Hur väljer du utrustning till ditt nätverk?

Permalänk
Medlem

Hur väljer du utrustning till ditt nätverk?

Har de senaste två åren gjort om mitt hemmanät och anpassat det till att vara ett säkert hemmakontor - ja så säkert det går - och i det har jag dragit sladd, satt i uttag, kopplat alla desktops till tråd, säkrat upp den wifi vi använder.. ja ni förstår.

Förutsättningarna var, och är, 80 tals 1½ plans villa utan tillstymmelse till fördragna rör eller något sådant, så ibland har man verkligen fått börja från ingenting.

Har Fiberbox > Brandvägg > Router > Switch > Patchpanel > Uttag + AP.

Inledningsvis började jag köpa Ubiquiti EdgeMAX, Routern och Switchen är det märket. AP'n är min välfungerande Asus WiFi Router som degraderats, RT-AC87U. När jag sedan började leta brandvägg så fanns inte det hos Ubiquiti. Inte en renodlad sådan. Massa tjafs om att man kan konfa en Router som Brandvägg, men jag ville ha en separat enhet, och skall fortfarande ha en separat enhet till det. Hittade en begagnad Zyxel USG40 och tecknade mig för Zyxels säkerhetspaket som innehåller en massa förkonfigurerade regler, dedikerad skanning osv. Verkar funka.

Däremot gillar jag inte att hålla på med 4 gränsnitt, ett för Brandväggen, ett för Routern, ett för Switchen (används sällan) samt UISP om jag vill integrera Ubiquitis enheter, fast det funkar sådär.

Nu vill jag renodla. Allt skall vara samma märke, allt skall vara samma gränsnitt. Har tänkt spendera ett antal tusenlappar på att stegvis köpa in och byta ut alltihopa till ETT märke med ETT gränsnitt samt lite expansion på Switch sidan.

Köplista till racket.
- Brandvägg. Skall vara separat.
- Router (PoE behövs inte, men kan vara bra att ha).
- 24P Switch. (Placeras på annat håll där jag har ett serverkabinett.)
- 48P switch.
- AP.

Hastigheter att räkna med ligger under 1GBit, flaskhals åt ett håll är som vanligt HDD I/O vilket är min NAS och FS som kör spindiskar. 100MBit/s är bra där över SMB3 med Jumbo Frames. I övrigt räknar jag inte med våldsamt högre hastigheter utom där NVME kör mot NVME då kan det gå lite snabbare men har inte mätt. ISP/WAN är 100/100, kan köras upp till 1/1GBit, men finns ingen anledning. Brandväggen skall alltså klara att skyffla drygt 100MBit eller mer. Antal enheter är runt 40, varav ett dussin på fast lina, resten en uppsjö telefoner och tablets av varierande slag.

Jag tänker inte köpa "hemmagrejor" det skall vara för "Small Office" eller "Small Enterprise". Säkerhet och tillförlitlighet är viktigt.

Har tittat hos Cisco, Zyxel, Mikrotik, WatchGuard, HPE. Ubiquiti är diskvalificerat.

Efter någon veckas skummande av produktfloran är jag bara förvirrad. Att brandväggar räknas som egen produktkategori köper jag, Cisco's Firepower och Zyxels Zywall eller USG vittnar om det. Men man kan inte hitta resten som delar i EN produktserie. Det verkar inte vara konsekvent. Hittar man en Router så tillhör switcharna en helt annan produkt serie, hittar man en AP, så finns inget annat i samma serie. Jag fattar ingenting. Det är som om de olika produktutvecklarna bara gör halva jobbet, eller hittar på något som skall fungera i tre av fyra kategorier, om inte rentav hittar på något som inte passar någonstans och som skall vara någon "multilösning", vilket ofta varken blir hackat eller malet. Zyxel och Cisco skall ringa mig, hoppas jag.

Varför skall det vara så komplicerat? Hur gjorde/gör ni ert produktval? Tog det också en arbetsveckas efterforskning?

Permalänk
Medlem

En small enterprise/office router är ärligt talat helt overkill för att köra några få statiska routes. Låt brandvägg sköta det och NAT! För jag antar att du inte har behov av protokoll som MPLS, BGP, OSPF eller ISIS(ja det förkortas så, och är ett routing protokoll)?
En hemma "router" är i stort sett en nerdummad 2portars brandvägg kopplat till en 5 portars switch med viss konfigurationsmöjlighet.

Att sen få att managerat från samma gränssnitt är inte lätt, jag har gett upp den tanken för nu. Kör personligen OPNsense som brandvägg på x86 hårdvara, sen en mikrotik switch och AP.

Cisco Firepower är rätt speciella och kan vara rätt komplicerade att få till bra, har jobbat med dem. Sen har jag undvikit HPE nätverkshårdvara under en längre period efter problem med switchar. Kanske bör ge dem en chans snart igen.

Har sneglat lite på Junipers mindre brandväggar ett tag som eventuell ersättare till OPNsense, de kanske kan vara ett alternativ för din del också?

Permalänk
Medlem

Jag har läst mig till, och förstår, att en Brandvägg också kan vara Router så slipper man en enhet och ett gränsnitt. Det är iofs inga konstigheter, men man är ju orolig för att bygga in flaskhalsar om utrustningen inte klarar av att skyffla data tillräckligt snabbt. Sedan kan ju konfigurationen i brandväggen vara något man inte löser på en kvart, utan det får ta sin tid allt eftersom man märker att SSH är blockerat och man får öppna för det inifrån, och backupen inte kör från webservern för att SFTP protokollet använder en special port som måste öppnas. Massor med sånt.

Juniper har nog undgått mig så långt, men värt att kika på, var det denna serie: https://www.juniper.net/us/en/products-services/security/srx-... @Mayth ?

Den var ju lätt att köpa.... https://www.prisjakt.nu/produkt.php?p=3838044 wtf... dyra switcher dessutom. Nä det funkar nog inte, för dyrt.

Permalänk
Medlem

Juniper får du nog köpa från dist/var, ringa upp de alltså.

Ubiquitis UniFi Controller kan användas för USG, USG-Pro, UDM Pro, AP, UniFi switch – du fixar IDS/IPS på deras routrar.

TP-Links Omada kan användas till kan användas till deras företagsprodukter för routrar, switchar och APs.

Många som riktar sig mot enterprise kommer ha dedikerade kontrollers för WiFi-grejerna.

Permalänk
Medlem

@Homdax Ja det är den serien jag kollat på. Att brandväggen inte kan skyffla data tilräckligt snabbt är inget du bör vara orolig för. Att hantera routing i dem tillhör vardagen. Att de inte skulle räcka till är osannolikt, finns testresultat i data sheet. Och i regel så kan man förvänta sig bättre prestanda än de publicerat.

Japp, juniper switchar är dyra! De är inte direkt avsedda för hemmabruk, och att betala fullpris för dem är inte att tänka på. Sen så skulle jag nog inte gå på en juniper switch för hemmabruk om du inte får ett fanstastikt pris på dem.

Kolla med någon dist om du vill få reda på priser som faktiskt gäller.

Ubiquiti's UniFi är bästa lösningen jag sett för att få ett gränssnitt till management till Small/Home Office prylar, däremot så har ju de sina brister. Tex så slutar central management fungera för saker som gått EOL.
De presterar däremot rätt bra, med rätt USG och switch klarar du utan problem av uppåt 10Gbit/s. Deras AP's har jag lite dålig koll på nu för tiden, så de kan jag inte uttala mig om.

Permalänk
Medlem
Skrivet av Mayth:

Ja det är den serien jag kollat på. Att brandväggen inte kan skyffla data tilräckligt snabbt är inget du bör vara orolig för. Att hantera routing i dem tillhör vardagen. Att de inte skulle räcka till är osannolikt, finns testresultat i data sheet. Och i regel så kan man förvänta sig bättre prestanda än de publicerat.

Ok, då borde jag kanske slippa en enhet. Skall testa med min USG40, har inte så mycket att konfa för att den skall funka som Router. Dock förväntar jag mig inte några prestandamirakel, snarare tvärtom för just den. Den blir också varmare än något annat jag har...

Skrivet av Mayth:

Ubiquiti's UniFi är bästa lösningen jag sett för att få ett gränssnitt till management till Small/Home Office prylar, däremot så har ju de sina brister. Tex så slutar central management fungera för saker som gått EOL.
De presterar däremot rätt bra, med rätt USG och switch klarar du utan problem av uppåt 10Gbit/s. Deras AP's har jag lite dålig koll på nu för tiden, så de kan jag inte uttala mig om.

Har EdgeMAX vilket är Ubiquitis "Prosumer" lösning och kan hantera båda enheterna via UNMS/UISP men är helt enkelt inte nöjd med grejorna, som jag sagt innan. Vad gäller gränssnitt så är det ju sant, speciallt on man kör Unifi, men som sagt, de skall säljas när jag väl har köpt nytt.

Permalänk
Medlem

Som ovan nämnde du kan nog glömma att försöka få allt managerat via ett interface om du inte tänkt lägga över flera hundra tusen och gå på en ren enterprise lösning och även där är det svårt. Skulle rekommendera Cisco SMB serie (SG-300X) L3 switchar för både switch och router. Jag har en Cisco SG350-10-MP som är väldigt billig och behöver man inte PoE är dem ännu billigare. Tyvärr har jag inga bra svar för brandvägg enligt dina kriterier, jag kör OPNsense och PFsense på en Shuttle server via ESXI och tycker det fungerar bra men det är inte allas "tekopp".

*Hemmalösningar är lite jobbiga att hantera men är billiga och funktionella OPNsense, pfsense. Smidigast för dig då är att köpa ren Netgate.
*Billiga SMB lösningar är oftast inte så "funktionella" och saknar massa funktioner.
*Dyrare enterprise lösningar är som sagt väldigt dyra.

Ett brandväggsmärke som verkar lite billigare men som samtidigt verkar vara lite mer enterprise lösning med massor av funktioner är "Untangle". Har dock inte testat eller jobbat med den så kan ej svara för hur bra den är utan endast kolla lite på funktioner och pris.

EDIT: Och du behöver som sagt inte en egen router utan kan köra på brandväggens om du har ett enklare nät som det ser ut som i ditt fall.

Permalänk
Medlem

Har du kollat på pfsense?

Permalänk
Medlem
Skrivet av Homdax:

Ok, då borde jag kanske slippa en enhet. Skall testa med min USG40, har inte så mycket att konfa för att den skall funka som Router. Dock förväntar jag mig inte några prestandamirakel, snarare tvärtom för just den. Den blir också varmare än något annat jag har...

Zyxel USG40? Den har ju några år på nacken. Däremot borde du inte få någon försämring med att köra routing i den jämnfört med en separat router. Iallafall inte om du redan kör all trafik igenom den. Kör du trafik som inte går igenom brandvägg innan kan du märka av en försämring för den beroende på hur du sätter upp det i USG40'n.

Att den blir varmare än en router eller switch är inte så konstigt, rätt stor skillnad på CPU i dem. En router eller switch körs nästan uteslutande med hjälp av AISC's, CPU i dem används i stort sett bara för övervakning, konfiguration och några få saker som deras ASIC's inte klarar av. En brandvägg förlitar sig väldigt mycket mer på en CPU även om en del av dem har ASIC's för vissa funktioner.

Skrivet av Homdax:

Har EdgeMAX vilket är Ubiquitis "Prosumer" lösning och kan hantera båda enheterna via UNMS/UISP men är helt enkelt inte nöjd med grejorna, som jag sagt innan. Vad gäller gränssnitt så är det ju sant, speciallt on man kör Unifi, men som sagt, de skall säljas när jag väl har köpt nytt.

Har inte kört några EdgeMAX prylar, vet bara att det vairt lite olika om folk varit nöjda eller inte med dem.

Permalänk
Medlem
Skrivet av varget:

Har du kollat på pfsense?

Jepp, har en server jag kan använda till det med, eller OPNsense som jag lekt lite med. Inte särskilt lättjobbat med förmodligen kompetent. Känns som något man måste engagera sig ganska mycket i för att det skall fungera bra. Tid är pengar. Inte mitt första val.

Permalänk
Medlem
Skrivet av Mayth:

Zyxel USG40? Den har ju några år på nacken.

Jepp, jag vet, men den gick att uppgradera till senaste FW och det var i alla fall något. Säljs fortfarande.