Роутер в небольшую фирмочку

хочешь без микротика - Dlink DFL серии (по крайней мере, работают стабильно, поддержка очень длинная). Ну и в качестве тупых AP-шек - эйрпорты бриджем. Может и оверкилл, но работает без вмешательств.

juniper

надо сказать что там нет openvpn, хотя на макротиках тоже с некоторыми некритичными ограничениями.

Dlink DFL

Ты в доле?

они у тебя вланами что, на внешку идут?

Как найдешь l2-роутер - позови.

batman-adv, MPLS, VPLS

Dlink
работают стабильно

/0

Как найдешь l2-роутер - позови.

К словам решил цепляться?

Не, просто взял из-за того, что есть vpn, можно было управлять каждым портом, была стата по snmp. Работает несколько лет, только фирмварь обновляю.

Изначально был абсолютно дикий интерфейс, сейчас стало полегче.

Нет, не идут.

Ну так вот нетегированный цепляешь в своем влане на роутер, а внутренние вланы все коммутируешь на свитче. Сразу уходит много головной боли. Но свитч управляемый должен быть, разумеется

Подразумевается, что vlan`ы могут иметь доступ в сеть, ты предлагаешь сделать один с доступом в инет, остальные локально.

нет, почему, все у всех есть. Вся коммутация вланов идет на свитче, он же основной гейт всех клиентов (управляемый, у интерфейсов есть адреса). Роутер имеет всего две записи - внутреннюю широкой маской и внешнюю дефолт (ну и если филиалы - то к ним широкой маской). Свитч имеет всего одну запись - все слать в роутер, локал линк у него и так будет если влан-интерфейс поднят.

Стоит ASUS RT-N56U с прошивкой Padavan, как раз около 50 хостов + несколько vpn, всё ок.
На самом деле в такой расклад пойдёт любое более-менее современное говно, не имеющее явных глюков с зависаниями и на которое можно накатить dd-wrt.

Это да. У меня на работе четыре управляемых свитча от этих ребят, никаких нареканий. А вот с wifi - роутерами для дома и офиса у них полный трэш, угар и содомия. Самая частая проблема - плохое питание. Ну и дырявые прошивки.

у интерфейсов есть адреса

Как эта фишка называется?

что как называется? адрес у влан-интерфейса? я про влан говорю если что, не про физ порты.

MPLS, VPLS? Да, ладно. Для конечного потребителя это L2, но по факту это MPLS работает в паре протоколом динамической маршрутизации, который таки L3, то есть MPLS и подобное работает только на оборудование, которое умеет L3.

Вся коммутация вланов идет на свитче, он же основной гейт всех клиентов (управляемый, у интерфейсов есть адреса)

у интерфейсов есть адреса

Это уже L3, не? Никогда подобного на L2 не видел.

У меня на работе четыре управляемых свитча от этих ребят

У меня на работе их ровно в 10 раз больше, основная проблема - кондеры, но на новых 32xx бочек уже вроде нет, а по части софтварной все ок. В последних прошивках к 3526 прикрутили даже такую прикольную штуку как DDM, даже мои извраты с IGMP отлично работали (надо было по одной физической линии гнать в обе стороны, по разным vlan`ам только)

протоколом динамической маршрутизации, который таки L3

Протоколы динамической маршрутизации есть ниже третьего уровня. И для их работы L3 не надо. Один такой протокол я привел, и он есть в ядре linux.

MPLS

MPLswitching. Метки располагаются ниже 3 уровня.

да, это L3. но в целом управляемых свитчей без возможности настройки адреса влан-интерфейса я хз видел ли когда. Вроде какой-то из HP так не умел

ну просто имхо ты ж не все 50 клиентов в роутер воткнешь. Так можно взять более слабый и дешевый роутер и чуть более дорогой свитч, причем, опять же имхо, с распихиванием вланов свитч справится намного лучше в плане максимальной нагрузки

кстати, а сейчас свитч уже стоит какой?

а поясните, зачем в сетку на 50 компов управляемые свитчи и вланы?
а то у меня около сотни сетевых устройств по итогу, половина на 4хпортовых длинках и норм.

там помимо компов могут быть телефоны, AP, серверная часть и прочее. вланы нужны чтоб сеть организовать нормально. а то потом будешь сидеть и думать телефон это, точка или вообще чей-то мобильник.

у меня около сотни сетевых устройств по итогу, половина на 4хпортовых длинках

дружеский совет - никому это не говори. Особенно на лоре. А если хочешь проверить в чем проблема - подожди пару лет когда они ломаться начнут. Или со скуки замкни один свитч кольцом, они stp не умеют. Или загрузи их на полную поставив такой свитч между сервером бд, хранилищем-файлопомойкой и клиентом ко всему этому чуду.

но в целом управляемых свитчей без возможности настройки адреса влан-интерфейса

Серьезно? любой стоечный L2/L2+ D-link/HP/TP-link. Настраивается только management vlan и ip вешается на внутренний интерфейс свитча, да.

Для начала, если есть железки типа управляемых свитчей/видеорегистраторов - я бы из соображений безопасности вынес бы их в отдельную подсеть. Если нужна изолированная подсетка. Если нужно wifi раздавать в отдельной гостевой подсети. Если нужна какая-нибудь хитрая DMZ. Может конечно не использоваться все сразу.

И товарищ ниже правильно заметил, что когда один начнет барахлить - задолбаешься бегать и смотреть где отвалилось. Плюс возможность кольца, да, плюс еще куча недиагностируемых сразу проблем

ну, кхм, да, такие видел. Далеко не любой, из HP на моей памяти так только вроде 1910 был и еще какой-то бородатый 3com, вся 2ххх серия уже умела все как положено. Такие что только mgmt vlan + mgmt ip обычно называю полууправляемыми.

В любом случае на оконечку такой поставил бы раздавать, а вот на центр ставить бы не стал. Просто это становится намного проще когда сеть растет и есть хотя бы штук 8 внутренних свитчей и 4-5 филиалов. Нехватка портов на роутере очень быстро начинается, а длинная цепочка свитчей имхо не лучший вариант. Да и L3 свитч обычно резвее роутера в плане перекидывания между local вланами, особенно когда включаешь тот же pbr или идет много шифрования.

Что-то вот в таком духе. Роутер по сути fw/vpn/border. Ну и если еще и клиентский вафель и подсеть от провайдера - еще один неуправляемый свитч чтоб физически расшить клиентов от сотрудников. Но конечно от того что уже есть зависит - если уже бабки потрачены, то приходить с видом д'Артаньяна не слишком красиво

ну, на 50 компов и дешевый роутер + 2х48 хватит, но на моем опыте компания может резко (за год) с 200 человек вырасти до 2000 и обрасти пачкой филиалов. Потом затрахаешься вычищать описанные героем выше «длинки по 4 порта» и прочие ужасы. Но да, может и не вырасти.

Кстати, еще по поводу дешевых длинков на 4 порта. знаешь что такое broadcast storm? Это весело, попробуй когда в офисе нет никого.

Кольца и бродкаст штормы это хорошо, только попробуй объяснить руководству что вот ради этого гипотетического события которое происходит раз в 5 лет мы должны купить не длинк за 300р, а йобу за много тысяч и ещё нормально проводку прокинуть по отделанному кабинету до серверной.

Насчёт полезности разделения по вланам для идентификации устройств это фигня, толку-то что я буду знать что один из этих 30 - нужный мне телефон? Всё равно подписывать надо. А так они отлавливаются простой утилитой мониторинга по наличию 80 порта, кроме утырочных моделей которые не умеют его постоянно держать открытым.
http://imgur.com/She2nRo

ради этого гипотетического события которое происходит раз в 5 лет

во время квартального/годового отчета, ага

Насчёт полезности разделения по вланам для идентификации устройств это фигня

Не фигня. Бухгалтерию вынести с ее софтом в отдельный vlan например. Не фигня, если у тебя стоит управляшка и ты можешь в любой момент посмотреть наличие мака на свитче, а железки у тебя задокументированы (у тебя ж есть документация, правда?)

На счет подписей - надо, да. Но конечно же тебе лучше подорвать свою задницу и бежать и смотреть что там написано на проводе вместо руления всего этого дела через какую-нибудь веб-морду.

я держал какой-то 19xx и настраивал 2526 - там не было ip`шников на вланах. На 2526 зато можно было настроить несколько management ip/vlan. На длинках - можешь поверить мне на слово, нету настройки интерфейса, только 38xx-я серия такое умеет.

Протоколы динамической маршрутизации есть ниже третьего уровня. И для их работы L3 не надо. Один такой протокол я привел, и он есть в ядре linux.

B.A.T.M.A.N. - это игрушка для гиков для поиграться, к вопросу ТС это вообще не относится.

MPLswitching. Метки располагаются ниже 3 уровня.

А таблица меток получается благодаря данным из таблицы маршрутизации. Ты не можешь получить MPLS без L3, потому что MPLS это симбиоз L2 и L3 (принцип L2 - коммутация пакетов, а работает с помощью L3 - составление таблицы меток). Поэтому любой коммутатор, который умеет MPLS, есть multilayer switch (MLS), т.е. L3 и выше.

Итого: l2-роутера аппаратного нет, есть софтовый l2-router, который реализован только в виде игрушки для гиков B.A.T.M.A.N. И данная информация для ТС бессмыслена.

ок. Ты сказал что у тебя сотня юзеров. Половина на длинках. Итого 50 юзеров, аплинк + 3 свободных порта = примерно 15 длинков. Каждый 500р. В сумме 7500. Тот же 1910 не сильно дороже.

А начальству в таком случае можно просто сказать что ты не можешь гарантировать работоспособность сети если они закупят низкокачественное железо. А то потом тебе вообще из говна и палок стоить надо будет.

Кстати, у тебя клиентский вафель там есть? Если да - ты что его тоже в отдельную подсеть не выносишь?

2526 не умеет? О_о занятно. С ним конкретно не работал, но 26хх точно умеют, 28хх тоже. Да и 2520 вроде умел. Ща ман проверю

Update:2520 тоже умеет если ману верить. vlan <id> ip address <address>. 2526 тоже должен уметь вроде. Просто даже 1910 имел зачатки роутинга типа default gw

Про длинки не скажу, единственное мое воспоминание о них (кроме четырехпортовых домашних) - что с Poe у них шикарно горят порты. Лет через 5 от остается портов 7 живых

Кольца и бродкаст штормы это хорошо, только попробуй объяснить руководству что вот ради этого гипотетического события которое происходит раз в 5 лет мы должны купить не длинк за 300р, а йобу за много тысяч и ещё нормально проводку прокинуть по отделанному кабинету до серверной.

Тут нужны конкретные числа (производительность и состояние сети), но без свитчей умеющих SNMP ты эти данные не получишь.

Насчёт полезности разделения по вланам для идентификации устройств это фигня, толку-то что я буду знать что один из этих 30 - нужный мне телефон? Всё равно подписывать надо. А так они отлавливаются простой утилитой мониторинга по наличию 80 порта, кроме утырочных моделей которые не умеют его постоянно держать открытым.

Это не фигня, просто ты для этого не созрел. Достаточно иметь актуальную документацию.

А ещё прикольно, когда кто-нибудь без спросу ставит домашний роутер, чтобы был wifi, и он начинает на себя агрить dhcp-запросы. Поэтому свитчи без VLAN, STP, SNMP, DHCP snooping свитчами не считаются.

Да, кстати о dhcp - помню у нас одни такие умники окопались. Когда узнал - хотел им по банке вазелина раздать когда полсети упало. Тем более что их домашнее чудо корп сеть через вафель раздавало наружу. Потом только жесткая привязка по маку без единого пустого места в пуле для всех кроме вафли, ее просто порезали в правах.

и ещё нормально проводку прокинуть по отделанному кабинету до серверной.

Ты написал это так словно это плохо

2526 тоже должен уметь вроде

Может недосмотрел, но как я понял там речь про management vlan.

На счет PoE - у нас все железки без них (ибо полно по оптике работающих)

Мне кстати до сих пор влом запилить ACL`ки на блок левых DHCP:-) - слишком много железок, но один прецедент был, тупо на порту вырубил инет, а потом раздал люлей.

B.A.T.M.A.N. - это игрушка для гиков для поиграться

не B.A.T.M.A.N., а batman-advanced. Игрушки в ядро не добавляют.

к вопросу ТС это вообще не относится

поздравляю, а теперь посмотри, кому сообщение про L2 роутинг адресовано.

А таблица меток получается благодаря данным из таблицы маршрутизации.

Важно то, что в результате происходит КОММУТАЦИЯ

Итого: l2-роутера аппаратного нет

Для тебя будет большим открытием, но в маршрутизаторах используются операционные системы, а не тупо стоит ПЛИС.

софтовый l2-router,

это как? в плане - маршрутизация это уровень пакетов и адресов, т.е. L3. Что тогда есть L2 роутер?

Полцарства за Wi-Fi (комментарий)

OpenVPN из коробки, поддержка VLAN из консоли.

После вставки флешки можно поставить entware, а там уже почти всё, что угодно.

Mikrotik RouterBOARD 2011UiAS-RM (RB2011UiAS-RM)

Спасибо, там приблизительно подобное г-но работает.