Построение сети в офисе, выбор Mikrotik или.? 500$

@Interfreight · Регистрация: 04.10.2016

Студворк — интернет-сервис помощи студентам

Добрый день!
Прошу подсказать по такому вопросу: какое лучше всего выбрать оборудование для построения сети в офисе.

Что есть сейчас:

В данный момент сеть в офисе работает на:

Оптика 1 Гбит/с, входит в медиаконвертер D-Link DMC1910R

Оптика 20 Мбит/с, входит в медиаконвертер Foxgate.

Патч-корд от одного из медиаконвертеров входит в Asus RT-N12 VP.

По всем помещениям проложена СКС, расшиты патч-панели, патч-корды подключены к трем коммутаторам:
D-Link 1226G
D-Link DES 1024A
D-Link DES 1024A

В офисе 50 рабочих станций, на Ubuntu, почти у всех сотрудников мобильные устройства, которым нужен wi-fi. Рабочие станции подключены 5e.

Есть несколько серверов, подняты на Proxmox, контроллер домена, сервер терминалов для приложений, которые работают только на Windows.

Вся сеть одноранговая, 192.168.0.0/24

Что хочу купить, бюджет 500$

1шт. маршрутизатор Mikrotik RB1100AHx4. (хотелось бы Dude Edition, но превышает бюджет)
2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC)

Также, есть возможность купить двухлетний б/у**MikroTik CCR1016-12G.

Что хочу реализовать:

В целом, хотелось бы более обезопасить сеть, внедрить различные вещи:

Хотспот - чтобы на смартфонах/планшетах можно было подключаться без паролей, заходя на сайт с кнопкой Подключиться

обезопасить wi-fi, внедрить wpa2-enterprise

бесшовный wifi, чтобы две сети от двух роутеров совмещались в одну сеть, включая оба диапазона 2,4 и 5. Т.е. чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц

разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos.

Начитался разной информации про ipsec, выбрал именно модели Mikrotik* с аппаратной поддержкой. Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции.

Вопрос:
Подскажите, что думаете про мой выбор оборудования? Может, стоит обратить внимание на другого производителя, либо в корне изменить схему построения структуры сети? Может, купить б/у Cisco или*Juniper?

Бюджет на всё 30 тыс. руб (500$).*На роутер и wifi.

Свитчи планирую заменить в будущем, на это будет отдельный бюджет.

@.None · 26.09.2018, 17:32

выбор оборудования всегда не простой вопрос, как правило выбирают то, что могут настроить и подходящее по производительности

микротик, в принципе, не плохой выбор, если немного подождать, то можно взглянуть на RB4011, который уже на подходе, процессор там такой же как и на RB1100, если ничего не путаю.

в качестве точек доступа, если есть возможность, брать сразу CAPы RBcAPGi-5acD2nD

хотспот можно замутить как на самом микротике так и на стороннем оборудовании

Сообщение от Interfreight

2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC)

это в филиалы? или в качестве точек доступа?

@romsan · 26.09.2018, 20:59

а сейчас 2 канала тырнета, что в будущем будет планироваться с ними делать? 20Мбит использовать как резервный?

Сообщение от Interfreight

Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции.

это в пределах одного здания? Зачем?

Сообщение от Interfreight

разделить отделы и сервера на vlan

ну это любой МТ может

Сообщение от Interfreight

по максимуму обезопасить сеть от вирусов и ddos

почитать про фаервол, как лучше защитить сеть от всякой заразы "из вне"

Сообщение от Interfreight

2шт. маршрутизаторов Mikrotik hAP ac2

площадь позволяет? двух достаточно? Может взять hAP ac Lite - 5шт.? В уголку поставить - и кабель можно подцепить (если нужно) и вафлю будет раздавать. Они то будут как ТД работать.

Сообщение от Interfreight

бесшовный wifi

как такового бесшовного роуменга не будет - нет у МТ и Убиков бесшовки. На МТ еще как то работает (посредством отбрасывания клиента при определенных параметрах уровня сигнала), на Убиках, говрят, ваще никак. Бесшовка будет работать если ТД и клиент поддерживают 802.11r и 802.11k Не все мобилы поддерживают данные протоколы.

Сообщение от Interfreight

тобы две сети от двух роутеров совмещались в одну сеть

не от двух роутеров, а в Вашем случае, двух ТД (оборудование же будет настроено как точки доступа, а не как роутеры)

Сообщение от Interfreight

чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц

ну это как первый раз настроишь на клиентах кому какую сеть подключать - так они и будут цеплятся. Правда не знаю, если на Ipad подключить к 2.4, а потом переподключить к 5, то к какой сети он автоматом зацепиться при появлении в зоне действия сетей? Наверно модно настроить приоритет сетей.

Сообщение от Interfreight

либо в корне изменить схему построения структуры сети?

тут нужна сама схема, чтобы что то советовать

Сообщение от .None

брать сразу CAPы RBcAPGi-5acD2nD

оборудование потолочного типа. Надо подумать ТС - надо ли такие?

@Interfreight · 27.09.2018, 10:00 **[ТС]**

Сообщение от romsan

как такового бесшовного роуменга не будет - нет у МТ и Убиков бесшовки. На МТ еще как то работает (посредством отбрасывания клиента при определенных параметрах уровня сигнала), на Убиках, говрят, ваще никак. Бесшовка будет работать если ТД и клиент поддерживают 802.11r и 802.11k Не все мобилы поддерживают данные протоколы.

А если взять один Mikrotik hAP ac2, и одну точку доступа.

На Mikrotik hAP ac2 создать сеть wifi. И эта же сеть wifi будет усиливаться через точку доступа, правильно?

@romsan · 27.09.2018, 10:27

Сообщение от Interfreight

эта же сеть wifi будет усиливаться через точку доступа, правильно?

не совсем так. Ничто усиливаться не будет. Просто будет как увеличение зоны действия wi-fi сети.
Когда 1,2 точки, то не знаю как другие, но мне кажется можно просто настроить вторую точку доступа с таким же SSID и паролем, только на др. канал посадить. (Я к тому, что поднимать capsman я лично не вижу необходимости). А вот когда у тебя от 3 и более точек, и между ними постоянно двигаются клиенты, тогда да, поднять capsman и настроить тестовым путем систему перескакивания между точками. (Решение о том, к какой ТД соединяться принимает клиент (смартфон)).
Ни о каком усилении речи тут нет. Просто, грубо говоря, второй кабель от коммутатора (ведь, думаю, понимаешь , что если коммутатор 100 Мбит, то подключенные к нему 2 ПК будут макс на 50 Мбит передавать)

@Interfreight · 27.09.2018, 10:39 **[ТС]**

Сообщение от romsan

не совсем так. Ничто усиливаться не будет. Просто будет как увеличение зоны действия wi-fi сети.
Когда 1,2 точки, то не знаю как другие, но мне кажется можно просто настроить вторую точку доступа с таким же SSID и паролем, только на др. канал посадить. (Я к тому, что поднимать capsman я лично не вижу необходимости). А вот когда у тебя от 3 и более точек, и между ними постоянно двигаются клиенты, тогда да, поднять capsman и настроить тестовым путем систему перескакивания между точками. (Решение о том, к какой ТД соединяться принимает клиент (смартфон)).
Ни о каком усилении речи тут нет. Просто, грубо говоря, второй кабель от коммутатора (ведь, думаю, понимаешь , что если коммутатор 100 Мбит, то подключенные к нему 2 ПК будут макс на 50 Мбит передавать)

Я планирую сделать так:

Взять две шт. Mikrotik hAP ac2.

В каждый будет входить сетевой кабель.

Первый hAP ac2 настроить как wifi роутер, с сетью Work, а второй hAP ac2 настроить как точку доступа, которая расширяет wifi сеть Work.

И через capsman настроить переключение клиентов от одного hAP ac2 к другому.

Офис - длинный коридор 25 м. Кабинеты слева-справа, 10-15 м кв. каждый.

@.None · 27.09.2018, 11:38

не понимаю почему выбор пал hAP ac2? это настольный маршрутизатор в радио на борту, да и с температурным режимом там какие-то проблемы вроде как были, я так понимаю вы будете их крепить в коридоре, IMHO капы поэстетичней будут, да и предназначение их как раз как точки доступа, и питаются ПоЕ, 2 интерфейса, можно включить последовательно
а вот количество точек и их расположение придется выбирать опытным путем

это все в одном офисе? или хапы это для другого офиса?

@Interfreight · 27.09.2018, 11:56 **[ТС]**

Сообщение от .None

не понимаю почему выбор пал hAP ac2

Это новая модель, есть поддержка ipsec встроенная.
Процессор мощнее, чем в старых моделях.
Да, планирую крепить или в коридоре, или в кабинетах по разные концы офиса.

Сообщение от .None

капы поэстетичней

О какой модели говорите?

Это всё планируется в одном офисе. Других офисов нет и не будет в ближайшие несколько лет. Максимум - небольшое расширение офиса по площади.

@.None · 27.09.2018, 12:07

Сообщение от Interfreight

О какой модели говорите?

RBcAPGi-5acD2nD
процессор такой же как и в ас2, что собрались шифровать пакеты от ТД до маршрутизатора?

@Interfreight · 27.09.2018, 12:23 **[ТС]**

Сообщение от .None

процессор такой же как и в ас2, что собрались шифровать пакеты от ТД до маршрутизатора?

Да, хотел настроить ipsec между роутером и точками доступа/роутерами wifi.

Но, возможно, добавлю еще ПК на opensense, с 4 шт. сетевыми картами. 4ядра/4 гб озу.

Чтобы разгрузить роутер, и получить функционал фаервола, прокси и т. д.

@.None · 27.09.2018, 12:46

или я чего-то не понимаю или вы сильно "накручиваете", зачем шифровать трафик внутри своей локальной сети в 10/15/20 метровом кабеле?

схема-то классическая, фаервол+шлюз+маршрутизатор в 1 железке 3011/1100/4011 на выбор
wi-fi - 2-3 точки доступа
если так сильно хочется снять нагрузку на маршрутизатор, то при условии нескольких сетей/вланов, можно приобрести L3/L2+ коммутатор и сделать межвлавовую маршрутизацию на нем, тогда роутер будет просто как шлюз в инет+фаервол

а прокси замутить уже на имеющихся серверах, хоть на виртуалке с линуксом или на чем умеете

Добавлено через 3 минуты
вы бы схему нарисовали предполагаемой сети, было бы проще нам понимать чего вы хотите

@romsan · 27.09.2018, 15:49

Сообщение от Interfreight

хотел настроить ipsec между роутером и точками доступа/роутерами wifi.

Сообщение от .None

зачем шифровать трафик внутри своей локальной сети

от и я об этом... зачем?

@Interfreight · 27.09.2018, 15:50 **[ТС]**

Сообщение от romsan

от и я об этом... зачем?

Хотел максимально обеспечить безопасность.
Если это не снизит скорость доступа в интернет и т. д.

@romsan · 27.09.2018, 15:55

Сообщение от Interfreight

максимально обеспечить безопасность.

??? у Вас там что, проходной двор? Ведь поднимая ipsec между Вашим оборудованием внутри офиса, Вы предполагаете внедрение в Вашу сеть чужака? Защищаться нужно "из вне". Хотя конечно я может чего то не знаю как там у Вас обстоят дела?

@Interfreight · 27.09.2018, 16:23 **[ТС]**

В данный момент - да, почти проходной двор.

Шлюз - asus rt-n12. Без настроек фаервола, антивируса и т. д.

wifi без пароля, открыт для всех.

вланов нет, одноранговая сеть.

нет ничего, что касалось бы правильности построения сетей и безопасности.

@romsan · 27.09.2018, 16:43

Сообщение от Interfreight

wifi без пароля, открыт для всех.

жесть...

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@Interfreight 0 / 0 / 0 Регистрация: 04.10.2016 Сообщений: 8

	Построение сети в офисе, выбор Mikrotik или.? 500$ 26.09.2018, 14:34. Показов 3448. Ответов 15 Метки mikrotik (Все метки) Добрый день! Прошу подсказать по такому вопросу: какое лучше всего выбрать оборудование для построения сети в офисе. Что есть сейчас: В данный момент сеть в офисе работает на: Оптика 1 Гбит/с, входит в медиаконвертер D-Link DMC1910R Оптика 20 Мбит/с, входит в медиаконвертер Foxgate. Патч-корд от одного из медиаконвертеров входит в Asus RT-N12 VP. По всем помещениям проложена СКС, расшиты патч-панели, патч-корды подключены к трем коммутаторам: D-Link 1226G D-Link DES 1024A D-Link DES 1024A В офисе 50 рабочих станций, на Ubuntu, почти у всех сотрудников мобильные устройства, которым нужен wi-fi. Рабочие станции подключены 5e. Есть несколько серверов, подняты на Proxmox, контроллер домена, сервер терминалов для приложений, которые работают только на Windows. Вся сеть одноранговая, 192.168.0.0/24 Что хочу купить, бюджет 500$ 1шт. маршрутизатор Mikrotik RB1100AHx4. (хотелось бы Dude Edition, но превышает бюджет) 2шт. маршрутизаторов Mikrotik hAP ac2 (RBD52G-5HacD2HnD-TC) Также, есть возможность купить двухлетний б/у*MikroTik CCR1016-12G. Что хочу реализовать: В целом, хотелось бы более обезопасить сеть, внедрить различные вещи: Хотспот - чтобы на смартфонах/планшетах можно было подключаться без паролей, заходя на сайт с кнопкой Подключиться обезопасить wi-fi, внедрить wpa2-enterprise бесшовный wifi, чтобы две сети от двух роутеров совмещались в одну сеть, включая оба диапазона 2,4 и 5. Т.е. чтобы смартфон с поддержкой только 2,4, подключался к 2,4, а ipad с поддержкой 5 ггц подключался к 5 ггц разделить отделы и сервера на vlan, по максимуму обезопасить сеть от вирусов и ddos. Начитался разной информации про ipsec, выбрал именно модели Mikrotik с аппаратной поддержкой. Хочу настроить соединения между роутерами по ipsec, а лучше - чтобы был шифрованный канал до каждой рабочей станции. Вопрос: Подскажите, что думаете про мой выбор оборудования? Может, стоит обратить внимание на другого производителя, либо в корне изменить схему построения структуры сети? Может, купить б/у Cisco илиJuniper? Бюджет на всё 30 тыс. руб (500$).На роутер и wifi. Свитчи планирую заменить в будущем, на это будет отдельный бюджет. 0

@.None 4365 / 1693 / 342 Регистрация: 23.06.2009 Сообщений: 6,007
	27.09.2018, 11:38
	не понимаю почему выбор пал hAP ac2? это настольный маршрутизатор в радио на борту, да и с температурным режимом там какие-то проблемы вроде как были, я так понимаю вы будете их крепить в коридоре, IMHO капы поэстетичней будут, да и предназначение их как раз как точки доступа, и питаются ПоЕ, 2 интерфейса, можно включить последовательно а вот количество точек и их расположение придется выбирать опытным путем это все в одном офисе? или хапы это для другого офиса? 0

@.None 4365 / 1693 / 342 Регистрация: 23.06.2009 Сообщений: 6,007
	27.09.2018, 12:46
	или я чего-то не понимаю или вы сильно "накручиваете", зачем шифровать трафик внутри своей локальной сети в 10/15/20 метровом кабеле? схема-то классическая, фаервол+шлюз+маршрутизатор в 1 железке 3011/1100/4011 на выбор wi-fi - 2-3 точки доступа если так сильно хочется снять нагрузку на маршрутизатор, то при условии нескольких сетей/вланов, можно приобрести L3/L2+ коммутатор и сделать межвлавовую маршрутизацию на нем, тогда роутер будет просто как шлюз в инет+фаервол а прокси замутить уже на имеющихся серверах, хоть на виртуалке с линуксом или на чем умеете Добавлено через 3 минуты вы бы схему нарисовали предполагаемой сети, было бы проще нам понимать чего вы хотите 0

@Interfreight 0 / 0 / 0 Регистрация: 04.10.2016 Сообщений: 8
	27.09.2018, 16:23 [ТС]
	В данный момент - да, почти проходной двор. Шлюз - asus rt-n12. Без настроек фаервола, антивируса и т. д. wifi без пароля, открыт для всех. вланов нет, одноранговая сеть. нет ничего, что касалось бы правильности построения сетей и безопасности. 0