Добрый день.
Нужна помощь практиков, которые работают со средними сетями.
Есть сеть, в ней примерно 300 камер, 150 компьютеров, 100 ip телефонов, 50 принтеров, 30 серверов и непонятной кучи смартфонов в гостевой сети. Все это хозяйство обслуживает порядка 30 коммутаторов (Mikrotik + TPLINK) и 40 точек доступа. Сеть построена по принципу "Роутер на палке". Везде, где только можно, 10 Гбит аплинки. Собственно все сводиться к CRS326-24S+2Q+RM в который воткнут CCR1009-7G-1C-1S+. За интернет отвечает отдельная железяка. CCR1009 держит сейчас около 30 вланов и является DHCP-relay для двух серверов на Windows, который раздают DHCP. В целом все работает, но постоянно присутствуют некоторые глюки:
1. Устройства APPLE периодически не получают адреса. Решилось переносом DHCP сервера для них на CCR
2. Остальные устройства выборочно тупят с получением адресов
3. Периодически Микротики дурят в плане RSTP (заваливают друг друга луббеками).
Если сервер с DHCP воткнуть в сеть напрямую, без relay-глюки исчезают...
Но вопрос не про это, а про то, что можно поставить в центр этой сети?
1. Роутер или коммутатор (c HW offload)?
2. Какой именно?
Что пробовали - есть CRS317 (очень древний, один из первых). На нем был глюк с периодическими падениями линков, по гарантии исправить это не успели. Пробовали его на ROS 7 поставить в цент- откровенно тупил и тормозил
Пробовали ставить CRS326-24G-2S+ -- работал вроде стабильно. При этом CRS328-24P-4S+ подглючивал иногда.
Собственно что хотим от железки
1. Маршрутизацию между VLAN (30-50 подсетей)
2. Правила запрета и разрешения между сетями. Ну и запрет выхода в интернет (трафик на другую железку, по сути отдельный VLAN)
3. DHCP Relay. Не глючный. Стабильно работающий
4. Резервирование данного устройства. Через VRRP или как-то еще. Т.е. если "центр сети" упал- в соседнем здании должен стоять "близнец"
5. Хотелось бы видеть трафик между сетями в районе 5-10Гбит. Сейчас сервер для бекапов сидит в той же подсети, что и сервера с данными. (Имеется ввиду общий трафик через устройство. Т.е. всего 10 Гбит/с. Можно больше но и так хорошо).
На CCR1009 никаких правил пока нет, загрузка процессора минимальная...но планировали немного поменять топологию сети.
Вообще Микротик с такой задачей справиться может, или нужно на других вендеров смотреть? Или перестраивать топологию и делать не один центр сети а кучу мелких центров?
Спасибо.
Устройство на центр сети
-
MikhailO
- Сообщения: 18
- Зарегистрирован: 16 апр 2019, 10:26
-
Erik_U
- Сообщения: 1833
- Зарегистрирован: 09 июл 2014, 12:33
30-50 сетей с трафиком 5-10Гбит между ними?
Cisco 7000!
У самого производительного роутера микротик пропускная способность ядра 100 ГБит/с
Cisco 7000!
У самого производительного роутера микротик пропускная способность ядра 100 ГБит/с
-
MikhailO
- Сообщения: 18
- Зарегистрирован: 16 апр 2019, 10:26
Имелся ввиду общий трафик. Не 50*10Гбит а всего 10 Гбит на всех.
-
Erik_U
- Сообщения: 1833
- Зарегистрирован: 09 июл 2014, 12:33
У микротика под ваши условия 2 ядра:
CCR2116
результаты тестов:
https://mikrotik.com/product/ccr2116_12 ... estresults
или CCR2004, он дешевле
смотрите результаты тестов.
Количество правил и размер пакетов сильно влияют на пределы
https://mikrotik.com/product/ccr2004_1g ... estresults
сравните с предыдущим
CCR2116
результаты тестов:
https://mikrotik.com/product/ccr2116_12 ... estresults
или CCR2004, он дешевле
смотрите результаты тестов.
Количество правил и размер пакетов сильно влияют на пределы
https://mikrotik.com/product/ccr2004_1g ... estresults
сравните с предыдущим
-
gmx
- Модератор
- Сообщения: 3350
- Зарегистрирован: 01 окт 2012, 14:48
А я бы выбрал решение на базе x86.
Не уверен, что ROS здесь вообще уместна, но производительность на базе x86 будет ого-го!
Вот только, проблема как купить лицензию?
Не уверен, что ROS здесь вообще уместна, но производительность на базе x86 будет ого-го!
Вот только, проблема как купить лицензию?
-
MikhailO
- Сообщения: 18
- Зарегистрирован: 16 апр 2019, 10:26
Про x86 думали....
Сейчас сеть хотят привести в порядок (чтобы соответствовала требованиям закона о ПД). Возможно придется на центр ставить "сертифицированную" железку х86 с "правильной" ОС....
Т.е. я правильно понял что коммутатор с ROS7 и HW-offload даже не рассматривать?
Сейчас сеть хотят привести в порядок (чтобы соответствовала требованиям закона о ПД). Возможно придется на центр ставить "сертифицированную" железку х86 с "правильной" ОС....
Т.е. я правильно понял что коммутатор с ROS7 и HW-offload даже не рассматривать?
-
Erik_U
- Сообщения: 1833
- Зарегистрирован: 09 июл 2014, 12:33
Если вы говорите об аттестованной информационной системе и соответствующей требованиям системе ИБ, то средства защиты информации могут использоваться только сертифицированные.MikhailO писал(а): ↑27 май 2024, 15:54 Про x86 думали....
Сейчас сеть хотят привести в порядок (чтобы соответствовала требованиям закона о ПД). Возможно придется на центр ставить "сертифицированную" железку х86 с "правильной" ОС....
Т.е. я правильно понял что коммутатор с ROS7 и HW-offload даже не рассматривать?
Межсетевой экран - средство защиты информации.
Выбирайте тут:
https://reestr.fstec.ru/reg3
-
MikhailO
- Сообщения: 18
- Зарегистрирован: 16 апр 2019, 10:26
Спасибо за ссылку.
И все-таки для себя- имеет ли смысл смотреть на коммутаторы Mikrotik c HW-Offload?
И все-таки для себя- имеет ли смысл смотреть на коммутаторы Mikrotik c HW-Offload?
-
Erik_U
- Сообщения: 1833
- Зарегистрирован: 09 июл 2014, 12:33
у микротиков нет российской сертификации по ИБ.
Если нужно именно сертифицированное решение - микротики не помогут.
Если нужно именно сертифицированное решение - микротики не помогут.
-
MikhailO
- Сообщения: 18
- Зарегистрирован: 16 апр 2019, 10:26
Это понятно. Ну а если сертификация по ИБ не будет нужна- что бы можно было поставить на такую задачу? Свич или роутер? И если свич -то какой? С роутерами более-менее понятно...