פיצול רשת משרדית - רשתות ואינטרנט - HWzone פורומים
עבור לתוכן
  • צור חשבון

פיצול רשת משרדית


nachum37

Recommended Posts

שלום לחברי הפורום. 

אני מעוניין לשדרג ולפצל המשרתת שני משרדים קטנים, המחוברים לבזק עם מודם-ראוטר D-Link DSL-G256DG ומתחתיו כמה סוויצ'ים לא מנוהלים. מצורף תרשים של המצב הקיים והמצב הרצוי, בערך. 

 

1. מהו הציוד הדרוש שיעזור לי לפצל את הרשתות? בשאיפה שיהיה כמה שיותר זול, אמין וקל לניהול ללא ידע מקצועי. 
קראתי על הציוד של Ubiquiti והוא נראה אמין וטוב, אבל אני לא יודע לבחור מהו המוצר שמתאים לי. (למשל אולי עדיף תקציבית לרכוש ראוטר עם שני פורטים LAN שיש בו Internal Switch ומתחתיו Unmanaged Switches?) 

 

2. המודם-ראוטר ממוקם בעסק הראשון ומשמש שם כ AP. אפשרי להותיר את תפקודו ולשייך אותו ל VLAN שלהם, או לפחות כ Guest Network, כדי שלא יהיה צורך לרכוש AP נוסף עבורם? (האם זה אפשרי בכלל? הרי הוא "מעל" ה Switch). 

תודה רבה. 

 

רצוי:

desired.jpg.b2586f4866a0ac00b6f601c250b90360.jpg
מצוי:

real.jpg.b8c545413ddbcda01829b57d581413bf.jpg

קישור לתוכן
שתף באתרים אחרים

יש שתי אפשרויות.

מודם > Pfsense > שני סווצ'ים מנוהלים כמו אלה מסדרת UniFi של Ubiquiti.

את ה-VLANs אתה מגדיר בנתב-פיירוול Pfsense ואז מגדיר בסוויץ' איזה פורט יהיה שייך לאיזו וירטואלית או לשייך את הסוויץ' כולו לרשת וירטואלית אחת.

אפשר לראות פה איך זה נעשה.

 

מודם > Edgerouter X SFP (נתב-פיירוול של Ubiquiti)  ששתי יציאות שלו מוגדרות כ-VLANs נפרדות ומשם לסוויץ' בכל משרד. רק שצריך לדעת גם באיזה סדר גודל של תעבורה מדובר כי הנתב הזה יחסית חלש (מיועד למשרדים קטנים) ואם מדובר בנפחי תעבורה גדולים בין המשרדים לאינטרנט או בין משרד למשרד, יהיה צורך במכשיר שמתאים יותר.

קישור לתוכן
שתף באתרים אחרים

תודה רבה על תגובתך.

 

האופציה השנייה נשמעת לי מצוין. אין הרבה תעבורה. כרגע ישנם כ-11 התקנים, רק חלקם מחשבים. אף אחד מהם לא עושה שימוש כבד ברשת. מתכנן להוסיף גם NAS. 

 

אם אין צורך בסיבים יש עניין לרכוש את ה SPF או שגם ה Edgerouter X הרגיל יספיק?
קראתי שיש להם CLI, מה שאני רוצה לעשות אפשרי גם עם ה Web UI? ואין צורך ב Key \ וכו'?

 

במצב כזה איך יתפקד ה AP של המודם-ראוטר? מי שיתחבר ל AP של הDSL יראה שלישית?

או שאפשר לשייך ב Edgerouter את הפורט שיחובר לDSL לאותו VLAN של משרד א ועדיין לצאת דרכו לאינטרנט מה VLAN השני? 
דוגמה: 

net_-vlans.jpg

 

אפשרות אחרת, שרשור של הסוויצ' שלהם ישירות למודם DSL, ורק את שלנו ל EdgeRouter יעבוד? כלומר, ה AP יהיה חלק מהרשת שלהם, ומה שיהיה מתחת ה EdgeRouter יהיה נפרד?

net_-direct.jpg

 

קישור לתוכן
שתף באתרים אחרים

את ה-Dlink אתה אמור להעביר למצב Bridge כך שיתפקד רק כמודם.

ל-Ubiquiti יש שתי משפחות מוצרים (יש יותר אבל לענייננו רלוונטיות רק שתיים): EdgeMax ו-UniFi.

יש חפיפה די גדולה בין הדגמים (אותו מכשיר רק בעיצוב קצת שונה), אבל נקודות הגישה האלחוטיות קיימות רק בסדרת UniFi.

 

UniFi היא משפחת מוצרים שמיועדת לניהול מבקר מרכזי ובגדול דרך ממשק משתמש גרפי (הבקר הוא תוכנה שאפשר להתקין במחשב, לקנות את ה-Cloud key או לארח בענן בשירות כמו Hostifi. אין צורך שהבקר ירוץ ברקע כדי שהכל יפעל. צריך אותומרק כדי לשנות הגדרות, אבל כשהוא כבוי אין לך סטטיסטיקת פעילות ברשת.

 

Edgemax היא משפחת מוצרים שמציעה יותר פונקציונליות, אבל כנראה שתצטרך להיכנס ל-CLI כי לא הכל קיים בממשק הגרפי.

כך שאם אתה מעדיף כמה שפחות התעסקות עם שורת הפקודה ובסך הכל מחפש הגדרות די בסיסיות, אולי כדאי לך לשקול את משפחת UniFi, ובייחוד אם אתה אולי מתכנן הוספת סוויץ' או נקודת גישה אלחוטית.

לשם כך תזדקק לUSG שהוא גרסת UniFi של ה-Edgerouter Lite (רק אם פחות יכולת לנבור בקרבי המערכת ולנצל כל מה שאפשר להפיק ממנה. אתה די נעול לסט הפונקציונליות של הבקר) אבל גם לסוויץ' של UniFi כי ל-USG רק יציאת LAN אחת.

זה דומה לתרחיש Pfsense שתארתי.

 

עם ה-ER-X-/SFP תוכל להגדיר תצורת WAN אחת + 2 VLANs וזה יכול לחסוך לך תיאורטית את הסוויץ' המגשר. יש אשף להגדרת התצורה הזאת ככה שזה יכול להעשות מהממשק הגרפי.

כך ששקע eth0 יהיה ה-WAN (נכנס אליו כבל מהמודם).

שקע eth1 ישמש לחיבור הסוויץ' של משרד א'.

שקע eth2 ישמש לחיבור הסוויץ' של משרד ב'.

שתי הרשתות האלו יהיה נפרדות כמובן.

 

כל עוד לא מתוכננת תעבורה דרך ה-Edgerouter X יספיק.

עדיף לקנות את דגם ה-SFP משתי סיבות. אני חושב, אבל לא לגמרי בטוח עכשיו, שהמעבד שלו קצת יותר חזק, ובניגוד ל-X הרגיל כל היציאות שלו תומכות ב-PoE וזה נחמד. שימושי אם תרצה םעם לחבר אליו ישירות נקודת גישה שלהם או אםילו סוויץ' UniFi קטן (יחסוך לך חיבור לחשמל). לא קריטי, אבל ההפרש במחיר לא כזה גדול.

 

 

קישור לתוכן
שתף באתרים אחרים

תודה רבה. 

 

אני מבין שהמצב האידאלי היה להגדיר את ה D-Link כברידג', אבל אם אני מבין נכון המשמעות של זה היא שה AP שלו יפסיק לתפקד, ואני לא מעוניין כיון שאני לא רוצה לרכוש על חשבוננו AP בשבילם.

בהנחה שאני מותיר את ה D-Link על כנו, האם האופציה היחידה היא לשרשר את שתי הרשתות תחת ה EdgeRouter? או שאחת מהאופציות לעיל גם תעבודנה? 

 

אם התרחיש שתיארת אפשרי לביצוע דרך הממשק נראה לי שה Edge יהיה בסדר. לא אמור להיות שימוש ב , אולי לעתים נדירות. אני לא נמנע מלהתעסק ב CLI, אלא מעדיף לא להיות תלוי בו להגדרה הבסיסית. 

 

 

קישור לתוכן
שתף באתרים אחרים

אם אתה צריך להשתמש במכשיר הקיים כנקודת גישה, זה לא אידאלי כי היכולות שלו כפיירוול/נתב בטח מוגבלות מכיוון שהוא מוצר לשוק הביתי.

 

במקרה כזה תשכח מה-Edgerouter או מה-USG כי כל מה שאתה צריך לשים מאחורי הנתב הקיים הוא סוויץ' מנוהל וליצור בו VLANs כדי להפריד לוגית בין המשרדים.

יכול להיות שתתקל בבעחה. אני מבין שנקודת הגישה של הנתב הקיים היא למעשה נקודת הגישה באחד המשרדים ולכן ייתכן שלמכשירים שמחוברים אליה לא תהיה גישה למכשירים שמחוברים ל-VLAN של המשרד כי היא נמצאת לפני החלוקה ל-VLANs, אלא אם אפשר ליצור VLANs ב-Dlink.

 

בעצם בוא נחזור צעד אחורה. מה המטרה של הפרדה בין המשרדים? יש סיבה שהם לא יכולים להימצא על אותה רשת?

קישור לתוכן
שתף באתרים אחרים

היכולות שלו ודאי מוגבלות, לא הייתי קונה אותו, הוא נקנה בלעדי. בכל מקרה אצטרך אותו כמודם DSL, אבל אם אבטל בו את הראוטר ה AP לא יעבוד ואצטרך לקנות להם על חשבוננו, וזה כמובן לא רצוי. 

 

למעשה אלו שני עסקים שונים שחולקים מתחם צמוד וקו .

זה לא הפריע עד היום, אבל אני רוצה להכניס לעסק שלנו NAS קטן כפתרון עם יתירות (RAID1) וממנו יועלו גיבויים שוטפים לאיזשהו שירות שנבחר, ולא מעוניין שהוא יהיה משותף עם העסק השני.

(אגב, אשמח לחוות דעתך על ה Synology DiskStation DS218j, הוא במבצע עכשיו ב 620 שח ב KSP ואייבורי, כנראה כי אמזון הורידו ל 120$ ושולחים לארץ. לא הייתי חושב עליו מלכתחילה, אבל אני צריך בסך הכל רק משותף ברשת המקומית עם RAID 1 וגיבוי, ו SNB דירג אותו #6 אז נראה לי שבשביל המחיר הזה הוא בסדר למטרה הזו, מה דעתך?)

 

טריגר נוסף הוא שה Switch הקודם הלך לעולמו ובינתיים משתמשים שם במשהו ישן 100Mb, כך שבכל מקרה צריך לקנות סוויצ'ים GbE. אני מעדיף להותיר את המודם ראוטר שלהם על כנו במידת האפשר כנ"ל. אם שימוש ב EdgeRouter אפשרי כדי לפצל את הרשתות זה טוב, על אף שלא ייעשה בו שימוש כראוטר  (אולי אפשר לנטרל בו את הראוטינג, למרות שחבל על היכולות שלו לעומת ה D-Link, מה שצריך זה VLANS בזול). למיטב הבנתי סוויצ' מנוהל יעלה יקר יותר? או שניתן למצוא במחיר של האדג'? 

בגלל המבנה הפיזי אצטרך בכל מקרה סוויצ' לא מנוהל אחד במיקום אחר מהראוטר כך שלא ניתן לחשב את העלות של האדג' + לא מנוהלים ולקנות במקומם מתג אחד גדול מנוהל. 

 

לא קריטי שה AP יהיה ב VLAN שלהם, רק מעדיף כך. אם הכרחי שהוא יהיה נפרד ("מעל") הרשתות זה גם בסדר.

אם אפשרי להשאיר מתחת המודם-ראוטר סוויצ' לא מנוהל אחד בשבילם, ובמקביל אדג' ללא ניתוב + סוויצ' שיהיו נפרדים עבורנו זה מעולה כי אז הרשת שלהם תישאר כפי שהיא היום, ושלנו תהיה נפרדת. 

קישור לתוכן
שתף באתרים אחרים

זאת טופולוגיית בעייתית כי נקודת הגישה משולבת במודם באותו מכשיר.

צריך לבדוק אם ה-Dlink יודע ליצור VLANs.

 

הרעיון היחיד שיש לי עכשיו זה באמת לקנות Edgerouter בשביל העסק שלכם. העסק השני יעבוד על סוויץ' שיחובר ישירות ל-Dlink.

ה-Edgerouter ישב אמנם על אותה subnet שלהם אבל יוציא subnet משלו ואז בעזרת כללי Firewall לבצע הפרדה בין הרשתות ככה שלא תהיה להם גישה, ולהפך.

זה קצת עקום אבל אם אלו הנסיבות... אני אנסה לחשוב על זה מחר קצת יותר (כבר די עייף עכשיו).

 

אין טעם חקנות ER-X ולהפוך אותו רק לסוויץ'. סוויץ' מנוהל פשוט של של 5 עד 8 פורטים ממשפחת UniFi או EdgeSwitch עולה משהו כמו 450-500 ₪. דומה למחירנשל ה-ER-X.

 

ה-DS218j בסדר בתור שרת קבצים, רק אל תצפה לביצועי העברת קבצים מדהימים. אם סביר שיותר מ-4 עמדות עבודה יכתבו ויקראו ממנו קבצים במקביל באופן קבוע, הוא כנראה לא יעמוד במשימה. זה מכשיר שמיועד להיות שרת קבצים/גיבוי מרכזי אישי/ביתי ולא שרת עבודה מרכזי למשרד.

 

קישור לתוכן
שתף באתרים אחרים

אכן בעייתי. למיטה הבנתי ה D-Link לא תומך VLAN. 

 

רק עמדה אחת או שתיים אמורות לגשת בו זמנית ל DS218j ומעבר לכך השימושים בו הוא רק לגיבויים אוטומטיים אני מקווה שיהיה בסדר. 

 

תודה רבה על עזרתך.

קישור לתוכן
שתף באתרים אחרים

תלוי כמה נפח אתה צריך, איזה ביצועים אתה מחפש ולאיזה כלים (ברמת התוכנה) אתה זקוק.

אחת הסיבות המרכזיות שאנשים קונים Synology היא התוכנה, למרות שבדרך כלל אפשר למצוא באותו מחיר חומרה טובה יותר (ועם אפשרויות שדרוג) אצל המתחרים (בעיקר QNAP).

אין לי עד כדי כך ניסיון עם המכשירים האלה, אבל לדעתי התוכנות של Synology ו-QNAP שוות ערך. עניין של העדפה יותר מףונקציונליות. את Asustor אני פחות מכיר מבחינת התוכנה, אבל אני משער שלא תהיה בעיה לחפש מידע עליה ברשת ולוודא אם יש את הכלים שלהם אתה זקוק.

עם זאת, המפרט של המכשיר לא משהו. נראה כמו מכשיר שמיועד לשמש כשרת (כלומר כזה שמועבר אליו חומר פעם או כמה פעמים ביום מכל המכשירים בבית/משרד קטן) ולא מכשיר שמיועד לשמש שרת קבצים מרכזי לעבודה דרך הרשת. לדעתי הוא פשוט לא יעמוד במשימה, בטח לא אם תפעיל אותו ב-RAID 5. המהירויות בזמן אמת עלולות להיות מתסכלות

 

קישור לתוכן
שתף באתרים אחרים

@About:blank האמת שכמעט ולא יהיה שימוש במכשיר בזמן אמת אלא בעיקר שרת גיבוי ואחסון משותף, אבל אם RAID5 לא יעבוד כראוי אז אין לו יתרון עבורי בכך שהוא 4 Bay. הספקתי לתפוס את הבזק של אייבורי (ו KSP) ולרכוש את ה DS218j ב620 לפני שהעלו את המחיר חזרה. תודה לך.

 

ציטוט של אורנקו נייד

קח איזה סוויטש של חברה טובה, סיסקו או HP, תגדיר VLAN. הסוויטשים היום ממש זולים (כמה מאות שקלים).

הבעיה היא שכפי שהבנתי אם הנתב לא תומך ב VLAN זה לא יעבוד?

קישור לתוכן
שתף באתרים אחרים

סוויץ הוא לרוב מכשיר שנמצא בשכבה 2 של מודל ה־OSI. ככזה אין לו יכולות ניתוב משל עצמו ואת הגדרת ה־VLANs ושרתי ה־DHCP שלהם צריך לעשות בנתב.

יש גם סוויצ'ים שעובדים בשכבה 3 (אפשר לחשוב עליהם כסוויץ משולב נתב) ובהם כן אפשר ליצוא VLAN ושרת DHCP.

 

טופולוגיית רשת קלאסית היא > (מודם) > שער (Gateway) שהוא הנתב והפיירוול > סוויץ' > ציוד קצה.

במקרה שלך הטופולוגיה האידאלית הייתה > Dlink (רק כמודם) > > סוויץ' > ציוד קצה (כולל נקודת או נקודות גישה בכל משרד).

 

רק שבמקרה הנתון המודם ונקודת הגישה (שנמצאים כמעט בשני הקצוות של הטופולוגיה) משולבים במכשיר אחד.

 

הפתרון היחיד שאני יכול לחשוב עליו הוא להשתמש ב־EdgeRouter (או דומה) בתור סוויץ' בשכבה 3, אם תרצה (נדמה לי שגם ה־Edgeswitch יכול לתפקד בסוויץ' בשכבה 3 אבל אני באופן אישי הייתי קונה EdgeRouter בגלל שאפשר יהיה להשתמש בו בעתיד גם כ־Gateway).

או במילים אחרות > > Dlink (שאליו יחובר סוויץ' לא מנוהל בשביל משרד א והוא למעשה יהיה ה־Gateway של משרד א') > Edgerouter שישמש כ־Gateway של משרד ב' > סוויץ' לא מנוהל שיחבר את כל ציוד הקצה במשרד ב.
ה־ER יחובר בכבל אל אחד משקעי הרשת של ה־Dlink ויוגדר כשרת DHCP שיחלק כתובת ב־Subnet שונה (אם נניח ה־Dlink מחלק כתובות בטווח 192.168.1.2-254, ה־ER יחלק כתובת בטווח 10.0.0.2-254 ויהיה כלל בפיירוול שלו (ליתר ביטחון) שימנע תקשורת ל־Subnet אחרות.

שוב, זה לא פתרון אידאלי. לדוגמה: משרד ב' יהיה מאחורי מנגנון NAT כפול (של ה־Dlink ושל ה־ER. אם אתה צריך להפנות פורטים אז תצטרך לעשות את זה בשני המכשירים או לכל הפחות ליצור כלל ב־Dlink שיאפשר העברה של כל התקשורת לכתובת ה־IP הסטטית של ה־ER). אבל אם אלה האילוצים זה הפתרון הכי טוב שאני יכול לחשוב עליו כרגע.

 

לגבי ה־NAS, תתחדש. זה לא שה־Asustor לא יכול לעבוד במצב RAID5 אלא שאין לו לדעתי מספיק כוח עיבוד וזיכרון לשרת צרכנים ברשת וגם לכתוב למערך RAID5 בזמן אמת. יכול להיות שאני טועה, אבל זה חשש שהיה לי אם הייתי במצבך.

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

×
  • צור חדש...