
<div dir="ltr">Дуже дякую, Володимире, за предметну пораду.<div><br></div><div>Врахую її...</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">пт, 28 серп. 2020 о 12:19 Volodymyr O. Pidgornyi <<a href="mailto:vpodgorny@gmail.com">vpodgorny@gmail.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Привіт.<br>


<br>


Мені здається з цим всім повинен гарно впоратись Mikrotik <br>


CCR2004-1G-12S+2XS (нова модель) або якщо грошей обмаль, то <br>


CCR1009-7G-1C-1S+ (хоча він і ненабагато дешевший). CCR-серія <br>


Mikrotik-ів має "з коробки" VPN-акселератор, то ж декілька гіг туннелів <br>


обробить без напрягу.<br>


<br>


WiFi - Mikrotik cAP ac - і підняти на роутері Сapsman.<br>


<br>


Комутатори зараз можна брати в принципі будь-які (ті ж самі D-link-и для <br>


L2 доволі непогані), але мабуть має сенс дивитись на щось з аплінком SFP+.<br>


<br>


Сервери чіпляти напряму на окремі порти роутера - зараз карти PCIe SFP+ <br>


коштують копійки, так само як і модулі.<br>


<br>


У мене пара таких інсталяцій Mikrotik-ів є (до того ж географічно <br>


рознесених), якщо їх і міняти, то тільки на новіші.<br>


<br>


28.08.2020 11:11, Oleh Hrynchuk пишет:<br>


> Панове-колеги, доброго дня.<br>


><br>


> Зорієнтуйте, будь-ласка, в наступному.<br>


><br>


> Суть питання:<br>


><br>


> Нарешті доросли до потреби зробити нормальну офісну сіточку замість <br>


> того скупчення мильниць, яке нині є.<br>


><br>


> І я просто не в курсі на чому нині народ будує такі Middle Office <br>


> solutions.<br>


><br>


> Є два суміжні поверхи, по кілька кімнат на кожному. В кожній кімнаті <br>


> сидить від 2-х до 10 працівників. Загальна кількість LAN-портів: до 16 <br>


> на одному поверсі, і до 30 на другому.<br>


> Як правило кожна кімната віддана під окремий структурний підрозділ. <br>


> Але разом з тим в одній кімнаті можуть сидіти працівники різних <br>


> підрозділів.<br>


><br>


> Від WiFi для робочих місць працівників відмовляємось. WiFi лишаємо у <br>


> вигляді двох guest networks (на кожному поверсі), відокремлених від <br>


> офісної intranet-LAN для виходу в Інтернет лише для гаджетів <br>


> працівників та гостей.<br>


><br>


> Внутрішні ресурси: один дещо навернутий (порівняно) HP-сервак з OS <br>


> Linux (для девів та QA) для купи докерів, другий - бекап-сервак + <br>


> всяка єрунда (також з з OS Linux) з докерами, змайстрований із <br>


> звичайного десктопа.<br>


> Обов"язково буде ще щось для централізованого IAM (identity & access <br>


> management) на базі чогось LDAP-like.<br>


><br>


> Вихід в Інтернет зараз один (100 МБіт), але для робочих місць <br>


> VIP-працівників плануємо організувати якісь бекапи на 4G. Втім це ще <br>


> не вирішено...<br>


><br>


> Робочі місця працівників - десктопи та ноути з з OS Linux та Windows. <br>


> Ноути часто працівники забирають із собою додому для remote роботи.<br>


><br>


> Ще потрібен якийсь VPN-концентратор абощо... зараз для remote work з <br>


> успіхом використовуємо OpenConnect server для SSL VPN (дякую! Це по <br>


> вашій рекомендації!), але майбутні IT-security аудитори примушують <br>


> перейти на IPSec tunnels. Максимальна к-сть активних тунелів не <br>


> перевищуватиме 30 (це із значним запасом)<br>


> Часто ще слід будувати тимчасові (для вирішення проблем, або для <br>


> тестування/демонстрації пропонованих рішень) тунелі "локальний офіс" - <br>


> "офіс клієнта в Штатах", бо останні не дозволяють вхід з не-US адрес.<br>


><br>


> Одним словом, треба на чомусь побудувати сітку з VLANs, можливістю їх <br>


> агрегації та маршрутизації, наявністю функціоналу IPSec VPN.<br>


><br>


> Щоби не плодити зоопарк, щоби гарантовано все працювало і не приносило <br>


> геморою - який вендор зараз пропонує щось таке із розряду SOHO-Middle <br>


> Office і не за ціною ступені Falcon Heavy (керівництво щось там <br>


> заїкнулося про "допустиму суму в 30,000 грн" чисто на мережеве <br>


> обладнання)? Куди і на що дивитися?<br>


> Mikrotik? TP-link ? DLink?<br>


><br>


> Дякую.<br>


><br>


> -- <br>


> Regards,<br>


> /oleh hrynchuk<br>


><br>


> _______________________________________________<br>


> uanog mailing list<br>


> <a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


> <a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br>


<br>


</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div>