Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd

Nätverksdesign modell (mellan)stor

1
Skriv svar
Permalänk
Medlem

Nätverksdesign modell (mellan)stor

Känner att jag behöver ett bollplank för mitt nästa projekt, ett nätverk för en skola, så hoppas på lite input ifrån er med mer erfarenhet. Var några år sedan jag tog en Cisco-kurs senast, och har inte jobbat mycket med nätverk efter det :/

Bakgrund:
Avlämningspunkt finns i fastighet A.
Fiber draget från fastighet A till fastighet B
Inget dragit till fastighet C.

Kriterier:
Filserver som ska gå att komma åt från internet med inloggning.
Skrivare + AppleTVs som ska gå att komma åt från alla fastigheter.
Ett separat gästnät där inga AppleTVs/skrivare går att komma åt.

Gästnät
Det som jag känner att jag inte riktigt har koll på är hur gästnätet ska fungera. Kommer bara dra en kabel till varje fastighet, är det möjligt att lösa det ändå?
I byggnad B finns idag ett antal UniFi AP som har möjlighet att sätta upp ett gästnät. Det är ju dock A och O att man kan köra något slags QoS och prioritera all trafik på "huvudnätet" före gästnätet, samt att gästnätet inte har tillgång till skrivarna/appleTVs, och jag är inte helt 100 på hur det ska fungera..(någon med mer erfarenhet?)
Skulle det kanske fungera att sätta en separat router i varje fastighet som är dedikerat till gästnätverket och sätta trafik limit i "huvudroutern" i fastighet A? Det ända frågetecknet då är huruvida servrarna är oåtkomliga då eller ej.

Fastighet C
Vad är bästa sättet att få en uppkoppling till fastighet C? Är ca 5 meter asfalterad yta mellan A och C, med inga rör emellan afaik. Har tidigare hängt en vanlig TP-kabel i en vajer rakt emellan, men den togs ner av okänd anledning för några år sedan. Är detta en hållbar lösning (fast med en fiberkabel), eller ska man satsa på en trådlös brygga? Är lågstadieskola/dagis/förskola i C, så kan inte tänka mig att latency och hastighet är överdrivet prioriterat.

Filservern
De vill ha en filserver för filer med sekretess och eventuellt även backup på vissa datorer. Är det verkligen smart att lägga denna publikt med loggning såsom dom önskar? Det skulle förmodligen fungera, men eftersom det är just sekretess så hade jag hellre lagt den bakom en brandvägg. Men det kanske inte är något större problem..?

Produkter
Allt vad nätverk heter hade jag tänkt satsa på Ubiquiti, eftersom alla verkar hålla med om att de gör väldigt bra grejer till låga kostnader. Inga invändningar där, right? Kan ju passa på att nämna att det inom några år kommer vara ca 250 enheter på det stängda nätet, så lite trafik lär det ju bli på det.

Hade tänkte rita upp min plan i Packet Tracer, men laptopen med programmet installerat är ute på vift Hoppas att ni förstår tankebanorna iallafall.

Men som sagt, gästnätet är mitt största frågetecken, så om någon kan reda ut det så skulle jag bli evigt tacksam.

/oLs

Visa signatur

CPU: Intel i5 2500K @ 4,7GHz Mobo: Asus P8Z68-V
GPU: Asus STRIX 970 RAM: 8GB Corsair Vengence 1600 MHz CL9
PSU: OCZ ModXStream 700W Chassi: NZXT Phantom

Citera så att jag hittar tillbaka!

Redigera
Citera flera Citera
Permalänk
Medlem

Tjena!

Först och främst; bra skrivet med tydliga rubriker, stycken osv.
Mycket bättre än wall of text som man ser från många andra...

Gästnät
Löses väldigt enkelt med VLAN. VLAN är ju virtuella nät och du kan skicka "hur många som helst" i en och samma kabel.
Du sätter upp en router av valfritt slag (t.ex. en gammal dekstop med pfSense, en Cisco ASA eller vad du nu känner för). I brandväggen konfigurerar du två stycken nät; ett primärt nät och ett gästnät. Gästnätet sätter du på ett VLAN, lås oss säga VLAN 20. Vill du göra det ännu snyggare sätter du ditt primära nät på ett VLAN också, typ 10. Sen sätter du all management för switchar etc. på default VLAN 1. På så vis kan du begränsa åtkomst till switchar ute i fastigheterna.

För att få ut gästnätet i alla fastigheter taggar du ut de på de portar där fiberkablarna mellan fastigheterna går (kräver att du har switchar med stöd för VLAN i båda ändar). I varje fastighet sätter du sen upp accesspunkter med stöd för VLAN (Ubiquiti blir hur bra som helst) och konfigurerar två SSID; ett för primärnätet (otaggat eller VLAN 10 eller hur du nu väljer att sätta upp det) och ett för gästnätet (VLAN 20). I brandväggen sätter du sen regler för vad de olika näten får komma åt och inte.

Fastighet C
Jag är väldigt allergisk mot lösa kablar. Dock är det kanske i detta fallet inte försvarbart att gräva upp hela asfalten. Å andra sidan, finns det budget för både gräva och asfaltera om kan det ju vara bra för framtiden att ha rör mellan. Om inte är det väl löst hängande fiber som gäller. Kanske kevlarfiber för extra tålighet?

Filservern
Här finns mängder med alternativ. Linux-kärra med WEB-GUI och synkroniseringsklient som går att komma åt utifrån eller en Windows-kärra och mappa upp nätverksdiskar på klienterna etc. Om det ska vara åtkomligt från Internet eller inte får nästan diskuteras med beställaren. En tydlig policy bör sättas upp för hur företagets filer ska hanteras. Det finns alltid risker med att öppna upp åtkomst utifrån, men med t.ex. VPN och OTP (One Time Password) går det att få det tämligen säkert.

Produkter
Har endast erfarenhet av Ubiquitis och Ciscos accesspunkter, vilka båda fungerar hur bra som helst. Fördelen med Ubiquitis accesspunkter är att en gratis controller (mjukvarubaserad) följer med. Detta är ett "måste" i ditt fall eftersom du enkelt vill kunna skjuta ut samma konfiguration till alla dina accesspunkter. För switchar hade jag valt HP. För switchar ute i fastigheterna bör 1810-serien fungerar ypperligt. Klarar kring 100 användare skulle jag tro och kostar inte mer än att en Svensson skulle ha råd att köpa en. Som huvudswitch bör man nog dock satsa på en lite dyrare HP-switch med mer klös i. Som brandvägg fungerar som tidigare nämnt en gammal desktop med pfSense hur bra som helst eller en Cisco ASA (t.ex. 5512-X - kostar för visso en del men ger bra prestanda) om man vill ha något med garanti.

Lycka till med ditt projekt!
Låter som det kan bli ett väldigt kul projekt att sätta tänderna i!

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Zakire:

Tjena!
Först och främst; bra skrivet med tydliga rubriker, stycken osv.
Mycket bättre än wall of text som man ser från många andra...

Gå till inlägget

Jag vet själv hur det är att försöka hjälpa någon med en WoT, så försökte formulera mig på ett sätt som jag själv hade uppskattat. Kul att du uppmärksammade det!

Skrivet av Zakire:

Gästnät
Löses väldigt enkelt med VLAN. VLAN är ju virtuella nät och du kan skicka "hur många som helst" i en och samma kabel.
Du sätter upp en router av valfritt slag (t.ex. en gammal dekstop med pfSense, en Cisco ASA eller vad du nu känner för). I brandväggen konfigurerar du två stycken nät; ett primärt nät och ett gästnät. Gästnätet sätter du på ett VLAN, lås oss säga VLAN 20. Vill du göra det ännu snyggare sätter du ditt primära nät på ett VLAN också, typ 10. Sen sätter du all management för switchar etc. på default VLAN 1. På så vis kan du begränsa åtkomst till switchar ute i fastigheterna.

För att få ut gästnätet i alla fastigheter taggar du ut de på de portar där fiberkablarna mellan fastigheterna går (kräver att du har switchar med stöd för VLAN i båda ändar). I varje fastighet sätter du sen upp accesspunkter med stöd för VLAN (Ubiquiti blir hur bra som helst) och konfigurerar två SSID; ett för primärnätet (otaggat eller VLAN 10 eller hur du nu väljer att sätta upp det) och ett för gästnätet (VLAN 20). I brandväggen sätter du sen regler för vad de olika näten får komma åt och inte.

Gå till inlägget

Superb, har hört en del om VLAN men aldrig satt upp ett själv. Har grottat ner mig i några guider nu efter att ha läst ditt inlägg, så tror jag förstår hur det fungerar. Kör på 3 VLANs som du säger, man vill ju inte gärna att alla ungar ska komma åt switcharna.

Skrivet av Zakire:

Fastighet C
Jag är väldigt allergisk mot lösa kablar. Dock är det kanske i detta fallet inte försvarbart att gräva upp hela asfalten. Å andra sidan, finns det budget för både gräva och asfaltera om kan det ju vara bra för framtiden att ha rör mellan. Om inte är det väl löst hängande fiber som gäller. Kanske kevlarfiber för extra tålighet?

Gå till inlägget

Jo, är inte heller ett fan av lösa kablar. Ska kolla om det inte finns något rör emellan, men annars blir det nog kevlarfiber. Men det är alltså ingen idé att kolla på en brygga med stöd för VLAN?

Skrivet av Zakire:

Filservern
Här finns mängder med alternativ. Linux-kärra med WEB-GUI och synkroniseringsklient som går att komma åt utifrån eller en Windows-kärra och mappa upp nätverksdiskar på klienterna etc. Om det ska vara åtkomligt från Internet eller inte får nästan diskuteras med beställaren. En tydlig policy bör sättas upp för hur företagets filer ska hanteras. Det finns alltid risker med att öppna upp åtkomst utifrån, men med t.ex. VPN och OTP (One Time Password) går det att få det tämligen säkert.

Gå till inlägget

Jo, precis. Har planerat in ett nytt möte där jag ska komma med lite mer kött på benen, men en VPN låter ju som en möjlig lösning. Eftersom allt annat i skolan är av märket Apple så lät det som att det var ett önskemål till servern också, har du någon erfarenhet av os x server? Min första tanke var att det finns bättre saker att spendera pengarna på, men det är mycket möjligt att de redan har en Mac som man kan använda till det.

Skrivet av Zakire:

Produkter
Har endast erfarenhet av Ubiquitis och Ciscos accesspunkter, vilka båda fungerar hur bra som helst. Fördelen med Ubiquitis accesspunkter är att en gratis controller (mjukvarubaserad) följer med. Detta är ett "måste" i ditt fall eftersom du enkelt vill kunna skjuta ut samma konfiguration till alla dina accesspunkter. För switchar hade jag valt HP. För switchar ute i fastigheterna bör 1810-serien fungerar ypperligt. Klarar kring 100 användare skulle jag tro och kostar inte mer än att en Svensson skulle ha råd att köpa en. Som huvudswitch bör man nog dock satsa på en lite dyrare HP-switch med mer klös i. Som brandvägg fungerar som tidigare nämnt en gammal desktop med pfSense hur bra som helst eller en Cisco ASA (t.ex. 5512-X - kostar för visso en del men ger bra prestanda) om man vill ha något med garanti.

Gå till inlägget

Min magkänsla säger att en 5512-X är uteslutet, så blir nog en hemmasnickrad pfSense isåfall Galet dyrt med brandväggar...
Har du ingen erfarenhet av Ubiqitis routrar/brandväggar/switchar, eller är dessa helt enkelt lite sämre än HPs motsvarighet? Och när du säger dyrare huvudswitch, syftar du typ på 5900 eller någon switch ur 2xxx serien?
Fördelen med Ubiquitis switchar är ju att de har stöd för PoE (och att de är relativt billiga), så man slipper ju allt krångel med PoE-injectors.

Skrivet av Zakire:

Lycka till med ditt projekt!
Låter som det kan bli ett väldigt kul projekt att sätta tänderna i!

Gå till inlägget

Du ska ha stort tack för hjälpen, jag uppskattar det verkligen! Ja, så länge inte allt skiter sig och man slutar som flintis så ska det nog vara kul

Visa signatur

CPU: Intel i5 2500K @ 4,7GHz Mobo: Asus P8Z68-V
GPU: Asus STRIX 970 RAM: 8GB Corsair Vengence 1600 MHz CL9
PSU: OCZ ModXStream 700W Chassi: NZXT Phantom

Citera så att jag hittar tillbaka!

Redigera
Citera flera Citera
1
Skriv svar