Инструкции » Железо

Сеть компьютерного клуба

На чтение 6 мин Опубликовано

Использование MikroTik для компьютерного клуба является единственным адекватным решением, так как больше никакой производитель сетевого оборудования не даст такого количества возможностей.

Профессиональная настройка MikroTik
Без предоплаты и бюрократии
Telegram: @Engineer_MikroTik
Содержание
  1. Предисловие
  2. Оборудование
  3. Маршрутизация
  4. Коммутация
  5. 1Гбит
  6. 2.5Гбит
  7. 10Гбит
  8. WiFi
  9. Стойка
  10. Интернет
  11. Выбор провайдера
  12. PBR
  13. QoS
  14. Изоляция трафика
  15. Адресация
  16. Vlan планирование
  17. ПК
  18. VIP ПК
  19. Консоли
  20. Камеры
  21. Кассы
  22. Админы
  23. Сервер
  24. Рабочий WiFi
  25. MGMT
  26. DMZ
  27. Гостевой WiFi
  28. Безопасность
  29. Firewall
  30. L2 Isolated
  31. DHCP Snooping
  32. Отказоустойчивость
  33. Мониторинг

Предисловие

Можно попытаться сэкономить на сети установив домашнее оборудование и неуправляемые коммутаторы. Но такая экономия иллюзорна — вы сэкономите небольшую сумму сейчас, чтобы в будущем получить постоянные сбои, медленную работу и уязвимости в безопасности.

Оборудование

Все оборудование исключительно MikroTik с учетом роста и масштабов клуба.

Маршрутизация

Маршрутизатор (роутер) — сердце сети компьютерного клуба. В него подключается Интернет, на нем настраивается маршрутизация, Firewall, DHCP, NAT и все остальное.

Выбор зависит от количества трафика и пользователей.

RB5009 - идеальное решение чтобы запустить клуб
RB5009 — идеальное решение чтобы запустить клуб
RB5009 без проблем потянет 2 провайдера по 500Мбит и QoS.
CCR2116-12G-4S+ когда нужно обслуживать не один десяток компьютеров клуба
CCR2116-12G-4S+ когда нужно обслуживать не один десяток компьютеров клуба
CCR2116-12G-4S+ вытянет 3 и более провайдеров по 1Гбит с взаимными резервированиями, настройками и QoS.

Коммутация

Если маршрутизатор можно заменить без особых проблем, то коммутатор нужно выбирать сразу с заделом на будущее.
1Гбит, 2.5Гбит или сразу 10Гбит оптикой? Для игр хватит и 100Мбит порта, для бездисковой загрузки 1Гбит, но еще быстрее будет на 2.5Гбит. 10Гбит действительно излишняя скорость, но тоже возможная.

Из опыта — если позволяет место в стойке, лучше поставить 2 коммутатора на 24 порта, чем 1 на 48 портов.
Это позволит в случае проблем остаться в работе на оставшемся оборудовании.

1Гбит

CRS326-24G-2S+RM - единственный вариант 24 портового коммутатора, который вам нужен.Главное не спутать с CSS326
CRS326-24G-2S+RM — единственный вариант 24 портового коммутатора, который вам нужен.
Главное не спутать с CSS326
Для подключения видеонаблюдения и другого PoE оборудования лучше ставить отдельный PoE коммутатор CRS328-24P-4S+RM
Для подключения видеонаблюдения и другого PoE оборудования лучше ставить отдельный PoE коммутатор CRS328-24P-4S+RM

2.5Гбит

CRS326-4C+20G+2Q+RM - 20 портов 2.5Гбит и 2 блока питания
CRS326-4C+20G+2Q+RM — 20 портов 2.5Гбит и 2 блока питания

10Гбит

CRS326-24S+2Q+RM - исключительно оптический коммутатор, для которого нужно прокладывать оптику до каждого ПК и ставить SFP+ сетевую карту
CRS326-24S+2Q+RM — исключительно оптический коммутатор с двумя БП, для которого нужно прокладывать оптику до каждого ПК и ставить SFP+ сетевую карту

WiFi

В нынешних реалиях это только AX стандарт, расстановка оборудования из расчета 1 точка — 1 помещение и прямая видимость от клиента до точки. Преграды «за тонкой стенкой», дверью, стеклом или зеркалом исключаем.

Так как WiFi работает на скорости самого слабого клиента — серые зоны отсекаем установкой дополнительных точек на входе с улицы и за уличной стеной, где могут сидеть посторонние ради интернета.

cAP AX для помещений, вешается на потолок
cAP AX для помещений, вешается на потолок
wAP AX для улицы
wAP AX для улицы

Стойка

Обычный коммутационный шкаф 19″ с стеклянной дверью и вентилируемыми отверстиями минимум на 6U (1 единица оборудования занимает 1U), учитывайте установку ИБП если он планируется.

Cabeus SH-05F-6U60/45 Шкаф телекоммуникационный настенный 19" 6U 600x450x368mm (ШхГхВ) дверь стекло, цвет серый (RAL 7035)
Cabeus SH-05F-6U60/45 Шкаф телекоммуникационный настенный 19″ 6U 600x450x368mm (ШхГхВ) дверь стекло, цвет серый (RAL 7035)
Так же есть стойка SolidRack 10 от MikroTik, которую можно поставить в открытом недосягаемом месте и сделать подсветку, если все коммутировано аккуратно и это хочется показать.
Так же есть стойка SolidRack 10 от MikroTik, которую можно поставить в открытом недосягаемом месте и сделать подсветку, если все коммутировано аккуратно и это хочется показать.

Интернет

Обязательно 2 провайдера оформленных на юр. лицо, чтобы выдвигать претензии по качеству канала и гарантированной скорости.
Тип подключения ethernet/sfpStatic IP напрямую в MikroTik.
Белый и серый IP (в случае DDoS атаки — можно прикрыться за NAT оператора отключив белый IP).
Никаких роутеров от провайдера, PPPoE/L2TP и прочих overhead протоколов авторизации.
При использовании gpon — сделать перевод оптического терминала в режим моста или заменить на нормальный по типу cdata fd511g-x.
В некоторых случаях возможно использование GPON Onu Stick (МГТС/Ростелеком) для исключения лишнего оборудования.

Выбор провайдера

Должны быть независимые друг от друга провайдеры, которые используют собственные магистральные линии, либо хотя бы разные. Так же разные трассы подключения, то есть оператор 1 идет через улицу 1, оператор 2 идет через кабельные коллекторы.

Например в моем посёлке все 3 оператора на своих магистралях:
1. ТДС+
2. Ростелеком
3. Уфанет

PBR

Можно любые сети и IP выпускать индивидуально с любого провайдера, чтобы оба канала не простаивали. Например сервер и гостевой WiFi выпустить с резерва.

Так же клиент клуба может сам выбирать используемого провайдера запустив программу для переключения. Например когда запущен WAN1.bat, его трафик идет приоритетно через 1 провайдера.

QoS

Для комфортной игры и загрузки обновлений хватит от 10 до 50Мбит на 1ПК, но так как для онлайн игры хватает и 10Мбит, для загрузки обновлений можно поделить оставшуюся полосу поровну — берем в расчёт 10Мбит на 1ПК в самом худшем случае. Получаем от 300Мбит на 30ПК, которые через QoS ограничиваем и делим поровну.

Изоляция трафика

Компьютерный клуб — это место где посторонние лица имеют доступ к компьютерам, а значит сети. Нужно все максимально изолировать — ПК, VIP ПК, админы, камеры, кассы, консоли и WiFi должны находиться в разных сетях и не видеть друг друга даже по L2, кроме исключений (сервер, регистратор, админ).

Адресация

Забудь про стандартную адресацию домашних роутеров 192.168.0.0 и 192.168.1.0 и бей по руками настройщиков камер кто использует эти сети.
Выбираем не популярные и редко пересекаемые сети, например 192.168.48.0/20, где /20 это 16 сетей по /24.

Vlan планирование

Для удобства номер Vlan будет соотноситься с 3 октетом сети, но так же используем Native Vlan1/ (то есть отсутствие влана) на сети 192.168.63.0/24 для настройки.

ПК

Vlan48 — 192.168.48.0/24 — доступ только в Интернет и к серверу

VIP ПК

Vlan49 — 192.168.49.0/24 — доступ только в Интернет и к серверу

Консоли

Vlan50 — 192.168.50.0/24 — доступ только в Интернет

Камеры

Vlan51 — 192.168.50.0/24 — никуда нет доступа

Кассы

Vlan52 — 192.168.52.0/24 — доступ только в Интернет к ОФД

Админы

Vlan53 — 192.168.53.0/24 — доступ в Интернет и любые сети

Сервер

Vlan54 — 192.168.54.0/24 — доступ в Интернет и любые сети

Рабочий WiFi

Vlan55 — 192.168.55.0/24 — доступ в Интернет и любые сети

MGMT

Сеть управления, на которой живет сетевое оборудование.

Vlan60 — 192.168.60.0/24 — никуда нет доступа

DMZ

Vlan61 — 192.168.61.0/24 — доступ только в Интернет по белым спискам

Гостевой WiFi

Vlan62 — 192.168.62.0/24 — доступ только в Интернет

Безопасность

Между сетями и хостами не должен ходить трафик, который мы не разрешили.

Firewall

Firewall строго по Address List и Interface List, что не разрешено — запрещено во всех цепочках. Input, Forward, Output.

L2 Isolated

На коммутаторах между портами запрещено хождение трафика внутри L2.

DHCP Snooping

DHCP Server может быть только за доверенными портами.

Отказоустойчивость

Холодный резерв в виде запасного RB5009 и коммутаторов, а так же вариации с VRRP и MLAG для горячего резервирования.

Мониторинг

О состоянии интернет каналов и их нагрузке, работе маршрутизатора, коммутаторов и точек доступа, снятие полной статистики для анализа потребления трафика. Все это делается через ZABBIX.

Профессиональная настройка MikroTik
Без предоплаты и бюрократии
Telegram: @Engineer_MikroTik
Настройка MikroTik
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.