用什么AC及交換機？

根據(jù)題意，我們知道用戶有50-60臺電腦和50-60個無線設備組網(wǎng)，希望的到靠譜的方案。

下面是我的一個設計，希望各位讀者了解更多的技術，以正視聽。

1. 需求分析

假設這是一個辦公室，120個以內(nèi)的終端，根據(jù)一般經(jīng)驗，主要涉及業(yè)務為訪問互聯(lián)網(wǎng)，有可能會有少部分的內(nèi)部服務器如財務、ERP等應用。

有可能會有遠程訪問內(nèi)網(wǎng)服務器的需求。

2. 設計方案

2.1. 組網(wǎng)結構

先放拓撲圖：

接入交換機沒有太多說的，二層接入，可以采用3臺24口或者1臺24加1臺48口。這個可以根據(jù)現(xiàn)場環(huán)境確定，如果3個接入點距離較遠，可以采用3臺，如果都在機房就可以采用一臺48口。建議用千兆，都2019年了你還在用百兆，我家都300兆電信出口了。

不需要什么核心交換機，某些方案上來就是一臺24口往上的千兆機器，先不說多少錢，實際上你最多只有3臺接入，買24個端口來就是浪費。

3臺接入交換機直接懟防火墻，這3個口在防火墻上劃二層，可以同一個vlan，也可以根據(jù)業(yè)務需要在接入交換機和內(nèi)網(wǎng)子接口上起不同vlan，寫irb接口起三層，作為內(nèi)網(wǎng)設備的網(wǎng)關。

這是防火墻子接口打vlan的配置。

這是防火墻上通過子接口接不同vlan的配置。

如果有服務器需要訪問，可以放到防火墻單獨的區(qū)域，實現(xiàn)內(nèi)網(wǎng)到服務器、外網(wǎng)到服務器的訪問控制策略，不允許人訪問，或者允許哪些訪問。

服務器和內(nèi)網(wǎng)之間可以跑二層也可以跑三層，都可以。

DHCP在防火墻上實現(xiàn)，配置如上圖，注意：我這個配置是只把192.168.1.150-200/24這50個地址放入了地址池，在這外面的地址不進入DHCP分配，題主由于終端多，可以設定200個地址用于動態(tài)分配，在本段內(nèi)的其他地址用于固定地址分配，不參與DHCP。

2.2. 無線

只有60個終端接入無線，根據(jù)現(xiàn)場情況，最多選用一到兩個AP，Aruba的IAP技術可以自動選舉一個AP作為虛擬AP，對AP進行集中控制。節(jié)約一臺設備，降低故障點。

在工程實踐中低于16個AP的部署場景我們都會建議客戶選用IAP進行組網(wǎng)。

3. 設備選型

3.1. 防火墻

采用Juniper SRX300系列，具備6個千兆電口2個千兆光口，完全夠接入三臺接入交換機、服務器和外網(wǎng)。

參數(shù)如下：

3.2. 接入交換機

采用Juniper EX2300-24T，24個千兆電口，4個萬兆SFP+光口上行，支持靜態(tài)路由、OSPF、RIP路由協(xié)議?？蓴U展性非常強，甚至可以3臺設備組成一個VC，邏輯上成為一臺設備——不加錢。部分參數(shù)：

千萬不要選帶POE的交換機，價格比不帶的高出一大截，而你只需要接2個AP，用普通供電器就行了。

3.3. AP

選用Aruba IAP207，便宜的，一千多塊錢一個，可以并發(fā)穩(wěn)定接入30個終端。802.11AC雙頻，2*2:2 MIMO，不要拿一百多的來比。

沒找著中文的參數(shù)datasheet，將就看一下：

4. 總結：

不需要核心交換機——因為你接入交換機太少，買了核心交換機插不到幾個口，純浪費

不需要AC控制器——因為你AP太少，還用不著AC來控制，自己管好自己就好了。