Nieuw klein netwerk voor kmo

Het klopt dat Meraki zeker niet de goedkoopste is, maar Meraki is dan ook niet echt een goede vergelijking met de Linksys die je aanhaalt (features/management/support/mogelijk prestaties). Voor een concrete prijs vraag je best een offerte bij een Cisco Meraki partner.
Mocht je alsnog voor Meraki gaan zou ik eventueel een 2e AP plaatsen (naargelang de ruimte en de coverage) of kiezen voor een groter model aangezien je toch wel wat concurrent wireless clients hebt (dit geld ook voor de Linksys uiteraard).

Connectiviteit naar internet toe zou ik steeds doen via een firewall of router (met de nodige security features). Belangrijkste reden hiervoor is security en NAT (aangezien het gros van de L3 switches op de markt geen NAT doet).
In jou geval is een 'router (of firewall) on a stick' een goede oplossing, voor de verbinding naar internet en voor de routing tussen verschillende interne VLANs.

Ik zou die /29 van de provider niet gaan gebruiken voor 3 keer NAT te doen, 1 keer NAT naar het fysieke adres op je WAN interface voor alle uitgaand verkeer is voldoende. De andere IPs zou je kunnen gebruiken om interne servers en services (web/mail/video conf/...) publiek beschikbaar te maken. Deze servers zet je best in een DMZ, dit zou dan nog een extra motivatie kunnen zijn om voor een firewall te kiezen.

Zelf ben ik werkzaam in een meer professioneel segment, dus een firewall die in je budget past is niet zo makkelijk te vinden, al valt de prijs van een ASA 5505 wel redelijk mee.

verwijderd

[ Voor 99% gewijzigd door Anoniem: 385959 op 25-05-2014 15:08 ]

Je kan technisch Meraki apparatuur perfect combineren met andere netwerk apparatuur. Maar dan verlies je naar mijn mening toch een groot stuk van het voordeel van Meraki.
Naar mijn mening is Meraki niet echt het product wat je wil gebruiken in een grote campus (op uitzonderingen na). Naar mijn mening (dus niet noodzakelijk die van Cisco) wordt Meraki best ingezet in volgende omgevingen: kleine klanten of kleinere branch offices(bank, reisbureau, interimkantoor, ...) die graag net wat meer willen dan standaard connectiviteit, deze kunnen dan hun volledig netwerk beheren in een eenvoudige web interface. HoReCa (vooral WiFi), zij kunnen dan eenvoudig guest toegang aanbieden, gratis, via Facebook check in (extra publiciteit) of betalend - dit zit allemaal standaard ingebouwd. Retail, Meraki geeft best wel wat analytics out of the box, die handig zijn voor de Marketing afdelingen van grotere retail ketens. En als laatste de middelgrote campussen waar er geen resources zijn om netwerk expert(en) in dienst te nemen (bv scholen). Meraki is goed en simpel in gebruik en heeft heel wat handige features out of the box, maar je kan het minder finetunen dan een klassieke traditionele high end oplossing van Cisco, HP, Juniper, ...

Of die featurs de meerprijs waard zijn hangt er van af wat je wil doen, en kan jij alleen bepalen.
Wil je gewoon je PC's aansluiten dan heb je wellicht genoeg aan een low end SMB switch.
Wil je meer, dan kan bv Meraki een oplossing zijn.

een router on a stick is inderdaad een router die met 1 interface aan je LAN hangt en daar de routering doet tussen de verschillende interne VLAN's (in plaats van daarvoor een L3 interface of een router met verschillende interfaces voor te gebruiken), in jou geval zou die router/firewall ook gebruikt worden om internet connectiviteit te voorzien via de WAN interface. Ik bedoel maar dat je in dit geval genoeg hebt aan 1 router voor alle routering, een L3 switch zou overkill zijn.
Een voorbeeld hiervan zou het volgende kunnen zijn:

AP ---[Trunk, VLAN C, G]---> Switch ---[Trunk, VLAN C, G, V]---> Firewall (routering tussen subnet C, G, V + default route naar internet) ---> Internet
C= corporate, G= guest, V= voice

De user licenses voor ASA 5505 bepalen met hoeveel gebruikers je naar buiten kan door de ASA (overigens het enige ASA platform waarvoor dit van toepassing is), dit maakt de ASA wat goedkoper voor de zeer kleine bedrijven die bv maar 5 toestellen hebben en de iets grotere met meerdere gebruikers.

Ik weet niet hoe snel die kabel aansluiting is. Een Meraki MX100 doet max. 100Mbps een MX80 doet max. 250 Mbps. Je kan er eventueel ook voor kiezen om outgoing netwerk verkeer te loadbalancen over beide internetlijnen. Interne servers moet je nog wel over één van beide lijnen laten routeren.

Wat betreft access point kan je beter kijken naar twee MR18's. Deze hebben een 5GHz radio en Band steering waarmee je clients naar de 5GHz kan pushen. Wireless is een shared, half duplex medium en de totale bandbreedte moet je deze alle aangesloten clients. Met 2 AP's spreid je meer de bandbreedte over de clients en blijft er per client meer bandbreedte over.

Met router-on-a-stick heb je een router met één of meerdere WAN ethernet poorten. Voor je interne LAN netwerk gebruik je maar 1 ethernet poort, verbonden met een switch. Dit is een trunk waarover verschillende VLAN's lopen. Wil je van VLAN 1 naar VLAN twee, dan a je door de switch, over de trunk, gerouteerd door de router, over de trunk weer terug, naar een switchpoort op de switch in een ander VLAN. Voordeel is dat je routering en firewalling door de router/firewall kan doen. Nadeel is dat al het verkeer wat gerouteerd moet worden over een enkel ethernetlijntje loopt. (Hoewel je wel meerdere uplinks kan bundelen.) Bij een Layer 3 switch router je in de switch tussen VLAN's en blijft het verkeer lokaal in de switch. Maar voor een klein netwerk is een router-on-a-stick een aardige goedkope oplossing, want je hebt geen L3 nodig.

AndrewF schreef op zondag 25 mei 2014 @ 11:19:
Kan ik een Meraki MX en MR combineren met een niet-Meraki switch? Voor een buitenstaander lijkt Meraki vooral gericht op grote campus setups. Zijn de extra features/management/support/prestaties de meerprijs waard voor een klein netwerk met een dozijn medewerkers?

Je kan Meraki prima combineren met andere netwerkapparatuur. Bij grotere netwerken wordt Meraki als access apparatuur gebruikt en classic Cisco of een ander merk als core netwerk. (Tot voor kort had Meraki bijvoorbeeld geen 10GE aggregatie switches.)

Natuurlijk moet je dan wel verschillende apparaten beheren. Met Meraki kan je alles vanuit 1 webportal beheren. Voordeel is dat Meraki erg makkelijk te beheren is, dus je hoeft geen derde partij in te huren om de configuratie te doen. Een ASA vereist toch wat meer kennis van netwerken. Meraki heeft ook System Manager wat je er gratis bij krijgt. (Bij elk access point.) Hiermee kan je wireless clients beheren en bepalen wat men mag gebruiken op laptops, smartphones en tablets. Eigenlijk is het een MDM oplossing. Niet zo uitgebreid als bijvoorbeeld MobileIron, maar de basis dingen zitten er in.

Cisco werkt met user licenties om prijsdifferentiatie aan te brengen bij de instap ASA. Een 10 user ASA kan je bijvoorbeeld ook bij thuiswerkers plaatsen. Een ASA5505-50-BUN-K9 is geschikt voor 50 interne users. (Interne clients / IP adressen die verbinding maken met internet, gemeten over 24 uur.) Wil je een volledige DMZ, werken met VLAN Trunks en failover over 2 internetlijnen, dan heb je een ASA5505-SEC-PL of L-ASA5505-SEC-PL= licentie nodig. Er is ook een bundel met deze licentie en unlimited aantal interne users. ASA5505-SEC-BUN-K9.

Cisco heeft ook wat SMB/MKB switches. De 200 serie is puur Layer 2 en de 300 serie doet L3. (Statisch routeren.) Wat betreft SMB access points kan je eens kijken naar een WAP561-E-K9. Deze heeft 2 radio's op de 2.4 en 5GHz. Andere AP's uit de Cisco WAP serie hebben een enkele radio of selectable op 2.4 op 5 Ghz.

Goeie combinatie, diezelfde combo heb ik ook in huis Maar dan met SG300 switch.
RV320 router is zeer goed en de WAP561 werkt prima (alhoewel ik daar soms problemen met apple devices heb).

Een Cisco 891 kan dat. BGP wordt door Telenet gebruikt om te multihomen als de kabel verbinding uitvalt en de VDSL link gebruikt wordt.

[ Voor 29% gewijzigd door Bl@ckbird op 28-06-2014 23:49 ]

Kan Telenet geen managed router en/of firewall leveren bij dit abbonement? Dan heb je geen gedoe met de configuratie en geen vingerwijzen als bij een storing de fail-over naar VDSL niet werkt.

Als je zelf iets moet aanschaffen zou je eens kunnen kijken naar SonicWall (van Dell tegenwoordig). Misschien niet het goedkoopste maar wel een Firewall met dual Wan en BGP routing.

Check trouwens wel de prijzen voor zo'n managed router. Ik ben providers tegengekomen die 100 euro per change vragen in een managed router. Dan lopen de kosten snel op mocht je een omgeving hebben waar nog wel eens een poortje open moet, een firewall exception gemaakt moet worden en dat soort zaken.

Mikrotik maakt leuke en goedgeprijsde routers die ook BGP kunnen doen. Ik heb er zelf betere ervaringen mee dan met de Cisco RV serie. Bij ons op kantoor hebben we 40 medewerkers + minimaal 40 VoIP toestellen op een Mikrotik RB2011UiAS-RM. Je kunt met zo'n Mikrotik overigens prima een dual WAN setup maken. En daarnaast kun je ongeveer alles aanpassen wat in je opkomt.

Voor de WiFi kun je kijken naar de UniFi serie van Ubiquiti. Goedkoop en je kunt het centraal managen met een stukje software.

Ubiquiti heeft de Edge Router die ook BGP doet. Het ding is alleen of de (goedkopere) apparaatjes een full BGP routing table kunnen hebben?

En aangezien je de VLAN's wil scheiden in je wireless netwerk zou je denk ik ook wel weg komen met een Radius bak icm 802.1x?

Check Mikrotik of Ubiquiti eens in dit verhaal idd.

een pfSense appliance zou ook kunnen BGP'en eventueel.