Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: miczk 24. 09. 2024, 21:50:10
-
Ahoj,
potřeboval bych postavit jednoduchou síť a následně ji nakonfigurovat. Pracuji v IT, ale s konfigurací sítí nemám vůbec zkušenosti (až na pár hodin síťařiny z VŠ). Jedná se o síť do ordinace, teče tam 250Mbit VDSL od O2. Modem už mám - ZyXEL VMG4005-B50A a potřeboval bych router, switch a 3 AP. Nakonfigurovat by měla jít veřejná WiFi, kde je potřeba omezit max přenosovou rychlost. A pak privátní WiFi + síť, kde budou počítače, telefony, rentgeny a tiskárna. Některým zařízením potřebuju staticky přiřadit IP adresu v rámci interní sítě. Celkově bude přes kabel připojeno okolo 10 zařízení a ty 3 AP, preferoval bych tedy 24portový switch.
Přemýšlel jsem, že bych použil následující komponenty:
- Router - Ubiquiti UniFi Dream Machine Pro,
- Switch - Ubiquiti UniFi Switch 24 PoE,
- AP - Ubiquiti UniFi AC PRO.
Bohužel nemám vhled, jestli není zvolené železo zbytečný přepal nebo ne. Hledám něco, co bude dobře fungovat, půjde jednoduše nakonfigurovat a nestojí to raketu. Díky za jakékoliv tipy!
-
V první řadě, NECH TO NA NĚKOM, KDO TOMU ROZUMÍ
Modem - proč tam není Cetin verze toho Zyxelu - Terminátor?
Router - absolutně přepáleno, Ubiquiti UniFi Dream Machine Pro je naprosto mimo. Tady ti stačí nějaký MikroTik hEX/hEX S nebo pokud chceš něco víc tak RB3011UiAS-RM případně RB4011iGS nebo RB5009UG, ale to už je taky "overkill".
Switch - Ubiquiti UniFi Switch Lite 16 PoE / ZyXEL GS1900-24EP / TP-Link TL-SG1428PE
Wifi - bez podrobnější znalosti prostoru, který je potřeba pokrýt ti nikdo množství AP neřekne, každopádně Ubiquiti UniFi AC PRO není rozumné, resp. je zbytečné. Nemáš to na nádraží. Nestyděl bych se použít Ubiquiti UniFi 6+ nebo MikroTik cAP ax
U Wifi dle mě nepotřebuješ bezvýpadkový roaming, je to ordinace. Pacienti jsou "staticky" na 1 místě a doktoři pochybuji, že chodí a čučí při tom do notebooku, tabletu nebo mobilu na něco, co stále načítá data.
A konečně na závěr, NECH TO NA NĚKOM, KDO TOMU ROZUMÍ
-
- Router - Ubiquiti UniFi Dream Machine Pro
Pravděpodobně přepal (mám ho doma a stále jsem ho nepřetížil ani několika serverama). Ale toto by pro ordinaci mělo stačit: https://eu.store.ui.com/eu/en/category/all-unifi-cloud-gateways/products/ux
(Funguje i jako Wifi AP)
- Switch - Ubiquiti UniFi Switch 24 PoE
24 porotvý switch bude asi mírně přepal taky, ale obyčejný unifi switch není zas tak drahý: https://eu.store.ui.com/eu/en/category/all-switching/products/usw-24-poe
- AP - Ubiquiti UniFi AC PRO.
Umí jen AC wifi, což je v dnešní době již několik generací zastaralé. Doporučil bych minimálně U6 ideálně U7. Plus verze by měla stačit, ale pokud chceš jistotu tak klidně PRO verze, ale bude to už přepal.
Je to na tobě, nějaké tipy ti tu lidi načrtnou, ale platí co psal Don.J že bez náčrtu prostor neurčíme kolik wifi AP bude potřeba. A je na tobě jestli půjdeš dříve zmíněnou cestou mikrotiku, nebo touto Ubiquiti (Podle toho s čím se ti bude lépe pracovat/s čím máš zkušenosti - sám preferuju Ubiquiti kvůli uživatelské přívětivosti)
-
Verejna sit je jedna vec.
Privatni sit pro ordinaci, bude vyzadovat splneni zakonu apod. tykajici se zdravotnickych zarizeni z duvodu zdravotnickych zaznamu apod.
Rozhodne nic pro nezkuseneho sitare.
-
a hlavně v příštím roce tohle spadne pod NIS2, opět nic pro člověka, který to nikdy nedělal.
Měl bys vybírat prvky podle toho jakou mají deklarovanou podporu, jak se budou řešit aktualizace, měl bys mít nejprve návrh řešení a až pak vybírat konkrétní HW.
Vůbec nepíšeš jaké požadavky na tu síť máš, ale obecně mi tam chybí něco, co bude poskytovat nějakou bezpečnostní vrstvu (např. radius server pro 802.1X), zajišťovat nutné logy, nebo snad to plánuješ provozovat pouze na WPA*-PSK?
-
Já bych toto dělal na TP Linku, přijde mi jejich řešení pro takové malé řešení či rodinný domek ideální - v podstatě obdoba Ubiquiti akorát se zlomkovou spotřebou elektřiny... (Dream machine neskutečně žere...)
Router vč. PoE TP-Link ER7212PC - https://www.alza.cz/tp-link-er7212pc-omada-sdn-d7677074.htm
Talířová APčka třeba TP-Link EAP650: https://www.mironet.cz/tplink-eap650-ap-ax3000-dualband-1x-gbe-rj45-poe-8023at-mumimo+dp516685/
-
Díky za reakce! Ten prostor mám změřený, takže vím, jak se tam šíří 2.4GHz a 5GHz signál. Počet a umístění AP odpovídá potřebám. Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích. Zařízení pracující s "citlivějšími" daty půjdou přímo přes kabel do switche. Ta Wi-Fi má sloužit jen pro zařízení zaměstnanců / pacientů. Reálně na Wi-Fi může být v jeden moment tak max 20 zařízení.
Zatím si z toho beru, že za pomocí těchto komponent by to mělo jít složit jednoduše:
- Ubiquiti UniFi Express
- Ubiquiti UniFi Switch Lite 16 PoE+
- 2x Ubiquiti U6+
S tím, že UniFi Express bude sám fungovat jako AP. Bude to umět i bezvýpadkový roaming a zvládne vytvořit i veřejnou a privátní Wi-Fi síť. Zbylá zařízení se připojí do switche a udělám jim vlastní sít.
-
Ehm ... nic jako bezvypadkovy roaming neexistuje.
Existuje technologie, ktere se rika fastroaming, a musi ji podporovat obe strany = jak APcka tak klient, a ani to neznamena, ze ti spojeni na moment nevypadne, vypadne vzdy.
Co se tyce zabezpeceni site, tak je jedno co budes pripojovat k wifi a co kabelem. Zalezi na tom, jak tu celou sit budes mit nakonfigurovanou. A pokud se v siti vyskytuji jakekoli citlive udaje, tak by bylo nejlepsi, kdyby se k nim z wifi vubec dostat nedalo. Ne ze by na to vsechna zdravotnicka centra z vysoka nekaslala ...
-
Pokud to budete dělat sám, striktně doporučuji zakoupit druhé připojení třeba 5G/4G a k tomu samostatné vlastní AP kde korigujete pásmo pro pacienty, než riskovat špatně nastavenou propojenou síť.
Vzhledem k tomu co uvádíte za zařízení a navíc se jedná o zdravotnictví, finančně nebude problém udržovat dvě připojení. Tím naprosto oddělíte interní síť protože to prostě není nijak propojeno.
Pokud budete trvat jen na jednom připojení, zaplaťte si někoho kdo to nastaví a bude udržovat. Riskovat ztrátu osobních údajů včetně rodných čísel, diagnózy pacientů a další údaje např. výkazy s výkony které se zasílají pojišťovnám není moudré.
Tady výslovně odrazuji od samo-domo, riziko je příliš velké. Tímto to rozdělíte na dvě sítě a každou budete korigovat samostatně, pokud to někdo napadne nic horšího než nefunkční internet pro pacienty se nestane.
-
Nějaké to záložní připojení např. 5G/4G by to chtělo i z důvodu, že data máte v cloudu. V případě výpadku ISP na dveře nelze napsat NEORDINUJEME.
-
Celkem bych měl obavu jen tak zpřístupnit síť kdekomu z ulice, když je smlouva s ISP napsaná na určitou osobu (nejspíš právnickou), za kterou také půjdou všechny případné nekalosti, typicky někdo přes danou WiFi pošle třeba nahé fotky nezletilých osob atd. Veřejné WiFi tohoto typu se řeší na úrovni identifikace lidí, kteří se k dané síti připojují, je to ve zdravotnických zařízeních a hotelích běžná věc. Ale pochopitelně to nelze udělat přes nějaký běžný AP za pár peněz.
-
Skutecne to sver nekomu, kdo tomu rozumi!
Ono ve finale to vyjde i levneji.
@don.j - doporucovat nekomu kdo nema zkusenosti se sitemi mikrotik, to chce fistrona :)
-
a hlavně v příštím roce tohle spadne pod NIS2, opět nic pro člověka, který to nikdy nedělal.
Měl bys vybírat prvky podle toho jakou mají deklarovanou podporu, jak se budou řešit aktualizace, měl bys mít nejprve návrh řešení a až pak vybírat konkrétní HW.
Vůbec nepíšeš jaké požadavky na tu síť máš, ale obecně mi tam chybí něco, co bude poskytovat nějakou bezpečnostní vrstvu (např. radius server pro 802.1X), zajišťovat nutné logy, nebo snad to plánuješ provozovat pouze na WPA*-PSK?
1) Proc by mela mala ordinace spadat pod NIS2? Sam NUKIB riak Služba podle zadaných kritérií pravděpodobně nebude regulována.
Takze mas nejake zakulisni informace?
2)Fakt to neni ptoreba resit 802.1x, zbytecne srani. To jen machrujes ze vis co to je?
Pokud to chci staven na UI tak mi staci UCG ultra. Ktomu UI litle swich. A pak si pohrat s design.ui.com/ (http://design.ui.com/) a podiovat se co to pokryje. (neprodpokaldam ze to budes necim merit)
No podle men to pokreje jeden az dva Swiss Army Knife Ultra, zalezi na topologii ale klidne by mohla stacit ta plechovka od UI UniFi 6 Mesh.
-
Zeptám se, zda tedy trváte na tom řešení od Ubiquiti ?
To řešení od TP-Linku Omada by mělo fungovat obdobně (je to také softwarově manageovaná síť) navíc myslím, že vzhledem k velikosti sítě je i vhodnější a navíc odpadne nutnost mít ještě ten PoE switch (několik PoE portů je přímo integrováno v routeru). Mě celkem překvapila kromě ceny hlavně výrazně nižší spotřeba proti Ubiquiti a proto toto zvažuji, že bych instaloval domů... Celkem by mě zajímaly zkušenosti, těch, kteří již TP-Link řešení Omada realizovali..
TP-Link ER7212PC
pak již jen ta APčka např. TP-Link EAP650
-
Zeptám se, zda tedy trváte na tom řešení od Ubiquiti ?
To řešení od TP-Linku Omada by mělo fungovat obdobně (je to také softwarově manageovaná síť) navíc myslím, že vzhledem k velikosti sítě je i vhodnější a navíc odpadne nutnost mít ještě ten PoE switch (několik PoE portů je přímo integrováno v routeru). Mě celkem překvapila kromě ceny hlavně výrazně nižší spotřeba proti Ubiquiti a proto toto zvažuji, že bych instaloval domů... Celkem by mě zajímaly zkušenosti, těch, kteří již TP-Link řešení Omada realizovali..
TP-Link ER7212PC
pak již jen ta APčka např. TP-Link EAP650
Omadu jsem isntaloval na jednom sportovisti. je to zajamve, ale jeste to musi dozrat, neumi to uplne vse co UI.
hezky otom pise typek : https://evanmccann.net/wifi#fn1 (https://evanmccann.net/wifi#fn1) ale posledni dobou to vpyda ze zustal na UI.
Ps: tady je odnej popis kompeltniho UI prostredi. https://evanmccann.net/blog/2021/11/unifi-advanced-wi-fi-settings (https://evanmccann.net/blog/2021/11/unifi-advanced-wi-fi-settings)
-
Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.
No tak to potěš koště.
-
Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.
No tak to potěš koště.
Ehm delal jsi nekdy v korporatu? Hadej kde ty maji ulozena data.
Znameni dnesni doby, az naroste zase pocet hacku cloudu, vrati se vsichni na on-premise :)
-
Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.
No tak to potěš koště.
Ehm delal jsi nekdy v korporatu? Hadej kde ty maji ulozena data.
Znameni dnesni doby, az naroste zase pocet hacku cloudu, vrati se vsichni na on-premise :)
V korporátu to nepřekvapí. Ale že do toho někdo hrne veškerá data o pacientech, to už je dost na pováženou. Inu, čekají nás ještě zajímavé zítřky.
-
Co se týče bezpečnosti, tak veškerá data jsou v cloudu u 3. stran, nic není uloženo na fyzickém úložišti v ordinacích.
No tak to potěš koště.
Ehm delal jsi nekdy v korporatu? Hadej kde ty maji ulozena data.
Znameni dnesni doby, az naroste zase pocet hacku cloudu, vrati se vsichni na on-premise :)
V korporátu to nepřekvapí. Ale že do toho někdo hrne veškerá data o pacientech, to už je dost na pováženou. Inu, čekají nás ještě zajímavé zítřky.
Tak to nemusí být nutně chyba, třeba to má pořádně zašifrované....
-
Data na zabezpečeném serveru jsou určitě lepší, než někde v kanclu pod stolem, kde se o to nikdo nestará, a může to odnést kdejaká smažka, které tam vleze oknem nebo přes rozkopanou sádrokartovou příčku.
Zejména u zdravotních dat jsou vysoké nároky na dostupnost dat, protože jakýkoli výpadek může oddálit vyšetření, která jsou pro mnoho pacientů otázkou život a smrti. A budovat DC na vlastní pěst je hodně drahá záležitost.
-
Nějaké to záložní připojení např. 5G/4G by to chtělo i z důvodu, že data máte v cloudu. V případě výpadku ISP na dveře nelze napsat NEORDINUJEME.
Je to stejne, jako kdyz vypadne proud. Take si nebudes porizovat centralu na kazdou provozovnu.
-
Spis by se bal mit neco lokalne v tomto pripade.
Jinak bych to resil tak, ze bych pouzil routery od Mikrotiku - a rouvnou VPN do privatniho Cloudu - ja treba mam pro tyto ucely VPS s Router OS u Amazonu, ktery dela koncentrator. Pak v ramci toho muzes mit i dalsi infrastrukturu.
Pravdepodobnost selhani, resp. selhani se ztratou dat je u takoveho reseni o rad mensi, nez u cehokoliv, co vytvoris sam (shori barak, povoden, blesk, vykradacka....).