Switch, layer 2 eller layer 3

Vill dubbelkolla en sak innan storbeställning.

För att styra så att allt som ansluter till en viss port i switchen enbart har internetanslutning men inte tillgång till övriga nätverket så krävs en "layer 3"-switch?

Idag så surfar kunderna på samma nätverk som resten av företagets uppkopplade prylar. Jag hade föredragit att ha dubbla accesspunkter överallt och ställa in så att accesspunkten för kunderna enbart tar sig ut på internet med begränsningar medan personalens accesspunkt kommer åt internet + företagets funktioner. Och vad jag läst mig till så är det layer 3 som gäller då.

Vi har redan dubbla accesspunkter på samtliga anläggningar så den biten är inget problem. Accesspunkterna är från Ubiquiti (Nanostation). Jag kan förvisso vara dålig på att leta men jag hittade inget om gästnätverk i dem (vilket t.ex min D-link hemma har) så därför föreslog jag för chefen att vi byter ut de billiga D-link-switcharna mot mer konfigurerbara diton där jag kan styra nätverket och riktigt avskärma kunderna från företagets interna nät.

Angående brandvägg så har vi även en Cisco ASA5505 liggandes på grund av ett felköp för några år sedan. En router med VPN-funktion (och högre prestanda än Netgears FVS338) skulle inhandlas och då dök dessa upp på Dustin under fel kategori så den köptes då in i tron om att den skulle kunna ersätta Netgear-routern.

Så min tanke nu var att byta ut samtliga switchar mot t.ex CISCO SG300-20, låta en av switcharna agera router och stoppar då in den dammiga Cisco-brandväggen så borde säkerheten öka en del mot nuvarande budgetswitchar från D-link/Netgear och en stackars FVS338 som nu sköter om router- och brandväggsfunktioner.
5 fastigheter med 1 internetuppkoppling och internt nätverk (fiber) mellan samtliga fastigheter och möjlighet med gbit hela vägen.

Jag kanske har snöat in mig och blivit lurad, men min uppfattning/erfarenhet är att Cisco är lite av nätverkens Rolls Royce jämfört med t.ex D-link, HP eller Netgear.

Angående att hyra in en nätverkstekniker så är det väl egentligen jag som ska anses vara en sådan. Problemet är bara det att jag har inte behövt jobba med datorer och nätverk på väldigt många år, så det jag hade från skolbänken (IT-tekniker) har delvis försvunnit i allt industrijobb och entreprenadarbete. Jag behövde inte ens anstränga mig de första åren då jag jobbade här då allting redan var fixad av någon självutnämnd expert (tycker ni att jag saknar kunskap så vettefasen vad han hade för kunskaper som inte ens hade sett till att alla datorer hade uppkoppling).
Jag började bara rota lite i detta nu då jag anser att bland annat säkerheten inte har varit något vidare (finns en äldre tråd om det) och dels för att en helt ny anläggning håller på att byggas och att jag då får ansvara över allt inköp av elektronik dit och tänkte passa på att byta ut andra delar av nätverket.
Så jag borde som sagt kunna det här men känner att jag behöver en spark i rätt riktning.

Gällande kostnader så får saker ibland kosta vad de kosta vill och de spelar då ingen roll om det blir dubbla kostnader.
IT-avdelningen är å andra sidan inte en stor del av verksamheten. Utrustningen vi har kostar kanske 100 000 totalt.

Tja, utgångsfrågan handlade ju kort och gott om jag tänkte rätt angående layer 3-switch eller om det faktiskt räckte med layer 2 för just det ändamål jag skulle ha dem till.
Får jag sen svar där funktionen har missuppfattats så känner åtminstone jag att en någorlunda mer utförlig förklaring behövs. Jag skriver ner lite om hur det ser ut idag och eventuella tankar om vad jag tänkt göra med företagets IT-infrastrukturen i framtiden. Lite som att fråga hur mycket mjöl det ska vara i en bulldeg baserad på en liter mjölk och svaret på detta blir att jag ska gå och köpa färdiga bullar av en bagare och gärna lite mockarutor också eftersom att det blir billigare och enklare än att baka själv. Jag menar, jag kan baka men har inte gjort det på 10 år så jag har glömt bort mängden av en ingrediens och ska då istället överlåta arbetet till någon annan. Det känns lite knepigt sätt att hantera det på.

Nu kanske det inte spelar så stor roll då jag redan fått svar på frågan av bland annat =JoNaZ=, men för sakens skull då:

Företaget är uppdelat i 5 fastigheter där fastigheterna är sammanlänkade med fiber och samtliga ansluter till en huvudbyggnad. I huvudbyggnaden finns två fiberlinor som ansluter till varsin port - WAN och LAN - och den biten sköts av Umeå Energi/Umenet och det kan vi såklart inte styra.
I varje fastighet så ansluter ett par kunder för att komma åt tjänster såsom Spotify när de tränar. Precis just nu i skrivande stund (08:10 på morgonen) så är det 20 aktiva DHCP-lån där då även företagets, för närvarande, aktiva datorer är inräknat. Det handlar inte om någon större mängd och just nu börjar lågsäsongen så antalet krymper. Jag garderar mig dock för att det kan öka när fler får tag på lösenordet.
Kunderna ansluter till en accesspunkt och personalen en annan vid behov och dessa accesspunkter går såklart att byta ut, men eftersom att de har funkat klanderfritt i några år så har ingen brytt sig om dem.

Flera delar av detta nätverk, inklusive servrar och klienter, har jag INTE varit med och påverkat. Så jag har mer eller mindre kommit in i ett lekrum för barn där det ligger leksaker överallt. Och istället för att bara ta in en traktor och styra bort allting och börja om från början så har jag fått, när tid finns över, gå igenom leksakerna och se vad som är "Ö&B-kvalité", vad som faktiskt går att nyttja och vad som inte behövs alls. Just nu hamnade nuvarande switchar i "Ö&B"-avdelningen så därav startade jag en tråd om funderingen.