我正在为公司的新办公空间规划网络。我不是专家,所以我想提出我的计划,并请大家好心地告诉我是否在哪里以及在哪里犯错误。

假设:


办公室占地300平方米,位于一楼,墙壁大部分为干墙。 />我们是一家移动应用公司,因此在我们的开发团队和测试人员之间,我们需要为200多种设备(主要是智能手机)提供无线支持。多个无线网络(至少内部和来宾)
站点服务器上没有(除了在本地运行一些用于开发和测试的开发人员)。
所有代码,文档,生产服务器等都是云。 (我们将Dropbox用于备份,将Atlassian用于JIRA和confluence,将BitBucket用于存储库,将S3用于服务器,等等)苹果(网卡全部为10/100/1000)

我当前的计划:


每个工作站2个LAN分支,应将CAT5e接线至配线架,大约100个终端。
调制解调器-Cisco887。它包含在ISP的软件包中。
路由器/防火墙-运行pfSense的Soekris 6501(http://soekris.com/products/net6501.html)
交换机(有线)-HP 2510-48G,完全托管的L2,千兆位。我将从一个开始,仅连接正在使用的工作站。如果需要更多,我可以添加更多。
带有几个无线访问点的无线控制器。
在路由器上设置所有LAN。
将有线交换机中继到路由器并使用有线交换机作为哑交换机
将无线控制器连接到路由器,使其在物理上与主LAN分离。


对于Soekris,有很多选择(RAM,CPU)。我可以基本使用吗?还是需要高端选项?
对于无线设置,我不完全了解使用无线控制器和无线访问方式之间以及何时使用的区别点。我需要一个,一个都不需要吗?我已经花了很多时间阅读和与人们交谈,但我仍然不知道该怎么办。或Netgear ProSafe 16-AP无线管理系统以及Cisco或Netgear接入点。两种控制器的价格都在1000美元左右,而且似乎做同样的事情。有重要区别吗?
关于接入点,我也很困惑。 Netgear具有WNDAP350和WNDAP360。同样,我不明白这里的区别。
通过将交换机中继到路由器真的可以真正受益吗?当我只需要铲子时,我是否计划过挖土机?

评论

所有这一切的预算额是多少?听起来像是向低端倾斜,您的预算可能会迫使您无法实现理想的解决方案。

您是正确的,我倾向于低成本。我仍然需要整理一份最终的购物清单,并提交给首席执行官,以进行预算批准。没有给出初始预算。显然,花的钱越少越好,但他知道自己需要支付稳定的费用。我猜这并不少见。 :)

有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。

#1 楼

有几点想法。如果需要,我可以详细介绍其中的任何一个。

-在无线方面,有两种计划方法。一个用于覆盖,另一个用于容量。根据您所描述的设备(容量)和空间(覆盖)的数量,我相信容量将成为更大的决定因素。请记住,无线就像使用老式集线器。每个人都听到。这也意味着一次只能有一个客户端可以与一个AP通信。这不是设备的限制(Cisco vs. Netgear),这是物理介质(空域)的限制。由于您正在为仅支持单个流的移动设备进行编程,因此您应该每50个设备计划一个双频AP。如果选择仅支持2.4或5Ghz(例如,相邻办公室的空域问题),则每30个设备计划使用1个AP。如果您遵循当前的计划,并在887上进行所有的L3路由,它将成为内部网络之间路由的任何瓶颈。示例包括:Dropbox的本地复制,智能设备和iTunes之间的无线同步,将文件从机器A复制到机器B,对机器进行时间备份等。之所以会出现此瓶颈,是因为任何时候数据都必须从一个网络流向另一个网络(局域网到局域网) ),它将需要从同一100Mb接口进行路由,并且必须先出去然后再返回。这可能没什么大不了的,但是我想提一下,以防万一。

-无线控制器是个好主意。初始设置需要花费一些时间,但是从那时起,部署更多的AP或WLAN变得非常容易。从我的个人经验来看,我对它们一无所知,但是我听说过有关Meraki AP的好消息。这是思科最近购买的基于云的控制器解决方案。为清楚起见,请编辑:我对Meraki解决方案一无所知。我知道有关Cisco无线控制器的很多知识:-)。

-如何为AP供电?您将来打算使用VOIP吗?在考虑是否订购带PoE的交换机时,请同时考虑这两个方面。

-另外,刚注意到的是,您打算在路由器后串联防火墙。这使您在该子网之间路由的计划变得更加复杂。我打算购买L3交换机。这将大大简化部署。

希望有帮助。祝你好运。

评论


Jonathan,关于Cisco 887,我打算将其用作调制解调器,而Soekris盒将完成我的所有路由。进入互联网时,我的速度不会超过100Mb,而Soekris则是千兆位。对于AP,为什么要考虑VOIP?另外,仅当我在交换机而不是控制器上运行AP时,交换机上的PoE才有用。

– SAR622
13年5月29日在21:20



抱歉,关于VOIP,我指的是PoE。如果实施VOIP,电话将需要PoE。 AP将插入交换机,而不是控制器(至少对于思科解决方案而言)。因此,您需要计划为每个AP购买注射器和电源,或者购买支持PoE的交换机。如果是我,我只会购买交换机。我对Soekris盒子不熟悉,但是现在您的计划对我来说很有意义。

–乔纳森·戴维斯(Jonathan Davis)
13年5月29日在21:31



#2 楼


我使用PFSense和M0n0wall运行了与Soekris类似的设备。我可以以相当低的规格通过它们推动大量流量。 (大约100Mbps)
无线控制器为您带来两大好处。首先是集中管理。您可以从一个界面管理所有AP。需要添加SSID吗?简单。将其添加到控制器,它将被推送到AP。第二件事是集中的ACL实施。通常(尽管并非总是如此),无线控制器将流量通过隧道传送回自身,并具有进入企业网络的单个出口点。这样,您就可以在单个位置而不是在AP插入的每个位置应用安全区域之类的东西。它还可以使单个子网用于更大网络中的无线客户端。
由于您的大小网络我建议您研究Ubquiti网络。它们为您提供了基于控制器的网络带来的相同收益,但没有控制器且价格低得多。我已经在各种单一建筑物部署中成功使用了它们。如果您不愿意使用两个选项之一,请选择适合您尺寸的选项。
就规格而言,从技术规格的简要扫描来看,它们几乎是相同的。
您获得的主要好处是能够从不同的VLAN创建不同的出口点。您可以使用路由器为每个VLAN设置不同的子接口。因此,对于您的访客无线网络,您可以将它们放在VLAN 50上,而其他内部客户端在VLAN 10上。然后可以应用关于两个VLAN之间允许的流量的安全策略。

编辑:
从无线角度来看,如果您只有200个设备试图同时访问资源,那么如果只有少数几个AP处理流量,那么您可能会陷入困境。我建议您在完成部署时密切注意使用情况,并查看是否需要为无线基础架构增加密度。现在只有18名员工和移动设备,很难让他们全都推动足够的流量来解决问题,但是随着您的成长,我会密切注意它,以免出现任何问题。一次只有一个客户端可以在无线网络上(每个AP /频率)通话。因此,确保您有足够的可用带宽至关重要。

#3 楼

免责声明:答案似乎来自HP PreSales解决方案架构师。 (在meta上讨论)。

好。我立刻发现了一个问题。您想要使用2510-48G交换机,并且想要WLAN AP。您将如何为那些AP供电?我猜您可以使用电源适配器并将其插入墙上的插座,但您确实希望使用PoE交换机为它们供电。其次,惠普在12月宣布了2530系列,并宣布了2510系列的停产。

因此,作为HPN PreSales解决方案架构师,我的建议是:


您也可以将Cisco 877用作本地路由器。它只有到局域网的4x100Mb连接。如果您的ISP提供仅有线服务,则还要调查其他路由器。 Cisco 877现已停产,并且不再出售。惠普拥有带4个GbE上行链路的MSR930系列和一个嵌入式防火墙。
无线。首先考虑覆盖率与容量。您需要200台设备进行连接,但如今仅需要18台用户。因此,假设并非所有设备都一次都在网络上,那么您可能可以摆脱群集AP的困扰。这允许单个AP也可以控制其他AP。在HP,您可以查看M220接入点,其中最多可以将10倍的AP控制为一个。
如果要使用托管WLAN解决方案,是否考虑过MSM720 WLAN控制器?终身保修并支持多达40倍的AP(开箱即用),然后使用MSM430接入点
在WNDAP360的Netgear页面上查找,似乎唯一的区别是,“易于吊装/壁式安装”。它没有提到双空间流,因此我假设每个无线电的最大支持为150Mbps。

定义中继?假设您是指链路聚合,而不是针对同一链路上的多个VLAN的思科术语?如果其中一个链接发生故障,链接聚合可提供更高的性能和更大的弹性。
不。记住,归根结底,无论您提供什么,都必须权衡这将使我赚钱吗?会为我省钱吗?会降低我们的风险吗?您必须权衡彼此。


评论


哦,别忘了,您真的应该密切注意监视和管理任何规模的任何网络。

–杰兹
13年5月29日在18:07

您提出的集群AP的建议听起来不错,而且几乎无法实现。大型,易于管理的wifi网络,无需控制器。这意味着第一个连接到我的交换机或路由器,其余的在物理上独立,但是扩展了我的网络,当我添加更多AP时,扩展了网络的承载能力。我说对了吗?这会不会造成无线流量的瓶颈?

– SAR622
13年5月30日在8:49



#4 楼

无线控制器旨在协调接入点的射频,并使客户端能够在接入点之间漫游。您可以查看Cisco设计专区以帮助您进行设计。

评论


因此,我将AP连接到无线控制器还是将它们都并行连接到交换机?

– SAR622
13年5月30日下午3:50

在大多数情况下,不需要直接连接。他们只需要与控制器连接即可。交换机内置有Cat 3850作为控制器功能。它确实需要直接连接AP。

– henklu
13年5月31日在18:45

#5 楼

就我个人而言,我不会使用简单的WPA2,而是使用EAP,并且还要确保不允许客户端之间进行通信。

#6 楼

我赞同bigmstone对于您的WLAN的Ubiquiti Networks的建议。我已经将它们部署在多个站点上,并且它们确实运行良好。它们提供了多种版本,但是我真的推荐UAP-PRO,因为它使用的是真正的802.3af(与低端型号中的被动POE相比)(请参见此处的区别)
如果您使用普遍存在的AP,您也可以想看看他们的EdgeSwitch。它支持802.3af POE和被动POE(正如我提到的那样,它们使用更便宜的AP。)对被动POE的支持非常棒,因为那样就不需要所有那些笨拙的POE适配器。
像bigmstone所说的,则不需要控制器即可使用AP,但确实需要一个控制器来初始设置AP。幸运的是,该控制器软件是免费的并且非常易于使用,如果您有雄心勃勃,对于便宜的永久控制器,Raspberry Pi可以很好地工作!

#7 楼

您需要有线网络(以太网交换机)和无线网络以及安全设备/多层网关(ALG)。 ISP / WAN是以太网切换。
BYOD,LAN管理,IPS / NGFW
基于控制器的WLAN已过时。 br />获得Meraki MX100,Cisco WS-C2960X-48TS-LL和3个Meraki MR32 AP。

评论


“基于控制器的WLAN已过时。”真?因此,没有人(如Cisco)出售,制造商或计划发布新的控制器平台吗? Meraki有其优势,但作为解决方案它也存在一些严重的缺陷,我个人不会将其安装在今天的位置。

– YLearn♦
2015年5月31日下午4:35

基于控制器的架构,即LWAPP / CAPWAP隧道,已经过时了-特别是当考虑到802.11ac(千兆无线)的规划和设计以及需要L7可见性的高级功能时。您会发现需要一种新的体系结构,即将控制平面和数据平面真正分离的SDN风格的系统(例如Meraki)。请确保在看到曙光的时候再次放弃您的投反对票。

–罗尼·罗伊斯顿(Ronnie Royston)
2015年5月31日15:41

因此,假设控制器无法提供L7可见性或SDN功能?而且Meraki提供了基于控制器的解决方案的全部功能吗?抱歉,暂时无法看到该图像。

– YLearn♦
2015年6月1日在1:31



在Cisco Clean Access上阅读。为什么他们要求客户安装昂贵的3850交换机?终止本地的CAPWAP隧道。为什么?您是否曾经做完作业并考虑过?

–罗尼·罗伊斯顿(Ronnie Royston)
2015年6月1日,下午1:57

刚刚使用Cisco Clean Access 802.11ac AP实现了100多个AP PoC。完全不需要3850交换机。有运行3850的理由,但不是必需的。而且Meraki的年度运营成本如此便宜吗?这不是讨论的论坛,我对许多供应商的无线解决方案都很精通,因此您不太可能说服我Meraki是无线的未来,因为我知道很多缺陷。

– YLearn♦
2015年6月1日3:00,