VolanD666 Опубликовано 3 июня, 2020 · Жалоба 3 минуты назад, nic_123 сказал: Новое.. бюджет уже приподняли, 300 - 400 думаю переварят Ну раз так, то лучше брать что-то аппаратное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2020 · Жалоба 23 минуты назад, VolanD666 сказал: Ну раз так, то лучше брать что-то аппаратное. В разделе этого вопроса есть 2 части - сама локальная сеть и устройство для выхода в интернет. Локалку выгодно на микротиках делать, потому что на них все удобно и легко, а главное понятно настраивается. /interface bridge add name=bridge1 protocol-mode=none vlan-filtering=yes /interface bridge port add bridge=bridge1 interface=sfp-sfpplus1 add bridge=bridge1 interface=ether1 pvid=2 add bridge=bridge1 interface=ether2 pvid=3 add bridge=bridge1 interface=ether3 pvid=4 /interface bridge vlan add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether1 vlan-ids=2 add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether2 vlan-ids=3 add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether3 vlan-ids=4 /ip address add address=10.1.1.101/24 interface=bridge1 /ip route add distance=1 gateway=10.1.1.1 /ip firewall connection tracking set enabled=no /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system identity set name=S_Komnata_1 /user set 0 password=pass123 Вот пример конфига коммутатора. Берете новый микротик, заходите через винбокс, жмете New Terminal пишите там system reset-configuration no-defaults=yes после чего микротик перезагружается. Потом заливаете в него приведенный конфиг, где указываете нужный IP адрес и пароль, а так же подпись где он установлен (в примере это S_Komnata_1). Настройка вланов на портах простая, вверху указаны примеры где для 1 порта влан 2, для 2 порта влан 3 и для 3 порта влан 4. Размножаете эти строчки до полного количества портов коммутатора, подставляя нужные вланы. Вверху bridge port соответственно указываете все порты и нужный влан на каждом. В bridge vlan указываете на каких портах снимать метки вланов. Этот раздел тоже размножаете до количества портов. /interface bridge add name=bridge1 protocol-mode=none /interface bridge port add bridge=bridge1 interface=sfp-sfpplus1 add bridge=bridge1 interface=sfp-sfpplus2 add bridge=bridge1 interface=sfp-sfpplus3 /ip address add address=10.1.1.10/24 interface=bridge1 /ip route add distance=1 gateway=10.1.1.1 /ip firewall connection tracking set enabled=no /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /system identity set name=S_Center_1 /user set 0 password=pass123 А вот такой конфиг сделаете на центральном коммутаторе, размножив sfp+ порты, он никакие вланы не разбирает, просто передает данные. И уже на подключенном к нему коммутатору для серверов, по аналогии с первой настройкой заберете данные для телефонии и видеокамер из нужных вланов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба 14 часов назад, Saab95 сказал: Если у вас интернет входящий суммарно 100+100 то хватит и CCR1009, соответственно он будет обслуживать ... т.е. хватит одного CCR1009 для выхода в инет и обслуживания локали... или все же в центре их 2-ва - один на провайдера, а второй , вместо CCR-1036-8G-2S+ 8 x RJ45 , работает с локалью? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 июня, 2020 · Жалоба Хватит одного на все. Локалку подключите через SFP+ порт. Только нужно уточнить кто будет IP адреса раздавать пользователям. Если у вас там какой-то сервер на винде типа активной директории, то адреса должен он раздавать, иначе ограничения по пользователями т.п. не будут работать. Но но если сервер винды можно настроить что бы он отдавал не себя в качестве шлюза, а подставлял адрес шлюза на микротике, тогда абоненты в интернет пойдут через микротик и все будет работать очень хорошо. Провайдеров интернета просите прямой IP без всяких DHCP и PPPoE. Тогда можно настроить в пределах одного устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @nic_123 По секрету у сабба 31к сообщений я думаю ты понял, что 30к это про микротик. Настраивать и обслуживать тебе, если у тебя есть желание разобраться или умение работать с сетью, то советую взять более профессиональное решение, хотя выбор только за тобой. В начале пути микротик огонь решение, но у каждого вендора есть свои ограничения. З.Ы. когда вы научитесь настраивать 2 и более вендора то вы все поймете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 3 июня, 2020 · Жалоба уж лучше бу джунипер, чем новый микротик Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба 2 часа назад, pingz сказал: у сабба 31к сообщений я думаю ты понял, что 30к это про микротик. Конечно ) ... во всяком случае, наверное, большая часть. Собственно по этому особо интересны его мнение, советы касательно сети на оборудовании Микротик. Я работал с Циской, немного изучал - нравится... но сделать эту сетку на ней бюджета не хватит, по крайней мере сделать так, как на Микротике, ну и с запасом. Ну и конечно же интересно изучить его (Микротик) поглубже - у многих он, а это пригодится ) 3 часа назад, Saab95 сказал: Хватит одного на все. Локалку подключите через SFP+ порт. Может пару, или 1036 чтобы запас был... ну и DHSP поднять на нем же, а не на DC? Кстати как лучше организовать ВПН, а именно аутентификацию юзеров.. возможно ли на Микротике проводить их аутентификацию через AD? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 3 июня, 2020 · Жалоба 31 минуту назад, nic_123 сказал: возможно ли на Микротике проводить их аутентификацию через AD? Да, типовым RADIUS, на микроте настраивается RADIUS-клиент, на Win - сервер NPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @nic_123 пойми сабб всегда топит за микротик :) У меня есть как микротик так и джун в продакшене, так же бывали в руках и другие вендоры. Я работаю у оператора задачи корпоративного сегмента разнятся. Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно заходить на видео регистратор, а вот безопасник или детектору нужно, но при этом нужно. Гостям вообще кроме интернета нечего нельзя кроме инета. Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5. А если деректрр попросит заблокировать ВК и и т.д. то же нужны фильтра. Уже при 8-10 фильтров микротик будет работать хуже. + Балансировка нагрузит 100+100 это не 200, будет меньше Так же если контора играет на торгах этим пользователям нужно выдать гарантированную полосу, а это шейперы. Так же у вас задача vpn если он будет с шифрованием то микротик не лучшее решение. И вы как я придёте к выводу, либо пачка микротиков либо другой вендор либо гибридная схема из разных вендоров. В вашем случае в любом случае отдельный пограничный маршрутизатор + wi-fi контроллер + коммутатор агрегации. З.ы. в данный момент на микротиках у меня нет фильтров(есть другие способы ограничить пользователя и оградиться от внешки сабб если чё пропагандирует эти способы я к ним пришел из-за самой модели сети) и нет ната один шейпер. Возьмите для начала младшую модель настрой два интернет канала и балансировку цена вопроса 4к, через Авито выйдет дешевле :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 июня, 2020 · Жалоба 5 минут назад, pingz сказал: Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5. Фильтры - это устаревшая технология, такие вещи лучше делать на VRFах. На микротике они в приципе есть, правда придется немного костылей наделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба 11 минут назад, jffulcrum сказал: Да, типовым RADIUS, на микроте настраивается RADIUS-клиент Спасибо ) т.е. в RouterOS по умолчанию имеется RADIUS? Уже полегче ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @VolanD666 можно кусок конфига с vrf на микротике? Шейпер то же устаревшая технология лучше полисер :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 (изменено) · Жалоба 18 минут назад, pingz сказал: Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно... Конечно. Именно поэтому локалку сегментирую ВЛАНами. У WiFi гостей, например, свой ВЛАН и у него только выход в инет с ограничением канала. Телефония твк же... прямиком на свой серевер или облачную АТС. Ну, а в случае их пересечения (видимости) доступ к ресурсам через AD... как то так. Изменено 3 июня, 2020 пользователем nic_123 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @nic_123 и чё? Вы разграничили l2, про l3 вы забыли? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба 20 минут назад, pingz сказал: Следовательно выходит 3-5 фильтров минимум, в реалиях больше Фильтры... правила фаервола? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @nic_123 да фаеорвол Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 июня, 2020 · Жалоба 4 минуты назад, pingz сказал: @VolanD666 можно кусок конфига с vrf на микротике? Вас на документации забанили? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба 3 минуты назад, pingz сказал: и чё? Вы разграничили l2, про l3 вы забыли? А можно поподробнее, плиз? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике. @nic_123 ru.m.wikipedia.org/wiki/Маршрутизация Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 Для этих клиентов шлюз 192.168.1.1 Есть порт 2 на нем сеть 192.168.2.0/24 шлюз 2.1 Так вот из сети 1.0/24 можно пропинговать сеть 2.0/24 Это и есть маршрутизация l3. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 июня, 2020 · Жалоба 1 минуту назад, pingz сказал: @VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике. Сейчас под рукой нет микрота. Но когда настраивал в принципе нам для офисной сети было норм. Отдельной APR таблицы там нет конечно. Но привязка к отдельным процессам есть+ вам не нужно маркировать маршруты руками, микрот делает это сам, если разложить интерфейсы по врфы. На память это делается так: ip vrf set interfaces="интерфейсы". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут https://m.habr.com/ru/post/275119/ Почитайте на досуге возможно ваше мнение о vrf на микротике изменится Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 3 июня, 2020 · Жалоба 32 минуты назад, pingz сказал: @VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут https://m.habr.com/ru/post/275119/ Почитайте на досуге возможно ваше мнение о vrf на микротике изменится Я знаю как должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли. Лично для меня, для офисной сети возможностней микротика хватало. О чем я собственно и написал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @VolanD666 ну да 150+ рабочих станций, по моим меркам это маленький поселок, а не офис :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nic_123 Опубликовано 3 июня, 2020 · Жалоба Подскажите, плиз, какие SFP+ модули для 317, 326 и 328 лучше использовать? 59 минут назад, VolanD666 сказал: должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли. ох.. чувствую я - если рук. согласиться и придется их настраивать - поселюсь жить в ветке о Микротиках ) 1 час назад, pingz сказал: Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 буквально на пальцах обьяснили ), доходчиво - спасибо ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 3 июня, 2020 · Жалоба @nic_123 10g избыточно для вас, я бы наг двух воллконник мм взял дёшево сердито. Имхо вам меди хватит 1g В крайнем случае второй шнурок кините. Ещё более дёшево и сердито Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...