[SeReGa23]

Есть небольшая сеть состоящая из 3526 и 3026 свитчей на уровне доступа и Микротик в качестве ната и шейпера. Авторизация происходит по ИП+МАК. Как правильно настроить влан. Сеть построена типа звезда . Все стекается в 3526, на некоторых других свитчах еще допом на портах бывает висят мыльницы. Посоветуйте как правильно настроить сеть чтобы минимизировать мусор и разграничить юзеров на портах и еще в планах хочется запустить ДХЦП сервер на микротике.

 

П.С. Сильно не пинайте гугл и Яндекс уже не помогают голова забита ))))))))

[EShirokiy]

Абонентский Vlan на свитч, настройте traffic segmentation на свитчах, вланы и пулы создайте на микротике.

[SeReGa23]

Абонентский Vlan на свитч, настройте traffic segmentation на свитчах, вланы и пулы создайте на микротике.

 

А поподробнее если не затруднит, если можно с примером ))))

[Diamont]

По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику.

[SeReGa23]

По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику.

 

 

Если можно пример с конфигом. Да и это не поменяет текущую раздачу ип

Изменено 16 декабря, 2015 пользователем SeReGa23

[SeReGa23]

Не пинайте ногами возьмем к примеру 1 из свитчей на нем пытаюсь настроить traffic segmentation. На нем 1 порт аплин, а остальные 23 абонентские тогда это должно выглядеть так:

 

Port Forward Portlist

---- --------------------------------------------------

1 1-26

2 1

3 1

4 1

5 1

6 1

7 1

8 1

9 1

10 1

11 1

12 1

13 1

14 1

15 1

16 1

17 1

18 1

19 1

20 1

21 1

22 1

23 1

24 1

 

Правильно?

А потом тогда создается влан с 1 порта на порт головного коммутатора?

Изменено 17 декабря, 2015 пользователем SeReGa23

[mcdemon]

Не пинайте ногами возьмем к примеру 1 из свитчей на нем пытаюсь настроить traffic segmentation. На нем 1 порт аплин, а остальные 23 абонентские тогда это должно выглядеть так:

 

Port Forward Portlist

---- --------------------------------------------------

1 1-26

2 1

3 1

4 1

5 1

6 1

7 1

8 1

9 1

10 1

11 1

12 1

13 1

14 1

15 1

16 1

17 1

18 1

19 1

20 1

21 1

22 1

23 1

24 1

 

Правильно?

А потом тогда создается влан с 1 порта на порт головного коммутатора?

странный выбор аплинк порта

обычо 25-26 для этого делают, а 1-24 чисто абонентские

[myst]

странный выбор аплинк порта

обычо 25-26 для этого делают, а 1-24 чисто абонентские

Почему странный? Есть принципиальная разница?

 

Вот сильно, люто, похеру как кто-то что-то там делает "обычно" и "по привычке". Делай так как тебе удобно, если это не нарушает технические стандарты.

[SeReGa23]

На свитче всего 24 порта а 2 порта зарезервированы под модули, ну я и сделал 1 на аплинк. Дык и не ответили правильно ли порт_сегментайешн сделан ?

[Negator]

Почти правильно.

если вы пользуетесь портами с 1 по 24 - тогда на 1 порту должно быть 1-24, а не 1-26

Если вы пользуетесть всеми портами с 1 по 26, то на портах 25-26 тоже должно быть 1

 

К виланам он не имеет никакого отношения. Тепереь у вас все порты "видят" только порт 1

[Andrei]

По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику.

Если можно пример с конфигом. Да и это не поменяет текущую раздачу ип

Предположим, что:

- на центральном 3526 1й порт - в микротик, 2й и далее - линки до свичей доступа.

- на свичах доступа 1й порт - аплинк в центр к 3526, остальные - линии к клиентам.

- влан 100 - управление (сетка 192.168.254.0/24), 102 и далее - вланы до свичей доступа

Тогда на 3526 задаем управление:

 

config vlan default delete 1-24

create vlan mng tag 100

config ipif System vlan mng ipaddress 192.168.254.1/24 state enable clear_description

 

и вланы до свичей доступа

create vlan vlan102 tag 102

conf vlan vlan102 add tag 1,2

 

create vlan vlan103 tag 103

conf vlan vlan103 add tag 1,3

и т.д. для остальных портов, куда включены свичи доступа

 

На свиче доступа, включенном во 2й порт центрального свича:

 

config vlan default delete 1-24

create vlan mng tag 100

conf vlan mng add tag 1

config ipif System vlan mng ipaddress 192.168.254.2/24 state enable clear_description

create vlan users 102

conf vlan users add tag 1

conf vlan users add untag 2-24

conf traffic_segmentation 2-24 forw 1

conf traffic_segmentation 1 forw 2-24

 

На свиче доступа, включенном во 3й порт центрального свича:

 

config vlan default delete 1-24

create vlan mng tag 100

conf vlan mng add tag 1

config ipif System vlan mng ipaddress 192.168.254.3/24 state enable clear_description

create vlan users 103

conf vlan users add tag 1

conf vlan users add untag 2-24

conf traffic_segmentation 2-24 forw 1

conf traffic_segmentation 1 forw 2-24

 

и аналогично для остальных свичей доступа, меняя номера юзерских вланов и ip-адреса свичей в влане управления.

 

Примерно так.

[bos9]

странный выбор аплинк порта

обычо 25-26 для этого делают, а 1-24 чисто абонентские

Почему странный? Есть принципиальная разница?

 

Есть разница то. Порты 1-24 - 100M, 25-26 - 1000M. А значит в будущем при переходе на 1G аплинк в одном случае нужно будет только поменять sfp/медиа конвертор, а в другом - еще и перенастраивать коммутатор.

[EShirokiy]

Andrei, лучше всего vlan управления на свитче агрегации в антеге на порты выводить, так намного проще.

[pppoetest]

Поясните, почему лучше, чем проще и кому?

[Andrei]

Andrei, лучше всего vlan управления на свитче агрегации в антеге на порты выводить, так намного проще.

Не принципиально на мой взгляд. Можно и на свичах доступа один порт (24й например) антегом в влан управления включать, чтобы управлять свичом локально, если вдруг нет связи до центра и сервера управления + нет с собой консольного кабеля. Но я такое редко практикую - все ж консольный кабель обычно с собой есть, да и на сервер управления можно и через gprs по ssh залезть.

[xcme]

Чисто из практики проблем с untagged для управления много больше, чем с tagged.

Кстати за последние несколько лет не припомню случая, чтобы приходилось лезть на удаленный свич через консоль. Если устройство еще вменяемо - можно пролезть и так, а если есть подозрения на окисление головного мозга - просто снимаем его и ставим новый.

[Andrei]

Чисто из практики проблем с untagged для управления много больше, чем с tagged.

Кстати за последние несколько лет не припомню случая, чтобы приходилось лезть на удаленный свич через консоль. Если устройство еще вменяемо - можно пролезть и так, а если есть подозрения на окисление головного мозга - просто снимаем его и ставим новый.

Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем? На буке, с которым приехал к свичу, на сетевой карте поднимать тегированный влан с номером влана управления? Не спасает, т.к. у меня все же аплинковый тегированный порт на свиче - 26й, оптический, туда буком никак не подцепиться.

[pppoetest]

Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем?

За 5 лет работы ни разу не возникла подобная ситуация.

[ChargeSet]

Туда прямо гвоздями оптика прибита или всё-таки можно воткнуть медный сфп модуль?

[Andrei]

Туда прямо гвоздями оптика прибита или всё-таки можно воткнуть медный сфп модуль?

Лично у меня нет ни одного медного sfp. :)

К тому же у ТС свичи на доступе des-3026 - там в 25,26 порты можно поставить если не ошибаюсь только DEM-301G, а они поддерживают только оптические sfp, причем только гиговые.

Не проще ли один нетегированный порт все же просто включить в влан управления? :) Не находите? :)

 

Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем?

За 5 лет работы ни разу не возникла подобная ситуация.

У меня тоже, т.к. не выполняется условие "нетегированных портов в влане управления нет" :)

[xcme]

Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем?

Согласен, может быть всякое. Но на практике это нужно исчезающе редко. Насколько редко, что даже не могу вспомнить когда последний раз нужен был доступ в такой ситуации.

Если у нас нет связи с офисом, зачем вообще нужно выезжать на эту точку, если проблема не в ней?

Если же проблема конкретно в этом устройстве то:

- Если оно сдохло, тогда его надо просто заменить

- Если настройки не верны, то практически всегда его можно "выловить", посмотрев как он был настроен, но в этом случае туда попросту никто не поедет - всю работу сделает админ из офиса.

- Если управление было потеряно при ошибке конфигурации и удаленно поймать девайс нельзя. Но тут все спасет обычная перезагрузка

 

Фактически, есть всего пара ситуаций, когда такое требуется на самом деле:

1. Злонамеренное вредительство, когда настройки были специально изменены так, чтобы подключиться было нельзя

2. Траблшутинг, когда интерес представляет ситуация конкретно здесь и сейчас, а управление потерялось. Но в этом случае на точку снаряжается специальная экспедиция, где все нужное берут с собой.

 

Да, мы теряли свичики при работе. Иногда приходилось таки ездить спецбригаде с консольками. Но это очень редкие случаи и заранее закладывать их в дизайн сети смысла не вижу. :)

 

p.s. Вот тут я описывал проблему с управлением в untagged. Почему это вообще может произойти (уже не может на самом деле :) в моей сети и как "поймать" коммутатор без отправки ремонтника. Начал как то крутить крутилки на коммутаторах в другом нас. пункте, а там, внезапно, управление в untagged. Ну и все полегло. :) Поднял описываемым способом.

[EShirokiy]

Принес свитч без конфигурации, поставил, админ удаленно зашел и настроил. Удобно, с тегом так не сделаешь.

[Antares]

А что мешает админу на время настройки перевести порт в унтаг???

[EShirokiy]

Antares, а какой смысл делать одно и тоже два раза?)

[pppoetest]

Принес свитч без конфигурации, поставил, админ удаленно зашел и настроил. Удобно, с тегом так не сделаешь.

Приезжает партия свитчей. Каждый тыкается в системник, нажимается кнопочка, через полминуты коммутатор прошит нужным конфигом и занесён в БД с нужным ID который рисуется на корпусе свища и отправляется на склад.