[doctor_ORZ]

Приветствую всех.

Начальные условия - база отдыха. Входящий инет - только по радиолинкам (2 канала) и по 3-4G. Каждый канал дает около 50 мегабит. Радиолинки - с белыми IP для хождения к нам филиалов.

На базе отдыха - гостевая сеть и рабочая. Гостевая на DHCP, рабочая - статика. В рабочей сети несколько серверов.

Нужно - используя незамысловатое оборудование создать оптимальную схему сети.

Мысли какие - на каждый канал я ставлю RB951 дабы образовалось три шлюза 25.1, 25.2 и 25.3. Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ где создаю две подсети (рабочая и гостевая). Так же к коммутатору подключены серверы дабы через 951 микротики образовался проброс портов для филиалов (до VPN и иже с ними мы пока недоросли, но со временем ессно сделаем). На CCR1009 настраиваю резервирование-балансировку (поглядываю в сторону "Evolution"). В рабочей сети порядка 30 рабочих мест (активных), в гостевой - до 300 устройств.

Есть что покритиковать-предложить?

[Nuts]

Вроде всё красиво, но предложу поменять адресацию для 951 устройств. А то получается, что у CCR одна подсеть на WAN и LAN интерфейсах. Заодно и серверы подключить через CCR (проброс также можно будет сделать, только правил NAT больше потребуется).

[doctor_ORZ]

С адресацией соглашусь, но если серверы цеплять к CCR, то не сильно ли усложнится проброс портов?

[Saab95]

Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+

 

Используйте лучше вот такой микротик - CCR1009-7G-1C-1S+ - это более новая и скоростная модель, в следствии отсутствия встроенного коммутатора, все порты напрямую подключены к процессору. У него один порт комбо, то есть либо оптика, либо медный порт.

 

Мысли какие - на каждый канал я ставлю RB951 дабы образовалось три шлюза 25.1, 25.2 и 25.3.

 

Не 3 шлюза, а 3 не зависимых сети.

 

Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ где создаю две подсети (рабочая и гостевая).

 

Коммутатор не нужен, 3 микротика подключаете в 3 порта CCR, на каждый выделяете свою подсеть /30. Сервер тоже подключаете в отдельный порт и вешаете ему отдельную подсеть. Если серверов много - тогда включаете их в коммутатор.

 

Так же к коммутатору подключены серверы дабы через 951 микротики образовался проброс портов для филиалов (до VPN и иже с ними мы пока недоросли, но со временем ессно сделаем).

 

Проброс портов не нужен, если будут филиалы настройте OSPF поверх VPN, все будет отлично работать + резервирование.

 

На CCR1009 настраиваю резервирование-балансировку (поглядываю в сторону "Evolution").

 

У вас каждый маленький микротик будет работать в режиме НАТ, CCR будет только распределять абонентов по группам и пускать каждую через свой канал. Обычно тут никакие скрипты балансировки не нужны, кроме всего они не очень дружат с OSPF. Разделить абонентов на группы можно с использованием адрес листов, в которые будут автоматически добавляться их адреса.

 

В рабочей сети порядка 30 рабочих мест (активных), в гостевой - до 300 устройств.

 

У вас скорость каналов маленькая. Так же нужно уточнить по поводу 2-х каналов интернета. Если это один провайдер, то можно рядом с ним установить микротик, в который он подает канал 100М, и в него подключаются радиоканалы, тогда будет один канал на 100М, который можно равномерно распределить по двум радиоканалам 50М, что в итоге не потребует лишней балансировки.

[doctor_ORZ]

Железо - уж какое есть (какое досталось в условиях новой экономической ситуации)

3 микротика выходами в 3 входа ССР - согласен, но ровно до момента, пока не будет в филиалах OSPF. До тех самых пор скорее всего для доступа к серверам (и простоты проброса портов) все таки коммутатор поставлю. Как знаний наберусь и в филиалах микротики появятся - уберу.

Балансировка нужна самая простая, тут не агрессивные качальщики. А резервирование ввиду ненадёжности каналов. На других концах радиомостов скорость выкручена до упора - самые кучерявые тарифы на 100 Мб. Но прилетает на базу лишь половина. Как тепло будет - UBNT конечно отъюстирую ещё раз, но 10 км по сильно зашумленному эфиру идут тяжко :(

 

А вообще - всем спасибо. Но тему не закрываем - наверняка вопросы у меня будут.

[doctor_ORZ]

Друзья, вот ещё какой вопрос у меня.

Вот кусок схемы сети.

 

Инет приходит по двум (нескольким) радиолинкам. На первой железяке они получают каждый свой влан, по оптике летят на коммутатор в серверную, где на первом и втором порту великолепно ловятся. И попадают на порты микротика, который не важно пока по какой схеме (пока по резервированию) раздает инет в двадцать пятую подсеть. Важное (возможно) дополнение - один адрес статичный (белый) по реквизитам провайдера без привязки к MACу, второй тоже статичный, тоже белый, но выдается именно по MACу.

Вопрос - что и как мне сделать, что бы появилась возможность заходить на радиолинки? Если проброс портов для меня не сильно сложная задача, то вот с вланами как то туго.

[Saab95]

Повесьте на эти вланы подсети для управления, на радиооборудовании укажите адреса из этих сетей, без всяких пробросов все заработает.

 

Естественно правила NAT не должны работать по out-interface, иначе трафик не пойдет.

[doctor_ORZ]

Эм... прошу прощения... Я ж говорю - с вланами только начинаю разбираться и пока многое не ясно, несмотря на то, что перелопатил кучу информации на эту тему.

Во-первых, у меня нет сетей управления. На всех умных железяках (в наличии D-link и Микротик) только дефолтный влан. Единственная магистраль которая сделана и хоть как то работает (боюсь, что не совсем корректно) это то, что приведено на верхней схеме. Раньше вообще всё было в кучу, но решил что пора наводить порядок. Удалось разрулить вланами входные каналы. Теперь они напрямую идут каждый в свой порт. Но потерял управление над радиомостом.

Во-вторых, про правила NAT out-interface - можно немного подробнее?

Не сочтите за труд - проверьте, правильно ли я разрулил вланы на железяках?

1 и 2 порт - провайдеры. Магистральные - 26 и 25.

В планах - выделить отдельные вланы для видеонаблюдения, для гостевой и служебной сети, и, как я понимаю - влан для управления железом.

А примерная обобщенная схема сети примерно такая.

Edited March 16, 2017 by doctor_ORZ

[Saab95]

Если каждый канал будет во влане то влан управления не нужен. В данном случае вы создали 2 влана для трафика с антенн, нужно еще влан для видеокамер и влан для компьютеров. Что бы получить доступ в управление радиооборудованием, надо на вланы, которые заведены на роутере (они ведь туда идут?) повесить подсети для доступа на антенны, это будет работать параллельно с интернетом.

[doctor_ORZ]

Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока).

[pingz]

http://xgu.ru/wiki/VLAN

 

Почитай, что бы над тобой не смеялись.

 

Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись.

[Saab95]

Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока).

 

Ну вот внутри этой витой пары и сделайте вланы, то есть коммутаторы только запаковывают порты во влан, а потом все они идут на микротик, который данные с них берет (вешает нужные подсети) и все друг от друга изолировано.

[doctor_ORZ]

http://xgu.ru/wiki/VLAN

 

Почитай, что бы над тобой не смеялись.

 

Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись.

Спасибо, читал и читаю. Снятся они мне уже, эти вланы. А вот в голове никак не "щелкнет" - собрать воедино никак не получается :(. Не могу понять и все. Как таблица умножения - понимаю, а вот единая картинка пока не складывается. Особенно как вот в данном случае. Но спасибо за помощь. Осталось понять, как сделать так, что бы находясь за компом "А" увидеть комп "С", который, как мы видим в другом влане. Пока для меня это загадка.

Edited March 16, 2017 by doctor_ORZ

[doctor_ORZ]

Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока).

 

Ну вот внутри этой витой пары и сделайте вланы, то есть коммутаторы только запаковывают порты во влан, а потом все они идут на микротик, который данные с них берет (вешает нужные подсети) и все друг от друга изолировано.

Все равно не понимаю. Как я себе это представляю. С радиомостов данные уходят в 1 и 2 порт. Выходят по магистрали и магистраль знает, что есть общий трафик, а есть две несущие частоты (ну, мне так проще, я радиотехник по образованию). Эти две несущие попадают на принимающий д-линк, который их выделяет и выставляет на 1 и 2-ой порт. Все, с 1 и 2 порта мы получили то, что пришло на 1 и 2 порт первого длинка - все несущие кончились внутри длинка. У меня же эти порты стоят антагом, так ведь? И тогда на микротике зачем выставлять те же вланы? А, что бы эти порты попали каждый в свой влан, да? Тогда получается несущая не погибла внутри длинка, а просто затаилась? Хорошо, пропишу вланы в микротике, но ведь тогда сразу весь трафик и пойдет только по ним? или как? Запутался капитально. Есть где-нибудь готовая аналогичная схема (видео, презентация или ещё что-нить), хотя бы аналогичная. А то где ни ищу - везде только короткие примеры того или иного, а полной схемы нет (не смог найти).

[Saab95]

Вам надо порты с антеннами настроить вида - порт антенны - антег, а порт в сторону микротика - тег. На коммутаторах на порту по которому они связаны, должен быть настроен vlan trunk. Далее на микротике на порту, которым он подключен к коммутатору, создаете 2 влана и переносите на них IP от провайдера, а локалка остается на сетевом порту без вланов. Вот и все дела.

[pingz]

http://xgu.ru/wiki/VLAN

 

Почитай, что бы над тобой не смеялись.

 

Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись.

Спасибо, читал и читаю. Снятся они мне уже, эти вланы. А вот в голове никак не "щелкнет" - собрать воедино никак не получается :(. Не могу понять и все. Как таблица умножения - понимаю, а вот единая картинка пока не складывается. Особенно как вот в данном случае. Но спасибо за помощь. Осталось понять, как сделать так, что бы находясь за компом "А" увидеть комп "С", который, как мы видим в другом влане. Пока для меня это загадка.

Простой пример имеем 1 маршрутизатор с подсетью 192.168.11.1/24 и второй маршрутизатор с подсетью 192.168.12.1/24 соедены они между собой через ван порт с подсетью 192.168.1.1/24

Для 11.0/24 маршрут до 12.0/24 будет через 11.1 и наоборот тут можно как и роутить так и нати.

 

В случае если один маршрутизатор создаётся 2 интерфейса(vlan) ip 11.1 ставим на vlan 11, а 12.1 на vlan 12 эти vlan добавляем на eth1 этот порт соединяемых с коммутатором допустим на 24 порт(у меня принято последний порт приходящий линк) и создаём 2 вилана в теге на порт 1 ставим vlan 11 антегом (все устройства типа как пк сохо роутеры не управляемые свичи работают без тега) а вот на порт 2 мы добавляем 11 тегом а 12 антегом на точке юбикюти управление ставим в антеге на лан и добовляем vlan 11 собираем бридж между wlan и lan.11 на выходе мы получим 11.0/24 без тега.

[doctor_ORZ]

Во-первых, спасибо pingz, который не пожалел своего времени и учил меня уму-разуму по вланам. Кое-что я понял, спасибо ещё раз.

Второе - спасибо Saab95. Не только за подсказки в этой теме, а вообще... читаю... учусь.

Ну, и кому интересно (а себе что бы не забыть). В данный момент реализована такая схема:

два радиомоста на UBNT. Для каждого выделен свой микротик 951. С них на 1009 заведены раздельные каналы. Ещё один канал 3G от пока не микротика, а от нетгира - в третий порт. Итого - три приходящих канала. На 1009 крутится скрипт Evloution. Резервирование и балансировка. Вполне себе успешно крутится. Спасибо разработчику за не очень долгую техподдержку :) - помог настроить. Работает уверенно. Научился запускать отдельных юзеров через нужный канал (им нужно работать по удаленке).

Так же на 951-х микротах проброшены порты для серверов (к нам тоже ходят по удаленке).

1009-ый вполне себе уверенно тащит Evloution, порядка 350 юзеров по DHCP и около полусотни по статике (служебка), а так же не напрягаясь режет по L7 всякие там соцсети-ютубы.

Возможно что кол-во входящих каналов увеличится на один-два (3-4G) - ещё больше возрастет скорость и надежность.

Как то так.

Edited April 13, 2017 by doctor_ORZ