Контролируемый сегмент сети на базе MikroTik

Обсуждение на тему выбора оборудования
Ответить
Аватара пользователя
.
Сообщения: 4
Зарегистрирован: 16 июл 2018, 14:51

Порекомендовали взять MikroTik, из недорогих вариантов присмотрел роутер MikroTik hAP lite classic (RB941-2nD). В описании сказано, что есть поддержка межсетевого экрана (FireWall), но какими средствами это будет реализовано и насколько гибко - нет информации.
В организации есть корпоративный DHCP/DNS, и к нам в корпус заходят два 100Mbit'ых линка (2xLAN), а дальше планирую развести через указанный роутер. В наличии еще имеются 2 8-портовых 100Mbit'ых DLink свитча.
Хотелось бы реализовать посредством MikroTik RB941-2nD следующие цели:
1) для сотрудников корпуса настроить доступ в Интернет по MAC/IP/Login с применением белых/черных списков для контента (фильтры по IP/DNS для сайтов)
2) управлять доступом извне к портам "внутренних" рабочих станций/виртуальных хостов, дислоцирующихся в нашем корпусе
3) настроить балансировку траффика на этих двух линках (2xLAN), или если есть смысл вообще объединять эти два линка и можно ли это сделать вообще
Первоначальная идея - подключить на первые 2 порта роутера эти два линка, а на остальные повесить свитчи и за ними уже рабочие станции и виртуальные машины.
Одно из основных условий - это проброс IP адресов/возможность регистрации новых хостов нашей сети у корпоративного DHCP-сервера.
Т.е. по сути есть внешняя сеть (другие корпоративные рабочие станции и выход в Интернет) и наша сеть, к которой я хочу ограничить доступ из первой сети, а также ограничить доступ в первую сеть из нашей сети (доступ на посещение Интернета и доступ к определенным корпоративным сервисам).
Немного сумбурно получилось описать ситуацию, чтобы задать пару простых вопросов: позволит ли мне это устройство реализовать мои задумки, и возможно ли это сделать без перепрошивок и прочих трудоемких манипуляций с устройством? т.е. вариант из коробки - купил, установил, настроил через WinBox и все работает

P.S. в описании устройства фигурирует некая табличка по производительности, может кто ее прокомментировать, как оценивать приведенные критерии?

Изображение


vqd
Модератор
Сообщения: 3600
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Судя по описанию задачи вам надо смотреть начиная с RB3011

Для эксперементов можите воткнуть CHR и поковырять


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
.
Сообщения: 4
Зарегистрирован: 16 июл 2018, 14:51

Скажите, а достижение первой цели: "для сотрудников корпуса настроить доступ в Интернет по MAC/IP/Login с применением белых/черных списков для контента (фильтры по IP/DNS для сайтов)" возможностей и мощностей выбранного роутера хватит?


vqd
Модератор
Сообщения: 3600
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну смотря как вы это реализовывать будите. Если тупо по ИП блокировтаь то хватит (опять же от кол-ва зависит), а вот если вы собираетесь контент анализировать...


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
.
Сообщения: 4
Зарегистрирован: 16 июл 2018, 14:51

vqd писал(а): 16 июл 2018, 17:30ну смотря как вы это реализовывать будите. Если тупо по ИП блокировтаь то хватит
да хотя бы по IP-DNS, больше интересует вариант с белыми списками, желательно с наличием настройки по временному графику (т.е. с 8 до 12 рабочий белый список, в обед разрешить в ютубчике шариться, с 13 до 18 опять рабочий список, чтобы не отвлекались)
vqd писал(а): 16 июл 2018, 17:30опять же от кол-ва зависит
что имеется ввиду под "от количества зависит"? в данном случае кол-во чего имеется ввиду? пользователей? или перечня блокируемых IP-DNS? длину списка сложно спрогнозировать, он будет со временем расширяться судя по всему, активных пользователей не так много (3-5), хостов тоже порядка 5 +/- виртуальные поднимаются исходя из рабочих нужд
vqd писал(а): 16 июл 2018, 17:30 а вот если вы собираетесь контент анализировать...
контент нет, такие шаблоны писать это слишком много времени заняло бы, а у меня его столько нету

и еще забыл упомянуть, есть ли у этой модели возможности ведения логов? какие линки на нем падают/поднимаются, анализ трафика (сколько мб скушал пользователь и на каких ресурсах)?

по роду ответственности мне приходиться отвечать за работу подразделения, и контроль за персонала это не маловажная составляющая в этом, решать такие вещи на обще корпоративном уровне крайне неудобно, с большими временными задержками и не желанием помочь, так что пришла мысль это решить на местном локальном сегменте сети, бюджет можно увеличить в двое по сравнению с указанной моделью.
Последний раз редактировалось . 16 июл 2018, 17:46, всего редактировалось 1 раз.


vqd
Модератор
Сообщения: 3600
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Микротик это набор инструментов и из этого вы лемите чего вам нужно. Надо подсчет трафика по юзеам - делаете, нужны логи - делаете и т.д.


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
.
Сообщения: 4
Зарегистрирован: 16 июл 2018, 14:51

vqd писал(а): 16 июл 2018, 17:46 Микротик это набор инструментов и из этого вы лемите чего вам нужно. Надо подсчет трафика по юзеам - делаете, нужны логи - делаете и т.д.
т.е. если куплю эту модель роутера (RB941-2nD) она позволит мне все это? или мне потребуется еще чего докупать?


vqd
Модератор
Сообщения: 3600
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

на всей линейки роутеров микротик одна и та же ОС (функционал одинаковый) Отличаются по сути производительностью и набором портов


Есть интересная задача и бюджет? http://mikrotik.site
Jukilo
Сообщения: 38
Зарегистрирован: 07 июн 2018, 11:33

. писал(а): 16 июл 2018, 17:48
vqd писал(а): 16 июл 2018, 17:46 Микротик это набор инструментов и из этого вы лемите чего вам нужно. Надо подсчет трафика по юзеам - делаете, нужны логи - делаете и т.д.
т.е. если куплю эту модель роутера (RB941-2nD) она позволит мне все это? или мне потребуется еще чего докупать?
Позволит, но если у вас большие объемы трафика или будет много сложных фильтров(l7, content), то роутер может начать потеть. В любом случае вы можете взять 941 - протестировать на нем все что нужно(с небольшим числом клиентов), если понравится, то перенести конфиг на более дорогой роутер, если не понравится, то всего 20$ потеряете.


Ответить