Какой выбрать гигабитовый роутер/firewall для среднего офиса (300 пользователей)?
Прошу совета по выбору модели маршрутизатора для среднего офиса — примерно 300 пользователей. Подключили гигабитовый WAN, теперь хотим обновить роутер, потому что имеющийся ZyWALL 1050 такую скорость не вытягивает. Используем файрволл (до 50 правил), NAT (до 50 правил), шейпер (до 50 правил), возможно VPN до 10 пользователей. Бюджет до 250 т.р.
На другом сайте посоветовали Mikrotik RB4011 , также изучаем USG Pro 4, EdgeRouter-12, Fortigate 101F.
Простой 5 комментариев
hint000 Частная инженерно-техническая компания, я один из директоров, спасибо за беспокойство. Готовы тратить и больше, если такова цена быстрой, стабильной и неприхотливой железки, обеспечивающей комфортную работу 300 пользователям.
Когда вы задаете подобный вопрос, то надо понимать:
1) Сперва всегда приходят «Свидетели Микротика», но это не означает ничего.
2) 300 пользователей — это уже не средняя сеть, но выбор роутера зависит не от их числа, а от нагрузки. Если там вакханалия, и все качают торренты — вам никакой роутер не подойдет. Любой будет падать. Нужны оч. производительные (по процессорной мощности) решения, возможно чисто софтовые.
pindschik, Пробежался по статье: как я понял, автор взял Микрот для домашнего использования и разочаровался, не найдя в нем каких-то вайфайных фич и DLNA-сервера. Еще он шумит, некрасиво выглядит и не хоум-юзер-френдли. В контексте наших же задач эти недостатки по большому счету ни к селу ни к городу; гораздо важнее надежность и быстродействие устройства. Судя по большому количеству положительных отзывов, с этими параметрами у Микротов все более-менее нормально.
Альтернативы интересны, но куда смотреть? C Zyxel’евской техникой мы нахлебались за много лет. Cisco? Juniper официально не поставляются в Россию. FortiGate — это NGFW, мы решили, что все эти фишки за такую цену пока не нужны.
Вакханалии и торрентов нет, всегда следили за этим. К слову, нам было бы полезно, если в Микротах были бы какие-то фичи для блокировки торрентов.
Да, статья была приведена с юморком, просто она показывает позицию сообщества — что бы вы не спросили про роутеры — обязательно посоветуют микротик.
Я видел как 100 пользователей прекрасно валят и Juniper и Cisco.
Если у вас есть точка NAT, то на ней одномоментно не может быть открыто более 65536 сетевых соединений, что при 300 пользователях дает нам примерно 200 шт запросов на каждого. Вполне достижимое число. Плюс надо где-то хранить всю информацию о соединениях и пакеты данных. Плюс все это перелопачивать на лету.
Соответственно железка должна быть с реально большим ОЗУ и хорошим процессором.
Наверное тут лучше искать другие пути, тогда возможно и железо не придется менять.
Нужно снизить разношерстную нагрузку на роутер, например частично фильтровать доступ к сайтам на самих компах (как вариант — политикой, через корп. версию Касперского). Такие явления, как торренты и mediaget — вообще банить на месте. И т.п. Наверное стоит запретить и сторонние мессенджеры.
Можно еще всех завернуть в прокси-сервер.
У меня есть пример клиента, у него 600 мегабит и справляется домашний Keenetik Giga 2.
Всегда лучше руководствоваться правилом – брать оборудование с которым лучше знаком.
От себя добавлю, что использовал для аналогичных целей / нагрузок RB1100AHx4, практически идентичный по производительности более новому RB4011 – с задачами справлялся с хорошим оверхедом.
Как и какой роутер выбрать для большого количества пользователей?
Нужно выбрать роутер для стабильного интернета в офисе. Пользователей примерно 60-70 — это с учетом подключения по проводу. Естественно кто-то будет сидеть с нерабочего и рабочего телефона, но большинство все равно на проводе будут.
Локальная сеть вообще не важна, в плане коммутации меж отделами. Главное чтобы был инет
Схема такая:
Средний 6 комментариев
Пока слишком обще сформулирована задача. Пропускная способность канала в интернет какая? Резервировать его не предполагается? Фильтровать доступ в интернет пользователям нужно? Вести какой-то учет их трафика нужно?
Дмитрий, Пропускная где-то 60мб/с, естессно надо будет настроить QoS на нем, чтобы канал не забивали. А так все остальное — не нужно
Вы уверены что правильно понимаете смысл QoS ?
В принципе — чтоб канал не забивали, можно и так сказать.
Но QoS это приоритет разному трафику — чтобы например телефония и RDP пролетали вне очереди, а остальной трафик толпился в очереди и терял пакеты.
В общем чтобы любитель посерфить или скачать торрент не помешал работе телефонии или другого критического сервиса.
Если бюджет ограниченный, кратного роста трафика не предполагается, и нет большой вероятности, что отрицательные ответы на остальные вопросы станут однажды положительными, то я бы применил https://mikrotik.com/product/RB750Gr3
Но конечно здесь возможно предложить множество различных разнобюджетных вариантов сетевого оборудования или ПО для использования в качестве интернет-шлюза, зависящих в том числе от предпочтений и опыта конкретного админа.
Дмитрий, Я бы не стал советовать микротик не выяснив точно кто будет админить.
А то посоветуешь — ругаются, плохой роутер, секретарша в нем разобраться не может.
АртемЪ, под то, что нужно топикстартеру, минимально необходимые настройки можно задать через QuickSetup. Хотелось бы надеяться, что если человек спрашивает что-то здесь, а не, скажем, в комментариях к видеообзорам бытовых роутеров на Youtube, то он готов вложить немного труда в то, чтобы применять даваемые ему ответы более-менее осмысленно. Иначе да, может случиться конфуз, подобный например этому — https://youtu.be/DblbWVBHdZE
(сейчас меня закидают помидорами, да и пофиг)
1. знаете Linux или FreeBSD — гордо собираете ПК-роутер;
2. знаете Cisco и есть много денег — покупаете Cisco;
3. знаете Mikrotik — покупаете Mikrotik бизнес-уровня;
4. знаете Mikrotik и мало денег — покупаете Mikrotik SOHO-уровня;
5. не знаете ни Linux, ни Cisco, ни Mikrotik — покупаете TP-Link бизнес-уровня (не SOHO);
6. нет денег даже на TP-Link бизнес-уровня — покупаете Keenetic;
Ну некоторые моменты вполне здравы, но желание покидать помидоры возникает.
Самосборный софт роутер — а смысл? Его есть смысл городить для каких-то спецзадач.
Насчет циско и много денег — циско это аппаратные решения способные пережевывать довольно серьезную нагрузку. Надо ли оно автору неизвестно. А что по поводу денег — конечно некоторые покупают по принципу типа дорого, значит хорошо. На самом деле либо он не нужен, ибо все решается дешевле, либо без циски не обойтись и приходится платить, потому что без него никак.
Насчет бизнес уровней микротика — функциональность у все одинаковая? Что есть бизнес уровень? Аппаратные решения?
И какая разница что знает автор? Знать должен тот кто будет администрировать. Может свой админ, может аутсосрсеры, может девочка бухгалтер по совместительству сеть админить будет, и такое бывает.
Вот я удаленно админю — мне удобней микротик.
Имхо ПК-роутер оправдан только в случае, если нужно вести логгирование действий пользователей, например на прокси-сервере (т.е. не в случае топикстартера). Но в таком случае к нему нужен либо админ, который все настроит и будет поддерживать потом, либо какой-то софт типа Kerio Control (к сожалению, цены на него для небольших организаций почти заградительные).
пк-роутер это не только лишь голый линь с iptables. Есть ведь прекрасные решения типа Pfsense с вполне дружелюбным интерфейсом для админов любых уровней.
Взял микроту 750. Первый раз настраивал, завел за 5 минут. Благо сети изучал и все интуитивно понятно. Очень понравился роутер 🙂
При такой постановке задачи — любой.
Любой современный домашний роутер без проблем это потянет. И десять пользователей и сто.
Там же как я понимаю обычный канал в лучшем случае 100мегабит.
Вопрос в другом — насколько он будет надежен, какая функциональность нужна. Много ли клиентов на WIFI.
Например 60 пользователей это вполне вероятно большая площадь. А чтобы обеспечить качественный WiFI на большой площади скорее всего необходимо будет несколько точек доступа.
По поводу функциональности — может вам надо будет гибко управлять трафиком, делать резервирование, настраивать приоритеты, это все требования к функциональности роутера.
В некоторых случаях этого ничего не требуется. Хотя 60 пользователей — уже возможны проблемы, что кто-то будет забивать канал полностью, кто-то воткнет свой роутер с работающим DHCP, телефония будет булькать, и.т.п.
Защищать dhcp это больше задача для свича. Что бы можно было прирезать дзцп шный трафик прям на порту пользователя
Предсказываю, что вам идеально подойдёт MikroTik RB1100AHx4 за около 20 тыщ рублёв.
И у вас будет: много роутер портов, дублировпнеое питание, возможность попинать дюду, возможность поиграться с двумя провайдерами и многое другое
Почти со всем согласен с АртемЪ , и про множество точек доступа, и про функциональность.
Другой вопрос, что не любой домашний роутер потянет — тупо не хватит памяти держать все соединения на такое количество народу.
Соответственно здесь желательно несколько портов 1Гб/с b с хорошей производительностью (вдруг решите на подсети поделить). Например Mikrotik RB2011 или Ubiquiti EdgeRouter 4/8.
Итого: в пределах 15 килорублей можно купить очень достойный аппарат.
Есть еще вариант — поставить компухтер, воткнуть в него пару сетевых карт, водрузить туда линух, и будет вам щазтие. Но это для энтузиастов 🙂
С коммутаторами, я бы сразу закладывал гигабитные и управляемые, желательно с DHCP-snooping. Что-то их серии Dlink DGS 1100-xx, дешевые, относительно надежные, и делают все, что нужно.
С точками доступа проблема другая, нужно сначала померить радиопроницаемость, а уж из этого выбирать и точки доступа и их количество.
PS. Обычно «начальство» требует все по минимуму, но я всегда говорю, что зарплатный фонд на 60 человек абсолютно точно покроет вот это вот все оборудование, как осел лошадь. Ибо кроилово ведет к #####лову.