这是一个创建于 2512 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司装修好准备组建网络了,有几个问题想请教一下各位大神。
条件:
- 40 方办公室,室内一面玻璃墙
- 带机量估计 30+(电脑+移动设备)
- 200M 的光纤,受电信带机量限制,后期可能会拉 2*100M
- 预算 3k 左右(创业不易,可适当超点)
- 全部走 Wi-Fi
想实现:
- 自动翻墙,$$
- 登录认证,系统录入员工账号(具备开发能力),员工通过密码登录,上网不限速,可相互访问;游客可通过手机验证码登录,限时+限速+隔离
- 内网服务器
- 外网 VPN 回公司
自己认为的方案:
1. 搞一台服务器或主机,通过虚拟化的方式装系统,然后实现软路由、内网服务器等等
2. 分别购买 NAS、路由等等硬件,一个个组合使用
不知道有没有更好的一体化的方案,不用太折腾。如果实在要折腾也没问题,LZ 本身也爱多学习,找了很多资料就是不知道采取哪种方案最完美。。。所以请教一下大家,希望各位大神给点想法
支付宝红包口令(领完即止):v2 组网咨询
条件:
- 40 方办公室,室内一面玻璃墙
- 带机量估计 30+(电脑+移动设备)
- 200M 的光纤,受电信带机量限制,后期可能会拉 2*100M
- 预算 3k 左右(创业不易,可适当超点)
- 全部走 Wi-Fi
想实现:
- 自动翻墙,$$
- 登录认证,系统录入员工账号(具备开发能力),员工通过密码登录,上网不限速,可相互访问;游客可通过手机验证码登录,限时+限速+隔离
- 内网服务器
- 外网 VPN 回公司
自己认为的方案:
1. 搞一台服务器或主机,通过虚拟化的方式装系统,然后实现软路由、内网服务器等等
2. 分别购买 NAS、路由等等硬件,一个个组合使用
不知道有没有更好的一体化的方案,不用太折腾。如果实在要折腾也没问题,LZ 本身也爱多学习,找了很多资料就是不知道采取哪种方案最完美。。。所以请教一下大家,希望各位大神给点想法
支付宝红包口令(领完即止):v2 组网咨询
 |
1
ScotGu 2017-12-20 12:30:40 +08:00  1
预算 3k 左右
>分别购买 NAS、路由等等硬件,一个个组合使用。 这个方案好像可以 PASS 了。 买个二手服务器吧, 除了噪音和耗电感人,其他需求都能满足。 省下钱买好点的 AP, 我们用的 UBNT UniFi UAP-PRO,美滋滋~ |
 |
2
CloudnuY 2017-12-20 12:32:30 +08:00 1
软路由+AP
ubnt/mikrotik + AP 服务器+AP |
 |
3
jasontse 2017-12-20 12:41:58 +08:00 via iPad 1
全无线想 200M 有难度,限制你带机量的不是电信,是无线。
科学上网用独立的软路由分开做 至于你要的手机验证码这个只能看看商用设备了 |
 |
4
xuanyuanaosheng 2017-12-20 12:42:11 +08:00 via Android 1
方案一好点,前期这么干就可以,软路由+好点的 ap
|
 |
5
tomczhen 2017-12-20 12:54:48 +08:00 via Android 1
clear os,基于 CentOS,基本都能实现,不过得有一定的能力。
|
 |
6
JamesR 2017-12-20 13:05:25 +08:00 1
领到了,八分钱,我看了下很多人都是 2 毛几分的。
给你说下: 1.每个桌子拉好千兆超六类网线一箱(四百多元),全无线没法用的,办公室共享文件夹拷贝太慢。 2.再买个二 24 口手千兆交换机(一百元)拉好线。 |
|
7
JamesR 2017-12-20 13:05:53 +08:00 1
3.才三十台机子,买 2-3 台普通路由器当 AP 就行了。
4.最后买个设置简单点的千兆路由器,支持设置带宽保证每台机子有多少就行了就行了。 5.S-S 买个 VPS 一键搭好,把账号给大家一人一个就行了,客户端放个办公室共享文件夹自己去装。 6.找台旧电脑装 Win7,共享文件共享打印机。 |
 |
8
Jimrussell 2017-12-20 13:09:59 +08:00 1
全无线没法用?无法跑满而已。
如果不要路由器翻墙,两台二手 R7000 就能搞定。 |
 |
9
mt7620 2017-12-20 13:21:27 +08:00 1
就这点带机量,撸一台免费的 K2P,全部搞定。
难点是番茄和认证,LZ 会自己配置吗? |
 |
11
zqiyun 2017-12-20 13:34:20 +08:00 1
要想便宜又稳定就用有线,你们人不多,买好的 AP 无线也不是不行
|
 |
12
visitantzj 2017-12-20 13:53:25 +08:00 1
非专业,就我自己在家里布网络的经验来说全无线、路由器、NAS 这几个估计行不通,cpu 之类的配置太弱,负荷稍微大点响应就很慢,还是弄台服务器上面虚拟化比较好
|
 |
13
x7395759 2017-12-20 14:20:08 +08:00 1
全走 wifi 理论上不行,空间的信道就那么大,鬼知道几十个人会用 wifi 干嘛,说不定有几个人同时传文件,其他人就没法用了。
|
 |
14
sweb 2017-12-20 14:27:39 +08:00 1
预算 3K 太感人,搞不定,勉强完工也设备性能,网络质量也不行。
|
 |
15
fchypzero 2017-12-20 14:30:58 +08:00 1
第一个方案可行,第二个不够钱。
软路由+AP 是正道。 |
 |
16
kenshin912 2017-12-20 14:32:55 +08:00 1
电脑通过网线接入交换机 , 交换机接路由器 , 弄个 R7000 , AC88U 之类的可以刷梅林固件的路由器 , 三十个设备问题不大.
至于登录认证 , 不如做 MAC 地址绑定 , 游客的话弄个访客网络. |
 |
18
bazingaterry 2017-12-20 15:25:15 +08:00 via iPhone 1
除了梯子,UBNT 那套東西可以解決。
|
 |
19
zer 2017-12-20 15:27:52 +08:00 1
主路由可以选一台可以刷梅林的华硕路由器,无线开 WPA2-Enterprise,内网建一个 RADIUS 认证服务,路由器设置好 RADIUS 配置,登录认证有了。
|
 |
20
tuding 2017-12-20 16:28:46 +08:00 1
建议员工全部千兆有线. 无线没法玩. 游客 wifi+认证没的说
多 WAN+QoS+限速+认证+VPN, 预算不足的前提下我推荐磊科企业级路由器 建议买个性能稍好一点的交换机. 公司组网, vlan 是必须的 |
 |
21
winglight2016 2017-12-20 16:31:09 +08:00 1
软路由有什么特别之处吗?一个带千兆网口的智能路由可以实现更多功能,支持 usb3.0 的话,还能替代一部分 nas,还能省下大两千的预算
|
 |
22
firefox12 2017-12-20 16:36:28 +08:00 via iPhone 1
都说软路由 到底是哪个软路由软件?可以有酸酸乳?
|
 |
23
xuhaoyangx 2017-12-20 17:06:50 +08:00 1
@firefox12 #22 哪款都可以,用的习惯就好
|
|
24
firefox12 2017-12-20 19:17:24 +08:00 via iPhone 1
@xuhaoyangx 可以无缝 55 的软路由是那款? golang 的 55 server 很多客户端都不行
|
 |
25
zhjits 2017-12-20 19:59:55 +08:00 1
不用太折腾 -> Cisco Meraki
当然 3K 预算是不够用的 |
 |
26
vuuv 2017-12-20 23:55:55 +08:00 via Android 1
unifi ac-pro 950 元。如果 lite 版好像 570。
tplink 24 口千兆京东好像 700,8 口 179。看你怎么组合。 3-5 米超五网线单根 7 元 /10 元计 200。 x86 软路由安装 openwrt,500-600。不要买 atom 的,买赛扬或者奔腾的,有风扇和 sata 口的。需要至少 2G 内存及 3 千兆网口( 1wan 1lan 1ap )。或者带 pcie 卡槽版,50 元买二手网卡。 剩下的钱 600 多,应该能买 2-4T 硬盘吧。 使用 macvlan 完成多账号 pppoe 拨号。 使用 vlan 隔离 ap 的不同热点。 办公用 ssid 启用 802.1x ,软路由安装 radius 负责账号。你想折腾还可以上 ldap。 unifi 自带 ac 软件,java 版的,可以安装在软路由上。有 portal 功能,不过我没用过。 |
 |
27
yingfengi 2017-12-21 00:05:57 +08:00 via Android 1
1.两双频 AP,或者用路由做 AP
2.行为管理有点贵,可以考虑做软路由 3.服务器二手然后 esxi 4.VPN 的话,pptp 实现起来很容易,有钱上 sslVPN,你这个预算就算了 5.ss ,不要弄,电脑上装! |
|
28
yingfengi 2017-12-21 00:09:36 +08:00 via Android 1
另外,短信认证,单这个功能这个预算就不行
系统集成路过 |
|
29
vuuv 2017-12-21 00:16:14 +08:00 via Android 1
短信认证需要自行开发,需要买短信网关服务,一般充值 200 元起。大约 5-7 分一条。
github 上搜 ss 全称-libev-openwrt 可得文档。使用 iptables 的 redir 功能来透明。至于自动,总得维护规则吧。 |
 |
30
xiaoun001 2017-12-21 00:37:46 +08:00 via iPhone 1
我不为红包而来。刚好自己爱好及专长这个,就给点建议。建议走第一种方案。第二种,3000,肯定是不够的了。第一种,三千吃紧,可能会超出一点,但值得。
网络,如楼上而言,肯定要走有线。无线基本上是玩不成,安全性也不行,做辅助移动接入可以。组有线网络,用真正的超 5 类线也可以跑到千兆,这点勿用质疑。 关于宽带,其实带机量而言,关键看上行。下行 200 和一百兆,影响没那么大。一定询问好上行带宽。一百兆的一般是 8 兆。请记住,电信是可以多拨的,一般是 3 个连接,在申请的时候,要讲明白,找小代理,能多开一个连结是一个(笔者原单位一条百兆家用光纤,十拨,足足带了整个机关和三个车间以及机关宿舍楼的应用,高峰用户在 60 左右,三五十个同时看电影一点问题都没有,效果顶好)这点对你节约成本,提升带机量很重要。在多拨的情况下,两个一百兆能获得的上行带宽可能远远超过一个两百兆。眼睛不要瞄下行,一定看上行。 |
 |
31
msg7086 2017-12-21 00:40:09 +08:00 1
全走 WiFi …… ermmmm
ESXi+软路由吧。单独买硬件设备这点钱够呛。 |
|
32
xiaoun001 2017-12-21 00:46:58 +08:00 via iPhone 1
手机打字,打多了自己看不见。 接上条。 上行带宽,关键做好策略。
路由,NAS 一众设备,推荐全部用硬件平台+虚拟化+虚拟机完成。其实这些对硬件要求不高,自己 DIY 一个,还是不错的选择。二手服务器自然是最优选择,但考虑到电费,噪音,加之创业公司,加之楼主预算,笔者建议用 ATOM D525 平台做就可以了,要千兆网口。但从长远看,INTEL NUC 是个非常不错的选择。(会超支) 。 请不要关注网口数量,一个网口可以虚拟 N 个逻辑网口出来。做单臂路由也未曾不可。 如果真不够用,加个 USB 3.0 千兆,只要你不去碰它,同样很稳定。 |
 |
33
nealwx 2017-12-21 01:08:20 +08:00 via iPhone 1
个人建议上翻墙系列上软路由,搭建 802·1x 认证服务,无线部分可以选择多台华硕 68u 当 ap,无线部分直接设定企业级加密即可。外来用户直接开启路由器的访客网络,并且与内网隔离
|
|
34
xiaoun001 2017-12-21 01:10:57 +08:00 via iPhone 1
虚拟化系统方面 ESXi 或者 Linux KVM,当然,前者肯定怕盗版了,因为一个 CPU 许可就一万多了。后者开源,但需要实力。这个随便。
路由系统,什么 ROS,海蜘蛛 6.15 ,爱快都可以试试,都很不错。后两者最简单,前者复杂,但功能强悍。 NAS,FreeNAS 是个不错的选择。 当然,如果楼主有闲心,笔者更建议你用 linux 来做这些功能,一来避开盗版困扰,二来可自主定制各种功能。包括 ss 翻墙。VPN 等。各种认证等。 关于 VPN,笔者需要提醒,确认你的宽带是否有公网 IP 地址。(100.64_100.127 开头的是最近几年分配的 A 类内网地址,不是公网)如果有,当然可以很轻松的做 VPN 接入。动态静态地址都有很方便的方法,只要有公网地址就行。 如果没有,还得考虑外网地址的事。也许,买一个有公网 IP 的虚拟服务器,做跳板,是最好的选择。 最后,祝你成功。 单网口电脑需配 VLAN 交换机用,这点,HUAWEI 的不错。 此外,单机做 NAS,数据有丢失风险,需设计异地(非同一机器)备份措施,且备份方式需要有效。 以上这些全是实战经验。 个人建议全部走 linux 开源技术,不要用盗版软件。因为,一来盗版有风险,二来,如果我们出去拍着胸膛讲,我们没有用盗版,那么,会提升企业信誉。 我在铁路信息部门做网络及系统管理十年了,最近得闲,刚好自己爱好和专长,也明白中小企业信息化的痛点难点,也愿意帮你,有需要,你可以加我微信。写明 v2ex。 号码: microtwitter |
|
35
vuuv 2017-12-21 01:13:10 +08:00 via Android 2
睡之前刷了下,没想到有新回复。我很赞同楼上对服务器的看法。另外加一些建议。
atom 指令集性能没有赛扬高,我看了下 j1900 的参数还可以。单臂路由要交换机支持 vlan。usb 网卡性能不行,因为 usb 中断很耗 cpu。 因为我最近正好整这个,所以价格比较细。 |
|
36
xiaoun001 2017-12-21 01:23:29 +08:00 via iPhone 1
认证方面需要上 Radius,有很好的基于 freeradius 的开源方案(免费的,还有破解的) ,radius Manager 是不错的选择,不想用破解的话 ,daloradius+freeradius 也许是用得成的唯一选择。
|
 |
37
billytom 2017-12-21 01:29:24 +08:00 1
哪有这么复杂啊,就买台 Netgear R8500,搞定
|
|
38
xiaoun001 2017-12-21 01:31:22 +08:00 via iPhone 2
@vuuv 您是行家。 您说的对。 其实,一般用不上 USB 网卡扩展,一个口加 VLAN 交换机,怎么都够了。为什么没有考虑 j1900 呢,因为我有用过,其实就是 windows 平板的芯片了。单一的,跑个 debian,做一众服务,很牛逼。但是,我用的过程中,我发现我的那台,USB 总线和以太总线是一个,且网络性能很差。 第二,是我当时上了 KVM,结果估计是 CPU 受不了,一命呜呼了。所以,不是特别欣赏 J1900。估计是我那台机器本身不行。
|
 |
39
azh7138m 2017-12-21 01:48:53 +08:00 via Android 2
@xiaoun001 J1900 没有 vtd,
看了一圈,没个推荐 3215U 的,这玩意 700 就是 4 lan,装个 Debian,桥接俩普通路由器,再搞个 LDAP 802.1X ,带的壳子还可以塞一个 2.5 的硬盘进去当小 nas 用,其实可以满足大部分需求 |
 |
40
beginor 2017-12-21 07:52:12 +08:00 via Android 1
歪一下楼,带机量估计 30+ ,估计有 15 人左右了, 才 40 方的办公地点,太小了,双显示器根本放不下呀。
也是建议服务器软路由的方式, 马云家淘二手的洋垃圾组服务器,除了费电,什么都好! |
|
41
xiaoun001 2017-12-21 08:25:36 +08:00 via iPhone 1
楼上,高!
|
 |
44
tinybaby365 2017-12-21 09:51:09 +08:00 1
AP 部分 UniFi 方案, 认证用 UniFi Controller 自带的 RADIUS server。
科学上网部分,自己用 x86 Linux 搞个软路由(kcptun, ss-redir, chinadns...)。 |
 |
46
shingoxray 2017-12-21 10:15:16 +08:00
3K 预算只能自己折腾了,一体化解决方案没这么便宜
|
 |
47
skinfiter 2017-12-21 10:37:26 +08:00
建议不要全无线接入
|
|
48
kenshin912 2017-12-21 10:57:28 +08:00
@Liang
朋友 ,你这一个 8 个人 .... 如果考虑到后期人数增加 , 可以参考楼上专业的意见 , 但是人不多的情况下 , 就如我楼上说的和 37 楼说的 , 一个 R7K 或者 R8500 +交换机就能搞定的不少需求了. |
 |
49
mhycy 2017-12-21 11:22:07 +08:00
40 平米办公室,有 30 台设备
按照每人两台设备的配备计算,有 15 人在办公。 想必办公室会非常拥挤。 ========= 以上是吐槽 =========== 路由: 核心路由选用 3215U 一体机,淘宝选购 699 带机箱那款(唯一推荐) 除了网卡编号不是按顺序来,这机器做 ESXI 没任何问题。 现在我们公司在用,一共接入了两条线路 电信:100M/4M,电信:200M/8M 软件方案是 ESXI+LEDE,准备切换成 ESXI+ROS+VyOS (无缝 FW 考虑) 大包全速双向跑满 CPU 可以承受,负载都在 NAT 上面。 人数一共 70 人+,设备没统计,100+是有了 算上其他配件,控制在 1500 以内 优化方案:使用 Ubnt-EdgeRouter X(大概 320), 作为一级核心路由做 NAT,降低 CPU 负担 AP: 40 平米的空间,无缝漫游之类的高端货就免了,成本以及性能考虑,建议上 K2P 布放形式: 案例参考: 我们办公室 500 平米,使用 3 台腾达 AC9 作为无线主干路由,开放 2.4G 与 5G 双频段 三台路由器均独立信道,2.4G 与 5G 间不重叠,相邻路由间不使用相邻信道(射频考虑) 长条形办公室近乎均分 3 点布放。 另还有一台 CISCO 1142N 在会议室作为来宾接入客户端 (那个覆盖片区刚好也是来宾的活动范围) 暂时来宾接入无密码,限流量 下一步升级准备升级成认证模式,使用 wifidog 方案。 建议: 40 平米办公室,路由器多点布放(距离间隔 20CM 以上)并频段区分 SSID 区分,用户选择性接入。 在没有 AC 的情况下没法做到分流(有 AC 也不能好好地分流)只能行政上解决 |
|
50
mhycy 2017-12-21 11:22:40 +08:00
@bazingaterry 包括梯子 UBNT 那套东西功能上也是能支持的
|
|
51
mhycy 2017-12-21 11:25:33 +08:00
刚刚发现你打算后期 2*100M
注意:单条 200M 的上行能力应该是大于 2*100M 的,这和带宽余量有点关系 (除非你的 200M 上行只有 4M 带宽) |
|
52
vuuv 2017-12-21 11:26:09 +08:00
@azh7138m @xiaoun001 感谢两位的信息, 因为我也打算下季度买 2 个软路由做公司的高可用 DNS .
我查了下 3215U 功耗更高, 更有 12 个 PCIe Lane, 支持 6 个设备, 而 J1900 仅支持单个设备. 看来 3215U 网络性能会好不少. @Liang 之前还没看到 VPN 需求. 如楼上所所述, 你需要有一个公网 IP. 但是除此之外, 你还需要 DDNS 服务. 不然 PPPoE 重拨后 IP 就变了. 还是建议你们采购二手网管交换机. UniFi UAP-AC-PRO 950 二手 16/24 口千兆网管交换机 700 3215u 4 口软路由 700 4G 笔记本内存 100 2.5 寸 2T 笔记本硬盘 550 正好预算 3000. 空出的零钱买成品网线吧. 等你们有预算了, 拿一台电脑做服务器. 今后有小房间了, 用来放服务器和网络设备, 隔音 不好不宜使用服务器. |
 |
53
likuku 2017-12-21 11:32:26 +08:00
想太多,直接每个人给办一个联通冰淇淋无限流量套餐了事,每月报销套餐资费,完事。
|
 |
54
fengfisher3 2017-12-21 11:34:08 +08:00
如果是办公的,真的建议有钱,无线没法玩的。
再好的路由器。 |
|
55
likuku 2017-12-21 11:34:41 +08:00
如今各种云端企业服务(上下班打卡,内部沟通,OA 流程,更不提文档共享什么),还非要保留个办公室...真是浪费。
|
|
56
fengfisher3 2017-12-21 11:35:23 +08:00
我这边有一堆二手交换机,无线路由器,有线路由器等贱卖贱卖,楼主有兴趣吗?
|
|
57
mhycy 2017-12-21 11:37:53 +08:00
|
 |
58
winnie2012 2017-12-21 11:41:06 +08:00 1
一个 R7000 够了,一共就八个人,设备再多,并发量也为八,楼上都想多了。
我们这边 R7000 + 一个交换机,带二十个有线,五十台无线,网速飞起。 |
|
59
winnie2012 2017-12-21 11:42:01 +08:00
R7000 提供 6 个 WIFI 信道,3 个 5G,3 个 2.4G ,这样还不够?
|
|
60
vuuv 2017-12-21 11:59:53 +08:00
@mhycy 我们公司目前是 Mikrotik CCR-1032 , 之前也很少用到软路由, 倒是对具体的 NAT 性能没有概念.
不知道 CPU 占用 60+有没有细节信息? si 还是 sys, CPU 占比最高的进程是什么? |
|
61
mhycy 2017-12-21 12:05:35 +08:00
@vuuv
硬件路由器 NAT 大多是硬件处理,的确对路由的 CPU 性能不敏感 CPU 占用率我是在 ESXI 查看的,虚拟机内部还没看过 至于占用率详细信息现在上班时间不便折腾,上面有业务,晚点看能不能跑个测试看看 |
|
62
xiaoun001 2017-12-21 12:23:28 +08:00 via iPhone
@vuuv 我之前也用过 Mikrotik 1016 做主路由,来替代在一个用了十年淘汰的老的 HP 服务器跑 ESXI+ ROS 5.24 做主路由, 我以为前者胜出。事实上 虚拟机 完爆前者。我也觉得诧异,但前者只有后者百分之七十左右效果,下载的时候走,速率不稳定。后者则一直稳定在峰值。NAT 跟内存有很大关系。
@楼上 DDNS 其实不用买,DNSpod 免费的 DDNS API 就很不错,也可以用脚本。IP 变化了,不出半分钟,在 TTL 设置为 10 的时候,全国就基本上更新过来了,很好。买个顶级域名由 DNSpod 解析就可以了。我的 https://www.toplz.net 就是基于家庭宽带,用 DNSpod 解析的。 效果好极了。 @楼主 还是建议上 INTELL NUC,这玩意稳定,可靠。巴掌大,静音,省电,配置 i5 / i7 随便选,内存可到 16G,做一个虚拟数据中心(含网络) ,怎么折腾都可以。 即使以后不做服务器用途,用来做办公电脑也是牛逼的不得了。减少企业发展网络迭代产生的支出。一步到位,其实更省。 INTELL NUC + Mikrotik 硬路由(含无线,拿来做三层交换,无线 AP)足以应对楼主各种需求。没提出的,也可以应对。 |
 |
66
goodryb 2017-12-21 13:25:55 +08:00
上面方案讨论了很多,我觉得楼主就把握好一点,不要给自己挖坑,不然以后上网出了问题,都得麻烦你去处理
个人建议, 1、搞个好一点的路由器+无线 AP+AC 控制器+POE 交换机 解决办公室 认证上网+VPN 回公司 2、55 的话,找个 VPS 搭个服务,终端上安装客户端( win+mac+linux ),而且可以年付,一次投入不大 以上是 3000 内搞定的事情,其余的 1、访问短信认证,这个一般企业网关都不带这个功能,建议用 web 账户密码的认证方式,其实就是和员工一样,但是这个账号有过期时间 2、内网服务器=NAS ?重要信息建议上低配专业设备,根据需要在升级 |
 |
67
FishTorres 2017-12-21 17:42:07 +08:00
反正安徽电信家庭宽带我是不挂路由层面的酸酸的
线路一炸 dns 都解析不了 |
|
68
azh7138m 2017-12-21 18:54:36 +08:00
|
 |
76
Chalice 2017-12-22 00:01:33 +08:00
|
|
77
mhycy 2017-12-22 01:04:36 +08:00
|
Select Language