Перейти к содержимому
Калькуляторы

Построение сети, затык в оборудовании ... нужна помощь

3 минуты назад, nic_123 сказал:

Новое.. бюджет уже приподняли, 300 - 400 думаю переварят

Ну раз так, то лучше брать что-то аппаратное.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 минуты назад, VolanD666 сказал:

Ну раз так, то лучше брать что-то аппаратное.

В разделе этого вопроса есть 2 части - сама локальная сеть и устройство для выхода в интернет.

Локалку выгодно на микротиках делать, потому что на них все удобно и легко, а главное понятно настраивается.

 

/interface bridge
add name=bridge1 protocol-mode=none vlan-filtering=yes

/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=ether1 pvid=2
add bridge=bridge1 interface=ether2 pvid=3
add bridge=bridge1 interface=ether3 pvid=4

/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether1 vlan-ids=2
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether2 vlan-ids=3
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether3 vlan-ids=4

/ip address
add address=10.1.1.101/24 interface=bridge1
/ip route
add distance=1 gateway=10.1.1.1

/ip firewall connection tracking
set enabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=S_Komnata_1

/user set 0 password=pass123

Вот пример конфига коммутатора. Берете новый микротик, заходите через винбокс, жмете New Terminal пишите там system reset-configuration no-defaults=yes после чего микротик перезагружается.

 

Потом заливаете в него приведенный конфиг, где указываете нужный IP адрес и пароль, а так же подпись где он установлен (в примере это S_Komnata_1). Настройка вланов на портах простая, вверху указаны примеры где для 1 порта влан 2, для 2 порта влан 3 и для 3 порта влан 4. Размножаете эти строчки до полного количества портов коммутатора, подставляя нужные вланы.

 

Вверху bridge port соответственно указываете все порты и нужный влан на каждом.

В bridge vlan указываете на каких портах снимать метки вланов. Этот раздел тоже размножаете до количества портов.

 

 

/interface bridge
add name=bridge1 protocol-mode=none

/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=sfp-sfpplus2
add bridge=bridge1 interface=sfp-sfpplus3

/ip address
add address=10.1.1.10/24 interface=bridge1
/ip route
add distance=1 gateway=10.1.1.1

/ip firewall connection tracking
set enabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=S_Center_1

/user set 0 password=pass123

А вот такой конфиг сделаете на центральном коммутаторе, размножив sfp+ порты, он никакие вланы не разбирает, просто передает данные. И уже на подключенном к нему коммутатору для серверов, по аналогии с первой настройкой заберете данные для телефонии и видеокамер из нужных вланов.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

14 часов назад, Saab95 сказал:

Если у вас интернет входящий суммарно 100+100 то хватит и CCR1009, соответственно он будет обслуживать ...

т.е. хватит одного CCR1009 для выхода в инет и обслуживания локали... или все же в центре их 2-ва - один на провайдера, а второй , вместо CCR-1036-8G-2S+ 8 x RJ45 , работает с локалью?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хватит одного на все. Локалку подключите через SFP+ порт.

Только нужно уточнить кто будет IP адреса раздавать пользователям. Если у вас там какой-то сервер на винде типа активной директории, то адреса должен он раздавать, иначе ограничения по пользователями т.п. не будут работать.

Но но если сервер винды можно настроить что бы он отдавал не себя в качестве шлюза, а подставлял адрес шлюза на микротике, тогда абоненты в интернет пойдут через микротик и все будет работать очень хорошо.

 

Провайдеров интернета просите прямой IP без всяких DHCP и PPPoE. Тогда можно настроить в пределах одного устройства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nic_123  По секрету у сабба 31к сообщений я думаю ты понял, что 30к это про микротик. 

 

Настраивать и обслуживать тебе, если у тебя есть желание разобраться или умение работать с сетью, то советую взять более профессиональное решение, хотя выбор только за тобой.  

 

В начале пути микротик огонь решение, но у каждого вендора есть свои ограничения. 

 

З.Ы. когда вы научитесь настраивать 2 и более вендора то вы все поймете. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уж лучше бу джунипер, чем новый микротик

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 часа назад, pingz сказал:

у сабба 31к сообщений я думаю ты понял, что 30к это про микротик.

Конечно ) ... во всяком случае, наверное, большая часть. Собственно по этому особо интересны его мнение, советы касательно сети на оборудовании Микротик. Я работал с Циской, немного изучал - нравится... но сделать эту сетку на ней бюджета не хватит, по крайней мере сделать так, как на Микротике, ну и с запасом. Ну и конечно же интересно изучить его (Микротик) поглубже - у многих он, а это пригодится )

 

3 часа назад, Saab95 сказал:

Хватит одного на все. Локалку подключите через SFP+ порт.

Может пару, или 1036 чтобы запас был... ну и DHSP поднять на нем же, а не на DC? Кстати как лучше организовать ВПН, а именно аутентификацию юзеров.. возможно ли на Микротике проводить их аутентификацию через AD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

31 минуту назад, nic_123 сказал:

возможно ли на Микротике проводить их аутентификацию через AD?

Да, типовым RADIUS, на микроте настраивается RADIUS-клиент, на Win - сервер NPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nic_123 пойми сабб всегда топит за микротик :)

У меня есть как микротик так и джун в продакшене, так же бывали в руках и другие вендоры. 

Я работаю у оператора задачи корпоративного сегмента разнятся. 

 

Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно заходить на видео регистратор, а вот безопасник или детектору нужно, но при этом нужно. Гостям вообще кроме интернета нечего нельзя кроме инета.

Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5.

А если деректрр попросит заблокировать ВК и и т.д. то же нужны фильтра.

Уже при 8-10 фильтров микротик будет работать хуже.

+ Балансировка нагрузит 100+100 это не 200, будет меньше

Так же если контора играет на торгах этим пользователям нужно выдать гарантированную полосу, а это шейперы.

Так же у вас задача vpn если он будет с шифрованием  то микротик не лучшее решение.

И вы как я придёте к выводу, либо пачка микротиков либо другой вендор либо гибридная схема из разных вендоров.

В вашем случае в любом случае отдельный пограничный маршрутизатор + wi-fi контроллер + коммутатор агрегации.

 

З.ы. в данный момент на микротиках у меня нет фильтров(есть другие способы ограничить пользователя и оградиться от внешки сабб если чё пропагандирует эти способы я к ним пришел из-за самой модели сети) и нет ната один шейпер.

 

 

Возьмите для начала младшую модель настрой два интернет канала и балансировку цена вопроса 4к, через Авито выйдет дешевле :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 минут назад, pingz сказал:

Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5.

Фильтры - это устаревшая технология, такие вещи лучше делать на VRFах. На микротике они в приципе есть, правда придется немного костылей наделать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 минут назад, jffulcrum сказал:

Да, типовым RADIUS, на микроте настраивается RADIUS-клиент

Спасибо ) т.е. в RouterOS по умолчанию имеется RADIUS? Уже полегче )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666 можно кусок конфига с vrf на микротике?

Шейпер то же устаревшая технология лучше полисер :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

18 минут назад, pingz сказал:

Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно...

Конечно. Именно поэтому локалку сегментирую ВЛАНами. У WiFi гостей, например, свой ВЛАН и у него только выход в инет с ограничением канала. Телефония твк же... прямиком на свой серевер или облачную АТС. Ну, а в случае их пересечения (видимости) доступ к ресурсам через AD... как то так.

Изменено пользователем nic_123

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nic_123 и чё? Вы разграничили l2, про l3 вы забыли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 минут назад, pingz сказал:

Следовательно выходит 3-5 фильтров минимум, в реалиях больше

Фильтры... правила фаервола?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nic_123 да фаеорвол 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, pingz сказал:

@VolanD666 можно кусок конфига с vrf на микротике?

Вас на документации забанили? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 минуты назад, pingz сказал:

и чё? Вы разграничили l2, про l3 вы забыли? 

А можно поподробнее, плиз?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике.

 

@nic_123 

ru.m.wikipedia.org/wiki/Маршрутизация

Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 

Для этих клиентов шлюз 192.168.1.1

Есть порт 2 на нем сеть 

192.168.2.0/24 шлюз 2.1

Так вот из сети 1.0/24 можно пропинговать сеть 2.0/24

Это и есть маршрутизация l3.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, pingz сказал:

@VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике.

Сейчас под рукой нет микрота. Но когда настраивал в принципе нам для офисной сети было норм. Отдельной APR таблицы там нет конечно. Но привязка к отдельным процессам есть+ вам не нужно маркировать маршруты руками, микрот делает это сам, если разложить интерфейсы по врфы. На память это делается так: ip vrf set interfaces="интерфейсы".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут

https://m.habr.com/ru/post/275119/

Почитайте на досуге возможно ваше мнение о vrf на микротике изменится 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

32 минуты назад, pingz сказал:

@VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут

https://m.habr.com/ru/post/275119/

Почитайте на досуге возможно ваше мнение о vrf на микротике изменится 

 

Я знаю как должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли. Лично для меня, для офисной сети возможностней микротика хватало. О чем я собственно и написал.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@VolanD666  ну да 150+ рабочих станций, по моим меркам это маленький поселок, а не офис :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, плиз, какие SFP+ модули для 317, 326 и 328 лучше использовать?

 

59 минут назад, VolanD666 сказал:

должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли.

ох.. чувствую я  - если рук. согласиться и придется их настраивать - поселюсь жить в ветке о Микротиках )

 

1 час назад, pingz сказал:

Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 

буквально на пальцах обьяснили ), доходчиво - спасибо )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@nic_123 10g избыточно для вас, я бы наг двух воллконник мм взял дёшево сердито.

Имхо вам меди хватит 1g

В крайнем случае второй шнурок кините.

Ещё более дёшево и сердито

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.