SeReGa23 Опубликовано 16 декабря, 2015 · Жалоба Есть небольшая сеть состоящая из 3526 и 3026 свитчей на уровне доступа и Микротик в качестве ната и шейпера. Авторизация происходит по ИП+МАК. Как правильно настроить влан. Сеть построена типа звезда . Все стекается в 3526, на некоторых других свитчах еще допом на портах бывает висят мыльницы. Посоветуйте как правильно настроить сеть чтобы минимизировать мусор и разграничить юзеров на портах и еще в планах хочется запустить ДХЦП сервер на микротике. П.С. Сильно не пинайте гугл и Яндекс уже не помогают голова забита )))))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 16 декабря, 2015 · Жалоба Абонентский Vlan на свитч, настройте traffic segmentation на свитчах, вланы и пулы создайте на микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SeReGa23 Опубликовано 16 декабря, 2015 · Жалоба Абонентский Vlan на свитч, настройте traffic segmentation на свитчах, вланы и пулы создайте на микротике. А поподробнее если не затруднит, если можно с примером )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diamont Опубликовано 16 декабря, 2015 · Жалоба По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SeReGa23 Опубликовано 16 декабря, 2015 (изменено) · Жалоба По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику. Если можно пример с конфигом. Да и это не поменяет текущую раздачу ип Изменено 16 декабря, 2015 пользователем SeReGa23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SeReGa23 Опубликовано 16 декабря, 2015 (изменено) · Жалоба Не пинайте ногами возьмем к примеру 1 из свитчей на нем пытаюсь настроить traffic segmentation. На нем 1 порт аплин, а остальные 23 абонентские тогда это должно выглядеть так: Port Forward Portlist ---- -------------------------------------------------- 1 1-26 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 1 10 1 11 1 12 1 13 1 14 1 15 1 16 1 17 1 18 1 19 1 20 1 21 1 22 1 23 1 24 1 Правильно? А потом тогда создается влан с 1 порта на порт головного коммутатора? Изменено 17 декабря, 2015 пользователем SeReGa23 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 17 декабря, 2015 · Жалоба Не пинайте ногами возьмем к примеру 1 из свитчей на нем пытаюсь настроить traffic segmentation. На нем 1 порт аплин, а остальные 23 абонентские тогда это должно выглядеть так: Port Forward Portlist ---- -------------------------------------------------- 1 1-26 2 1 3 1 4 1 5 1 6 1 7 1 8 1 9 1 10 1 11 1 12 1 13 1 14 1 15 1 16 1 17 1 18 1 19 1 20 1 21 1 22 1 23 1 24 1 Правильно? А потом тогда создается влан с 1 порта на порт головного коммутатора? странный выбор аплинк порта обычо 25-26 для этого делают, а 1-24 чисто абонентские Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 декабря, 2015 · Жалоба странный выбор аплинк порта обычо 25-26 для этого делают, а 1-24 чисто абонентские Почему странный? Есть принципиальная разница? Вот сильно, люто, похеру как кто-то что-то там делает "обычно" и "по привычке". Делай так как тебе удобно, если это не нарушает технические стандарты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SeReGa23 Опубликовано 17 декабря, 2015 · Жалоба На свитче всего 24 порта а 2 порта зарезервированы под модули, ну я и сделал 1 на аплинк. Дык и не ответили правильно ли порт_сегментайешн сделан ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 17 декабря, 2015 · Жалоба Почти правильно. если вы пользуетесь портами с 1 по 24 - тогда на 1 порту должно быть 1-24, а не 1-26 Если вы пользуетесть всеми портами с 1 по 26, то на портах 25-26 тоже должно быть 1 К виланам он не имеет никакого отношения. Тепереь у вас все порты "видят" только порт 1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2015 · Жалоба По влану на каждый домовой свич. Плюс изолируйте порты на доступе. На 3526 сводите все вланы и отдаёте микротику. Если можно пример с конфигом. Да и это не поменяет текущую раздачу ип Предположим, что: - на центральном 3526 1й порт - в микротик, 2й и далее - линки до свичей доступа. - на свичах доступа 1й порт - аплинк в центр к 3526, остальные - линии к клиентам. - влан 100 - управление (сетка 192.168.254.0/24), 102 и далее - вланы до свичей доступа Тогда на 3526 задаем управление: config vlan default delete 1-24 create vlan mng tag 100 config ipif System vlan mng ipaddress 192.168.254.1/24 state enable clear_description и вланы до свичей доступа create vlan vlan102 tag 102 conf vlan vlan102 add tag 1,2 create vlan vlan103 tag 103 conf vlan vlan103 add tag 1,3 и т.д. для остальных портов, куда включены свичи доступа На свиче доступа, включенном во 2й порт центрального свича: config vlan default delete 1-24 create vlan mng tag 100 conf vlan mng add tag 1 config ipif System vlan mng ipaddress 192.168.254.2/24 state enable clear_description create vlan users 102 conf vlan users add tag 1 conf vlan users add untag 2-24 conf traffic_segmentation 2-24 forw 1 conf traffic_segmentation 1 forw 2-24 На свиче доступа, включенном во 3й порт центрального свича: config vlan default delete 1-24 create vlan mng tag 100 conf vlan mng add tag 1 config ipif System vlan mng ipaddress 192.168.254.3/24 state enable clear_description create vlan users 103 conf vlan users add tag 1 conf vlan users add untag 2-24 conf traffic_segmentation 2-24 forw 1 conf traffic_segmentation 1 forw 2-24 и аналогично для остальных свичей доступа, меняя номера юзерских вланов и ip-адреса свичей в влане управления. Примерно так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 18 декабря, 2015 · Жалоба странный выбор аплинк порта обычо 25-26 для этого делают, а 1-24 чисто абонентские Почему странный? Есть принципиальная разница? Есть разница то. Порты 1-24 - 100M, 25-26 - 1000M. А значит в будущем при переходе на 1G аплинк в одном случае нужно будет только поменять sfp/медиа конвертор, а в другом - еще и перенастраивать коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 18 декабря, 2015 · Жалоба Andrei, лучше всего vlan управления на свитче агрегации в антеге на порты выводить, так намного проще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 декабря, 2015 · Жалоба Поясните, почему лучше, чем проще и кому? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2015 · Жалоба Andrei, лучше всего vlan управления на свитче агрегации в антеге на порты выводить, так намного проще. Не принципиально на мой взгляд. Можно и на свичах доступа один порт (24й например) антегом в влан управления включать, чтобы управлять свичом локально, если вдруг нет связи до центра и сервера управления + нет с собой консольного кабеля. Но я такое редко практикую - все ж консольный кабель обычно с собой есть, да и на сервер управления можно и через gprs по ssh залезть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 18 декабря, 2015 · Жалоба Чисто из практики проблем с untagged для управления много больше, чем с tagged. Кстати за последние несколько лет не припомню случая, чтобы приходилось лезть на удаленный свич через консоль. Если устройство еще вменяемо - можно пролезть и так, а если есть подозрения на окисление головного мозга - просто снимаем его и ставим новый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2015 · Жалоба Чисто из практики проблем с untagged для управления много больше, чем с tagged. Кстати за последние несколько лет не припомню случая, чтобы приходилось лезть на удаленный свич через консоль. Если устройство еще вменяемо - можно пролезть и так, а если есть подозрения на окисление головного мозга - просто снимаем его и ставим новый. Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем? На буке, с которым приехал к свичу, на сетевой карте поднимать тегированный влан с номером влана управления? Не спасает, т.к. у меня все же аплинковый тегированный порт на свиче - 26й, оптический, туда буком никак не подцепиться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 18 декабря, 2015 · Жалоба Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем? За 5 лет работы ни разу не возникла подобная ситуация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 18 декабря, 2015 · Жалоба Туда прямо гвоздями оптика прибита или всё-таки можно воткнуть медный сфп модуль? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 18 декабря, 2015 · Жалоба Туда прямо гвоздями оптика прибита или всё-таки можно воткнуть медный сфп модуль? Лично у меня нет ни одного медного sfp. :) К тому же у ТС свичи на доступе des-3026 - там в 25,26 порты можно поставить если не ошибаюсь только DEM-301G, а они поддерживают только оптические sfp, причем только гиговые. Не проще ли один нетегированный порт все же просто включить в влан управления? :) Не находите? :) Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем? За 5 лет работы ни разу не возникла подобная ситуация. У меня тоже, т.к. не выполняется условие "нетегированных портов в влане управления нет" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 18 декабря, 2015 · Жалоба Я вам привел пример: связи до сервера управления нет, консольного кабеля нет, нетегированных портов в влане управления нет. Что делаем? Согласен, может быть всякое. Но на практике это нужно исчезающе редко. Насколько редко, что даже не могу вспомнить когда последний раз нужен был доступ в такой ситуации. Если у нас нет связи с офисом, зачем вообще нужно выезжать на эту точку, если проблема не в ней? Если же проблема конкретно в этом устройстве то: - Если оно сдохло, тогда его надо просто заменить - Если настройки не верны, то практически всегда его можно "выловить", посмотрев как он был настроен, но в этом случае туда попросту никто не поедет - всю работу сделает админ из офиса. - Если управление было потеряно при ошибке конфигурации и удаленно поймать девайс нельзя. Но тут все спасет обычная перезагрузка Фактически, есть всего пара ситуаций, когда такое требуется на самом деле: 1. Злонамеренное вредительство, когда настройки были специально изменены так, чтобы подключиться было нельзя 2. Траблшутинг, когда интерес представляет ситуация конкретно здесь и сейчас, а управление потерялось. Но в этом случае на точку снаряжается специальная экспедиция, где все нужное берут с собой. Да, мы теряли свичики при работе. Иногда приходилось таки ездить спецбригаде с консольками. Но это очень редкие случаи и заранее закладывать их в дизайн сети смысла не вижу. :) p.s. Вот тут я описывал проблему с управлением в untagged. Почему это вообще может произойти (уже не может на самом деле :) в моей сети и как "поймать" коммутатор без отправки ремонтника. Начал как то крутить крутилки на коммутаторах в другом нас. пункте, а там, внезапно, управление в untagged. Ну и все полегло. :) Поднял описываемым способом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 18 декабря, 2015 · Жалоба Принес свитч без конфигурации, поставил, админ удаленно зашел и настроил. Удобно, с тегом так не сделаешь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Antares Опубликовано 18 декабря, 2015 · Жалоба А что мешает админу на время настройки перевести порт в унтаг??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 18 декабря, 2015 · Жалоба Antares, а какой смысл делать одно и тоже два раза?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 декабря, 2015 · Жалоба Принес свитч без конфигурации, поставил, админ удаленно зашел и настроил. Удобно, с тегом так не сделаешь. Приезжает партия свитчей. Каждый тыкается в системник, нажимается кнопочка, через полминуты коммутатор прошит нужным конфигом и занесён в БД с нужным ID который рисуется на корпусе свища и отправляется на склад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...