Přicházím s tématem trochu mimo core oblast ISP, ale vidím že se tu pohybují i lidé co k tomu mají co říct, a v českém prostředí nevím o lepším místě pro takovou diskusi.
Situace - jsou dostupné dotace pro školy (základní, střední) kde je možné financovat "Budování vnitřní konektivity škol a zabezpečení připojení k internetu" s tím, že na jednu školu lze žádat o 0.5-30 mil. Kč, aktuálně v programu Spravedlivá transformace v "postižených" krajích - KV, UL, MS - https://www.mzp.cz/cz/news_20230215-Jeden-a-pul-miliardy-na-modernizaci-skol-v-uhelnych-krajich-nabizi-program-Spravedliva-transformace
Podmínky jsou dosti příznivé, lze financovat řadu věcí, technické požadavky jsou dány pouze tímto: https://www.edu.cz/wp-content/uploads/2022/08/220725_Standard-konektivity-skol_final.pdf
Pro ISP to skýtá vícero příležitostí, ale to není moje téma.
Jsem v roli konzultanta, který má pro jednu střední školu zpracovat technický návrh/projekt, co v této oblasti pořídit. Design network infrastruktury pro tuto školu řeším dlouhodobě, ale rozpočet byl podstatně omezenější než se nabízí teď, šlo se spíše cestou value-for-money, řekněme SME-grade HW, byť si myslím že aktuální stav je na poměry škol nadstandardní. Cíl je obměnit kompletní network infrastrukturu a posunout ji na vyšší úroveň zejm. bezpečnosti, a kapacity tak, aby HW v možné míře vydržel dalších 5-10 let.
O čem se bavíme:
- 1 hlavní lokalita, cca 500 aktivních access portů na switchích, část s PoE (WiFi, VoIP), 30 VLAN, žádné zvláštní požadavky krom 802.1x a IPv6 first-hop security, 48x1G, 4x10G uplink
- Wi-Fi síť s cílovým stavem cca 30-50 AP
- core switche pro servery a access - 2x 24port 10G, ideálně i nějaké 40G porty, redundantní zdroje, HA stack, cross-stack LACP
- firewall (NGFW, VPN) - WAN kapacita min. 2Gbps; otázka je jak řešit vnitřní firewall mezi VLAN, zde je minimum kapacity 20Gbps (pro provoz typu file share); ideálně jako HA stack; dobrá podpora IPv6
- flow monitoring / NDR - cílem je logovat provoz minimálně na WAN straně s identifikací uživatelů (napojení na AD pro workstations a na Radius pro WiFi BYOD), detekce a reporting anomálií -- může být součástí NGFW nebo něco jako Flowmon
- non-cloud management
Aktuálně je WAN firewall a QoS řešeno na Mikrotiku (CCR), firewall pro interní provoz na Linuxu. Nedostatek je nulový monitoring provozu - jak pro dohledávání různých incidentů tak pro ochranu služeb dostupných zvenku a detekci útoků zevnitř. Řešit třeba HA na úrovni Mikrotiku je až moc ruční práce s rizikem chyby. WiFi je Mikrotik ac, zatím nějak stačí, ale není to ono a chybí pořádná centrální správa.
Networking není moje hlavní oblast zájmu, takže znalost trhu končí cca tady a nemám moc přehled o enterprise-grade HW, kam minimálně částečně směřujeme. Ať už jde o reálně funkční vlastnosti nebo znalost koho oslovit pro konzultace a nabídky a případně implementační support, na co si dát pozor. Specifikem prostředí je omezení na další provozní náklady a náročnost správy celého řešení - není rozumné koupit něco, kde následně roční licence budou stát stovky tisíc Kč a více než pár hodin za týden na údržbu. Cíl není utratit zbytečně moc peněz, i když nabízejí :-(
--
Udělal jsem si nějaký vlastní research, a jedna z otázek je, co Huawei - uvažovat vůbec o tom, nebo úplně vyloučit?
Pro switche a WiFi se zatím přikláním k HPE/Aruba. Firewall nevím - Fortinet, Checkpoint, Cisco, nebo na to jít úplně jinak? Resellerů je hodně, pokud člověk nemá zkušenost, těžko si vybírá koho oslovit.
Nakonec se nákup samozřejmě řeší v režimu veřejných zakázek, ale člověk musí nějak realisticky nastavit technické požadavky a rozpočet, že.
