Netwerk voor +/- 20 werkplekken

Beter misschien niet, maar goedkoper wel. Wat is het budget voor heel het netwerk eigenlijk?

waarom wil je 4x8 poort waarom niet in een keer 48

voor 1000 euro wordt het wel erg krap allemaal. Hoe belangrijk is het allemaal voor jullie?

[ Voor 50% gewijzigd door TrailBlazer op 02-03-2011 11:30 ]

48 poorts managed switch zou mischien slim zijn.

Yintha schreef op woensdag 02 maart 2011 @ 11:30:
48 poorts managed switch zou mischien slim zijn.

Wat zou het voordeel van een managed switch tov een unmanaged zijn? Het klinkt niet als een complexe omgeving namelijk.

Ik vind het vrij veel hardware voor +/- 20 man.

Keiichi schreef op woensdag 02 maart 2011 @ 11:40:
[...]


Wat zou het voordeel van een managed switch tov een unmanaged zijn? Het klinkt niet als een complexe omgeving namelijk.

Het beheren van de verschillende netwerken voor gasten, werknemers,...

[ Voor 77% gewijzigd door Verwijderd op 02-03-2011 11:41 ]

Carda schreef op woensdag 02 maart 2011 @ 11:40:
[...]
Met 4x8 ben je flexibeler, wij trekken niet vanaf die switch zoveel kabels door het pand natuurlijk.
Ik weet zelf alleen niet hoe dat met VLAN gaat maar aangezien wireless ook aan VLAN kan doen lijkt mij dit geen probleem.

Kunnen de workstations dan ook VLAN? (En server)

waarom zou je workstation vlans moeten ondersteunen.

Verder als die switches unmanaged zijn ondersteunen ze ook geen vlans. Dus heb je ook niks aan die firewall die vlans ondersteunt

TrailBlazer schreef op woensdag 02 maart 2011 @ 11:51:
waarom zou je workstation vlans moeten ondersteunen.

Verder als die switches unmanaged zijn ondersteunen ze ook geen vlans. Dus heb je ook niks aan die firewall die vlans ondersteunt

Als die SA de packets tagged laat versturen wel heb je niet perse een managed switch nodig. Wel 1 die jumboframes slikt.

en dan wat gebeurt er met die tagged packets. Die switch snapt er vervolgens niks van namelijk.

De switch stuurt ze alleen maar naar het poortje met het juiste mac adres, de PC pakt ze weer uit.

Maar staar je er niet blind op, dit is waarschijnlijk helemaal niet nodig op een netwerkje van dit formaat. Gewoon alles lekker in 1 subnet/VLAN stoppen.

Verwijderd schreef op woensdag 02 maart 2011 @ 12:01:
De switch stuurt ze alleen maar naar het poortje met het juiste mac adres, de PC pakt ze weer uit.

Maar staar je er niet blind op, dit is waarschijnlijk helemaal niet nodig op een netwerkje van dit formaat. Gewoon alles lekker in 1 subnet/VLAN stoppen.

Die PC snapt alleen geen fuck van dat pakket omdat het ethertype niet op de goede plek staat.

TrailBlazer schreef op woensdag 02 maart 2011 @ 12:10:
[...]

Die PC snapt alleen geen fuck van dat pakket omdat het ethertype niet op de goede plek staat.
[afbeelding]

Een PC snapt er echt wel een fuck van. Maar er word niets mee gedaan als je op een interface geen vlan instelt. (Ik weet niet hoe goedkope netwerkkaarten hiermee omgaan, als ik bv tcpdump doe op mijn eth0, dan kan ik een q tags zien, als ik tcpdump op eth0.x dan zijn de 802.1q tags weg en blijven de frames over zonder de 802.1q tag.

Er zijn wel ETH drivers die VLAN's ondersteunen, dan moet je dit aanzetten in je driver danwel handmatig het VLAN selecteren. Niet optimaal maar het kan wel.

edit: Dwaalt beetje af van TS zijn vraag...

[ Voor 13% gewijzigd door Uberprutser op 02-03-2011 12:18 ]

Ballebek schreef op woensdag 02 maart 2011 @ 12:17:
Er zijn wel ETH drivers die VLAN's ondersteunen, dan moet je dit aanzetten in je driver danwel handmatig het VLAN selecteren. Niet optimaal maar het kan wel.

edit: Dwaalt beetje af van TS zijn vraag...

Het is handig om te weten of vlan's al dan niet noodzakelijk zijn.

Overigens apparatuur die VLAN's ondersteunen, kunnen ook perfect zonder VLAN werken natuurlijk.

TrailBlazer schreef op woensdag 02 maart 2011 @ 12:10:
[...]

Die PC snapt alleen geen fuck van dat pakket omdat het ethertype niet op de goede plek staat.
[afbeelding]

De grap van 802.1q is dat de ethertype wel degelijk op de goede plek staat. Die gebruiken namelijk een ethertype van 0x8100 om de frame te identificeren als tagged frame.

Carda schreef op woensdag 02 maart 2011 @ 12:21:
[...]


Ik neem aan dat mijn SA Firewall gaat bepalen welke PC in welk VLAN komt door middel van DHCP en de VLAN configuratie.

Nee, dat doet ie niet. Behalve DHCP dan. omdat je alles met unmanaged switch aan elkaar knoopt, betekent dat vrijwel automatisch dat alles in hetzelfde vlan zitten. (Discussie over 802.1q tagged packets en ethernet adapters die het ondersteunen)

Carda schreef op woensdag 02 maart 2011 @ 12:21:
[...]


Ik neem aan dat mijn SA Firewall gaat bepalen welke PC in welk VLAN komt door middel van DHCP en de VLAN configuratie.

Let wel: als je unmanaged switches gebruikt kun je dat níet per PC aangeven. Het enige wat je dan kunt doen is op MAC DHCP-adressen uitdelen en multinetten. Maar dat is geen scheiding.

Wat betreft het vlan verhaal en daarbij de switches zou ik het volgende doen.

Neem ten minste web-managed switches. zodat je de vlans op switch niveau kan instellen. De WAP's kunnen dit ook aan en de firewall ook.

Doe je dit niet moet je op elke pc en server per stuk de vlan instellingen doen, anders kunnen ze alleen ouwehoeren met elkaar op het native vlan van elk apparaat (standaard vlan 1)

Met managed switches krijg je een centraal punt om je vlans te beheren en dat is een stuk handiger.

Een aanrader in dit geheel is de nieuwe Cisco lijn voor SOHO. Ik heb pas voor een remote locatie de volgende gekocht: SF 302-08 (productcode SRW208G-K9-G5) dit is een 8+2 poorts web-managed switch met 8 10/100 poorten met PoE (handig voor de access points) en 2 10/100/1000 poorten. In dezelfde productlijn hebben ze ook 10/100/1000 switches is interesant om naar te kijken.

Carda schreef op woensdag 02 maart 2011 @ 12:29:
[...]


Snap ik maar ik kan dus wel per poort gaan scheiden toch? Er zitten 4 poorten op de cisco, bijvoorbeeld poort 1 mag alleen met poort 2 en de wan poort communiceren. (Da's toch ook VLAN?)

Zonder vlans kan je alleen op IP scheiden, een simpele wijziging van het IP adres zou dan dus voldoende zijn om in het andere netwerk te komen.

Vlans als je dat op switch niveau doet (met poorten in access mode) is een echte scheiding, waarbij er geen mogelijkheid is dat een pc op een ander netwerk dan aangegeven mag/kan communiceren.

CyBeR schreef op woensdag 02 maart 2011 @ 12:21:
[...]


De grap van 802.1q is dat de ethertype wel degelijk op de goede plek staat. Die gebruiken namelijk een ethertype van 0x8100 om de frame te identificeren als tagged frame.

Nee wat daar staat is het TPID wat toevallig ook 16 bits is net als het Ethertype. Het Ethertype staat gewoon 32 bits verder naar rechts. Als een PC het zou zien als een normaal ethernetframe dan zou de payload van ieder frame 32 bits te groot worden de IP stack zou er dan geen chocola meer van kunnen maken.

Keiichi schreef op woensdag 02 maart 2011 @ 12:14:
[...]

Een PC snapt er echt wel een fuck van. Maar er word niets mee gedaan als je op een interface geen vlan instelt. (Ik weet niet hoe goedkope netwerkkaarten hiermee omgaan, als ik bv tcpdump doe op mijn eth0, dan kan ik een q tags zien, als ik tcpdump op eth0.x dan zijn de 802.1q tags weg en blijven de frames over zonder de 802.1q tag.

Dat je de interface in promiscious mode kan zetten en die frames laten zien betekent natuurlijk niet dat de L2 driver iets met die paketten kan. Sowieso is het vals elen met dit voorbeeld omdat je blijkbaar al een driver gebruikt die vlans ondersteunt.

het is off topic maar kon het niet laten

Carda schreef op woensdag 02 maart 2011 @ 12:46:
[...]
Als ik op elke poort van de SA een unmanaged switch zet dan kan ik dus wel reguleren dat switch 1 niet met switch 3 kan communiceren toch? Ook al zitten ze in hetzelfde subnet?

Als de router ze niet routert klopt dat.

Mag ik trouwens vragen hoeveel verstand je netwerken hebt? (Dus geen thuisnetwerkjes )

Carda schreef op woensdag 02 maart 2011 @ 13:47:
[...]


Ik onderhoud ons huidige netwerk, wat eigenlijk meer op een thuisnetwerk lijkt dan wat anders.
Daarom wil ik dat dus aanpakken

Weinig ervaring met managed switches maar ervaring met linux, dhcp, subnetten heb ik wel weer, ik onderhoud namelijk ook onze servers

Mijn reactie was niet om te flamen (Vond het zelf wel zo overkomen ), maar ik heb hier wel een vaker topics langs zien komen dat iemand bezig is met een complex mooi netwerk of samenstelling van servers, maar er eigenlijk niet veel vanaf weten.

Wellicht is het niet onaardig om even in een CCNA cursus te duiken.

Gezien je budget zou ik een linux router gebruiken en daar je verschillende netwerken mee routeren en je WAN loadbalancen.

Carda schreef op woensdag 02 maart 2011 @ 14:21:
[...]


Geeft niks, je wil ook graag weten wat de kennis van een ander is natuurlijk!
En ik ben van mening dat 1000 tot 1500 euro genoeg is voor zo'n netwerk

Ik heb voor een netwerk van ca. 50 aansluiting alleen al 2000 euro uitgegeven aan switches Maar de eisen waren er ook naar.

TrailBlazer schreef op woensdag 02 maart 2011 @ 13:00:
[...]

Nee wat daar staat is het TPID wat toevallig ook 16 bits is net als het Ethertype.

Daar is niets toevalligs aan hoor

Klein Juniper spul.... beetje tegen het zere been van de Cisco huggers hier maar dan toch
Klein SSGtje met een switch eraan

vliegjong schreef op donderdag 03 maart 2011 @ 14:52:
Klein Juniper spul.... beetje tegen het zere been van de Cisco huggers hier maar dan toch
Klein SSGtje met een switch eraan

Ik ben opzich wel voorstander van cisco, maar ik weet dat je voor bepaalde dingen wel veel beter naar Juniper kan gaan. En dat zijn idd oa de SSG'tjes maar ook het routing spul (als heb ik daar eigenlijk vrijwel geen ervaring mee)

Carda schreef op woensdag 02 maart 2011 @ 11:25:
Ik wil graag een netwerk opzetten voor +/- 20 werkplekken.

Wij hebben 2 internet verbindingen die ik door middel van load-balancing/fail over wil gaan delen over onze werknemers. Ook wil ik VPN gaan aanbieden met tokens in de toekomst dus daarmee wil ik ook rekening houden.

Een deel van de werknemers zal flex plekken krijgen via een wireless verbinding en voor gasten is er ook een speciaal gast wireless netwerk.
Verder zijn er ook een 6-tal servers die aangesloten moeten worden en benaderbaar door delen van onze medewerkers.

Hardware die ik denk nodig te hebben:

• 4x 8 poorts Cisco switch 10/100/1000 (unmanaged)
• 2x Cisco Small Business WAP4410N Wireless-N Access Point
• 1x Cisco Small Business Pro SA 520 (Firewall, DCHP, VLAN, VPN, etc.)

Zit ik zo in de goede richting? Of zijn er betere alternatieven?

Heb je wel aan de bekabeling gedacht? Of ga je dat okiewokkie zelf trekken en afmonteren zonder de bekabeling met fatsoenlijke apparatuur te testen? Of unshielded afgemonteerde bekabeling door het gehele pand? Je maakt zo je netwerk architectuur onnodig complex, waarmee je de kans op complicaties vergroot. Een degelijk en kwalitatief hoogstaand netwerk is in een zakelijke omgeving essentieel. Iedere cent die je nu probeert te besparen zal je op de lange termijn duur komen te staan. Downtime en troubleshooting is een dure grap.

Vervang die cisco SA door een degelijke draytek router. Vervang de 4 acht poort switches door een enkele 48 poorts managed switch en vervang de accespoints door een twee of drie tal Engenius Senao accespoints.

Eigenlijk is het eenvoudig. Je deelt inderdaad je netwerk in in 4 vlan's:
- server;
- admin;
- user;
- guest.

Hiervoor moet je router zeker dit ondersteunen:
dot1q, native vlan.. De volgende commando's ga je nodig hebben om dit in te stellen:

enable,

config t,

int gig1/1,

no shutdown,

int gig1/1.1

no shutdown

encapsulation dot1q 1 (native),

ip address ...

exit

Editje: je kan dus meerdere vlan's op één router poort laten uitkomen.
Om in te stellen wie waarop mag , is het in stellen van access-lists de gemakkelijkste oplossing.
Hou er ook misschien rekening mee dat de standaard base ios van cisco geen SSH ondersteunt .

[ Voor 4% gewijzigd door Verwijderd op 03-03-2011 17:35 ]

Zomaar iets anders; 6 Servers voor 20 man?

Carda schreef op vrijdag 04 maart 2011 @ 16:31:
[...]


Aangezien wij meerdere ruimtes hebben die per ruimte een switch nodig hebben gaat dat niet op.
Verder gaan wij cat6 kabels gebruiken tussen de switches.

Verder kiezen we voor de Cisco SA om de volgende redenen:

- VIP tokens
- Firewall
- Dubbele wan ports
- Active directory authenticatie

Waarschijnlijk zijn er genoeg andere apparaten die hetzelfde kunnen maar goed

Houd er wel rekening mee dat je w.s. voor alle goodies (jaarlijkse)licenties moet kopen. Wat ik bijv. zie is dat IPS extra geld kost, meer dan 2 vpn users extra kost e.t.c.

IPS, peer-to-peer, and IM message blocking require IPS license. Enhanced web filtering and web threat protection require a Cisco ProtectLink Web or ProtectLink Gateway license. Antispam, antiphishing, antivirus, antispyware, and email quarantine require a Cisco ProtectLink Gateway license.

Kijk hier dus ook goed naar voordat je de keuze op een appliance maakt. Anders zit je straks met aplicance van 400 euro waar je ook nog eens voor een x bedrag moet investeren waar je geen rekening mee gehouden hebt.

Tevens zie ik dat je bij deze appliance moet kiezen voor of een fail over, of een DMZ daar deze van dezelfde poort gebruik willen maken. Wanneer je dus beide nodig hebt lijkt deze appliance al niet geschikt.

[ Voor 8% gewijzigd door Dennism op 04-03-2011 18:08 ]

Kijk ook eens naar de sonicwall TZ Series, vooral de TZ-210 moet alles kunnen wat jij in de OP aangeeft.
2Gbit interfaces, 5x FE. Allen per poort een taak te geven (wan, lan, dmz .e.tc.), WAN failover support, vlan support. Via Sonicpoints een zeer secure wireless network te maken. Vasco/RSA token support. Zelfs mogelijkheid tot 3G failover via een 3G stick in de usb poorten.

Wel wat duurder dan een draytek, en ook hier jaarlijkse licenties als je bepaalde zaken wil gebruiken. Daarin tegen ook zeer uitgebreid in te stellen qua security/bandwith limitation e.d.

http://www.sonicwall.com/benelux/295.html

[ Voor 6% gewijzigd door Dennism op 07-03-2011 22:44 ]