Limitador de largura de banda de hardware

Navegue suas respostas
1

Realmente não tenho certeza se este é o lugar para estar perguntando isso, mas aqui vai ..

Nossa empresa cresceu exponencialmente no ano passado. Como tal, a nossa ligação à Internet necessita de uma gestão séria e limitando não só a banir o facebook e outros sites de estupidez, mas também a limitar a largura de banda dedicada a determinados serviços como o youtube.

A configuração de novos firmwares e limites em cada um de nossos roteadores está, naturalmente, fora de questão, e agora gostaria de saber se existe algum tipo de dispositivo de hardware que me oferecesse essa funcionalidade (tanto limitando quanto estrangulando a largura de banda de e para certos recursos) sem falhar. Eu instalaria este dispositivo entre a linha do nosso ISP e o nosso switch de construção, para controlar toda a alocação de largura de banda da empresa.

revelou nada útil, exceto algumas soluções de software que são inadequadas para a nossa situação.

Atualização:

Estamos em um prédio. O edifício tem duas conexões de ponto de entrada no térreo, que se conectam ao interruptor do edifício. Ou seja, temos duas conexões ADSL síncronas (up = down), uma vez para cada andar basicamente. Esse switch então se ramifica e se conecta a cada um dos dois andares atuais que possuímos (isto é, para cada um dos vários roteadores em cada andar). 99% da empresa trabalha em Macs (eu sei ...), e esses Macs estão conectados sem fio aos roteadores acima mencionados. As próprias WANs não estão interconectadas de nenhuma outra forma que não seja o fato de que todas elas voltam para o mesmo switch de construção.

Originalmente, pensei em exibir todos os roteadores com um novo firmware e, em seguida, limitá-los seriamente, mas isso não é muito seguro para os roteadores; também é entediante - especialmente se eu precisar mudar uma condição mais tarde . Isso exigiria que eu corresse de novo e lidasse com cada um deles. O que eu estou basicamente procurando aqui é um único dispositivo capaz de limitar a largura de banda a alguns sites (ou seja, limitar o Youtube a 100kb / s) e bloquear outros completamente (facebook), preferencialmente por sub-rede (por exemplo, 192.168.3.x teria apenas limitação de largura de banda, enquanto 192.168.2.x teria um bloqueio completo no facebook). Se você pudesse apenas apontar para um dispositivo desse tipo, se ele existir, pagaremos até US $ 5.000,00 por ele. É assim que é importante para nós fazer isso instantaneamente e sem complicações por um período indefinido de tempo.

Atualização 2:

Informações sobre os roteadores atuais: Agora nós usamos o LinkSys WRT54GL para nossos roteadores. Existem 5 no total, três no rés-do-chão e dois no primeiro andar.

Atualização 3:

Estamos em um prédio alugado. O edifício tem um rack principal para o qual não tenho acesso e deve procurar o administrador de rede do edifício. Somos parte de um campus universitário e ocupamos 50% de um prédio, por enquanto. A estrutura é a seguinte - há um rack de piso no piso térreo, no qual a nossa conexão à Internet está conectada. A partir daí, nós distribuímos para o VoIP e acesso à internet para os usuários, da seguinte maneira: o térreo recebe um canal, o que perfaz um total de 3 desses roteadores SOHO. O rack do térreo está conectado ao rack principal do prédio, que por sua vez espalha essa conexão entre as salas do primeiro andar, cada uma com seu próprio roteador. Então, basicamente, eu não tenho controle ou acesso ao rack do prédio principal.

Bart sugeriu que substituíssemos os SOHOs. Qual seria a configuração ideal? Devo conseguir um ponto de acesso strong para cada andar? Como isso geralmente é feito, que tipo de combinação de hardware / software você sugeriria? Estou aberto a tudo, mesmo reestruturando completamente toda a rede da empresa, se necessário. Eu gostaria de aprender como fazer isso corretamente desde o início.

    
por Swader 15.06.2011 / 14:29

6 respostas

4

Que tipo de roteadores você está usando? Parece que você está apenas usando roteadores do tipo SOHO? Você pode querer obter roteadores e switches melhores com gerenciamento integrado e monitorável por meio do SNMP.

Dito isso, eu também coloco em um servidor proxy que pode registrar a atividade e bloquear determinado tráfego. Proxying pode ajudar alguns de seus problemas de velocidade, o bloqueio pode limitar os outros.

Os roteadores atualizados também podem manipular a limitação e o formato do tráfego, bem como a QoS. Se você deve fazê-lo no "barato", você pode começar a usar uma caixa Linux (existem várias soluções turnkey) para fazer o monitoramento de tráfego e modelagem. Instalar, configurar, configurá-lo como o gateway para o sistema de todos para rotear. Uma caixa barata também pode fazer o trabalho de proxy para você, e você pode ter opções para acesso VPN.

Nós rodamos uma caixa do SquidGuard por algum tempo para filtrar e filtrar o proxy. Acontece que também era muito bom para ajudar a rastrear certos malwares na rede quando filtramos por certas transmissões que estavam se espalhando pelas tabelas de roteamento de um determinado cliente (infectado). Também foi ótimo para obter relatórios de atividades de navegação.

Certifique-se de que qualquer filtragem ou outros itens permitidos nas políticas e nos funcionários sejam informados sobre o monitoramento da rede. Às vezes é a lei, outras vezes é apenas uma gentileza para seus usuários serem lembrados de que estão usando recursos da empresa, não recursos pessoais.

    
por 15.06.2011 / 14:58
2

Um gateway Linux, completo com o iptables e o módulo netem kernel fará o truque para você. No entanto, haveria um pouco de trabalho de configuração envolvido, então, essencialmente, você estaria trocando dinheiro por tempo. Além disso, isso vai exigir que alguém com habilidades de linux decentes, definitivamente não é algo para um novato tentar.

    
por 15.06.2011 / 15:00
2

Aqui está uma atualização da situação alguns meses depois. Muito obrigado ao @Bart Silverstrim por sugerir esta abordagem.

Criamos uma nova caixa mágica do Linux, um gateway de PC rodando o CentOS x64. Esta máquina serve como roteador para toda a rede. Nós equipamos com um Intel NIC de alto nível e usamos isso para distribuir nossa LAN em toda a empresa. Isso nos permitiu a seguinte configuração:

  1. Agora temos 4 VLANs, distribuídas por 4 SSIDs, um para cada nível de rede. (Por exemplo, nosso departamento de publicação tem seu próprio SSID, nosso Head Office tem o seu próprio, etc.)
  2. Compramos vários roteadores WRT54GL e os convertemos em poderosos Access Points com firmware dd-wrt. Todas as 4 VLANs / SSIDs estão, portanto, disponíveis com 100% de intensidade de sinal em cada parte da empresa, e uma pessoa pode andar pelo chão sem perder a conexão.
  3. Instalamos o Radius para obter a restrição de acesso WPA2-ENT, ou seja, nossos usuários podem fazer login com uma combinação de nome de usuário e senha, o que nos permite ver quem está conectado onde e quando.
  4. Instalamos vários softwares incríveis na máquina do gateway para ativar pools de atraso, limitações e limitação de largura de banda. Com a ajuda do proxy Squid, também temos um cache muito poderoso e muito rápido, que lida com todo o tráfego HTTP.

Agora, quando a empresa crescer novamente, tudo o que tenho que fazer é clonar a configuração do AP, configurar o IP do dispositivo e adicioná-lo aos grupos de busca no Gateway, e a rede foi estendida. Além disso, tenho uma visão geral completa sobre estatísticas de rede, visitas a sites, uso de largura de banda, classificação de pacotes e muito mais.

A coisa toda nos custou uma semana de planejamento e cerca de 5000 € no total.

    
por 20.08.2011 / 17:19
0

Um pouco mais de informação seria útil, como há vários locais? Eles são VPN'd? Varinha? Se cada local tiver um acesso público separado, não há nenhuma maneira de realizar algo que não exija a entrada em cada site.

Mas, se você tiver algumas caixas adicionais do Windows Server (uma caixa do Linux também funcionará se você quiser), você sempre pode configurar um RAS como seu gateway e fazer algumas limitações dessa maneira. Eu acho que isso atua na política do grupo. Quanto à filtragem de conteúdo, você sempre pode usar um proxy (configurado por meio de seu roteador ou de máquinas individuais) configurado para bloquear sites relacionados a atividades inadequadas ou não relacionadas ao trabalho. Há sites gratuitos e pagos, mas você geralmente consegue o que paga. Deixe-nos saber um pouco mais sobre sua configuração. ;)

    
por 15.06.2011 / 14:43
0

Estamos avaliando o dispositivo PacketLogic da Procera Networks e está indo muito bem.

    
por 15.06.2011 / 14:46
0

Com uma empresa em expansão como a sua, um sistema de filtragem de proxy / conteúdo adequado é a melhor solução a longo prazo. O capex pode parecer alto, mas o custo de propriedade é muito baixo para uma boa solução, a equipe de TI tem coisas melhores a fazer do que ler logs e ser a polícia da Internet.

Sou um grande fã dos servidores proxy BlueCoat , eles incluem os serviços de que você precisa e muito mais. Você pode ter limites de largura de banda com base na classe de conteúdo, por exemplo, limitamos os sites de streaming de vídeo on-line a 2Mbps para evitar disputas durante eventos esportivos. Outro exemplo é o bloqueio de todos os sites de rede social, o appliance de bluecoat faz downloads de definições de categorias de sites da web para ter um dia de regras atualizado, e a manutenção diária exigida pela equipe de TI é mínima.

    
por 15.06.2011 / 16:49

Tags

Usando um Mac como servidor de produção? Exchange 2010 suprime os avisos Get-MailboxStatistics