резервного).
  • Возможность задействовать VLAN на портах (до 5 одновременно). В том числе, доступ к USB-ресурсу (принтеру, флешке), можно дать по признаку принадлежности к VLAN.
  • Увеличенное количество правил Firewall (600 штук против 25 в линейке DIR).
  • Возможность создавать пользователей и группы пользователей, используя внутреннюю базу данных или внешнюю авторизацию.
  • Динамическая маршрутизация (RIP, OSPF).
  • Более широкий выбор VPN подключений – IpSec, OpenVPN, SSL VPN, PPTP&L2TP Server&Client, GRE. Возможность создавать резервный IpSec туннель через резервный WAN интерфейс.
  • Встроенные в прошивку IPS сигнатуры.

Существуют маршрутизаторы DSR-500N и DSR-1000N, обладающие точно таким же функционалом, что и DSR-500 и DSR-1000 плюс встроенной точкой доступа Wi-Fi 802.11a/b/g/n, которая позволяет организовать до 4 беспроводных сетей на одном устройстве. Им можно не только присвоить разные имена и параметры безопасности, но и осуществить привязку к разным VLAN. Однако использование маршрутизатора со встроенным Wi-Fi для нашей задачи менее оправдано, чем для мини-офиса. Во-первых, вряд ли 20-30-40 сотрудников размещаются на такой же площади, что и 10-15. Помещение будет больше или же это несколько помещений, возможно находящихся на некотором удалении друг от друга. В таком случае, беспроводные клиенты, находящиеся далеко от маршрутизатора, не только сами будут иметь проблемы со скоростью, но и создавать такие же проблемы беспроводным клиентам, которые находятся рядом с маршрутизатором (почему так - изучаем особенности технологии Wi-Fi). Второй аргумент против: обработка запросов от беспроводных клиентов занимает вычислительные ресурсы маршрутизатора, а их в DSR-500N/1000N, как мы помним, столько же, как и в DSR-500/1000. Поэтому разумнее будет выбрать маршрутизатор без Wi-Fi и несколько точек доступа серии Air Premier.

К внутриофисным точкам этой серии относятся: DAP-2310, DAP-2360, DAP-2590, DAP-2690, DAP-2695 (устаревшие модели перечислять не будем). Их преимущества:

 

  • гигабитные порты Ethernet с поддержкой PoE (кроме DAP-2310);
  • поддержка Multiple SSID и VLAN (до 8 шт.);
  • гибкие возможности по управлению (AP Array - до 8 шт. одной модели, AP manager 2 - сотни точек разных моделей одновременно), веб-интерфейс, командная строка;
  • поддержка двух диапазонов Wi-Fi одновременно (DAP-2690 и DAP-2695);
  • корпус plenum rated (кроме DAP-2310);
  • внешние съемные антенны с КУ 4-6 dBi (кроме DAP-2310).

В связи с особенностями представленной схемы, в числе требований к коммутатору будут:

 

  • наличие абонентских портов со скоростью 1 Гбит/с;
  • поддержка PoE (Power over Ethernet);
  • поддержка технологий;*
  • хорошее соотношение цена/качество.

 

*) К числу технологий, предпочтительных в локальной сети офиса, можно отнести:

1. Loopback Detection (LBD) — технология, позволяющая избежать тяжелых последствий образования петель в физической топологии Ethernet.

 

image

Эта технология проще в настройке, чем STP (Spanning Tree Protocol), позволяет (в отличие от STP) предотвращать логические петли на присоединенных устройствах, которые сами не поддерживают эту технологию, а потому является в малых сетях предпочтительной.

2. DHCP Server Screening — технология, предотвращающая работу нежелательных серверов DHCP (следствие злого умысла, либо, чаще, неправильной конфигурации клиентских устройств).

 

image

3. Smart Binding — привязка IP и MAC адресов клиента к порту вручную администратором, либо по результатам перехвата обмена по DHCP (DHCP Snooping).

image

 

Наиболее полно этим требованиям отвечают коммутаторы серии DGS-1210: DGS-1210-10P/B1 (8 PoE портов) и DGS-1210-28P/C1A (24 PoE порта). Оба коммутатора поддерживают описанные выше технологии и управляются через WEB-интерфейс, Telnet-CLI или специальную утилиту. Они дешевле коммутаторов «провайдерских» серий, но вполне достаточны по функционалу и производительности для сетей малых и средних офисов.

Первое, на что стоит обратить внимание на втором варианте схемы — использование в качестве шлюза межсетевого экрана серии DFL вместо DSR. Строго говоря, эту серию можно использовать и в первой схеме. Серия DFL относится к более профессиональному уровню, по сравнению с DSR. Функциональность устройств серии DFL значительно шире, по сравнению с DSR, в то же время, настройка соответственно сложнее, и требует более высокой квалификации специалиста при настройке и обслуживании/эксплуатации сети. Выбор серии в данном случае зависит от бизнес-критичности офисной сети и готовности предприятия нести затраты на расширенные функции и постоянный мониторинг сетевой инфраструктуры.

 

image

В некоторых случаях к беспроводной офисной Wi-Fi сети предъявляются повышенные требования:

  • расширенная безопасность;
  • быстрый роуминг клиентов беспроводной сети между точками;
  • автоматическая подстройка точек доступа по мощности и частоте (т.е. отказоустойчивость и доступность беспроводной сети);
  • автоматическое обнаружение точек доступа, централизованное управление и мониторинг всеми ТД и беспроводными клиентами сети и т.п.

Тогда вместо автономных точек доступа лучше использовать решение на основе унифицированных точек доступа DWL-x600AP и беспроводных контроллеров. Для малого офиса будет достаточно контроллера DWC-1000, предназначенного для управления шестью точками доступа. В случае значительного разрастания количества беспроводных клиентов, можно увеличить количество поддерживаемых контроллером точек доступа с помощью покупки лицензий (до 24шт). С помощью другой лицензии можно превратить DWC-1000 в VPN-маршрутизатор (с функционалом DSR-1000). Но такой вариант приемлем только для небольших сетей, т.к. выполнение дополнительных функций приведет к перераспределению производительности устройства.

Точки доступа DWL-x600AP также могут работать в автономном режиме, без контроллера. Т.е. возможна такая схема поэтапного расширения беспроводной сети: покупка точек доступа > покупка контроллера > покупка дополнительных лицензий для расширения функционала контроллера.

Опционально в структуре сети скорее могут (а в современном офисе скорее всего должны) присутствовать системы хранения данных (сетевой дисковый накопитель), IP-видеонаблюдения, IP-телефонии. Однако их грамотное построение требует более детального рассмотрения. В рамках этой статьи ограничимся тем, что данные системы используют существующую локальную сеть и ее ресурсы для передачи данных. А значит это количество дополнительных хостов (телефонов, камер и т.д.) также нужно учитывать при выборе оборудования.