Uredska mreža - pomoć

[Cloud06]

Pozdrav svima!

Planiram layout uredske mreže pa sam se nadao da bih ovdje mogao dobiti pokoji pametan savjet. Nisam IT stručnjak, bavim se skroz drugim poslom, ali volim IT pa mi je neka namjera napraviti što više sam i potencijalno nekoga angažirati na kraju oko konfiguracije ako zapnem. Unaprijed se ispričavam ako bude nebuloznih pitanja.

Dakle, radi se o mreži u uredskom prostoru. Potrebno je spojiti radne stanice u 10GbE mrežu, omogućiti u cijelom prostoru Wifi, omogućiti 1GbE za razne druge uređaje po uredu itd. S obzirom na to da se rade sve nove instalacije, razne su mogućnosti u igri.

Ovo mi je neki okvirni plan što se uređaja tiče. Bazirao bih sve na Ubiquity opremi zbog lakše konfiguracije.

Koristio bih:

1. Dream Machine Special Edition
- 6x nadzorna kamera (POE, Hikvision)
- WAN

2. USW Pro Max 48 POE
- 4x U7 Pro POE AP-a na 2.5GbE
- 2x vanjski POE portafon Hikvision
- 4x unutarnji POE monitor za portafone Hikvision
- 1x NVR za snimanje kamera
- 1x alarm hub
- RJ45 utičnice po uredu, neke 1GbE, neke 2.5GbE, CAT6A kabliranje, a na nekima od utičnica USW Flex Mini POE napajan za neke manje kontrolere za radne stanice

3. USW EnterpriseXG 24
- 7x 10GbE radna stanica(uglavnom Macovi)
- 2x 10GbE NAS (Qnap / Synology)
- 1x 10GbE Mac za arhiviranje na LTO

Bit će tu još sigurno nekih IoT uređaja i hubova, što na ethernetu, što na Wifiju.

Ono što me zanima:
- ove sve uređaje bih međusobno spojio preko 10G SFP+ portova
- mogu li uređaje spajati u posebne VLAN-ove i ako nisu na istom switchu - recimo da imam VLAN za videonadzor na kojem je NVR, kamere i alarm? Kamere bih stavio na Dream Machine da uštedim portove na velikom switchu.
- što trebam ako želim izbjeći korištenje ISP-ovog rutera? Sada imam 1 gbps / 500 mbps optiku, ali sam predvidio brže uređaje jer se već sad nude paketi na 2 gbps, pa da imam i tu mogućnost u budućnosti?
- Dream Machine bi trebao moći raditi IDS threat detection do 3.5 gbps - to se odnosi samo na WAN?
- površina prostora je cca 250 kvadrata - predvidio sam 4 AP-a koji mi se čine ok kad layout ucrtam u planer od Unifija, ali imam malo specifične zidove od kaufa (sa dvostrukim pločama sa svake strane), pa sad ne znam postoji li tu neko generalno pravilo?
- jesam li generalno previdio nešto u ovom planu?
- Moguće da je ovo sve skupa malo iznad mojih mogućnosti i znanja. Postoje li neki ljudi koji se freelance bave savjetovanjem oko mreža?

Hvala unaprijed na svakom savjetu.

[jp_rv]

ja... nebi uzimao ubiquiti za poslovnu mrežu. nije to TA razina ničega, nit sigurnosti, nit kvalitete, nit softvera i najgore - PODRŠKE.
sve nešto beta, pa zajebu, pa ništa ne radi, pa nemaš support, pa se jebi...

switcheve AJDE ako će biti offline i nećeš ih spajat na net niti ikada ažurirati.
ap-ove ajde uz isti princip - nikad online i nikad da se ažuriraju. kroz x godina će ti UI ukinut podršku kroz novi controller i onda ćeš ap-ove morat bacit.

za poslovnu mrežu danas je neki standard fortigate kao firewall/router. naravno da ćeš plaćati licencu za ids/av.

ap-ove si po meni debelo pretjerao jer koji će q ikome to - ali kako ćeš. pričamo o uredu.
kamere mi svugdje stavljamo dahua sa pripadajućim snimačem. i ja se slažem s time.
uopće ne kužim logiku imati sve od istog proizvođača, to uglavnom vole hipsteri kojima je bitno da lijepo izgleda.

also - mi smo (kao firma od recimo 50tak ljudi koji rade na kompjuterima) na 200mbita i eventualno ćemo kod idućeg ugovora to dignuti na 300.

[Cloud06]

Citiraj:

Autor jp_rv

ja... nebi uzimao ubiquiti za poslovnu mrežu. nije to TA razina ničega, nit sigurnosti, nit kvalitete, nit softvera i najgore - PODRŠKE.
sve nešto beta, pa zajebu, pa ništa ne radi, pa nemaš support, pa se jebi...

switcheve AJDE ako će biti offline i nećeš ih spajat na net niti ikada ažurirati.
ap-ove ajde uz isti princip - nikad online i nikad da se ažuriraju. kroz x godina će ti UI ukinut podršku kroz novi controller i onda ćeš ap-ove morat bacit.

za poslovnu mrežu danas je neki standard fortigate kao firewall/router. naravno da ćeš plaćati licencu za ids/av.

Kužim. Međutim, meni je recimo već kad otvorim site od Fortigatea jasno da to nije proizvod za mene, nego za mrežu sa nekim ozbiljnijim adminom. Ali proučit ću malo detaljnije.

Unifi mi se čini kao sistem koji ću moći u velikoj mjeri sam konfigurirati i nadgledati u budućnosti, što je meni dosta bitan faktor.

A Ubiquity to inače radi, da ugase podršku za stari AP na novijim kontrolerima?

Citiraj:

Autor jp_rv

ap-ove si po meni debelo pretjerao jer koji će q ikome to - ali kako ćeš. pričamo o uredu.
kamere mi svugdje stavljamo dahua sa pripadajućim snimačem. i ja se slažem s time.
uopće ne kužim logiku imati sve od istog proizvođača, to uglavnom vole hipsteri kojima je bitno da lijepo izgleda.

also - mi smo (kao firma od recimo 50tak ljudi koji rade na kompjuterima) na 200mbita i eventualno ćemo kod idućeg ugovora to dignuti na 300.

Moguće da sam pretjerao, ali sam u jednoj specifičnoj djelatnosti gdje se šalju i primaju ogromne količine podataka na dnevnoj bazi. Ja sam se preporodio kad sam dobio 500 mbps upload. Uzeo bih odmah veću brzinu da mogu za neku pristojnu cijenu (u prosincu 2024. sam prebacio oko 5 i pol terabajta).

Možda je malo blesavo uzeti AP sa 2.5GbE uplinkom, ali opet nekako mi OCD brani da uzmem AP koji je limitiran na gigabit, kad ću vjerojatno u sljedećih dvije godine imati veću brzinu.

Čak nisam opsjednut da je ista firma, ali to donosi neke prednosti. Recimo sve se konfigurira iz istog interfacea. A npr. kad imaš Hikvision alarm i kamere, onda ih možeš linkati automatski jako jednostavno, triggati neke actione i alarme kamerom itd... Stvar je samo u tome da je konfiguracija užasno jednostavna i sve radi kao jedan sistem.

Uglavnom, hvala na odgovoru, ovo mi je korisno da malo pogledam i druge proizvođače mrežne opreme.

[mann]

Referiram se na stari ap. Uap ac lite je izašao 2015, jos uvijek se nudi na njihovom webu ako se ne varam. S druge strane, znalo se desiti da su neki ap toliko loše išli I da ih je ubiquiti poslao tu generaciju u eol nakon 4-5 godina.

Sent from my SM-S926B using Tapatalk

[Lewis]

Slobodno idi na UBQ, daleko su odmakli u software od prije dvije-tri godine, evo nedavno je i sluzbeno u novom updateu dosla i mogucnost Zone Based Firewalla, VPN su znatno poboljsali, hrpu toga dodali, hardware izlazi redovno sa dobrim i novim featuresima, updateovima za postojeci isto redovito (u 2.x godine nijedan uredjaj mi se nije zbrickao niti pogresno flashao, a imam ih podosta i flasham stalno tj. cim izadje offical update ja flasham (ugasio sam auotmatski flash te podesio da me obavijesti ali samo za official updateove a ne i za Bete/RCe verzije).

Software je pregledan i dovoljno lagan za korisitit (netrebas raditi sve zivo sa SSH ili biti programer/Mrezni inzenjer da bi znao podesiti switch/router/ap ).
IDS radi dobro i opet jednstavan i vizulano pregledan za podesiti, a imaju sad i opciju CyberSecure by Proofpoint kao godisnju pretplatu dodatno ako zelis "up to 55.000 signatures, 30 to 50 new signatures daily"....

Cak se i Lawrence System koji ih je dosta spotao za firewall i VPN lagano (harwareom je uvijek bio zadovoljan i hvalio ga ali za VPN/Firewall je koristio druge uredjaje) predomislja i hvali ih da su se znatno poboljsali i da sad moze preporucit i sve "in house" bez da se "mora" uzeti dodanti uredjaj za firewall.

Isto tako nedavni update za Kamere/software je donio i podrsku za OnVIF pa nemoras samo njihove kamere koristiti ako ne zelis itd. itd..

Izbacili su i svoje NASeve nedavno tako da mozes i to uzeti od nih ako zelis samo file server/bare bone backup system.

A sto se tice podesavanja i software tesko da ces naci nesto sto ima vise tutorijala online/na youtubeu tako da cak i ako se jako malo kuzis gledajuci tutorijale skuzit ces i moci ces sam podesiti...

Naranvo da postoje bolji i jaci enteprise mrezni systemi (a i skuplji ) ali UBQ/Unifi za to sto tebi treba (bar po opisu) ce biti odlican a i neces morati imati 5 razlicitih proizvodjaca da sklopis cjelu mrezu/kamere jer kao sto si i sam rekao ako mozes upravljati sa svime iz jedne konzole/software vec to samo po sebi ce ti olaksati rad/setup.

Plus sve sto ti treba (ako vec znas sam sta zelis) mozes poklikati na EU storeu i stigne ti na adresu (meni su slali iz Nizozemske) za 5-6 radnih dana. Tako da nemoras uopce ni kupovati kod nasih shopova ako ne zelis (osim ako ti neko slozi dobru ponudu/rabat pa je jeftinije nego oficijelna cijena )...

[BlackDwarf]

Citiraj:

Autor mann

Referiram se na stari ap. Uap ac lite je izašao 2015, jos uvijek se nudi na njihovom webu ako se ne varam. S druge strane, znalo se desiti da su neki ap toliko loše išli I da ih je ubiquiti poslao tu generaciju u eol nakon 4-5 godina.

Sent from my SM-S926B using Tapatalk

Imali su lite sa zelenim prstenom.
On je bio problematican.

[mann]

Citiraj:

Autor BlackDwarf

Imali su lite sa zelenim prstenom.
On je bio problematican.

Ma da, koji puta fale hardware i onda dosta brzo ode u eol. Generalno ac lite platforma je tu već 10g, nije još ni u vintage kategoriji. I kad pogledaš firmware od njega isti firm se instalira na masu novijih ap-ova jer očito dijele platformu. To kad se desi znaš da će trajati u nedogled.

Ono što je meni dosta neozbiljno je pristup sev1 ticketima i disruptive bugovima. Kad se dese, a tu i tamo se dese oni to rješavaju pojedinačno. Permanent fix izadje sa novim firmwareom za par mjeseci. To mi je rješenje od dupeta jer vidiš da ih ne sekira što će i drugi očito naletiti isto na ovaj sev1 I imati ce direct hit na availability tog korisnika. J se njima. Korisnik nek digne ticket i mi ćemo riješiti njega, i tako sve do sljedećeg firmwarea. Da se razumijemo, oni riješe problem korisniku dosta brzo. Kad je bio onaj problem sa constant freezing rutera, meni su dali fix unutar dana ali nisu ga globalno riješili do sljedećeg firmwarea.

Velikim oem koji put treba duže do temporary rješenja ali kada je potvrdjen i fix nadjen najčešće ide neki security patch odmah, announcement, bum. Ti ga vidiš da je izašao, nemoras ga aplicirati ako nisi pogođen njima ali tu je, znaš da postoji. Ubiquiti nije baš na toj razini.

Da se razumijemo, za firme ono do 30-40 ljudi, ja bi ozbiljno razmatrao ubiquiti i vrlo vjerojatno uzeo ubnt. Preko toga razmislio bi 6 puta koji segment ubnt bi mi mogao odgovarati.

Sad su počeli sa ovim enterprise segmentom. Vjerujem ili barem nadam se da će to biti prekretnica ka malo ozbiljnijem nastupu. Sve ukazuje na to sa ovim novim zone base firewallom, 24/7 premium suportom I slično.

P.s. Forti je strašno fora ent rješenje kod kojeg mi užasno smeta što mu je svaki mjesec (karikiram) neki rce vulnerability nadjen. Pa u 3pm i RCE.

Sent from my SM-S926B using Tapatalk

[Cloud06]

Hvala puno za sve informacije!

A što mi treba da bih mogao izbaciti opremu od ISP-a? Trenutno je to HT, imam ONT i Fritzbox.

[Nikky]

@mann
To šta si opisivao je stvar marketinga i imiđa firme,
ne izgleda bajno kad svako malo imaš neku zakrpu (M$ za primjer),
ovako ispadnu pametni, bezgrešni i lijepi c
Uostalom i druge firme idu tim putem sa novim fw (barem dok je novi proizvod, kasnije već rijetko i teže).

@Cloud06
Nisam baš neki fan UniFi - ja pa sam bacio oko na taj UDM-SE,
dosta ljudi im zamjera (barem da se detalj uzme u obzir), je taj da su GB Lan portovi prema cpu i prema 10 GB dijelu spojeni GB linkom.
U prijevodu, za veće brzine u Lan - u treba uzeti dodatni 10GB / 2.5GB switch + odgovarajuće SFP DAC - eve.


Nisi naveo koju Dn/Up brzinu imaš odnosno jeli ONT sa 1 GB ili 2.5 GB Lan portom.
Za početak možeš ostaviti njihov ONT a umjesto Fritz - a konfiguriraš UDM-SE kao router.

[mann]

Citiraj:

Autor Cloud06

Hvala puno za sve informacije!

A što mi treba da bih mogao izbaciti opremu od ISP-a? Trenutno je to HT, imam ONT i Fritzbox.

Fritz ide na ont preko ethernet kabela? Ako je pretpostavka točna najlakse bi bilo da zadrzis ont a fritz mices iz price I sibas dalje.

Ja sam na bakru pa imam njihov ruter u bridgeu i dalje na UDM/UDR.

@nikky
Moramo napraviti razliku izmedju enterprise i Prosumer rješenja. Za Prosumer se mogu složiti, za ent se nemogu složiti. U ent segmentu ništa nije gore nego ako ti korisnik ima downtime tj sev1 tvojom (oem) greškom. Nikad nisam čuo od ent korisnika da se žalio jer si mu preventivno riješio mogući disruptive bug i izdao zakrpu koja bi ga se ticala.

Sent from my SM-S926B using Tapatalk

[Nikky]

OK, kužim šta govoriš.

[buljo]

Citiraj:

Autor BlackDwarf

Imali su lite sa zelenim prstenom.
On je bio problematican.

Lite običan nije postojao. Bio je AP, AP LR i AP Pro. Svima je zajedničko što nisu imali 5GHz pa su zato brzo otišli u penziju, odnosno bili su sa zelenim ringovima, novi imaju plave.

Još uvijek kod jednog klijenta imam AP i AP LR stare 13ak godina. Downtime im je jedino kada nestane struje

Ja koristim doma jedan AC LR koji sad ima 9 god, prva verzija koja nema PoE, odnosno ima passive PoE.

[Cloud06]

Malo ću dignuti temu, jer su mi se otvorila još neka pitanja

• Mrežne utičnice su mi uglavnom 2x RJ45 - je li ok koristiti duplex kabel? Po projektu ide S/FTP pa je najbolje što sam pronašao Digitus Cat7.
• Za kamere i ostalo bi koristio jednostruki Cat7 S/FTP jer mi nije neka značajna razlika u cijeni.
• Kupio bih i Digitusov server rack 800x1000. Ne treba mi možda ova dubina, ali kolko vidim komunikacijski ormari im nemaju perforirana vrata što mi je problematično.

Usput, ako netko ima preporuku za firmu/obrt/freelancera za spajanje ormara, krimpanje itd... Slobodno pišite na privatno :-)

[Nikky]

Slobodno vuci duplex kabel, nekad je lakše sa njim a nekad ako zapinje lakše je sa 2 kabela.

[Pupo]

Uzmi si dublji ormar, odnosno serverski ako planirate neke servere stavljati. Nema gore nego kada ekipa kupi komunikacijski ormar i onda hoće unutra server stviti, pa onda viri i nazad i naprijed.

[BlackDwarf]

nema gore kad ekipa sastavi ormar naopako.
okrenuli rack šinu s prednje strane prema unutar ormara, ušarafili ormar u pod, pomotana konstrukcija, kratki kabeli (a novo radeno)..
i naravno ja dosao sa serverom na kraju svega kad se ne moze vise nista iscupati van.. a malo sad visi... sva sreca da je 1U.