В прошлой статье «Организация сети мини-офиса: решения, технологии и оборудование» было предложено несколько вариантов построения локальной сети для небольшого количества пользователей (до 20 человек). В продолжение будут даны рекомендации сети на оборудовании D-Link для большего количества подключений.
Для управления локальной сетью и доступа в Интернет используется маршрутизатор. Если количество хостов от 20ти и выше, то следует использовать как минимум роутер DSR-500. Старшее устройство из линейки унифицированных роутеров - DSR-1000 - станет еще лучшим выбором. Особенно если число пользователей составляет 30 и более (или же такое расширение штата планируется в будущем). При жестком ограничении бюджета можно применить в качестве маршрутизатора и DSR-250 (примерная схема построения сети описана в предыдущей статье). Но в этом случае стоит быть готовым к проблемам с производительностью и некоторой ограниченностью функционала по сравнению с DSR-500/1000.
Между собой DSR-500 и DSR-1000 отличаются только производительностью (частота процессора и количество оперативной памяти). Все остальное – функционал и количество интерфейсов - практически идентично. Какие преимущества, кроме производительности, дает использование именно этих устройств по сравнению с линейкой DIR или DSR-150/250?
- Прежде всего, это наличие двух Ethernet WAN портов, которые позволяют задействовать второй канал связи как одновременно с основным (балансировка нагрузки), так и в качестве резервного (в младших моделях можно было настроить только 3G в качестве резервного).
- Возможность задействовать VLAN на портах (до 5 одновременно). В том числе, доступ к USB-ресурсу (принтеру, флешке), можно дать по признаку принадлежности к VLAN.
- Увеличенное количество правил Firewall (600 штук против 25 в линейке DIR).
- Возможность создавать пользователей и группы пользователей, используя внутреннюю базу данных или внешнюю авторизацию.
- Динамическая маршрутизация (RIP, OSPF).
- Более широкий выбор VPN подключений – IpSec, OpenVPN, SSL VPN, PPTP&L2TP Server&Client, GRE. Возможность создавать резервный IpSec туннель через резервный WAN интерфейс.
- Встроенные в прошивку IPS сигнатуры.
Существуют маршрутизаторы DSR-500N и DSR-1000N, обладающие точно таким же функционалом, что и DSR-500 и DSR-1000 плюс встроенной точкой доступа Wi-Fi 802.11a/b/g/n, которая позволяет организовать до 4 беспроводных сетей на одном устройстве. Им можно не только присвоить разные имена и параметры безопасности, но и осуществить привязку к разным VLAN. Однако использование маршрутизатора со встроенным Wi-Fi для нашей задачи менее оправдано, чем для мини-офиса. Во-первых, вряд ли 20-30-40 сотрудников размещаются на такой же площади, что и 10-15. Помещение будет больше или же это несколько помещений, возможно находящихся на некотором удалении друг от друга. В таком случае, беспроводные клиенты, находящиеся далеко от маршрутизатора, не только сами будут иметь проблемы со скоростью, но и создавать такие же проблемы беспроводным клиентам, которые находятся рядом с маршрутизатором (почему так - изучаем особенности технологии Wi-Fi). Второй аргумент против: обработка запросов от беспроводных клиентов занимает вычислительные ресурсы маршрутизатора, а их в DSR-500N/1000N, как мы помним, столько же, как и в DSR-500/1000. Поэтому разумнее будет выбрать маршрутизатор без Wi-Fi и несколько точек доступа серии Air Premier.
К внутриофисным точкам этой серии относятся: DAP-2310, DAP-2360, DAP-2590, DAP-2690, DAP-2695 (устаревшие модели перечислять не будем). Их преимущества:
- гигабитные порты Ethernet с поддержкой PoE (кроме DAP-2310);
- поддержка Multiple SSID и VLAN (до 8 шт.);
- гибкие возможности по управлению (AP Array - до 8 шт. одной модели, AP manager 2 - сотни точек разных моделей одновременно), веб-интерфейс, командная строка;
- поддержка двух диапазонов Wi-Fi одновременно (DAP-2690 и DAP-2695);
- корпус plenum rated (кроме DAP-2310);
- внешние съемные антенны с КУ 4-6 dBi (кроме DAP-2310).
В связи с особенностями представленной схемы, в числе требований к коммутатору будут:
- наличие абонентских портов со скоростью 1 Гбит/с;
- поддержка PoE (Power over Ethernet);
- поддержка технологий;*
- хорошее соотношение цена/качество.
*) К числу технологий, предпочтительных в локальной сети офиса, можно отнести:
1. Loopback Detection (LBD) — технология, позволяющая избежать тяжелых последствий образования петель в физической топологии Ethernet.
Эта технология проще в настройке, чем STP (Spanning Tree Protocol), позволяет (в отличие от STP) предотвращать логические петли на присоединенных устройствах, которые сами не поддерживают эту технологию, а потому является в малых сетях предпочтительной.
2. DHCP Server Screening — технология, предотвращающая работу нежелательных серверов DHCP (следствие злого умысла, либо, чаще, неправильной конфигурации клиентских устройств).
3. Smart Binding — привязка IP и MAC адресов клиента к порту вручную администратором, либо по результатам перехвата обмена по DHCP (DHCP Snooping).
Наиболее полно этим требованиям отвечают коммутаторы серии DGS-1210: DGS-1210-10P/B1 (8 PoE портов) и DGS-1210-28P/C1A (24 PoE порта). Оба коммутатора поддерживают описанные выше технологии и управляются через WEB-интерфейс, Telnet-CLI или специальную утилиту. Они дешевле коммутаторов «провайдерских» серий, но вполне достаточны по функционалу и производительности для сетей малых и средних офисов.
Первое, на что стоит обратить внимание на втором варианте схемы — использование в качестве шлюза межсетевого экрана серии DFL вместо DSR. Строго говоря, эту серию можно использовать и в первой схеме. Серия DFL относится к более профессиональному уровню, по сравнению с DSR. Функциональность устройств серии DFL значительно шире, по сравнению с DSR, в то же время, настройка соответственно сложнее, и требует более высокой квалификации специалиста при настройке и обслуживании/эксплуатации сети. Выбор серии в данном случае зависит от бизнес-критичности офисной сети и готовности предприятия нести затраты на расширенные функции и постоянный мониторинг сетевой инфраструктуры.
В некоторых случаях к беспроводной офисной Wi-Fi сети предъявляются повышенные требования:
- расширенная безопасность;
- быстрый роуминг клиентов беспроводной сети между точками;
- автоматическая подстройка точек доступа по мощности и частоте (т.е. отказоустойчивость и доступность беспроводной сети);
- автоматическое обнаружение точек доступа, централизованное управление и мониторинг всеми ТД и беспроводными клиентами сети и т.п.
Тогда вместо автономных точек доступа лучше использовать решение на основе унифицированных точек доступа DWL-x600AP и беспроводных контроллеров. Для малого офиса будет достаточно контроллера DWC-1000, предназначенного для управления шестью точками доступа. В случае значительного разрастания количества беспроводных клиентов, можно увеличить количество поддерживаемых контроллером точек доступа с помощью покупки лицензий (до 24шт). С помощью другой лицензии можно превратить DWC-1000 в VPN-маршрутизатор (с функционалом DSR-1000). Но такой вариант приемлем только для небольших сетей, т.к. выполнение дополнительных функций приведет к перераспределению производительности устройства.
Точки доступа DWL-x600AP также могут работать в автономном режиме, без контроллера. Т.е. возможна такая схема поэтапного расширения беспроводной сети: покупка точек доступа > покупка контроллера > покупка дополнительных лицензий для расширения функционала контроллера.
Опционально в структуре сети скорее могут (а в современном офисе скорее всего должны) присутствовать системы хранения данных (сетевой дисковый накопитель), IP-видеонаблюдения, IP-телефонии. Однако их грамотное построение требует более детального рассмотрения. В рамках этой статьи ограничимся тем, что данные системы используют существующую локальную сеть и ее ресурсы для передачи данных. А значит это количество дополнительных хостов (телефонов, камер и т.д.) также нужно учитывать при выборе оборудования.
