Ранее я писал об иерархической модели сети. Это скелет всей сетевой инфраструктуры и это то, с чего стоит начинать планирование сети и лишь потом приступать к проектированию средств защиты. В этом главная суть модульности.
На днях возникла задача построения дешевой сети, для средней организации с количеством пользователей 100 человек, с возможностью дальнейшего масштабирования. Выбор пал на вендора D-Link. И так, одна из примерных типовых схем сети среднего предприятия выглядит следующим образом:
Поскольку мы будем рассматривать только "скелет сети", то выбирать будем коммутаторы, а именно Stack Distribution Switch, Access Switch, SRV Switch, DMZ Switch.
В данном дизайне уровень ядра объединяется с уровнем распределения - Collapsed Core. Главное требования к этим коммутаторам - поддержка L3 функций (маршрутизация) и технологии стекирования. Стекирование необходимо для реализации отказоустойчивости и повышения общей производительности ядра. Отличным решением является коммутатор DGS-3120-24PC/B1ARI. Производительность коммутатора 88Гбит/с!
Данный коммутатор обладает всеми необходимыми функциями, в том числе поддерживает технологию стекирования. Порты стекирования (10G) расположены на обратной стороне. Для сбора в стэк вам потребуется кабель DEM-CB50 в количестве двух штук
Эти же коммутаторы можно использовать в качестве SRV Switch и DMZ Switch ввиду их высокой производительности и наличия гигабитных портов.
В качестве коммутаторов доступа (для подключения пользователей) достаточно использовать управляемые L2 коммутаторы. Отличным решением будет коммутатор DGS-1210-28/B1A. В коммутаторе присутствуют все необходимые функции, включая функции обеспечивающие безопасность пользователей (DHCP Snooping, Port Security, ARP Inspection и т.д.).
Следует отметить что все приведенные коммутаторы вставляются в 19 дюймовую стойку, обладают SFP портами (возможно подключение по оптике), а так же поддерживают технологии агрегации каналов (такие как LACP), что обеспечивает отказоустойчивое и высокопроизводительное подключение коммутаторов доступа к стэку коммутаторов ядра/распределения. Наличие стэка высокопроизводительных коммутаторов позволяет дальнейшее масштабирование сети - увеличение кол-ва коммутаторов доступа в случае появления большего числа пользователей.
Таким образом примерная спецификация будет выглядеть следующим образом:
Устройство | Модель | Цена, руб | Кол-во, шт | Итого |
Коммутатор ядра/распределения | DGS-3120- 24PC/B1ARI | 43000 | 2 | 86000 |
Кабель стекирования | DEM-CB50 | 1700 | 2 | 3400 |
Коммутатор серверов SRV Switch | DGS-3120- 24PC/B1ARI | 43000 | 1 | 43000 |
Коммутатор DMZ Switch | DGS-3120- 24PC/B1ARI | 43000 | 1 | 43000 |
Коммутаторы доступа | DGS-1210- 28/B1A | 9000 | 4 | 36000 |
211400 |
В спецификации представлены примерные цены и без учета расходных материалов (витая пара, коннекторы).
В итоге мы получили 211400 рублей - стоимость "скелета" сетевой инфраструктуры (на оборудовании D-Link) для организации с кол-вом пользователей не более 100 человек. Последующее увеличение пользователей будет требовать покупку дополнительного коммутатора уровня доступа. Таким образом подключение новых 26 пользователей (еще 2 порта используются для подключения свича к ядру сети) нам обойдется примерно в 9 тысяч.
Так же стоит отметить, что полученная сеть построена на оборудовании одного вендора, что существенно упрощает ее эксплуатацию и администрирование.
Подобное решение на основе оборудования Cisco обойдется примерно в 6 раз дороже, а возможно и больше (зависит от используемых лицензий).
Более подробно с архитектурой корпоративных сетей вы можете ознакомиться здесь.
В следующих заметках я постараюсь рассмотреть типовые решения по организации корпоративного wifi, централизованного управления, централизованного мониторинга, а так же по средствам защиты.
Буду рад если вы поделитесь в комментариях своим опытом и типовыми решениями.
Цены, как понимаете, уже не актуальны)
ОтветитьУдалитьПодскажите пожалуйста можно ли в Router cisco 3640 и Switch 3745 совместить сразу IP телефонию IP видеонаблюдение и локальную сеть с выходом в интернет а также с файловыми серверами? что нужно для этого? реально ли это?
ОтветитьУдалитьPs. пишу диплом.