Trueno

Активный участник
  • Публикаций

    305
  • Зарегистрирован

  • Посещение

Информация о Trueno

  • Звание
    Студент
  • День рождения
  1. А если для изменения мак-адреса влана я воспользовался официальным микротиковским способом, создав бридж и поместив в него влан единственным портом, а затем поменял на бридже мак-адрес, правильнее использовать теперь в правилах фаервола, НАТ, назначения ай-пи адресов - по прежнему вланы или бриджи, которые были для них созданы?
  2. Ребята, пожалуйста, посмотрите что я набросал по поводу VLAN в CRS. Итак, необходимо, чтобы: Порт eth-m был транком (tagged) для влана 950, 951, 952, 958, 959. Порт eth-37 был транком (tagged) для влана 950, 951, 952, 959. Порт eth-v был доступом (untagged) для влана 958. Порт eth-33 был доступом (untagged) для влана 951. Порт eth-39 был доступом (untagged) для влана 951. Порт eth-41 был доступом (untagged) для влана 951. Порт eth-250 был доступом (untagged) для влана 950. Порт eth-2 был доступом (untagged) для влана 952. Итого, у нас 8 физических портов (6 медь и 2 сфп), из которых 6 портов доступа и 2 порта транка, в которых вланы передаются на следующие свитчи. Изучив руководство, решено делать так: 1. Объединяем наши 8 портов в группу коммутации. В моём случае прошивка будет последняя, где уже применяется коммутация в виде бриджа с поддержкой hw-offload. /interface bridge add name=bridge1 igmp-snooping=no protocol-mode=none /interface bridge port add bridge=bridge1 interface=eth-m hw=yes add bridge=bridge1 interface=eth-37 hw=yes add bridge=bridge1 interface=eth-v hw=yes add bridge=bridge1 interface=eth-33 hw=yes add bridge=bridge1 interface=eth-39 hw=yes add bridge=bridge1 interface=eth-41 hw=yes add bridge=bridge1 interface=eth-250 hw=yes add bridge=bridge1 interface=eth-2 hw=yes После этого мы получаем, грубо говоря, тупой свитч между этими портами, насколько я понял. 2.Задаем принадлежность vlan-id к портам доступа, которые будут отдавать пакеты без тега. /interface ethernet switch ingress-vlan-translation add ports=eth-v customer-vid=0 new-customer-vid=958 sa-learning=yes add ports=eth-33 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-39 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-41 customer-vid=0 new-customer-vid=951 sa-learning=yes add ports=eth-250 customer-vid=0 new-customer-vid=950 sa-learning=yes add ports=eth-2 customer-vid=0 new-customer-vid=952 sa-learning=yes 3. Задаем принадлежность vlan-id к транковым портам, которые будут отдавать пакеты с тегами. /interface ethernet switch egress-vlan-tag add tagged-ports=eth-m vlan-id=950 add tagged-ports=eth-m vlan-id=951 add tagged-ports=eth-m vlan-id=952 add tagged-ports=eth-m vlan-id=958 add tagged-ports=eth-m vlan-id=959 add tagged-ports=eth-37 vlan-id=950 add tagged-ports=eth-37 vlan-id=951 add tagged-ports=eth-37 vlan-id=952 add tagged-ports=eth-37 vlan-id=959 Вот тут я чуть замешкался. В мануале рассматривается пример, когда транк (теггед) порт один, а у меня их два. И я создал два набора правил. Правильно это или нет? 4. Теперь прописываем вланы в таблице: /interface ethernet switch vlan add ports=eth-m,eth-37 vlan-id=959 learn=yes add ports=eth-m,eth-v vlan-id=958 learn=yes add ports=eth-m,eth-37,eth-2 vlan-id=952 learn=yes add ports=eth-m,eth-37,eth-250 vlan-id=950 learn=yes add ports=eth-m,eth-37,eth-33,eth-39,eth-41 vlan-id=951 learn=yes 5. А теперь, как я понял, мы задаем правило строгого соответствия, чтобы пакеты с левыми тегами или без тегов там, где они должны быть, отбрасывались и не передавались на порты. Если я неверно это понял, то поправьте, пожалуйста! /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=eth-m,eth-v,eth-2,eth-37,eth-33,eth-39,eth-41,eth-250 В теории, всё должно после этого работать? Есть ещё другой вопрос. Как мне быть, если мне надо назначить на этом микротике некоторым вланам ай-пи адреса? И как мне быть, если мне нужно будет поднять на данном микротике дхцп-сервер на какой-то из вланов? Судя по тому, что тут полноценная ОС, я так понимаю что всё это возможно. Буду благодарен за проверку и комментарии. Спасибо.
  3. Всё оказалось проще простого - машину ребутнули и всё заработало. Видимо, микротик тоже иногда надо перезагружать) Для разруливания локалки а так же использования оптики без конверторов а прямо через сфп, был заказан CRS112-8G-4S-IN Я надеюсь, что смогу разобраться в его дебрях настройки вланов через свитч-чип )
  4. Ок. Приведите, пожалуйста, правильное правило НАТ для таких условий: Локальные сети (несколько вланов), помечены в списке интерфейсов как Interface List "Local". Внешний интерфейс, на который приходит интернет, это, допустим, vlan90. Список сотрудников офиса (ай-пи адреса), для которых разрешен интернет, называется "Internet". Сделано так: /ip firewall nat add action=masquerade chain=srcnat out-interface=gre-tun src-address-list=\ Internet add action=masquerade chain=srcnat out-interface=vlan90 src-address-list=\ Internet Где gre-tun это туннель от основного провайдера, это работает нормально. Во втором правиле vlan90 это влан, на котором по DHCP выдается адрес от резервного провайдера. Этот работает криво, хотя чуть чуть пытается. Ну, как я писал выше. Если в эти правила попытаться добавить в In Interface List мой список локальных интерфейсов Local, оно ругается вот так: incoming interface matching not possible in output and postrouting chains (6) Получается, нужно вместо двух правил сделать одно, указать в src-address-list список адресов Internet и всё ? Никакие интерфейсы ему не указывать?
  5. Столкнулся с новой проблемой. На этот сервачок был подключен второй канал интернет, как резерв, раздается через дхцп, 20 мбит. Я создал отдельный влан на микротике, поднял дхцп клиент. Создал второе правило НАТ, во внешнем интерфейсе указал влан на который приходит дхцп. Прописал маршрут с дистанцией, большей на единицу, чем дистанция основного канала интернет. Прописал в нетвоч правило, если пропадает доступность шлюза основного провайдера, то маршрут основного канала интернет становится неактивным. В таком случае начинает быть активным маршрут к запасному провайдеру. В ДНС прописал серверы и одного и другого провайдера. Однако, при срабатывании резерва страницы еле открываются, некоторые не открываются вообще, идут потери в интернет. Утилизация канала даже до 10мбит не доходит, не говоря о 20. До этого этот же инет работал лет 5 в соседнем офисе стабильно и проблем не было. У провайдера спрашивали насчет количества ограничения соединений - говорят что нет, тарифный план для юрлиц. Айпишник белый. У меня есть два предположения - либо микротику становится криво от того, что он натит влан (?) либо же после переключения на резерв в таблице контрека остаются старые соответствия НАТ и оно начинает тупить (?). Интернет от основного провайдера на данный момент приходит по gre туннелю, натится собственно туннель.
  6. Так и знал) Спасибо, буду искать тему, читать. А скажите, это теперь надо в каждой очереди руками менять всё или это в самой очереди "default-small" изменения произвести? Понял. Ну так значит так, это не критично. Ещё вопрос. Можно ли назначить пользователю конкретные права? Например, чтобы мог только управлять очередями и включать/выключать правила в адрес-листе? А то боюсь чтобы их местный "эникейщик" не погасил случайно интерфейсы или в фаерволе чего не учудил, придется потом ехать далеко.
  7. Вроде получилось (я о шлюзе). Правда пока я тут думал, мне бюджет ещё урезали, жадины. В итоге хватило на БУ комплект c2duo, новенький ssd на 32gb и лицуху L4. Настроил НАТ, настроил адрес-лист для тех, кому давать доступ, в настройках NAT обозначил натить только для тех, кто в адрес листе. В фаерволе прописал Forward и Input соединения только для тех, кто в разрешенном листе, для левых IP запрет. Для внешнего интерфейса запретил все Input, но разрешил Established, чтобы DNS сервер мог работать, иначе не работает. Создал на каждого юзера по Simple Queue. Пока что вроде всё ок. Научил местного компьютерщика менять скорость и включать/выключать адреса в адрес-листе. Осталось несполько вопросов: 1. Если нужно будет перенести это всё на более мощную машину, лицензия не слетит? Я вроде слышал, что она к жесткому диску привязана. Получается, материнку и т д можно менять без проблем? 2. Simple Queues работают нормально, но чуть чуть смутило, что используется default-small очередь, там же всего 10 пакетов, этого не мало? Есть ли смысл увеличить или сделать что то ещё? 3. Можно ли как-то поменять МАС-адрес для VLAN? Он у меня ставится такой же, как и родительский физ.интерфейс. А чтобы поменять, вроде как, можно только бридж создавать и бриджу уже менять. Нельзя без бриджа?
  8. Насчёт шлюза понятно. Я думаю, соберу на основе компьютера и установлю лицензионную ROS. А вот насчёт свитчей стало очень интересно. Получается, CRS112-8G-4S-IN не такой уж и плохой свитч. Но голову сломать можно с его настройкой. Сейчас как раз решается вопрос с заменой свитча в месте, где 2011 гоняет 500 мбит - после нового года там планируется установка видеокамер и нагрузка на сеть добавится. Ясно, что пора подумать над его заменой. До этого я посматривал на длинки, но стало уж очень интересно пощупать CRS112-8G-4S-IN. Собственно, все что надо там будет настроить: Порт-1: Влан-10, Влан-20 и Влан-30 тэговые. С Порт-2 сквозная связь помимо этого. На данный момент они просто в бридже. Либо ещё Влан добавить, раз теперь без бриджей. Порт-2: Влан-10 и Влан-20 так же тэгирируются. С Порт-1 сквозная связь, не забываем. Порт-3: Влан-30 без тэгов, сюда приходит локалка грубо говоря 192.168.30.*, её надо будет отдать в транк Порт-1 и всё. Порт-4: Влан-10 без тэгов, сюда приходит локалка грубо говоря 192.168.10.*, к ней подключены компы. Она отдаётся в транки Порт-1 и Порт-2. Порт-5: Влан-10 без тэгов, абсолютно то же самое, что и Порт-4, та же 192.168.10.* Порт-6: Влан-20 без тэгов, сюда приходит локалка грубо говоря 192.168.20.*, она так же идёт в транки Порт-1 и Порт-2. Я так понимаю у меня по сути сейчас 4 влана, так как между Порт-1 и Порт-2 прямая связь через бридж, там работает "техническая подсеть", и это можно считать Влан-1. Сейчас как: На Порт-1 созданы Влан-10, Влан-20, Влан-30. На Порт-2 созданы Влан-10 и Влан-20. Имеются 4 бриджа. Бридж-1: Объединяет Порт-1 и Порт-2, между ними бежит трафик для технических нужд. Бридж-10: Объединяет Влан-10 с Порт-1, Влан-10 с Порт-2, а так же сами порты 4 и 5. Бридж-20: Объединяет Влан-20 с Порт-1, Влан-20 с Порт-2 а так же сам порт 6. Бридж-30: Объединяет Влан-30 с Порт-1 с собственно Портом-3. Вот как-то так.
  9. Учитывая, что там 2 свитча по сути, не получится ведь принять транком на гигабитном и отдать портами доступа на сотках? Да понятно, что это не лучшее решение, однако года 3 назад, когда это всё я делал, хватало с головой. Тем более, покупал я эти 2011 БУ по недорогой цене. А компактные размеры и всеядность питания (от 5 до 24 вольт давай что хочу) тоже есть преимущества. В одном месте например стоит 2011 и простой ИБП на двух банках лития по 3.7 вольта, работает уже 2 года, хотя электричество пропадает раз в неделю стабильно. Ну и другие приятные мелочи, которые нравились мне. Прошло время, объемы возросли и нагрузка тоже. Из замены, компактной и имеющей сфп а так же цену до 100уе, я вот вижу только 1100-10МЕ. Однако я был малость шокирован, что он не умеет STP например. И что там 100500 прошивок вышло уже, и с каждой из них одни глюки появляются а другие проходят.
  10. На 2011, при использовании "классической" настройки? Так расскажите, ну или хотя бы намекните) За CRS112 понял, подумаю над его приобретением. Хочу отметить ещё один момент. Таких "недосвитчей" на основе 2011 у меня несколько. В разных сетях на разных задачах. Так вот. В своё время я начинал с ROS 5 серии, потом появилась 6 серия. Там, примерно в каком-то из первых выпусков 6-й серии появилась возможность включения/выключения FlowControl. В некоторых случаях эта функция мне была нужна. Потом шло время и я обновлял ROS, и в один момент, примерно так после 6.22, после обновления пользователи стали жаловаться на медленно открывающиеся странички. При этом пинги были в норме, скорость по встроеному тесту тоже. А странички открываются как-то малость заторможенно. Вернулся на 6.20 - всё стало отлично. Потом время от времени я пытался обновляться на более новые версии, 6.32, 6.40 вот свежая - всё равно присутствует этот эффект заторможенности. Может кто-то поможет разгадать мне эту тайну? Ладно бы, это случилось после перехода на прошивку с введением каких-то новых функций по обработке пакетов (например, тот же фаст-трек), я бы грешил на него. Но проблемы начались гораздо раньше, с 6.22, может с 6.23 примерно с таких прошивок, там в ченжлогах ничего, намекающего на изменение обработки пакетов в бриджах, я не увидел. Так и пользуюсь я прошивкой 6.20 везде, вобщем. Хотелось бы понять, где собака порылась. Эксперементировал десятки раз, накатывал прошивки, отключал фильтры, конекшн трекинг всегда выключен - ничего не помогало, сайты подтормаживали. Читал, что скоро на подходе 6.41, в которой, судя по описанию, пытаются внедрить некий Fast-Forward для бриджей а так же аппаратную разгрузку. Интересует Ваше мнение, поможет ли это улучшить пропускную способность 2011 или же ему это уже всё до задницы?
  11. Дабы не плодить ещё одну тему, спрошу здесь. В качестве управляемого свитча в другой сети использую 2011 - на нем вланы (4 шт) бриджи (4 шт) да и собственно всё. Используется сфп, 2 гиговых порта и все сотки. Трафика сумарно передаётся около 500 мегабит, при этом загрузка проца уже около 90%. Я принял решение, что пора менять данный недо-свитч. Решил посмотреть по традиции в сторону Микротика и его конкретно свитчей. Обнаружил такое чудо - CRS112-8G-4S-IN - мне понравилось, что там 4 сфп, да и цена более менее, но был удивлен тем, что там установлена та же роутер-ос да и проц 400Мгц. Сааб и другие специалисты по Микротику, обьясните, пожалуйста, если в CRS112-8G-4S-IN так же вланы и бриджи обрабатываются софтверно (через проц), сколько же он пропустит трафика? Переделать вланы на свитч-чип нельзя - применяется 2 правила фильтрации в бридже (доступ только к определенным МАС-адресам). Да и порты с вланами в гибридном режиме - там и с тэгами пакеты бегут, и без тэгов. Помню вроде в 2011 свитч-чип такое не умеет. Думал, что нагрузка высокая на проц из-за правил - выключал их, даже ребутил после этого 2011 - если и падает загрузка ЦП, то совсем чуть чуть. Я в растерянности. Нужен компактный управляемый свитч минимум с 2 сфп по адекватной цене, а длинки всякие типа 1100-10МЕ, оказывается STP не умеют, 2011 уже помирает от нагрузки, а CRS112-8G-4S-IN оказывается ещё более слабый по процу.
  12. А зачем винда и гиперВ? Микротиковская ось устанавливается ведь и работает на голом железе сама по себе. Или это для работы биллинга на том же сервере вместе с Микротом? У меня в принципе биллинг не особо надо - это не провайдер и тут изредка надо включать/выключать кого-то -- думаю, местный эникейшик сможет юзеров из одного адрес-листа в другой перебрасывать или оффить. Но раз пошла такая пьянка - расскажите про биллинги под микрот, что из бесплатных и простых есть толковое?
  13. Всем доброго времени суток! Поставлена задача - раздать интернет офисам. В этой организации около 200 компьютеров. Локальная сеть на тупых свитчах, всё как всегда. Глючило, кряхтело, в роли сервера была какая-то машина на линуксе, с файлопомойкой-самбой и кучей хлама. Сервак сдох. Да и сеть еле работала. Попросили разобраться. Я разбил её на 5 сегментов, в каждом сегменте как раз те, кому надо между собой общаться и лазить по шарам друг друга. С каждого сегмента шнурок провел к рб2011, на нем я поднял 5 дхцп серверов и в каждом сегменте теперь своя подсеть. Включил НАТ, ну и конечно же 2011 быстренько сдох под нагрузкой. Хочу на Микротике сделать сервер для раздачи и управления интернетом для организации. Входящий канал приходит по оптике, сейчас 100 мегабит. Руководство говорит, могут расширить. Будем предполагать, что будет 200 мегабит и 200 машин. Нужно нарезать скорость, включать-выключать при надобности некоторым интернет, возможно блокировать некоторые сайты отдельным ай-пи адресам (работникам). Бюджет всего дела - 500 уе. Вопрос первый: Что из "железных" микротов это потянет с запасом? По цене проходит максимум CCR1009-7G-1C-PC. Каков его предел в роли НАТ+шейпер+фаервол? Если собирать машину, то есть у меня сетевуха intel 1000 pro pt server как раз. Добавить мать с процом i3 например и ссд для микрота. Ну и плюс лицензия Микротик. Какой вариант лучше? Как лучше реализовать? Я прикинул так. 5 шнурков от подсетей я вставлю в управляшку или 2011, и одним вланом заведу на сервер гигабитным патчкордом. На сервере микротик принимает 5 вланов, на каждом из них я назначаю ай-пи адрес, дхцп сервер с привязкой мак к адресу, чтобы у каждого был свой. На каждого пользователя я создаю Simple Queue и назначаю по 5 Мбит лимит скорости. Для начальства - по 50 Мбит. Получается, нужно 200 простых очередей. На каждого пользователя я так же создаю правило в фаерволе, которое разрешает доступ в интернет для конкретного ай-пи. Так же создаю правило, которое запрещает всё. Если нужно выключить пользователю интернет - просто сооветствующее ему правило переводим в disabled. Но с другой стороны - где-то когда-то я читал, что провайдеры на своих NAS-ах микротиковских не применяют простые очереди, а применяют древа. По какой причине? Это понижает нагрузку на проц? Так же, насколько я помню, можно не создавать кучу правил в фаерволе, а можно в адрес-листах создать например группу "юзеры", в неё написать всех этих 200 пользователей, и при надобности удалять из группы нужного, а в правиле NAT использовать настройку чтобы работало только для пользователей этой группы (адресс-листа). Это улучшит производительность или так же, как и 200 отдельных правил в фаерволе? Вобщем, мысли вот такие. Необходимо стороннее мнение.
  14. Откройте мне заодно тайну - что означает этот Rate Select в данной вкладке? Не охота ради этого тему создавать отдельную и спрашивать. Не находил доходчивого объяснения.
  15. Я так и не понял смысла 6.** версий, если в сети только М железо. Пару раз ставил на базы 6-ю серию, сейчас везде стоит 5.6.15 - как по мне, оптимальный вариант.