Construire un nouveau réseau et avoir besoin de plus de 200 appareils sans fil

21

J'organise le réseau des nouveaux bureaux de mon entreprise. Je ne suis pas un expert, donc je voudrais présenter mon plan et demander à tous les gens sympas de me dire si et où je fais des erreurs.

Hypothèses:

  • Le bureau est de 300 mètres carrés sur un seul étage avec principalement des murs en placoplâtre.
  • Nous avons actuellement 18 travailleurs.
  • En raison de la croissance attendue, le bureau devrait accueillir confortablement 50 postes de travail.
  • Nous sommes une entreprise d'applications mobiles, donc entre notre équipe de développement et nos testeurs, nous avons besoin d'une prise en charge sans fil pour plus de 200 appareils, principalement des téléphones intelligents.
  • La majeure partie de notre trafic est vers et depuis Internet plutôt qu'interne
  • Besoin de plusieurs réseaux sans fil (interne et invité au minimum)
  • Pas de serveurs sur site (autres que les développeurs qui en exécutent localement pour le développement et les tests).
  • Tout le code, la documentation, les serveurs de production, etc. sont du cloud. (Nous utilisons Dropbox pour la sauvegarde, Atlassian pour JIRA et confluence, BitBucket pour les dépôts, S3 pour les serveurs, etc.)
  • Le FAI peut fournir 30 Mbps d / l et 2 ou 4 u / l
  • les postes de travail sont tous Apple (cartes réseau toutes 10/100/1000)

Mon plan actuel:

  1. 2 gouttes LAN par poste de travail, câblage CAT5e vers un panneau de brassage, devraient être d'environ 100 terminaisons.
  2. Modem - Cisco 887. Ceci est inclus dans le package du FAI.
  3. Routeur / Pare-feu - Soekris 6501 exécutant pfSense ( http://soekris.com/products/net6501.html )
  4. Commutateur (filaire) - HP 2510-48G, L2 entièrement géré, Gigabit. Je vais commencer par un et ne connecter que les postes de travail utilisés. Si j'ai besoin de plus, je peux en ajouter plus.
  5. Manette sans fil avec quelques points d'accès sans fil.
  6. Configurez tous les LAN sur le routeur.
  7. Mettez l'interrupteur filaire sur le routeur et utilisez-le comme interrupteur muet
  8. Connectez la manette sans fil au routeur de sorte qu'il soit physiquement séparé du LAN principal.
  9. Configurer 2 réseaux sans fil avec authentification sans fil avec WPA2

Des questions:

  1. Pour le Soekris, il existe un tas d'options (RAM, CPU). Puis-je aller avec la base ou dois-je obtenir les options haut de gamme?
  2. Pour la configuration sans fil, je ne comprends pas complètement les différences entre et quand utiliser un contrôleur sans fil et un point d'accès sans fil. Ai-je besoin des deux, un, aucun? J'ai passé beaucoup d'heures à lire et à parler à des gens et je ne sais toujours pas quoi obtenir.
  3. Ma meilleure supposition pour la question ci-dessus est d'obtenir le contrôleur sans fil Cisco CT-2504-5 ou le système de gestion sans fil Netgear ProSafe 16-AP avec les points d'accès Cisco ou Netgear. Les deux contrôleurs coûtent environ 1000 $ et semblent faire la même chose. Existe-t-il des différences importantes?
  4. Quant aux points d'accès, je suis également confus. Netgear a WNDAP350 et WNDAP360. Encore une fois, je ne peux pas comprendre la différence ici.
  5. Est-ce que je gagne vraiment en joignant le commutateur au routeur?
  6. Suis-je par dessus bord ici? Ai-je prévu une pelle rétrocaveuse alors qu'il me suffit d'une pelle?
wireless switch router best-practices SAR622
la source
Quelle est la taille de votre budget pour tout cela? On dirait que cela penche vers le bas de gamme et votre budget peut vous forcer à ne pas mettre en œuvre une solution idéale.
generalnetworkerror
Vous avez raison de dire que je penche vers le low cost. J'ai encore besoin de rassembler une liste de courses finale et de la présenter au PDG pour approbation budgétaire. Aucun budget initial n'a été donné. Évidemment, moins on dépense, mieux c'est, mais il comprend qu'il doit payer un réseau stable. Je suppose que ce n'est pas rare. :)
SAR622
Une réponse vous a-t-elle aidé? Si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

7

Quelques réflexions. Je peux entrer dans plus de détails sur n'importe lequel d'entre eux si vous en avez besoin.

-En ce qui concerne le sans fil, il y a deux façons de planifier. L'un est pour la couverture, l'autre pour la capacité. Sur la base du nombre d'appareils (capacité) et d'espace (couverture) que vous décrivez, je pense que la capacité sera le facteur décisif le plus important. N'oubliez pas que le sans fil, c'est comme utiliser un hub old-school. Tout le monde entend tout. Cela signifie également qu'un seul client peut parler à un point d'accès à la fois. Ce n'est pas une limitation d'un appareil (Cisco vs Netgear), c'est une limitation du support physique (espace aérien). Étant donné que vous programmez pour des appareils mobiles, qui ne prendront en charge qu'un seul flux, vous devez prévoir 1 AP double bande pour 50 appareils. Si vous choisissez de ne prendre en charge que 2,4 ou 5 GHz (problèmes d'espace aérien avec les bureaux voisins par exemple), prévoyez 1 AP par 30 appareils.

-Le Cisco 887 ne dispose que d'une connexion de 100 Mo. Si vous respectez votre plan actuel et effectuez tout votre routage L3 sur le 887, il deviendra un goulot d'étranglement pour tout ce qui route entre vos réseaux internes. Les exemples incluent: la réplication locale pour Dropbox, la synchronisation sans fil entre les appareils i et iTunes, la copie de fichiers de la machine A vers B, les sauvegardes de Time Machine, etc. etc. ), il devra être routé, et devra sortir, puis revenir, à partir de la même interface de 100 Mo. Ce n'est peut-être pas un gros problème, mais je voulais le mentionner, juste au cas où.

-Les contrôleurs sans fil sont une bonne idée. La configuration initiale prend un peu plus de temps, mais à partir de là, il devient super facile de déployer plus d'AP ou de WLAN. Je ne sais rien d'eux par expérience personnelle, mais j'ai entendu de bonnes choses sur les AP Meraki. Il s'agit d'une solution de contrôleur basée sur le cloud, que Cisco a récemment achetée. EDIT pour plus de clarté: je ne sais rien de la solution Meraki. Je connais BEAUCOUP des contrôleurs sans fil Cisco :-).

-Comment alimentez-vous vos AP? Envisagez-vous d'utiliser la VoIP à l'avenir? Tenez compte des deux lorsque vous envisagez de commander ou non un commutateur avec PoE.

-Vous avez également remarqué que vous prévoyez de mettre un pare-feu en ligne après le routeur. Cela complique davantage votre plan de routage entre les sous-réseaux. Je prévois d'acheter un commutateur L3. Cela simplifierait considérablement le déploiement.

J'espère que cela t'aides. Bonne chance.

Jonathan Davis
la source
1
Jonathan, concernant le Cisco 887 que je comptais simplement utiliser comme modem et la box Soekris fera tout mon routage. En sortant sur Internet, je n'aurai rien de plus rapide que 100 Mo et le Soekris est gigabit. En ce qui concerne les points d'accès, pourquoi la VOIP est-elle envisagée? De plus, PoE sur mon commutateur n'aiderait que si j'exécute les points d'accès sur le commutateur et non sur le contrôleur - correct?
SAR622
1
Désolé, je parlais de PoE en ce qui concerne VOIP. Les téléphones nécessiteront PoE si vous implémentez VOIP. Les points d'accès se connecteront au commutateur, pas au contrôleur (au moins pour la solution Cisco). Pour cette raison, vous devez soit planifier l'achat d'un injecteur et d'une alimentation pour chaque point d'accès, soit acheter un commutateur prenant en charge le PoE. Si c'était moi, je n'achèterais que l'interrupteur. Je ne connais pas la boîte Soekris, mais votre plan est logique pour moi maintenant.
Jonathan Davis
6
  1. J'ai exécuté des appareils similaires au Soekris avec PFSense et M0n0wall. Je peux pousser un peu de trafic à travers eux avec des spécifications assez faibles. (De l'ordre de 100 Mbps)
  2. Les contrôleurs sans fil vous rapportent deux choses importantes. Le premier est la gestion centralisée. Vous pouvez gérer tous vos points d'accès à partir d'une seule interface. Besoin d'ajouter un SSID? Facile. Ajoutez-le au contrôleur et il est poussé vers les points d'accès. La deuxième chose est l'application centralisée de l'ACL. En règle générale (mais pas toujours), les contrôleurs sans fil redirigent le trafic vers eux-mêmes et disposent d'un seul point de sortie dans le réseau d'entreprise. Cela vous permet d'appliquer des éléments tels que des zones de sécurité à un seul endroit au lieu de chaque endroit où votre point d'accès est branché. Cela vous permet également d'avoir un seul sous-réseau pour les clients sans fil sur un réseau plus important.
  3. En raison de la taille de votre réseau, je vous recommande de vous pencher sur les réseaux Ubquiti . Ils vous offrent les mêmes avantages d'avoir un réseau basé sur un contrôleur mais sans contrôleur et à un prix beaucoup plus bas. Je les ai utilisés avec succès dans divers déploiements de bâtiments uniques. Si vous êtes prêt à utiliser l'une de vos deux options, vous avez sélectionné les bonnes pour votre taille.
  4. En ce qui concerne les spécifications, elles semblent presque identiques à partir d'un bref aperçu des spécifications techniques. Peut-être que l'un doit être monté au plafond, l'autre est une version de bureau?
  5. La principale chose que vous gagnez est de pouvoir créer différents points de sortie à partir de différents VLAN. Vous pouvez utiliser le routeur pour configurer différentes sous-interfaces par VLAN. Donc, pour votre réseau sans fil invité, vous pouvez les mettre sur le VLAN 50 tandis que le reste de vos clients internes sont sur le VLAN 10. Vous pouvez ensuite appliquer des politiques de sécurité sur le trafic autorisé entre les deux VLAN.
  6. Nan.

Modifier: d'un point de vue sans fil, si vous avez tous les 200 appareils essayant d'accéder aux ressources en même temps, vous risquez de vous retrouver dans un petit embouteillage si vous n'avez qu'une poignée d'AP gérant le trafic. Je vous recommande de garder un œil attentif sur votre utilisation lorsque vous avez terminé votre déploiement et de voir si vous avez besoin d'ajouter plus de densité à votre infrastructure sans fil. N'ayant maintenant que 18 employés et appareils mobiles, il serait difficile de les faire tous générer suffisamment de trafic pour avoir de l'importance, mais à mesure que vous grandissez, je garderai un œil dessus afin de ne pas rencontrer de problèmes. Un seul client peut parler à la fois sur un réseau sans fil (par AP / fréquence). Il est donc primordial de vous assurer que vous disposez de suffisamment de bande passante disponible.

bigmstone
la source
4

Avis de non-responsabilité: la réponse semble provenir d'un architecte de la solution HP PreSales. (Discutez-en sur la méta ).

D'ACCORD. J'ai tout de suite repéré un problème. vous souhaitez utiliser un commutateur 2510-48G et vous souhaitez des points d'accès WLAN. Comment allez-vous alimenter ces AP? Je suppose que vous pouvez utiliser des adaptateurs d'alimentation et les brancher sur les prises murales, mais vous voulez vraiment regarder un commutateur PoE pour les alimenter. Deuxièmement, HP a annoncé la série 2530 en décembre et avec cela l'EOL de la série 2510.

Donc, en tant qu'architecte de solution HPS PreSales, voici ma recommandation:

  1. Vous pouvez également utiliser votre Cisco 877 comme routeur local. Il ne dispose que d'une connectivité 4x100 Mo au LAN. Si votre FAI propose un service de câbles uniquement, étudiez également les autres routeurs. Le Cisco 877 est maintenant en fin de vie et n'est plus vendu. HP a la série MSR930 avec des liaisons montantes 4x GbE et un pare-feu intégré.
  2. Sans fil. Considérez d'abord la couverture et la capacité. Vous avez besoin de 200x appareils pour vous connecter, mais seulement 18x ​​utilisateurs aujourd'hui. Donc, en supposant que tous les appareils ne sont pas sur le réseau à un moment donné, vous pourriez probablement vous en sortir avec des points d'accès en cluster. Cela permet à un seul point d'accès de contrôler également d'autres points d'accès. Depuis HP, vous pouvez regarder le point d'accès M220 où jusqu'à 10x points d'accès peuvent être contrôlés comme un seul.
  3. Si vous souhaitez une solution WLAN gérée, avez-vous envisagé le contrôleur WLAN MSM720 ? Garantie à vie et support pour jusqu'à 40 points d'accès (10 prêts à l'emploi), puis utilisez les points d'accès MSM430
  4. En regardant la page Netgear pour le WNDAP360, il semble que la seule différence soit "Montage facile au plafond / montage mural". Il ne fait aucune mention de Dual Spatial Stream, donc je suppose que la prise en charge maximale par radio est de 150 Mbps.
  5. Définir la jonction? En supposant que vous voulez dire l'agrégation de liens, et non le terme Cisco en ce qui concerne plusieurs VLAN sur la même liaison? L'agrégation de liens offre plus de performances et une plus grande résilience en cas de défaillance de l'un des liens.
  6. Nan. Rappelez-vous, à la fin de la journée, tout ce que vous fournissez doit peser cela me fera-t-il de l'argent? Cela me fera-t-il économiser de l'argent? Cela réduira-t-il nos risques? Vous devez les peser les uns contre les autres.
Jez
la source
Oh, et n'oubliez pas que vous devez vraiment surveiller de près et gérer tout réseau de toute taille.
Jez
Votre suggestion de points d'accès groupés semble excellente et presque trop belle pour être vraie. Grand réseau wifi facile à gérer, sans contrôleur. Cela signifie que le premier est câblé à mon commutateur ou routeur et que les autres sont physiquement indépendants mais étendent mon réseau et, lorsque j'ajoute d'autres points d'accès, étendent la capacité de charge du réseau. Ai-je bien compris? Cela ne créerait-il pas un goulot d'étranglement pour le trafic sans fil?
SAR622
1

Les contrôleurs sans fil sont destinés à coordonner le rf des points d'accès et à permettre l'itinérance client entre les points d'accès. Vous pouvez consulter la zone de conception Cisco pour vous aider dans votre conception.

henklu
la source
Donc, je câble les points d'accès au contrôleur sans fil ou ils sont tous câblés en parallèle au commutateur?
SAR622
Des connexions directes ne sont pas nécessaires dans la plupart des cas. Ils ont juste besoin d'avoir une connectivité au contrôleur. Un Cat 3850 en tant que fonctionnalité du contrôleur est intégré au commutateur. Il nécessite que l'AP soit directement connecté.
henklu
0

Personnellement, je n'irais pas avec le simple WPA2 mais avec EAP, assurez-vous également de ne pas autoriser la communication entre les clients.

Lucas Kauffman
la source
0

Je fais écho à la suggestion de bigmstone de réseaux Ubiquiti pour votre WLAN. Je les ai déployés sur plusieurs sites et ils fonctionnent très bien. Ils offrent plusieurs versions, mais je recommanderais vraiment l' UAP-PRO car il utilise le vrai 802.3af (contre POE passif dans les modèles bas de gamme) (voir la différence ici )

Si vous optez pour des points d'accès omniprésents, vous pouvez également consulter leur EdgeSwitch. Il prend en charge le POE 802.3af ainsi que le POE passif (que, comme je l'ai mentionné, leurs points d'accès moins chers utilisent).

Comme l'a dit bigmstone, vous n'avez pas besoin d'un contrôleur pour utiliser les points d'accès, mais vous en avez besoin pour configurer les points d'accès au départ. Heureusement, le logiciel du contrôleur est gratuit et très facile à utiliser, et si vous êtes ambitieux, pour un contrôleur permanent pas cher, le Raspberry Pi fonctionne très bien!

Chris Cummings
la source
-3

Vous avez besoin d'un réseau câblé (commutateurs Ethernet) et d'un réseau sans fil avec un dispositif de sécurité / passerelle multicouche (ALG). L'ISP / WAN est le transfert Ethernet.
BYOD, gestion LAN,

WLAN basés sur un contrôleur IPS / NGFW sont obsolètes.

(Réponse biaisée d'un intégrateur Cisco)
Obtenez un Meraki MX100 , Cisco WS-C2960X-48TS-LL et (3) AP Meraki MR32 .

Ron Royston
la source
"Les WLAN basés sur les contrôleurs sont obsolètes." Vraiment? Donc, personne (comme Cisco) ne vend, ne fabrique ou ne prévoit de publier de nouvelles plates-formes de contrôleurs? Meraki a ses points forts, mais il a aussi de sérieux défauts comme solution et pour ma part, je ne l'installerai nulle part personnellement tel qu'il est aujourd'hui.
Apprendre
L'architecture basée sur un contrôleur, à savoir les tunnels LWAPP / CAPWAP, est obsolète - en particulier si l'on considère la planification et la conception du 802.11ac (sans fil gigabit) couplé à des fonctionnalités avancées nécessitant une visibilité L7. Vous constaterez qu'une nouvelle architecture est souhaitée, à savoir un système de type SDN (tel que Meraki) avec une véritable séparation des plans de contrôle et de données. Soyez sûr et inversez votre vote négatif à l'avenir lorsque vous verrez la lumière.
Ron Royston
L'hypothèse est donc que les contrôleurs ne peuvent pas fournir la visibilité L7 ou les capacités SDN? Et que Meraki offre toutes les fonctionnalités d'une solution basée sur un contrôleur? Désolé, je ne peux pas imaginer voir cette lumière pendant un certain temps.
Apprendre
Lisez sur Cisco Clean Access. Pourquoi obligent-ils les clients à installer des commutateurs 3850 coûteux? Pour mettre fin au tunnel CAPWAP local. Pourquoi? Avez-vous déjà fait vos devoirs et y avez-vous pensé?
Ron Royston
Je viens de faire un PoC 100+ AP avec les points d'accès Cisco Clean Access 802.11ac. Ne nécessitait pas du tout 3850 commutateurs. Il existe des raisons d'exécuter des 3850, mais elles ne sont pas obligatoires. Et les coûts d'exploitation annuels de Meraki sont si bon marché? Ce n'est pas le forum pour cette discussion, et je connais bien les solutions sans fil d'un certain nombre de fournisseurs, il est donc peu probable que vous me convainciez que Meraki est l'avenir du sans fil, car je connais tant de ses défauts.
Apprendre