Jump to content
Калькуляторы

Построение сети, затык в оборудовании ... нужна помощь

3 минуты назад, nic_123 сказал:

Новое.. бюджет уже приподняли, 300 - 400 думаю переварят

Ну раз так, то лучше брать что-то аппаратное.

Share this post


Link to post
Share on other sites
23 минуты назад, VolanD666 сказал:

Ну раз так, то лучше брать что-то аппаратное.

В разделе этого вопроса есть 2 части - сама локальная сеть и устройство для выхода в интернет.

Локалку выгодно на микротиках делать, потому что на них все удобно и легко, а главное понятно настраивается.

 

/interface bridge
add name=bridge1 protocol-mode=none vlan-filtering=yes

/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=ether1 pvid=2
add bridge=bridge1 interface=ether2 pvid=3
add bridge=bridge1 interface=ether3 pvid=4

/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether1 vlan-ids=2
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether2 vlan-ids=3
add bridge=bridge1 tagged=sfp-sfpplus1 untagged=ether3 vlan-ids=4

/ip address
add address=10.1.1.101/24 interface=bridge1
/ip route
add distance=1 gateway=10.1.1.1

/ip firewall connection tracking
set enabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=S_Komnata_1

/user set 0 password=pass123

Вот пример конфига коммутатора. Берете новый микротик, заходите через винбокс, жмете New Terminal пишите там system reset-configuration no-defaults=yes после чего микротик перезагружается.

 

Потом заливаете в него приведенный конфиг, где указываете нужный IP адрес и пароль, а так же подпись где он установлен (в примере это S_Komnata_1). Настройка вланов на портах простая, вверху указаны примеры где для 1 порта влан 2, для 2 порта влан 3 и для 3 порта влан 4. Размножаете эти строчки до полного количества портов коммутатора, подставляя нужные вланы.

 

Вверху bridge port соответственно указываете все порты и нужный влан на каждом.

В bridge vlan указываете на каких портах снимать метки вланов. Этот раздел тоже размножаете до количества портов.

 

 

/interface bridge
add name=bridge1 protocol-mode=none

/interface bridge port
add bridge=bridge1 interface=sfp-sfpplus1
add bridge=bridge1 interface=sfp-sfpplus2
add bridge=bridge1 interface=sfp-sfpplus3

/ip address
add address=10.1.1.10/24 interface=bridge1
/ip route
add distance=1 gateway=10.1.1.1

/ip firewall connection tracking
set enabled=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system identity
set name=S_Center_1

/user set 0 password=pass123

А вот такой конфиг сделаете на центральном коммутаторе, размножив sfp+ порты, он никакие вланы не разбирает, просто передает данные. И уже на подключенном к нему коммутатору для серверов, по аналогии с первой настройкой заберете данные для телефонии и видеокамер из нужных вланов.

 

Share this post


Link to post
Share on other sites
14 часов назад, Saab95 сказал:

Если у вас интернет входящий суммарно 100+100 то хватит и CCR1009, соответственно он будет обслуживать ...

т.е. хватит одного CCR1009 для выхода в инет и обслуживания локали... или все же в центре их 2-ва - один на провайдера, а второй , вместо CCR-1036-8G-2S+ 8 x RJ45 , работает с локалью?

Share this post


Link to post
Share on other sites

Хватит одного на все. Локалку подключите через SFP+ порт.

Только нужно уточнить кто будет IP адреса раздавать пользователям. Если у вас там какой-то сервер на винде типа активной директории, то адреса должен он раздавать, иначе ограничения по пользователями т.п. не будут работать.

Но но если сервер винды можно настроить что бы он отдавал не себя в качестве шлюза, а подставлял адрес шлюза на микротике, тогда абоненты в интернет пойдут через микротик и все будет работать очень хорошо.

 

Провайдеров интернета просите прямой IP без всяких DHCP и PPPoE. Тогда можно настроить в пределах одного устройства.

Share this post


Link to post
Share on other sites

@nic_123  По секрету у сабба 31к сообщений я думаю ты понял, что 30к это про микротик. 

 

Настраивать и обслуживать тебе, если у тебя есть желание разобраться или умение работать с сетью, то советую взять более профессиональное решение, хотя выбор только за тобой.  

 

В начале пути микротик огонь решение, но у каждого вендора есть свои ограничения. 

 

З.Ы. когда вы научитесь настраивать 2 и более вендора то вы все поймете. 

Share this post


Link to post
Share on other sites

уж лучше бу джунипер, чем новый микротик

Share this post


Link to post
Share on other sites
2 часа назад, pingz сказал:

у сабба 31к сообщений я думаю ты понял, что 30к это про микротик.

Конечно ) ... во всяком случае, наверное, большая часть. Собственно по этому особо интересны его мнение, советы касательно сети на оборудовании Микротик. Я работал с Циской, немного изучал - нравится... но сделать эту сетку на ней бюджета не хватит, по крайней мере сделать так, как на Микротике, ну и с запасом. Ну и конечно же интересно изучить его (Микротик) поглубже - у многих он, а это пригодится )

 

3 часа назад, Saab95 сказал:

Хватит одного на все. Локалку подключите через SFP+ порт.

Может пару, или 1036 чтобы запас был... ну и DHSP поднять на нем же, а не на DC? Кстати как лучше организовать ВПН, а именно аутентификацию юзеров.. возможно ли на Микротике проводить их аутентификацию через AD?

Share this post


Link to post
Share on other sites
31 минуту назад, nic_123 сказал:

возможно ли на Микротике проводить их аутентификацию через AD?

Да, типовым RADIUS, на микроте настраивается RADIUS-клиент, на Win - сервер NPS.

Share this post


Link to post
Share on other sites

@nic_123 пойми сабб всегда топит за микротик :)

У меня есть как микротик так и джун в продакшене, так же бывали в руках и другие вендоры. 

Я работаю у оператора задачи корпоративного сегмента разнятся. 

 

Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно заходить на видео регистратор, а вот безопасник или детектору нужно, но при этом нужно. Гостям вообще кроме интернета нечего нельзя кроме инета.

Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5.

А если деректрр попросит заблокировать ВК и и т.д. то же нужны фильтра.

Уже при 8-10 фильтров микротик будет работать хуже.

+ Балансировка нагрузит 100+100 это не 200, будет меньше

Так же если контора играет на торгах этим пользователям нужно выдать гарантированную полосу, а это шейперы.

Так же у вас задача vpn если он будет с шифрованием  то микротик не лучшее решение.

И вы как я придёте к выводу, либо пачка микротиков либо другой вендор либо гибридная схема из разных вендоров.

В вашем случае в любом случае отдельный пограничный маршрутизатор + wi-fi контроллер + коммутатор агрегации.

 

З.ы. в данный момент на микротиках у меня нет фильтров(есть другие способы ограничить пользователя и оградиться от внешки сабб если чё пропагандирует эти способы я к ним пришел из-за самой модели сети) и нет ната один шейпер.

 

 

Возьмите для начала младшую модель настрой два интернет канала и балансировку цена вопроса 4к, через Авито выйдет дешевле :)

Share this post


Link to post
Share on other sites
5 минут назад, pingz сказал:

Следовательно выходит 3-5 фильтров минимум, в реалиях больше т.к. опыта в оптимизации фильтров нет + на входящие интерфейсы то же нужны фильтра это то же 3-5.

Фильтры - это устаревшая технология, такие вещи лучше делать на VRFах. На микротике они в приципе есть, правда придется немного костылей наделать.

Share this post


Link to post
Share on other sites
11 минут назад, jffulcrum сказал:

Да, типовым RADIUS, на микроте настраивается RADIUS-клиент

Спасибо ) т.е. в RouterOS по умолчанию имеется RADIUS? Уже полегче )

Share this post


Link to post
Share on other sites

@VolanD666 можно кусок конфига с vrf на микротике?

Шейпер то же устаревшая технология лучше полисер :)

Share this post


Link to post
Share on other sites
18 минут назад, pingz сказал:

Но знаю точно, что тебе нужно разделить в локалке пользователей т.е. секретарю не нужно...

Конечно. Именно поэтому локалку сегментирую ВЛАНами. У WiFi гостей, например, свой ВЛАН и у него только выход в инет с ограничением канала. Телефония твк же... прямиком на свой серевер или облачную АТС. Ну, а в случае их пересечения (видимости) доступ к ресурсам через AD... как то так.

Edited by nic_123

Share this post


Link to post
Share on other sites

@nic_123 и чё? Вы разграничили l2, про l3 вы забыли?

Share this post


Link to post
Share on other sites
20 минут назад, pingz сказал:

Следовательно выходит 3-5 фильтров минимум, в реалиях больше

Фильтры... правила фаервола?

Share this post


Link to post
Share on other sites
4 минуты назад, pingz сказал:

@VolanD666 можно кусок конфига с vrf на микротике?

Вас на документации забанили? :)

Share this post


Link to post
Share on other sites
3 минуты назад, pingz сказал:

и чё? Вы разграничили l2, про l3 вы забыли? 

А можно поподробнее, плиз?

Share this post


Link to post
Share on other sites

@VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике.

 

@nic_123 

ru.m.wikipedia.org/wiki/Маршрутизация

Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 

Для этих клиентов шлюз 192.168.1.1

Есть порт 2 на нем сеть 

192.168.2.0/24 шлюз 2.1

Так вот из сети 1.0/24 можно пропинговать сеть 2.0/24

Это и есть маршрутизация l3.

Share this post


Link to post
Share on other sites
1 минуту назад, pingz сказал:

@VolanD666 в моем понимании vrf это vrf с отдельной таблицей маршрутищации, отдельной арп таблицец, отдельными процессами ospf, bgp и другими страшными буквами, а не маркировка мейна, мне бы и хотелось увидеть vrf на микротике.

Сейчас под рукой нет микрота. Но когда настраивал в принципе нам для офисной сети было норм. Отдельной APR таблицы там нет конечно. Но привязка к отдельным процессам есть+ вам не нужно маркировать маршруты руками, микрот делает это сам, если разложить интерфейсы по врфы. На память это делается так: ip vrf set interfaces="интерфейсы".

Share this post


Link to post
Share on other sites

@VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут

https://m.habr.com/ru/post/275119/

Почитайте на досуге возможно ваше мнение о vrf на микротике изменится 

 

Share this post


Link to post
Share on other sites
32 минуты назад, pingz сказал:

@VolanD666 а вот в srx изначально политики. Если принудительно не разрешить связанность клиенты на l3 видеть друг друга не будут

https://m.habr.com/ru/post/275119/

Почитайте на досуге возможно ваше мнение о vrf на микротике изменится 

 

Я знаю как должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли. Лично для меня, для офисной сети возможностней микротика хватало. О чем я собственно и написал.

Share this post


Link to post
Share on other sites

@VolanD666  ну да 150+ рабочих станций, по моим меркам это маленький поселок, а не офис :)

Share this post


Link to post
Share on other sites

Подскажите, плиз, какие SFP+ модули для 317, 326 и 328 лучше использовать?

 

59 минут назад, VolanD666 сказал:

должен работать нормальный VRF и как он работает на микроте, поэтому и написал про костыли.

ох.. чувствую я  - если рук. согласиться и придется их настраивать - поселюсь жить в ветке о Микротиках )

 

1 час назад, pingz сказал:

Вот представим сеть есть порт 1 на нем сеть 192.168.1.0/24 

буквально на пальцах обьяснили ), доходчиво - спасибо )

Share this post


Link to post
Share on other sites

@nic_123 10g избыточно для вас, я бы наг двух воллконник мм взял дёшево сердито.

Имхо вам меди хватит 1g

В крайнем случае второй шнурок кините.

Ещё более дёшево и сердито

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now