doctor_ORZ Posted February 28, 2017 Posted February 28, 2017 Приветствую всех. Начальные условия - база отдыха. Входящий инет - только по радиолинкам (2 канала) и по 3-4G. Каждый канал дает около 50 мегабит. Радиолинки - с белыми IP для хождения к нам филиалов. На базе отдыха - гостевая сеть и рабочая. Гостевая на DHCP, рабочая - статика. В рабочей сети несколько серверов. Нужно - используя незамысловатое оборудование создать оптимальную схему сети. Мысли какие - на каждый канал я ставлю RB951 дабы образовалось три шлюза 25.1, 25.2 и 25.3. Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ где создаю две подсети (рабочая и гостевая). Так же к коммутатору подключены серверы дабы через 951 микротики образовался проброс портов для филиалов (до VPN и иже с ними мы пока недоросли, но со временем ессно сделаем). На CCR1009 настраиваю резервирование-балансировку (поглядываю в сторону "Evolution"). В рабочей сети порядка 30 рабочих мест (активных), в гостевой - до 300 устройств. Есть что покритиковать-предложить? Вставить ник Quote
Nuts Posted February 28, 2017 Posted February 28, 2017 Вроде всё красиво, но предложу поменять адресацию для 951 устройств. А то получается, что у CCR одна подсеть на WAN и LAN интерфейсах. Заодно и серверы подключить через CCR (проброс также можно будет сделать, только правил NAT больше потребуется). Вставить ник Quote
doctor_ORZ Posted February 28, 2017 Author Posted February 28, 2017 С адресацией соглашусь, но если серверы цеплять к CCR, то не сильно ли усложнится проброс портов? Вставить ник Quote
Saab95 Posted February 28, 2017 Posted February 28, 2017 Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ Используйте лучше вот такой микротик - CCR1009-7G-1C-1S+ - это более новая и скоростная модель, в следствии отсутствия встроенного коммутатора, все порты напрямую подключены к процессору. У него один порт комбо, то есть либо оптика, либо медный порт. Мысли какие - на каждый канал я ставлю RB951 дабы образовалось три шлюза 25.1, 25.2 и 25.3. Не 3 шлюза, а 3 не зависимых сети. Через коммутатор подаю их на Mikrotik Cloud Core Router CCR1009-8G-1S-1S+ где создаю две подсети (рабочая и гостевая). Коммутатор не нужен, 3 микротика подключаете в 3 порта CCR, на каждый выделяете свою подсеть /30. Сервер тоже подключаете в отдельный порт и вешаете ему отдельную подсеть. Если серверов много - тогда включаете их в коммутатор. Так же к коммутатору подключены серверы дабы через 951 микротики образовался проброс портов для филиалов (до VPN и иже с ними мы пока недоросли, но со временем ессно сделаем). Проброс портов не нужен, если будут филиалы настройте OSPF поверх VPN, все будет отлично работать + резервирование. На CCR1009 настраиваю резервирование-балансировку (поглядываю в сторону "Evolution"). У вас каждый маленький микротик будет работать в режиме НАТ, CCR будет только распределять абонентов по группам и пускать каждую через свой канал. Обычно тут никакие скрипты балансировки не нужны, кроме всего они не очень дружат с OSPF. Разделить абонентов на группы можно с использованием адрес листов, в которые будут автоматически добавляться их адреса. В рабочей сети порядка 30 рабочих мест (активных), в гостевой - до 300 устройств. У вас скорость каналов маленькая. Так же нужно уточнить по поводу 2-х каналов интернета. Если это один провайдер, то можно рядом с ним установить микротик, в который он подает канал 100М, и в него подключаются радиоканалы, тогда будет один канал на 100М, который можно равномерно распределить по двум радиоканалам 50М, что в итоге не потребует лишней балансировки. Вставить ник Quote
doctor_ORZ Posted March 1, 2017 Author Posted March 1, 2017 Железо - уж какое есть (какое досталось в условиях новой экономической ситуации) 3 микротика выходами в 3 входа ССР - согласен, но ровно до момента, пока не будет в филиалах OSPF. До тех самых пор скорее всего для доступа к серверам (и простоты проброса портов) все таки коммутатор поставлю. Как знаний наберусь и в филиалах микротики появятся - уберу. Балансировка нужна самая простая, тут не агрессивные качальщики. А резервирование ввиду ненадёжности каналов. На других концах радиомостов скорость выкручена до упора - самые кучерявые тарифы на 100 Мб. Но прилетает на базу лишь половина. Как тепло будет - UBNT конечно отъюстирую ещё раз, но 10 км по сильно зашумленному эфиру идут тяжко :( А вообще - всем спасибо. Но тему не закрываем - наверняка вопросы у меня будут. Вставить ник Quote
doctor_ORZ Posted March 7, 2017 Author Posted March 7, 2017 Друзья, вот ещё какой вопрос у меня. Вот кусок схемы сети. Инет приходит по двум (нескольким) радиолинкам. На первой железяке они получают каждый свой влан, по оптике летят на коммутатор в серверную, где на первом и втором порту великолепно ловятся. И попадают на порты микротика, который не важно пока по какой схеме (пока по резервированию) раздает инет в двадцать пятую подсеть. Важное (возможно) дополнение - один адрес статичный (белый) по реквизитам провайдера без привязки к MACу, второй тоже статичный, тоже белый, но выдается именно по MACу. Вопрос - что и как мне сделать, что бы появилась возможность заходить на радиолинки? Если проброс портов для меня не сильно сложная задача, то вот с вланами как то туго. Вставить ник Quote
Saab95 Posted March 7, 2017 Posted March 7, 2017 Повесьте на эти вланы подсети для управления, на радиооборудовании укажите адреса из этих сетей, без всяких пробросов все заработает. Естественно правила NAT не должны работать по out-interface, иначе трафик не пойдет. Вставить ник Quote
doctor_ORZ Posted March 16, 2017 Author Posted March 16, 2017 (edited) Эм... прошу прощения... Я ж говорю - с вланами только начинаю разбираться и пока многое не ясно, несмотря на то, что перелопатил кучу информации на эту тему. Во-первых, у меня нет сетей управления. На всех умных железяках (в наличии D-link и Микротик) только дефолтный влан. Единственная магистраль которая сделана и хоть как то работает (боюсь, что не совсем корректно) это то, что приведено на верхней схеме. Раньше вообще всё было в кучу, но решил что пора наводить порядок. Удалось разрулить вланами входные каналы. Теперь они напрямую идут каждый в свой порт. Но потерял управление над радиомостом. Во-вторых, про правила NAT out-interface - можно немного подробнее? Не сочтите за труд - проверьте, правильно ли я разрулил вланы на железяках? 1 и 2 порт - провайдеры. Магистральные - 26 и 25. В планах - выделить отдельные вланы для видеонаблюдения, для гостевой и служебной сети, и, как я понимаю - влан для управления железом. А примерная обобщенная схема сети примерно такая. Edited March 16, 2017 by doctor_ORZ Вставить ник Quote
Saab95 Posted March 16, 2017 Posted March 16, 2017 Если каждый канал будет во влане то влан управления не нужен. В данном случае вы создали 2 влана для трафика с антенн, нужно еще влан для видеокамер и влан для компьютеров. Что бы получить доступ в управление радиооборудованием, надо на вланы, которые заведены на роутере (они ведь туда идут?) повесить подсети для доступа на антенны, это будет работать параллельно с интернетом. Вставить ник Quote
doctor_ORZ Posted March 16, 2017 Author Posted March 16, 2017 Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока). Вставить ник Quote
pingz Posted March 16, 2017 Posted March 16, 2017 http://xgu.ru/wiki/VLAN Почитай, что бы над тобой не смеялись. Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись. Вставить ник Quote
Saab95 Posted March 16, 2017 Posted March 16, 2017 Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока). Ну вот внутри этой витой пары и сделайте вланы, то есть коммутаторы только запаковывают порты во влан, а потом все они идут на микротик, который данные с них берет (вешает нужные подсети) и все друг от друга изолировано. Вставить ник Quote
doctor_ORZ Posted March 16, 2017 Author Posted March 16, 2017 (edited) http://xgu.ru/wiki/VLAN Почитай, что бы над тобой не смеялись. Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись. Спасибо, читал и читаю. Снятся они мне уже, эти вланы. А вот в голове никак не "щелкнет" - собрать воедино никак не получается :(. Не могу понять и все. Как таблица умножения - понимаю, а вот единая картинка пока не складывается. Особенно как вот в данном случае. Но спасибо за помощь. Осталось понять, как сделать так, что бы находясь за компом "А" увидеть комп "С", который, как мы видим в другом влане. Пока для меня это загадка. Edited March 16, 2017 by doctor_ORZ Вставить ник Quote
doctor_ORZ Posted March 16, 2017 Author Posted March 16, 2017 Нет, вланы есть только на Д-линках. Из коммутатора на микрот идут уже не вланы, а пачкорды обычные. Просто не представляю, как это можно сделать по другому - магистраль между д-линками - оптика, а микротик у меня только по витой паре работает (пока). Ну вот внутри этой витой пары и сделайте вланы, то есть коммутаторы только запаковывают порты во влан, а потом все они идут на микротик, который данные с них берет (вешает нужные подсети) и все друг от друга изолировано. Все равно не понимаю. Как я себе это представляю. С радиомостов данные уходят в 1 и 2 порт. Выходят по магистрали и магистраль знает, что есть общий трафик, а есть две несущие частоты (ну, мне так проще, я радиотехник по образованию). Эти две несущие попадают на принимающий д-линк, который их выделяет и выставляет на 1 и 2-ой порт. Все, с 1 и 2 порта мы получили то, что пришло на 1 и 2 порт первого длинка - все несущие кончились внутри длинка. У меня же эти порты стоят антагом, так ведь? И тогда на микротике зачем выставлять те же вланы? А, что бы эти порты попали каждый в свой влан, да? Тогда получается несущая не погибла внутри длинка, а просто затаилась? Хорошо, пропишу вланы в микротике, но ведь тогда сразу весь трафик и пойдет только по ним? или как? Запутался капитально. Есть где-нибудь готовая аналогичная схема (видео, презентация или ещё что-нить), хотя бы аналогичная. А то где ни ищу - везде только короткие примеры того или иного, а полной схемы нет (не смог найти). Вставить ник Quote
Saab95 Posted March 16, 2017 Posted March 16, 2017 Вам надо порты с антеннами настроить вида - порт антенны - антег, а порт в сторону микротика - тег. На коммутаторах на порту по которому они связаны, должен быть настроен vlan trunk. Далее на микротике на порту, которым он подключен к коммутатору, создаете 2 влана и переносите на них IP от провайдера, а локалка остается на сетевом порту без вланов. Вот и все дела. Вставить ник Quote
pingz Posted March 16, 2017 Posted March 16, 2017 http://xgu.ru/wiki/VLAN Почитай, что бы над тобой не смеялись. Мой тебе совет под каждый сегмент выделять индивидуальный широковещательный домен(vlan) т.к. сеть может разрастись. Спасибо, читал и читаю. Снятся они мне уже, эти вланы. А вот в голове никак не "щелкнет" - собрать воедино никак не получается :(. Не могу понять и все. Как таблица умножения - понимаю, а вот единая картинка пока не складывается. Особенно как вот в данном случае. Но спасибо за помощь. Осталось понять, как сделать так, что бы находясь за компом "А" увидеть комп "С", который, как мы видим в другом влане. Пока для меня это загадка. Простой пример имеем 1 маршрутизатор с подсетью 192.168.11.1/24 и второй маршрутизатор с подсетью 192.168.12.1/24 соедены они между собой через ван порт с подсетью 192.168.1.1/24 Для 11.0/24 маршрут до 12.0/24 будет через 11.1 и наоборот тут можно как и роутить так и нати. В случае если один маршрутизатор создаётся 2 интерфейса(vlan) ip 11.1 ставим на vlan 11, а 12.1 на vlan 12 эти vlan добавляем на eth1 этот порт соединяемых с коммутатором допустим на 24 порт(у меня принято последний порт приходящий линк) и создаём 2 вилана в теге на порт 1 ставим vlan 11 антегом (все устройства типа как пк сохо роутеры не управляемые свичи работают без тега) а вот на порт 2 мы добавляем 11 тегом а 12 антегом на точке юбикюти управление ставим в антеге на лан и добовляем vlan 11 собираем бридж между wlan и lan.11 на выходе мы получим 11.0/24 без тега. Вставить ник Quote
doctor_ORZ Posted April 13, 2017 Author Posted April 13, 2017 (edited) Во-первых, спасибо pingz, который не пожалел своего времени и учил меня уму-разуму по вланам. Кое-что я понял, спасибо ещё раз. Второе - спасибо Saab95. Не только за подсказки в этой теме, а вообще... читаю... учусь. Ну, и кому интересно (а себе что бы не забыть). В данный момент реализована такая схема: два радиомоста на UBNT. Для каждого выделен свой микротик 951. С них на 1009 заведены раздельные каналы. Ещё один канал 3G от пока не микротика, а от нетгира - в третий порт. Итого - три приходящих канала. На 1009 крутится скрипт Evloution. Резервирование и балансировка. Вполне себе успешно крутится. Спасибо разработчику за не очень долгую техподдержку :) - помог настроить. Работает уверенно. Научился запускать отдельных юзеров через нужный канал (им нужно работать по удаленке). Так же на 951-х микротах проброшены порты для серверов (к нам тоже ходят по удаленке). 1009-ый вполне себе уверенно тащит Evloution, порядка 350 юзеров по DHCP и около полусотни по статике (служебка), а так же не напрягаясь режет по L7 всякие там соцсети-ютубы. Возможно что кол-во входящих каналов увеличится на один-два (3-4G) - ещё больше возрастет скорость и надежность. Как то так. Edited April 13, 2017 by doctor_ORZ Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.