Switch választás KKV környezetbe ~ 70 munkaállomást tartalmazó gépparkhoz

Sziasztok!

A közeljövőben rendezem be egy ~ 70 munkaállomást tartalmazó géppark szerverszobáját, ahol már minden megvan, kivéve a switch és a router.

Digi 1000/300 Mbps internetkapcsolat lesz, amit egy Asus RT-AC85P router fog meghajtani, a 3 épületet pedig egy 48 portos Switch fogja összehúzni.

Igazából ezen gondolkozom, hogy szükséges-e ide egy komolyabb teljesítményű MikroTik CRS354-48G-4S+2Q+RM Cloud Router Switch, vagy elég lehet egy egyszerű managelhető ZyXEL GS1920-48v2 általános switch?

Tudom, hogy egy Zyxelt és egy Mikrotiket minőségben és stabilitásban össze sem lehet hasonlítani, de alapvetően 40G SFP itt biztosan nem lesz használva, illetve a Router funkciót is betölti az Asus router, ahol a másodlagos internet egy Digi Mobilnet lesz, USB modemmel, szóval a Mikrotik csak általános switchként lenne használva , egy management opcióval.

Adatforgalom nem nagy mértékű, SAP Server illetve egy Dokumentumokat tároló File server van a hálózatban, valamint egy QNAP-NAS Backup célból, iletve később kerül be majd egy 16 kamerás IP kamera rendszer.

A kérdés, ami bennem felmerült, hogy megéri-e az a Br. 37 000 Ft plusz költség egy ilyen környezetben, vagy teljesen felesleges, mert egy Zyxel is tud akkora teljesítményt adni, mint az említett Mikrotik?

Volt már dolgom Router OS-el, igaz csak Access Pointokat konfiguráltam, de gondolom kis utánajárás után be lehet állítani, hogy általános switchként működjön ez a mikrotik eszköz.

Ti melyik switchet választanátok, a stabilitás és az egyszerű beüzemelést figyelembe véve?

Hozzászólások

Nem gondolnám, hogy stabilitásban különbség van a mikrotik és a zyxel között, vagy megbízhatóságban.

Én a zyxelt választanám mert nem értek a mikrotikhez- viszont ha értenék akkor azt választanám. Szerintem ez majdnem egy intel-amd :) amelyik jobban tetszik.

Ez most mérföldes butaságnak tűnhet, de én sokkal jobban tudtam dolgozni azokkal az eszközökkel amiket én választhattam ki, szimpátia alapján és nem előírás alapján. Valahogy jobban állsz hozzá. Lehet csak én. 

Szerkesztve: 2020. 06. 25., cs – 21:47

Nálunk a cégnél HP procurve-ök vannak. Évek óta 0-24 ben mennek, soha semmi bajuk nincs.

Teljesen jók.

Legutóbb egy 1820-48G  t üzemeltünk be januárban.

A HP-ra eddig nem gondoltam, nem igazán dolgoztam még HP switchekkel, de az élettartam garancia, és a 104Gbit/s switching kapacitás miatt szimpatikus.

1920S-48 4SFP Porttal egész jó árban van, szóval végül erre esett a választásom.

Köszönöm, hogy leírtátok a véleményeteket! :)

Az egy jópofa switch, használunk belőle mi is. Routernek én Mikrotiket választanék (hidegtartalékkal, bár ez igaz mindre). A Mikrotik mellett szól a konfigurációs szabadság és a folyamatos OS frissítés, a kisebb CCR-ektől sem riadnék vissza. A NAS-okat mindenképp minimum 2x1G LACP-vel kötném be valamilyen központi helyen, hogy a felhasználók/mentés felé jó sávszél legyen (valszin per user 1G a max, de sok lesz a felhasználó).

Az IP kamerás cuccot jól nézzétek meg, találkoztam olyannal, ami csak dedikált switchen volt elviselhető, mert olyan szintű csomagforgalmat generált.

 

Az IP kamerás cuccot jól nézzétek meg, találkoztam olyannal, ami csak dedikált switchen volt elviselhető, mert olyan szintű csomagforgalmat generált.

Egy jó képességű switch olyan PackerPerSecond fabric-al rendelkezik, amit endpoint oldalról szántszándékkal is elég nehéz letérdeltetni. Az IP kamera nem véletlenül broadcast-ba szórta az áldást? Egyedül azt tudnám elképzelni ami megakaszthatja a hálót. De akkor azon a külön dedikált switch sem segít.

A ProCurve switch-ek már régen kifutottak. Az élettartam garancia (az új szériákra HPE/Aruba is van) az nem rossz, írsz egy levelet, leírod a hibát, esetleg visszakérdeznek, amit kértek elküldöd, és már jön is a futár a csere eszközzel, 3 napod van, hogy küld a rosszat, természetesen azt is az ő költségükre. Ha olyan a forgalmazó, akkor ezt ő intézi, ha nem akkor is működik, csak regisztrálni kell.

A routing switch-ek általában gyorsabbak, mint a roter-ek, és persze kisebb tudásúak is (tűzfalnak nem jók). Ha belső VLAN-okat is kell routolni, akkor érdemes routing switch-et választani (Pl. 1920 is ilyen, a 1820 nem).

az a kerdes hogy _logikailag_ hogy lesz szetvalasztva a 70 gep. mindenki egy vlan oszt csok. vagy lesznek gepcsoportok akik kulon-kulon vlanban lesznek? lesz-e forgalom ezen vlanok kozott vagy csak mindenkinek net+sap+fileserverrel beszelget? a kozos cuccok szeparalt vlanba lesz, vagy egyenkent "belogatva" a csoportokhoz? ha lesz forgalom a vlanok kozott akkor azt ki lapatolja? 

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Hát én a Mikrotik-et választanám, még a routernek is ha esetleg még nincs meg az Asus. Gyakorlat közben jobban meg lehet tanulni a használatát és a olyan tudásod lesz amit később kamatoztathatsz, mert a Mikrotik nagyon elterjedt és kiváló eszköz.

Senkinek nincs köze világod belsejéhez, neked sincs közöd mások életéhez, csak az Irgalom útján van közöd, Istenektől rendelt kötelességed.

Így van! A MikroTik-et sajnos nagyon sokan lenézik, pedig igen kiváló eszköz. Sajnos még mindig az a trendi, hogy mindenki használja a túlárazott Cisco/HP/Juniper eszközöket. Amikhez az ember néha akár éve(ke)t is várhat, hogy kiadjanak egy új firmware-et. MikroTik-nél ez gyakorlatilag pár hetente megtörténik. Igaz (sokkal) olcsóbb, mint a fent említett gyártók eszközei, de valószínűleg 1 Cisco switch árából kijön több MikroTik switch ára is. Ha az ember rendesen menti a konfigurációkat akkor egy esetleges ugyanolyan típusra való csere után csak fel kell másolni a mentett konfigurációt. És még mindig egy Cisco switch ára alatt vagyunk. 

mert a Mikrotik nagyon elterjedt és kiváló eszköz

Lehet, csak nem a digisek körében. Én pl. egy öreg HP Microserverrel váltottam ki az enyémet, mert az itthon fellelhetőkből a 2011 és a 750G eleve szóba sem jött, a 850Gx2 kb. 470 mbps-t tudott az 500-as kapcsolaton, amikor megemelte a Digi 1 Gbps-re, akkor kipróbáltam az 1100AHx2-t, ha jól emlékszem, kihajtotta a gigabitet, csak arra meg az asszony közölte, hogy vagy én kapcsolom ki, vagy ő, de akkor örökre.

Munkallomasonkent 500Ft egyszeri koltseg, azaz egy egerpad ara. Egyszer, nem havonta. Ha magyarazni kell. 

Mivel 5 evre veszed minimum, a majdnem top-ot kell venned, mert lesz majd: routing igeny, mesh halozat, eddig nem ismert egyeb dolgok. Es mert a mikrotik izgalmas. 

Mondjuk mi régebbi GS1910 -es szériát használunk 48portost egy telephelyen. Stabilban stabil... viszont amíg nem lett felfrissítve az összes FW verzió V2.X.X -re (sok lépcsőben) addig kb. létezhetetlen volt bármilyen VLAN beállítást eszközölni :)

Utána már ment szépen. Zyxel olcsó, stabilnak stabil, egyszerű mint a faék, cserébe buta is (logolás szempontból, bár nagyon nem másztam bele).

Jól bírja az áramkimaradásokat (igen igen, lehet offolni  milyen hálózat ez nincs szünetmentes, stb, blabla, de nem kell, adott volt a cégnél a keret, mi adtunk XYZ -re tervet, abból valahogy a szünetmentes részt lehúzták a túloldalon, később pótolva lett :) ) .

~15darab Zyxel fut a fenti modellekből ezen a helyen, kb ~5 éve. VLANok fel lettek konfigolva azóta kb. hozzá sem kellett nyúlni + eszköz cserénk sem volt, garanciába nem ment vissza egy sem.

És van egy pár darab ebből ami igazán mostoha körülmények között fut... (0 légkondi jó kis gipszkartonnal körbevett "minihelyiségben" pl,) :)

Ennyi. Ez nem igazán pro-vagy kontra érvelés akart lenni Zyxel vs. MikroTik téren, csak egy valós tapasztalati leírás.

Szia!

Először nem az árat kellene nézni, hanem műszakilag mire van szükség:
-L2 switchek + POE a végpontokra,
-L2 védelem: 802.1x, DHCP-Snooping, IP-Source-Guard, STP védelem
-2db L3 központi switch (VRRP) amire fel van fűzva a többi L2 switch pl.: gyűrűben - esetleg csillag
(ha kiesik az egyik akkor nem térdel le a hálózat)
-UPS mindegyik alá (áramszünet ne vágja tönkre)
stb.

Jó dolog a mikrotik, csak a fentieket nem tudja (L2 védelem).
Tehát "olcsóbb mint a cisco" alapján nem lehet összehasonlítást végezni.

A "használt cisco" -val jársz szerintem a legjobban.
https://hup.hu/node/169286

Sosem dolgoztam Mikrotik-el.

De egy lassan 20 éves cisco catalyst már tudta ezeket. Vatera-n 5 ezer ft-ért mennek a régebbiek. Jó, nem lesz benne nagy eséllyel gbit, 10gbit meg biztosan nem, viszont atomstabilan viszi a fenti fícsöröket. Fel nem fogom a kis kínaiak ezeket hogy nem bírták még ennyi idő alatt rendesen ellopni cisco-tól, és belerakni az összes saját cuccaikba...

Szia !

L2 védelem: 802.1x, DHCP-Snooping, IP-Source-Guard, STP védelem

- 802.1x ha jől emlékszem swosban nincs, routerosben kb 1 éve van.

- DHCP snooping van

- IP-Source-Guard, STP védelem ha jól emlékszem nincs

fejlődik, előbb,- remélhetőleg nem utóbb kezdi majd utolérni a nagyokat.

 

Pl.: kell 24portos full poe-s switch,- pl.:  kamerákhoz stb,-  jóval olcsóbb egy mikrotik mint egy cisco.

ui.: persze hiányosságok miatt  az összehasonlítás sem ok, attól függetlenül a cisco erősen túl van árazva.

Hmm abban az asus routerben mennyire vagy biztos ennyi munkaállomás mellett?

Végül is nem Asus router lett, hanem egy Mikrotik RB3011, amit a DIgI ajánlott , mivel a másodlagos net egy Digis Mobilnet lesz és azt mondták, hogy ez a legjobban ajánlott, kompatibilitásban az általuk adott USB modemmel.

90%-ban már konfiguráltam az RB3011-et, alapvetően eddig minden egészen stabil, de az IPSEC/L2TP VPN valamiért csak 20/10Mbps sebességet ad.

Tudom, hogy a titkosítás lehúzza a gyengébb modelleknél a sebességet, mert eléggé CPU igényes a titkosítás feldolgozása, de ebben a modellben egy 2magos 1,4Ghz-es CPU van, 1024Mb rammal. Ez is a gyengébb kategóriába tartozna?

Alapvetően úgy szeretném bekonfigurálni, hogy a LAN DHCP tartományból osszon ip címet az IPSEC, de ha VPN-re becsatlakozik, akkor az csak helyi hálót adjon neki, de ne a céges internet mögül menjen ki a netre.

Ha a NAT-ot kikapcsolom az ipsec interfacere vonatkozólag, akkor nem is enged becsatlakozni VPN-en.

Tudnátok segíteni abban, hogy ezt, hogyan tudom beállítani?

azt nem a routeren fogod beallitani, hanem kliens oldalon(legegyszerubb a VPN profilban) kell meghatarozni, hogy melyik forgalom merre menjen Split Tunnel a kifejezes ami elorebb fog vinni a megoldas kereseseben, de nemelyik kliensnel (foleg winfos-sccm kornyeken) alaposan at kell gondolni, hogy mi merre menjen mielott elkezdened terjeszteni a usereknek mert utana kb lehetetlen modositani vagy otvar nagy szopas

Ha kikapcsolom az encryptiont, a PPP Profileban, akkor el tudom érni a 120 / 23 Mbps-et, 500/23Mbps UPC előfizetésen.

Viszont, ha módosítom az encryption paramétereket, akkor a beépített windows kliens nem is hajlandó felcsatlakozni, a logban pedig az szerepel, hogy no suitable proposal found.

Mikrotik Wiki-ben az szerepel, hogy ez az Ipsec L2TP megoldás NAT mögött egy extrém biztonságos megoldás, mert a szerver, amire kapcsolódok nem fogja ismerni a kliens router ip címét, így az nem is szerepel a csomagokban.

https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Basic_L2TP.2FIpSec…

 

Ha minden kötél szakad, jó a 20/10Mbps is, mert csak dokumentumokat nyitnak / szerkesztenek, de így az otthoni sávszélességüket is lehúzza a VPN kapcsolat.

RB4011

CRS326-24G-2S+RM

CRS328-24P-4S+RM - ha kell poe

10G-n összekötöd őket és hátradőlsz.

Szerkesztve: 2020. 06. 27., szo – 10:49

Mikrotik - Köszi, de nem. Kaptunk egy rendszert üzemeltetésre, amit ezekkel építettek ki... Routernek jó, de switchelni az rejszolás sajtreszelővel.

HP vagy TP-Link. Nálam a CLI fontos szempont, és mindkettő cisco-like.

Mi rendszerépítésnél úgy szoktuk általában, hogy mikrotik router, tp-link switch, unifi ap. Mindent arra használj, amire való.

"Sose a gép a hülye."

Mi is volt a baj a MikroTik switch-el? Mert főleg konfigurációs problémákból adódnak főleg a teljesítmény problémák (HW-Offload hiánya főleg).

https://mum.mikrotik.com/presentations/HU19/presentation_6775_1559545769.pdf

https://youtu.be/gBQRI4a6Wko

Lehet hogy rosszul fogalmaztam, de HW támogatott LACP-ot én úgy látom, hogy továbbra is csak a CRS3xx tud.

https://wiki.mikrotik.com/wiki/Manual:CRS3xx_VLANs_with_Bonds

Az MC-LAG-ot is 2018-óta ígérik a CRS3xx szériához. Állítólag talán lesz egyszer a 7-es ROS-ban.

Jah, access port az igen kb, bár a kis fos CRS112-n ugye nem, mert ott előbb fel kell venni /interface ethernet switch vlan alá portot, hogy egyáltalán köze legyen hozzá.

De az igazán szívás amikor taggelni kell, mondjuk egy portról vegyél le egy VLAN-t, tegyél rá másikat... Arra nincs CLI command, /interface bridge vlan-ban editálgathatod a CURRENT-TAGGED meg CURRENT-UNTAGGED értéket, vagy nyomhatsz set-et, csak előtte printelj és kopizd ki hogy mi volt ott, majd másold be, vedd ki ami nem kell vagy tedd hozzá ami kell. 2x.... Vagy ahány VLAN-nal épp teendő van.

Szóval mondjuk ha van 1 portod vagy egy portranged, amit állítani akarsz, a TP-Linken annyi, hogy

interface ran gig 1/0/8-10

sw gen allow vlan 19 untag

sw gen allow vlan 20,21 tag

És nem érdekel hogy mi volt előtte, melyiken melyik vlan volt és hogy, ez legyen és kész.

 

Ugyanez mikrotiken?

/interface bridge port

set pvid=19 where interface="ether8" or interface="ether9" or interface="ether10"

/interface bridge vlan

print

(megnézed hogy melyik portra milyen vlanok vannak taggelve, azokból kiveszed... manuál edit módszer vagy set)

edit CURRENT-TAGGED where VLAN-IDS=32

vagy edit CURRENT-UNTAGGED where VLAN-IDS=32

persze ezt annyi vlan-ra, ahány érintett, mondjuk ahányat le kell venni a portról

vagy marad az, hogy print-elt value-okból ctrl-c+ctrl+vel összeraksz egy új értéket úgy hogy kihagyod ami nem kell és azt set-eled

set CURRENT-TAGGED="ether1,ether2,ether3" where vlan-id=32

set UNCURRENT-TAGGED="ether11,ether13,ether22" where vlan-id=34

Persze ezt is annyi vlan-ra, ahány érintett... És akkor már el is jutottál oda, hogy hozzáadhatod a portjaidhoz azt a vlant amit szeretnél. megint marad a manuál edit módszer, jelen esetben

edit CURRENT-TAGGED where VLAN-IDS=20

edit CURRENT-TAGGED where VLAN-IDS=21

vagy pedig a set-elés, amikor is szintén kézzel kikopozgatod ami már benne volt, csak még hozzárakod a portokat is amit szeretnél:

set CURRENT-TAGGED="ether17,ether18,ether8,ether9,ether10" where vlan-id=20

set CURRENT-TAGGED="ether17,ether18,ether8,ether9,ether10" where vlan-id=21

 

Szóval ne mondja senki, hogy ez nem szopás... És itt két VLAN volt érintett, amiből ki kellett venni a portot, és kettő amire fel, és ez egy ekkora hókuszpókusz, mivan 6-8 vagy mégtöbb vlan-nál?

...

 

És mi van TP-Linken?

sw gen allow vlan 20,21 tag

helyett

sw gen allow vlan 20,21,22,23,23,24,24 tag

vagy akárhány vlan. (vagy "all")

"Sose a gép a hülye."

A mikrotik router - unify AP jól kombózik, nincs semmiféle gyártó-specifikus butaság amit miatt gyengébben muzsikálnának?

Szerkesztve: 2020. 07. 05., v – 20:29

Mennyire kritikus a rendelkezésre állás? Mert ha igen, akkor célszerűbb 2-3 kisebb portszámú (optimális esetben stackelhető, de ha a core switch ilyen, akkor az access rétegben már ez nem kritikus) switchet beszerezni (tervezett portszám 40%-át tudóból hármat mondjuk), mert ha megáll a hálózat, akkor kvázi midnen megáll - és lehet, hogy olcsóbb egy plusz eszköz, mint hálózat nélkül maradni a cseréig. (Azaz menniybe kerül/milyen,forintosítható veszteséget okoz, ha a dolgozók mondjuk egy napig nem tudnak hálózati erőforrásokat elérni?)

Nálunk vegyesen vannak Juniper Ex2200-as és TP-Link switchek. A Juniper nagyságrendekkel okosabb, és szerintem megbízhatóbb is, de árban kb. a tízszerese a TP-linknek. 
De a kettő kombinálásával elérhető, hogy a rendszer magja (szerverek, internetkapcsolat között) atomstabil és megbízható legyen, míg a kliensgépek esetében ha kiesik egy TP-Link, 30 ezerből cserélhető.

Nagy Péter

Hétvégén nekiálltam egy GS1910-48 Zyxelt (6 éves) szétszedni és kitakarítani. A tápegységében az egyik kondi púpos volt és az anyaga is kifolyva. Tápegység kiszerelés, majd kondik kiforrasztása következett, kivéve a 400V120uF kondit. Ami még rossz volt az X1 0.33uF-os kondi, de a többi is cserélve lett. Még elégett a táp és az alaplap közötti csati. Ami meglepett, hogy ez még így működött:), persze valamikor megállt  vagy kigyúlódhatott volna. Ebben egy venti van, azt is cseréltem. 4x4x2cm Sunon van benne, ami rendes csapágyas. Szerintem a hűtésén javítanom kell, mert rekszekrénybe van.

Én egy hasonló helyre FS switch-et vettem, két darab S3900-24T4S switch-et. Ezek már más szint mint a Mikrotik vagy Zyxel. A Zyxel-t nem ismerem, a mikrotiket viszont 10+ éve használok, de switch kategóriában ha komolyabb funkcionalitásra van szükséged, akkor a piac legalján vannak, ahol az áruk is.

2 nap alatt kiszállították, felajánlottak supporot a telepítéshez, többször rákérdeztek, hogy minden rendben megy-e. Ez a rész nagyon pozitív volt. Más gyártónál ilyesmivel még nem találkoztam.

Csak 1 hónapja vannak meg, tehát túl sok tapasztalatom még nincs velük.

Mi Cisco Catalyst 24 portos swircheket használtunk.