Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Двухгейтовая или не двухгейтовая? В последнее время в сети постоянно обсуждают вопрос о необходимости двух гейтов. Вот мои мысли по этому поводу: **За:** * Более надежное соединение. Если один гейт выйдет из строя, второй останется в работе. * Повыш, wifiman
 
#1
06.02.2025 01:30:00
Всем привет! Нужен совет. На работе (в школьном округе) у нас есть межсетевой экран/фильтр контента, которым мы очень довольны. Он буквально делает всё, что от него просят, и недавно взял на себя ещё больше ответственности. До августа 2024 года наша сеть выглядела так: Хорошая сторона этого была в том, что трафик, попадающий на наш межсетевой экран и фильтр контента, был только предназначен для выхода в интернет.

После августа 2024 года я заменил наш коммутатор HP ProCurve Layer 3 на коммутатор UniFi Pro Aggregation. Я очень хотел использовать возможности Layer 3 этого коммутатора, но, несмотря на то, что я следовал инструкциям, мы с нашим поставщиком межсетевого экрана не смогли заставить всё работать как надо. В итоге нам пришлось заставить наш межсетевой экран и фильтр контента обрабатывать наш трафик Layer 3. Это не очень плохо, но мы точно просим этот межсетевой экран делать больше, чем он был предназначен для, особенно при выполнении внутрисетевых задач, связанных с большими передачами данных.

Я бы очень хотел добавить UniFi Gateway, чтобы он взял на себя обязанности Layer 3, но я не хочу, чтобы он заменил наш межсетевой экран, так как мы очень довольны фильтрацией контента. И я не хочу удваивать NAT, прогоняя межсетевой экран в WAN-порт UniFi Gateway. Возможно ли это с каким-нибудь из UniFi Gateway?

Я был бы рад узнать, делал ли кто-то из сообщества что-то подобное или сталкивался с подобным и какое было решение. @UI-Team, не против услышать ваши соображения.

Спасибо за любой вклад, который вы можете предоставить.
 
 
 
#2
07.02.2025 02:22:00
@kbisignani-hbsRouter на одном патч-корде — это не масштабируемо для кампусной сети. Пытаясь компенсировать недостатки Layer 3 коммутации на USW Pro Agg, вы получили Layer 3 коммутатор на одном патч-корде. Я понимаю вашу дилемму, но полноценная распределенная Layer 3 коммутация обязательна для кампусной сети. Вам нужно принять техническое решение до выбора поставщика. Ваш файрвол с Dual CPU Xeon E5620 2.4GHz – производительность здесь относительная.
 
 
 
#3
06.02.2025 14:31:00
@packetengines Ну, на данный момент я думаю, что "да" отвечает на все твои вопросы. Оказалось, неправильно я поступил, пытаясь использовать USW Pro Agg как автономный Layer 3 коммутатор. Когда это не сработало, все мои планы по использованию Layer 3 функциональности на USW Pro Agg в школах и настройке ACL-ов, тоже рухнули. Я пытаюсь это исправить и хочу остаться в экосистеме UniFi.

Что касается процессора файрвола, то это двухъядерный Xeon E5620 2.4GHz. Но загрузка ЦП была низкой, и он еще выполняет функции, такие как периферийный файрвол, фильтрация контента и логирование. В последние два дня загрузка ЦП резко возросла, мы это исследуем, но мне не нравится, что производительность нашей внутренней сети ограничена устройством, предназначенным для обработки трафика, предназначенного для Интернета. [Добавлено] Если у нашего периферийного файрвола возникнут проблемы, я не хочу, чтобы это выводило из строя внутренние ресурсы, такие как наши телефоны, система оповещения, камеры безопасности и т. д. Это основная причина, по которой я поднял эту тему.

Ох, и я/был в курсе EC Agg как способа добавления избыточности в хабе с помощью MLAG. Не уверен, поможет ли нам этот возможный апгрейд в чем-то еще [Добавлено] (помимо очевидного увеличения скорости соединения, емкости, наличие двух блоков питания и т. д.).

Очень благодарен всем за ваши комментарии. Спасибо большое.
 
 
 
#4
06.02.2025 02:48:00
Нет, вот короткий ответ. Полностью функциональный коммутатор уровня 3 необходимо заменить на полностью функциональный коммутатор уровня 3.
 
 
 
#5
06.02.2025 05:28:00
Добавьте Dell PowerEdge CPU в таблицу сравнения.

Сравнительная таблица производительности CPU/SoC маршрутизаторов Ubiquiti из базы данных PassMark CPU:

Ubiquiti UXG/UCG Max/Ultra: Qualcomm Quad-core ARM® Cortex®-A53 на 1.5 GHz
Ubiquiti UXG-Pro/UDM-P: Amazon Quad-core ARM® Cortex®-A57 на 1.7 GHz
Third Party AMD Ryzen Embedded V1500B Quad-core @ 2.20GHz!

Распределённое Layer 3 Switching обычно используется для организации Campus Networks.

В каждом здании свой полностью функциональный Layer 3 Switch. Однако, кажется, что для всех зданий используется только один Layer3 Switch? Значит, вы используете Spanning Tree, а не OSPF?!

Это характерно для выбора продукта, который ограничил уровень безопасности в сети. Идеально было бы включить ACL на распределённых Layer 3 Switches, но похоже, что их нет?
 
 
 
#6
06.02.2025 04:17:00
Интересная схема. Вы жертвуете небольшие коллизионные домены ради большого трафика между VLAN. Не говорю, что это плохо или хорошо, но вам точно нужны практические данные, чтобы понять, что делать дальше.
 
 
 
#7
06.02.2025 04:01:00
@gregorio, не за что! Для большей ясности... В каждом здании есть своя VLAN для данных, связи и безопасности. То есть, три VLAN в каждом здании, умножьте на пять зданий, получается 15 VLAN. Сервера находятся в одном из пяти зданий, выступая в качестве хаба, и живут на VLAN этого хаба (за исключением наших UNVR, которые, хотя и физически находятся в хабе, существуют на VLAN безопасности своего здания, чтобы упростить подключение камер). Еще 3 VLAN для WiFi-сетей и 1 VLAN для управления коммутаторами/AP — в сумме получается ровно 19 VLAN. Да, много межсетевого трафика, и ACL нет (я не против ACL, но наша текущая конфигурация (супер секретный файрвол/фильтр контента) эту функциональность не поддерживает). Спасибо за рекомендацию по консультанту, возможно, мне и придется воспользоваться ею.
 
 
 
#8
06.02.2025 03:42:00
@kbisignani-hbs спасибо за подробности. Это многое проясняет ситуацию 👍 Единственное, что мне до сих пор не совсем понятно — это структура VLAN и расположение сервисов относительно них. У вас пять VLAN на каждую группу "Данные, Связь (IP-телефоны и громкоговорители), и Безопасность (камеры, доступ к дверям)" или только по одному из каждой, которые используются совместно во всех зданиях? Где находятся эти сервисы? Если первое, то это может говорить о большом количестве трафика между VLAN, для которого, вероятно, не нужны ACL, которые лучше разместить на L3-коммутаторе. Второе можно обслуживать на EFG. Также, ваши требования к безопасности между VLAN могут быть не удовлетворены на Unifi L3-коммутаторах. Честно говоря, самый безопасный вариант — нанять консультанта, у которого есть реальный опыт работы с EFG и L3-маршрутизацией. Я бы посоветовал обратиться к кому-нибудь вроде @AlexWilsonsBlog — это хороший ресурс.
 
 
 
#9
06.02.2025 03:07:00
@gregorio и @packetengines, ха-ха, ладно, это не супер-секретная информация, но и не то, что обычно известно — называется SecureSchool, и это от компании K12USA. Это удобный в использовании фильтр контента/брандмауэр, который при необходимости может выполнять VLAN-маршрутизацию. Работает на старом Dell PowerEdge сервере, так что у нас не заоблачные требования, обещаю.

С удовольствием предоставлю детали нашей сети, если это поможет:
*   5 зданий, каждое со своими VLAN для Данных, Связи (SIP-телефоны и громкоговорители), и Безопасности (Камеры, Доступ через двери).
*   Есть еще 3 VLAN для разных WiFi-сетей и один VLAN, на котором живут коммутаторы и точки доступа.

У нас всего 90 UniFi коммутаторов и 175 UniFi точек доступа.
*   Канал в интернет 5 Гбит/с (больше, чем нужно, хотя сегодня класс киберспорта вытянул его до предела, скачивая Marvel Rivals на 8 ПК одновременно).

У каждого ученика есть iPad или Chromebook. У каждого учителя — ПК или ноутбук. И в среднем на сети одновременно подключено 2–3 тысячи устройств.
*   Включая наши 400 SIP-телефонов и громкоговорителей, наши 280 камер и 40 считывателей карт доступа.

Надеюсь, это поможет! Пожалуйста, дайте мне знать, если нужна какая-то дополнительная информация или что-то еще, что поможет прояснить, как лучше всего это сделать...
 
 
 
#10
06.02.2025 02:52:00
Точно! Интересно, насколько же плохо могло бы быть, если этим занимается какая-то сверхсекретная, совершенно неизвестная штука для фильтрации контента.
 
 
 
#11
06.02.2025 02:47:00
Да. Ты меняешь глобальный NAT, чтобы исключить VLAN, которые тебе нужны. 2-3 тысячи активных клиентов, но что они делают? Это важно. Сколько данных будет направлено в WAN по сравнению с межсетевыми VLAN? Какие меры безопасности тебе нужно применить ко второму?
 
 
 
#12
06.02.2025 02:22:00
С 2-3 тысячами активных клиентов одновременно, я, наверное, выбрал бы UXG-Enterprise. Хм... так, получается, я могу отключить "Глобальные настройки NAT"? Или мне придется настраивать правила NAT для каждого моего VLAN? Может, нужна будет дополнительное разъяснение, потому что это выглядит потрясающе, но немного выше моего понимания. Не думаю, что найду видео от MacTelecom или Crosstalk с настройкой этого на моей конкретной схеме 😂 (обожаю вас!). Думаю, вы просто повторяете мою проблему, но с техническими деталями и знаниями, чтобы объяснить, почему попытка сделать это на коммутаторе UniFi Pro Agg не удалась! UniFi Gateway, я представляю, немного сгладит этот момент, верно?
 
 
 
#13
06.02.2025 02:01:00
Краткий ответ: не рекомендуется. Layer 3 роутеры и Layer 3 коммутаторы выполняют разные задачи и развертываются по-разному. Распределённый Layer 3 коммутация обязательна в Campus-среде по ряду причин. Layer 3 маршрутизация выполняется на роутере с SoC/CPU. Layer 3 коммутация выполняется на Layer 3 коммутаторе с ASICs.  Небольшое количество вендоров предлагают полноценную Layer 3 коммутацию, и Ubiquiti в их числе не числится. Коротко говоря, полноценный Layer 3 коммутатор нужно заменить полноценным Layer 3 коммутатором.
 
 
 
#14
06.02.2025 01:56:00
Да, с 8.3, смотри https://community.ui.com/releases/UniFi-Network-Application-8-3-32/54f3b506-afcf-4a7c-aba6-01a884dd9003
 
 
 
#15
06.02.2025 01:55:00
Теперь можно отключить NAT на Unifi-линии, чтобы шлюз находился за контентным фильтром, выполняющим L3. Главный вопрос — какой шлюз вам понадобится? Выполнение L3 на шлюзе будет создавать большую нагрузку, чем на коммутаторе.
 
 
 
Страницы: 1
Читают тему (гостей: 2)