Construir nova rede e precisar de mais de 200 dispositivos sem fio

Estou planejando a rede para o novo espaço de escritório da minha empresa. Como não sou especialista, gostaria de apresentar meu plano e pedir a todos que me digam se e onde estou cometendo erros.

Suposições:

• Escritório é de 300 metros quadrados em um único andar, com paredes principalmente drywall.
• Atualmente, temos 18 trabalhadores.
• Devido ao crescimento esperado, o escritório deve apoiar confortavelmente 50 pessoas nas estações de trabalho.
• Somos uma empresa de aplicativos móveis, portanto, entre nossa equipe de desenvolvimento e nossos testadores, precisamos de suporte sem fio para mais de 200 dispositivos, principalmente telefones inteligentes.
• A maior parte do nosso tráfego é de e para a Internet, e não interna
• Precisa de várias redes sem fio (interna e convidada, no mínimo)
• Não há servidores no site (exceto desenvolvedores executando alguns localmente para desenvolvimento e teste).
• Todo o código, documentação, servidores de produção, etc, é nuvem. (Usamos Dropbox para backup, Atlassian para JIRA e confluência, BitBucket para repositórios, S3 para servidores, etc.)
• O ISP pode fornecer 30 MBps d / le 2 ou 4 u / l
• estações de trabalho são todas Apple (todas as placas de rede 10/100/1000)

Meu plano atual:

1. 2 quedas de LAN por estação de trabalho, a fiação do CAT5e em um patch panel, deve ter cerca de 100 terminações.
2. Modem - Cisco 887. Isso está incluído no pacote do ISP.
3. Roteador / Firewall - Soekris 6501 executando o pfSense ( http://soekris.com/products/net6501.html )
4. Switch (com fio) - HP 2510-48G, L2 totalmente gerenciado, Gigabit. Começarei com uma e conectarei apenas as estações de trabalho em uso. Se precisar de mais, posso adicionar mais.
5. Controlador sem fio com alguns pontos de acesso sem fio.
6. Configure todas as LANs no roteador.
7. Coloque o switch com fio no roteador e use-o como um interruptor estúpido
8. Conecte o controlador sem fio ao roteador para que ele fique fisicamente separado da LAN principal.
9. Configure 2 redes sem fio com autenticação sem fio com WPA2

Questões:

1. Para os Soekris, existem várias opções (RAM, CPU). Posso ir com o básico ou preciso obter as opções mais sofisticadas?
2. Para a configuração sem fio, não entendo completamente as diferenças entre e quando usar um controlador sem fio e um ponto de acesso sem fio. Preciso de ambos, um, nenhum? Passei muitas horas lendo e conversando com as pessoas e ainda não sei o que conseguir.
3. Meu melhor palpite para a pergunta acima é obter o controlador sem fio Cisco CT-2504-5 ou o Sistema de gerenciamento sem fio Netgear ProSafe 16-AP, juntamente com os pontos de acesso da Cisco ou Netgear. Ambos os controladores custam cerca de US $ 1000 e parecem fazer o mesmo. Existem diferenças importantes?
4. Quanto aos pontos de acesso, também estou confuso. A Netgear possui WNDAP350 e WNDAP360. Mais uma vez, não consigo entender a diferença aqui.
5. Realmente ganho entrando o switch no roteador?
6. Estou indo ao mar aqui? Planejei uma retroescavadeira quando tudo o que preciso é de uma pá?

Um par de pensamentos. Eu posso entrar em mais detalhes sobre qualquer um deles, se você precisar.

-Quando se trata de redes sem fio, há duas maneiras de planejar. Um é para cobertura, o outro é para capacidade. Com base no número de dispositivos (capacidade) e espaço (cobertura) que você descreve, acredito que a capacidade será o maior fator de decisão. Lembre-se de que a conexão sem fio é como usar um hub antigo. Todo mundo ouve tudo. Isso também significa que apenas um cliente pode conversar com um AP por vez. Isso não é uma limitação de um dispositivo (Cisco vs. Netgear), é uma limitação do meio físico (espaço aéreo). Como você está programando para dispositivos móveis, que suportam apenas um único fluxo, planeje um AP de banda dupla por 50 dispositivos. Se você optar por oferecer suporte apenas a 2,4 ou 5 Ghz (problemas de espaço aéreo com escritórios vizinhos, por exemplo), planeje 1 ponto de acesso por 30 dispositivos.

-O Cisco 887 possui apenas uma conexão de 100Mb. Se você seguir seu plano atual e executar todo o seu roteamento L3 no 887, isso se tornará um gargalo para qualquer coisa que seja roteada entre suas redes internas. Os exemplos incluem: replicação local para o Dropbox, sincronização sem fio entre dispositivos i e itunes, cópia de arquivos da máquina A para B, backups da máquina do tempo etc. etc. Esse gargalo ocorre porque a qualquer momento os dados precisam fluir de uma rede para outra (wlan para lan ), ele precisa ser roteado e sair e voltar a partir da mesma interface de 100 Mb. Isso pode não ser um grande problema, mas eu queria mencionar, apenas no caso.

-Os controladores sem fio são uma boa ideia. A configuração inicial leva um pouco mais de tempo, mas a partir desse momento, torna-se super fácil implantar mais APs ou WLANs. Não sei nada sobre eles por experiência própria, mas ouvi coisas boas sobre os APs Meraki. É uma solução de controlador baseada em nuvem, que a Cisco comprou recentemente. EDIT para maior clareza: não sei nada sobre a solução Meraki. Eu sei muito sobre os controladores sem fio da Cisco :-).

-Como você está ligando seus APs? Você planeja usar o VOIP no futuro? Considere os dois ao considerar se deve ou não solicitar um switch com PoE.

-Também, observe que você planeja colocar um firewall em linha após o roteador. Isso complica ainda mais seu plano de rotear entre sub-redes para lá. Eu planejaria comprar um switch L3. Isso simplificaria consideravelmente a implantação.

Espero que isto ajude. Boa sorte.

1. Eu executei dispositivos semelhantes ao Soekris com PFSense e M0n0wall. Posso empurrar bastante tráfego através deles com especificações bastante baixas. (Da ordem de 100 Mbps)
2. Os controladores sem fio ganham duas coisas importantes. O primeiro é o gerenciamento centralizado. Você pode gerenciar todos os seus pontos de acesso a partir de uma única interface. Precisa adicionar um SSID? Fácil. Adicione-o ao controlador e ele será enviado aos pontos de acesso. A segunda coisa é a imposição centralizada da ACL. Normalmente (embora nem sempre) os controladores sem fio encapsulam o tráfego de volta para si e têm um único ponto de saída na rede corporativa. Isso permite que você aplique coisas como zonas de segurança em um único local, em vez de em qualquer lugar em que o seu AP esteja conectado. Também permite que você tenha uma única sub-rede para clientes sem fio em uma rede maior.
3. Devido ao tamanho da sua rede, recomendo que você analise a Ubquiti Networks . Eles oferecem os mesmos ganhos de ter uma rede baseada em controlador, mas sem um controlador e com um preço muito mais baixo. Eu os usei com sucesso em várias implantações de edifício único. Se você está decidido a usar uma das duas opções aqui, selecionou as corretas para o seu tamanho.
4. Tanto quanto as especificações, elas parecem quase idênticas a partir de uma breve varredura das especificações técnicas. Talvez um seja montado no teto e o outro seja uma versão para desktop?
5. A principal coisa que você ganha é ser capaz de criar diferentes pontos de saída de diferentes VLANs. Você pode usar o roteador para configurar diferentes sub interfaces por VLAN. Portanto, para a sua rede sem fio convidada, você pode colocá-los na VLAN 50 enquanto o restante de seus clientes internos está na VLAN 10. Você pode aplicar políticas de segurança sobre o tráfego permitido entre as duas VLANs.
6. Não.

Editar: Do ponto de vista sem fio, se você tiver todos os 200 dispositivos tentando acessar recursos ao mesmo tempo, poderá ficar um pouco confuso se tiver apenas alguns APs lidando com o tráfego. Eu recomendo que você fique de olho no seu uso ao concluir sua implantação e veja se precisa adicionar mais densidade à sua infraestrutura sem fio. Agora, com apenas 18 funcionários e dispositivos móveis, seria difícil fazer com que todos eles enviassem tráfego suficiente para importar, mas à medida que você cresce, fico de olho nele para não ter problemas. Somente um cliente pode falar por vez em uma rede sem fio (por AP / Frequência). Portanto, garantir que você tenha largura de banda disponível suficiente é da maior importância.

Isenção de responsabilidade: A resposta parece vir de um arquiteto de soluções HP PreSales. (Discuta isso na meta ).

ESTÁ BEM. Vi um problema imediatamente. você deseja usar um switch 2510-48G e deseja pontos de acesso WLAN. Como você vai alimentar esses APs? Eu acho que você pode usar adaptadores de energia e conectá-los às tomadas, mas você realmente quer estar olhando para um switch PoE para ligá-los. Em segundo lugar, a HP anunciou a série 2530 em dezembro e, com isso, a EOL da série 2510.

Portanto, como arquiteto de soluções de pré-vendas da HPN, aqui está minha recomendação:

1. Você também pode usar o Cisco 877 como roteador local. Possui apenas conectividade de 4x100Mb à LAN. Se o seu provedor de serviços de Internet oferecer um serviço apenas com fios, investigue outros roteadores também. O Cisco 877 agora é EOL e não está mais sendo vendido. A HP possui a série MSR930 com uplinks de 4x GbE e um firewall incorporado.
2. Sem fio. Considere cobertura versus capacidade primeiro. Você precisa de dispositivos 200x para se conectar, mas apenas 18x usuários hoje. Portanto, supondo que nem todos os dispositivos estejam na rede a qualquer momento, você provavelmente poderá se safar dos APs em cluster. Isso permite que um único ponto de acesso também controle outros pontos de acesso. Na HP, você pode ver o ponto de acesso M220, onde até 10 pontos de acesso podem ser controlados como um.
3. Se você deseja uma solução WLAN gerenciada, considerou o controlador WM MSM720 ? Garantia vitalícia e suporte para até 40x APs (10 prontos para uso) e use os Pontos de acesso MSM430
4. Olhando para a página Netgear do WNDAP360 , parece que a única diferença é "Montagem fácil no teto / montagem na parede". Não faz menção ao Dual Spatial Stream, por isso suponho que o suporte máximo por rádio seja de 150 Mbps.
5. Definir entroncamento? Supondo que você queira dizer Agregação de Link, e não o termo Cisco em relação a várias VLANs no mesmo link? A agregação de links oferece mais desempenho e maior resiliência, caso um dos links falhe.
6. Não. Lembre-se, no final do dia, o que você fornecer tem que pesar, isso vai me dar dinheiro? Isso vai me poupar dinheiro? Reduzirá nosso risco? Você tem que pesá-los um contra o outro.

Os controladores sem fio destinam-se a coordenar a RF dos pontos de acesso e permitir o roaming do cliente entre os pontos de acesso. Você pode verificar a zona de design da Cisco para ajudá-lo.

Pessoalmente, eu não iria com o WPA2 simples, mas com o EAP, também certifique-se de não permitir a comunicação entre clientes.

Eu eco a sugestão de bigmstone da Ubiquiti Networks para sua WLAN. Eu os implantei em vários sites, e eles funcionam muito bem. Eles oferecem várias versões, mas eu realmente recomendaria o UAP-PRO porque ele usa 802.3af verdadeiro (versus POE passivo nos modelos mais avançados) (veja a diferença aqui )

Se você usa APs onipresentes, também pode querer examinar o EdgeSwitch deles. Ele suporta 802.3af POE e POE passivo (que, como mencionei, os APs mais baratos usam). O suporte para POE passivo é ótimo, porque você não precisa de todos esses adaptadores POE comuns.

Como o bigmstone disse, você não precisa de um controlador para usar os pontos de acesso, mas precisa de um para configurar os pontos de acesso inicialmente. Felizmente, o software do controlador é gratuito e muito fácil de usar, e se você é ambicioso, para um controlador permanente barato, o Raspberry Pi funciona muito bem!

Você precisa de uma rede com fio (comutadores Ethernet) e uma rede sem fio, juntamente com um dispositivo de segurança / gateway multicamada (ALG). O ISP / WAN é transferência Ethernet.
BYOD, Gerenciamento de LAN,

WLANs baseadas em controlador IPS / NGFW estão desatualizadas.

(Resposta tendenciosa de um integrador centralizado na Cisco)
Obtenha um Meraki MX100 , Cisco WS-C2960X-48TS-LL e (3) Meraki MR32 AP .