Construyendo una nueva red y necesita más de 200 dispositivos inalámbricos

Estoy planeando la red para el nuevo espacio de oficinas de mi empresa. No soy un experto, así que me gustaría presentar mi plan y pedirles a todos ustedes que me digan si y dónde estoy cometiendo errores.

Suposiciones

• La oficina es de 300 metros cuadrados en un solo piso con paredes de paneles de yeso en su mayoría.
• Actualmente tenemos 18 trabajadores.
• Debido al crecimiento esperado, la oficina debe soportar cómodamente a 50 estaciones de trabajo.
• Somos una empresa de aplicaciones móviles, por lo que entre nuestro equipo de desarrollo y nuestros evaluadores necesitamos soporte inalámbrico para más de 200 dispositivos, en su mayoría teléfonos inteligentes.
• La mayor parte de nuestro tráfico es hacia y desde Internet en lugar de interna
• Necesita múltiples redes inalámbricas (internas e invitadas como mínimo)
• No hay servidores en el sitio (aparte de los desarrolladores que ejecutan algunos localmente para desarrolladores y pruebas).
• Todo el código, documentación, servidores de producción, etc. es en la nube. (Utilizamos Dropbox para copias de seguridad, Atlassian para JIRA y confluencia, BitBucket para repositorios, S3 para servidores, etc.)
• El ISP puede proporcionar 30 MBps d / ly 2 o 4 u / l
• todas las estaciones de trabajo son Apple (tarjetas de red todas 10/100/1000)

Mi plan actual

1. 2 caídas de LAN por estación de trabajo, el cableado CAT5e a un panel de conexiones, debe tener alrededor de 100 terminaciones.
2. Módem: Cisco 887. Esto está incluido en el paquete del ISP.
3. Router / Firewall: Soekris 6501 ejecutando pfSense ( http://soekris.com/products/net6501.html )
4. Conmutador (cableado): HP 2510-48G, L2 totalmente administrado, Gigabit. Comenzaré con una y solo conectaré las estaciones de trabajo en uso. Si necesito más, puedo agregar más.
5. Controlador inalámbrico con algunos puntos de acceso inalámbrico.
6. Configure todas las LAN en el enrutador.
7. Conecte el interruptor con cable al enrutador y use el interruptor con cable como un interruptor tonto
8. Conecte el controlador inalámbrico al enrutador para que esté físicamente separado de la LAN principal.
9. Configure 2 redes inalámbricas con autenticación inalámbrica con WPA2

Preguntas:

1. Para el Soekris, hay un montón de opciones (RAM, CPU). ¿Puedo ir con lo básico o necesito obtener las opciones de gama alta?
2. Para la configuración inalámbrica, no entiendo completamente las diferencias entre y cuándo usar un controlador inalámbrico y un punto de acceso inalámbrico. ¿Necesito ambos, uno, ninguno? He pasado muchas horas leyendo y hablando con la gente y todavía no sé qué comprar.
3. Mi mejor conjetura para la pregunta anterior es obtener el controlador inalámbrico Cisco CT-2504-5 o el sistema de administración inalámbrico Netgear ProSafe 16-AP junto con los puntos de acceso Cisco o Netgear. Ambos controladores cuestan alrededor de $ 1000 y parecen hacer lo mismo. ¿Hay diferencias importantes?
4. En cuanto a los puntos de acceso, también estoy confundido. Netgear tiene WNDAP350 y WNDAP360. Nuevamente, no puedo entender la diferencia aquí.
5. ¿Realmente gano conectando el conmutador al enrutador?
6. ¿Voy por la borda aquí? ¿Planeé una retroexcavadora cuando todo lo que necesito es una pala?

Un par de pensamientos Puedo entrar en más detalles sobre cualquiera de estos si lo necesita.

-Cuando se trata de conexión inalámbrica, hay dos formas de planificar. Uno es para cobertura, el otro es para capacidad. Según la cantidad de dispositivos (capacidad) y espacio (cobertura) que describa, creo que la capacidad será el factor decisivo más importante. Recuerde que la conexión inalámbrica es como usar un hub de la vieja escuela. Todos oyen todo. Eso también significa que solo un cliente puede hablar con un AP a la vez. Esto no es una limitación de un dispositivo (Cisco vs. Netgear), es una limitación del medio físico (espacio aéreo). Dado que está programando para dispositivos móviles, que solo admitirán una única transmisión, debe planear en 1 AP de doble banda por 50 dispositivos. Si elige admitir solo 2.4 o 5 Ghz (por ejemplo, problemas de espacio aéreo con oficinas vecinas), planifique 1 AP por cada 30 dispositivos.

-El Cisco 887 solo tiene una conexión de 100Mb. Si sigue con su plan actual y realiza todo su enrutamiento L3 en el 887, se convertirá en un cuello de botella para cualquier cosa que se enrute entre sus redes internas. Los ejemplos incluyen: replicación local para Dropbox, sincronización inalámbrica entre dispositivos i y iTunes, copia de archivos de la máquina A a B, copias de seguridad de la máquina del tiempo, etc., etc. Este cuello de botella se produce porque en cualquier momento los datos deben fluir de una red a otra ) deberá enrutarse, y debe salir y volver a entrar desde la misma interfaz de 100Mb. Puede que esto no sea un gran problema, pero quería mencionarlo, por si acaso.

-Los controladores inalámbricos son una buena idea. La configuración inicial lleva un poco más de tiempo, pero a partir de ese momento, es muy fácil implementar más AP o WLAN. No sé nada de ellos por experiencia personal, pero he escuchado cosas buenas sobre los AP de Meraki. Es una solución de controlador basada en la nube, que Cisco compró recientemente. EDITAR para mayor claridad: no sé nada sobre la solución Meraki. Sé MUCHO sobre los controladores inalámbricos de Cisco :-).

-¿Cómo estás alimentando tus AP? ¿Planea usar VOIP en el futuro? Tenga en cuenta ambos cuando considere ordenar o no un cambio con PoE.

-También, acabo de notar, que está planeando poner un firewall en línea después del enrutador. Eso complica aún más su plan para enrutar entre subredes allí. Planeaba comprar un interruptor L3. Eso simplificaría el despliegue considerablemente.

Espero que esto ayude. Buena suerte.

1. He ejecutado dispositivos similares al Soekris con PFSense y M0n0wall. Puedo empujar bastante tráfico a través de ellos con especificaciones bastante bajas. (En el orden de 100Mbps)
2. Los controladores inalámbricos te permiten ganar dos cosas importantes El primero es la gestión centralizada. Puede administrar todos sus AP desde una única interfaz. ¿Necesita agregar un SSID? Fácil. Agréguelo al controlador y se enviará a los AP. Lo segundo es la aplicación centralizada de ACL. Por lo general (aunque no siempre), los controladores inalámbricos hacen que el tráfico regrese a sí mismo y tienen un único punto de salida en la red corporativa. Esto le permite aplicar cosas como zonas de seguridad en una única ubicación en lugar de en cada lugar donde está conectado su AP. También le permite tener una única subred para clientes inalámbricos en una red más grande.
3. Debido al tamaño de su red, le recomendaría que busque en Ubquiti Networks . Le ofrecen los mismos beneficios de tener una red basada en un controlador pero sin un controlador y a un precio mucho más bajo. Los he usado con éxito en varias implementaciones de edificios individuales. Si está decidido a usar una de sus dos opciones aquí, ha seleccionado las correctas para su tamaño.
4. En cuanto a las especificaciones, estas se ven casi idénticas a partir de un breve análisis de las especificaciones técnicas. ¿Quizás una se va a montar en el techo y la otra es una versión de escritorio?
5. Lo principal que gana es poder crear diferentes puntos de salida de diferentes VLAN. Puede usar el enrutador para configurar diferentes subinterfaces por VLAN. Entonces, para su red inalámbrica invitada, puede ponerlos en la VLAN 50 mientras que el resto de sus clientes internos están en la VLAN 10. Luego, puede aplicar políticas de seguridad sobre el tráfico permitido entre las dos VLAN.
6. No

Editar: desde una perspectiva inalámbrica, si tiene los 200 dispositivos que intentan acceder a los recursos al mismo tiempo, es posible que se encuentre en un aprieto si solo tiene un puñado de AP que manejan el tráfico. Le recomiendo que vigile de cerca su uso cuando termine su implementación y vea si necesita agregar más densidad a su infraestructura inalámbrica. Ahora que solo tiene 18 empleados y dispositivos móviles, sería difícil hacer que todos empujen el tráfico suficiente para importar, pero a medida que crezca, lo vigilaré para que no tenga ningún problema. Solo un cliente puede hablar a la vez en una red inalámbrica (por AP / Frecuencia). Por lo tanto, asegurarse de tener suficiente ancho de banda disponible es de suma importancia.

Descargo de responsabilidad: parece que la respuesta proviene de un arquitecto de soluciones de preventa de HP. (Discuta esto en meta ).

OKAY. Encontré un problema de inmediato. desea utilizar un conmutador 2510-48G y desea AP de WLAN. ¿Cómo vas a alimentar esos AP? Supongo que podría usar adaptadores de alimentación y enchufarlos a los enchufes de la pared, pero realmente desea mirar un interruptor PoE para encenderlos. En segundo lugar, HP anunció la serie 2530 en diciembre y con eso la EOL de la serie 2510.

Entonces, como Arquitecto de soluciones de preventa de HPN, esta es mi recomendación:

1. También puede usar su Cisco 877 como su enrutador local. Solo tiene conectividad 4x100Mb a la LAN. Si su ISP ofrece un servicio de solo cables, investigue también otros enrutadores. El Cisco 877 ahora es EOL y ya no se vende. HP tiene la serie MSR930 con enlaces ascendentes 4x GbE y un firewall integrado.
2. Inalámbrico. Considere la cobertura versus la capacidad primero. Necesita 200 dispositivos para conectarse, pero solo 18 usuarios hoy en día. Asumiendo que no todos los dispositivos están en la red al mismo tiempo, probablemente podría salirse con los AP agrupados. Esto permite que un solo AP controle también otros AP. Desde HP, puede mirar el punto de acceso M220 donde se pueden controlar hasta 10x AP como uno solo.
3. Si desea una solución WLAN administrada, ¿ha considerado el controlador WLAN MSM720 ? Garantía de por vida y soporte para hasta 40x AP (10 listos para usar), luego use los puntos de acceso MSM430
4. Mirando la página de Netgear para el WNDAP360 , parece que la única diferencia es "Montaje fácil en techo / pared". No hace mención de Dual Spatial Stream, por lo que supongo que el soporte máximo por radio es de 150Mbps.
5. Definir Trunking? ¿Suponiendo que se refiere a Agregación de enlaces y no al término de Cisco con respecto a varias VLAN en el mismo enlace? La agregación de enlaces ofrece más rendimiento y mayor resistencia en caso de que uno de los enlaces falle.
6. No Recuerde, al final del día, todo lo que proporcione tiene que sopesar, ¿me hará ganar dinero? ¿Me ahorrará dinero? ¿Reducirá nuestro riesgo? Tienes que sopesarlos uno contra el otro.

Los controladores inalámbricos están destinados a coordinar el rf de los puntos de acceso y habilitar el roaming del cliente entre los puntos de acceso. Puede consultar la zona de diseño de Cisco para ayudarlo con su diseño.

Personalmente, no iría con WPA2 simple, pero con EAP, también asegúrese de no permitir la comunicación entre clientes.

Me hago eco de la sugerencia de Bigmstone de Ubiquiti Networks para su WLAN. Los implementé en varios sitios y funcionan muy bien. Ofrecen múltiples versiones, pero realmente recomendaría el UAP-PRO porque usa el verdadero 802.3af (versus POE pasivo en los modelos de gama baja) (vea la diferencia aquí )

Si va con APs ubicuos, es posible que también desee ver su EdgeSwitch. Es compatible con 802.3af POE, así como con POE pasivo (que como mencioné, sus AP más baratos usan). El soporte para POE pasivo es excelente, porque entonces no necesitas todos esos adaptadores POE desgarbados.

Como dijo bigmstone, no necesita un controlador para usar los AP, pero sí necesita uno para configurar los AP inicialmente. Afortunadamente, el software del controlador es gratuito y muy fácil de usar, y si eres ambicioso, para un controlador permanente barato, ¡la Raspberry Pi funciona muy bien!

Necesita una red cableada (conmutadores Ethernet) y una red inalámbrica junto con un dispositivo de seguridad / puerta de enlace multicapa (ALG). El ISP / WAN es la transferencia de Ethernet.
BYOD, LAN Management, IPS / NGFW

Las WLAN basadas en el controlador están desactualizadas.

(Respuesta sesgada de un integrador centrado en Cisco)
Obtenga un Meraki MX100 , Cisco WS-C2960X-48TS-LL y (3) Meraki MR32 AP .