[azhur]

В 09.04.2022 в 19:15, SUrov_IBM сказал:

В данной SOHO адресации (192.168.0.xxx/24), «живёт» всё, что не лень и постоянно гадит друг-другу. Постарайтесь, в принципе не использовать такую адресацию для сегментов сети.

ИМХО, 192.168.1.xxx/24 - то же самое.

[SUrov_IBM]

Azhur, здравствуйте.

 

В 09.04.2022 в 17:43, azhur сказал:

ИМХО, 192.168.1.xxx/24 - то же самое.

С адресацией 192.168.0.0/24 было связана пару неопрятных моментов, когда в L2 сегменте с такой адресацией, появлялось устройство, которое должно было получать IP адрес по DHCP, но пока загружалось, имело default IP 192.168.0.1 или наоборот 254, схожий с адресом шлюза или параллельно полученному по DHCP параллельно имело IP адрес  192.168.0.1, толи alies'ом прописанный на нём, но без возможности удаления. В общем, лично для себя я зарёкся, нигде кроме как на стенде или в туннеле, не использовать адресацию 192.168.0.0/24 и 192.168.1.0/24, чтобы не наступать на подводные камни безделушек из поднебесного Китая. ;)

[jffulcrum]

Я бы еще и  192.168.88.0/24 исключил, ввиду вездесущих Микротиков. Как-то одна слетевшая точка доступа устроила клиенту цирк. 

[kapydan]

В 08.04.2022 в 12:15, Saab95 сказал:

Ну а как - заменить все коммутаторы на микротики - настроить раздачу IP адреса напрямую с порта и сделать полную L3 сеть. Если трафика бегает меньше гига в пиках, хватит коммутаторов CRS. Все проблемы уйдут.

свичи у микротика не самые лучшие

[edo]

В 09.04.2022 в 18:24, kapydan сказал:

свичи у микротика не самые лучшие

не ломайте человеку бизнес

[Saab95]

В 09.04.2022 в 18:24, kapydan сказал:

свичи у микротика не самые лучшие

Свичи нормальные, например для коммутации 10Г просто отлично (сразу напишу на скорости 10Г, а не там 10Г + 1Г). И они могут работать в режиме L3 роутера по всем портам с производительностью 1 гиг, т.к. процессор подключен на такой скорости.

[kapydan]

В 10.04.2022 в 01:19, Saab95 сказал:

В 09.04.2022 в 18:24, kapydan сказал:

свичи у микротика не самые лучшие

Свичи нормальные, например для коммутации 10Г просто отлично (сразу напишу на скорости 10Г, а не там 10Г + 1Г). И они могут работать в режиме L3 роутера по всем портам с производительностью 1 гиг, т.к. процессор подключен на такой скорости.

если свичи у микротика такие классные, может на них еще и нат можно сделать?

 

микротик на 10g ставить - это сесть на пороховую бочку с сигаретой...

[alibek]

В 10.04.2022 в 01:19, Saab95 сказал:

Свичи нормальные, например для коммутации 10Г просто отлично (сразу напишу на скорости 10Г, а не там 10Г + 1Г). И они могут работать в режиме L3 роутера по всем портам с производительностью 1 гиг, т.к. процессор подключен на такой скорости.

Да-да, замечательные свитчи.

[Saab95]

В 10.04.2022 в 11:42, kapydan сказал:

если свичи у микротика такие классные, может на них еще и нат можно сделать?

Можно, на скорости 1Г.

 

В 10.04.2022 в 21:11, alibek сказал:

Да-да, замечательные свитчи.

Ставьте циски, что=)

 

У нас на этих замечательных микротиковских коммутаторах отлично работает пропуск трафика между роутерами на скорости 10Г. Это когда в центре есть порт 10Г, в него подключается оптика от коммутатора, куда подключаются другие роутеры портами 10Г и все они вместе передают данные в сторону центрального роутера.

[kapydan]

В 10.04.2022 в 22:29, Saab95 сказал:

В 10.04.2022 в 11:42, kapydan сказал:

если свичи у микротика такие классные, может на них еще и нат можно сделать?

Можно, на скорости 1Г.

нат на l3 коммутаторах - это что-то новое

[Saab95]

Так я уже много лет пишу - микротик очень гибкая штука и что бы с ним работать надо иметь несколько иное мышление, чем стандартное, завязанное на старую школу вланов и цисок.

 

И точно так же на нем решали задачи, что указано в теме - когда ранее работала сеть сделанная в одном сегменте - ставили вместо центрального коммутатора микротик, на нем фильтрами бриджа блокировали все сомнительное, в том числе блокировали пропуск трафика между клиентами сети, находили источники проблем и после меняли все коммутаторы на микротик, далее на коммутаторах поднимались IP интерфейсы на клиентских портах и они получали IP сразу с порта, уходя от L2 сети полностью. Учитывая то, что большой скорости не требовалось, 1Г скорости с каждого коммутатора было достаточно для работы.

[SUrov_IBM]

Saab95,

 

В 12.04.2022 в 01:13, Saab95 сказал:

надо иметь несколько иное мышление, чем стандартное, завязанное на старую школу вланов и цисок

Cisco Systems, здесь вообще ни при чем, это просто класс коммутаторов и маршрутизаторов, кстати тоже со своей коммерческой логикой. А вот понимание классических принципов работы сети, позволяет строить сеть на оборудовании не привязанном к конкретному вендору. Всё что Вы пишите, можно реализовать на коммутаторах D-Link и маленьких "тазиках" под управлением *BSD например, без Cisco и MikroTik и это будет работать, главное знать, что делаешь, а это как раз и есть "старая школа".

 

Помните как первые MikroTik выглядели, до появления RouterOS? Такая чёрная коробочка с x86 на бору и Wi-Fi карточкой, прекрасно работала под управлением NanoBSD. Принципы маршрутизации IP с того времени остались те же. ;)

[AlKov]

В 12.04.2022 в 01:13, Saab95 сказал:

ставили вместо центрального коммутатора микротик, на нем фильтрами бриджа блокировали все сомнительное, в том числе блокировали пропуск трафика между клиентами сети, находили источники проблем и после меняли все коммутаторы на микротик, и....

... столица автоматически переходит в Васюки!  (с) т. Бендер :-)

 

[VolanD666]

В 12.04.2022 в 01:13, Saab95 сказал:

коммутаторы на микротик

И сервера на микротик и рабочие станции тоже на микротик... а тут у пользователя мышка сломалась... угадайте на что мы ее поменяли?

[Nickuz]

Если у сетевика есть мозги, он приготовит сеть не только на мокротике, а если мозгов нет - он будет делать бессмысленные телодвижения потому, что у него есть понимание, где находятся нужные кнопки в винбоксе, но нет понимания, как их нажатие влияет на состояние пациента.

[kapydan]

В 12.04.2022 в 01:13, Saab95 сказал:

Так я уже много лет пишу - микротик очень гибкая штука и что бы с ним работать надо иметь несколько иное мышление, чем стандартное, завязанное на старую школу вланов и цисок.

а чем влан на микротике отличается от влана на циске или джунипере? суть то везде одна, просто реализации немного разные.

 

В 12.04.2022 в 01:13, Saab95 сказал:

И точно так же на нем решали задачи, что указано в теме - когда ранее работала сеть сделанная в одном сегменте - ставили вместо центрального коммутатора микротик, на нем фильтрами бриджа блокировали все сомнительное, в том числе блокировали пропуск трафика между клиентами сети, находили источники проблем и после меняли все коммутаторы на микротик, далее на коммутаторах поднимались IP интерфейсы на клиентских портах и они получали IP сразу с порта, уходя от L2 сети полностью. Учитывая то, что большой скорости не требовалось, 1Г скорости с каждого коммутатора было достаточно для работы.

применение того или иного решения, зависит от конечной цели. но хотелось бы напомнить, что функционал и задачи у l3 коммутатора и роутера разные - отсюда и разные сценарии использования. 

[Saab95]

Я лишь писал что можно решить проблему установкой коммутаторов от микротик. У роутеров мало портов и ценник намного выше. При этом всегда будет выбор, делать ли классическую схему влан на порт и рулить на центральном маршрутизаторе, или делать сразу L3 на порт и приземлять трафик на этих коммутаторах.

 

Поэтому есть 2 варианта решить проблему - установить в центре микротик или иной роутер, умеющий раздавать адреса во влан поштучно, установить управляемые коммутаторы и сделать влан на порт, а вланы в центре приземлить. Второй вариант установить коммутаторы микротик и приземлять L3 на них.

 

В 12.04.2022 в 10:28, Nickuz сказал:

Если у сетевика есть мозги, он приготовит сеть не только на мокротике, а если мозгов нет - он будет делать бессмысленные телодвижения потому, что у него есть понимание, где находятся нужные кнопки в винбоксе, но нет понимания, как их нажатие влияет на состояние пациента.

Когда мы искали администраторов сети на микротиках, где были только микротики роутеры и беспроводка - не получалось найти, т.к. у всех был багаж знаний, который не позволял с микротиком работать. Все упоминали "влан управления", все хотели загнать трафик абонентов во влан, но на вопрос, зачем делать влан управления и тут же прятать абонентский трафик тоже во влан, почему нельзя тогда управление сделать без влана - отвечали что из-за ошибки администрирования абоненты могут попасть на интерфейс управления=) Так же все хотели на каждом устройстве создать десятка два правил блокировок.

 

И самые хорошие администраторы были те, кто ранее мало работал со вланами и прочими устаревшими технологиями и не имели багажа "коммутаторных" знаний, быстро понимали и привыкали к правильным схемам настройки микротика и работали.

[SUrov_IBM]

Saab95,

 

В 12.04.2022 в 22:03, Saab95 сказал:

Когда мы искали администраторов сети на микротиках, где были только микротики роутеры и беспроводка - не получалось найти, т.к. у всех был багаж знаний, который не позволял с микротиком работать.

Если честно, странных Вы сетевых инженеров находили, может быть студентов, после курсов CCNA, с ещё не окрепшим сознанием (я не сети имею в виду, если что)?

 

Как уже сказали выше, всё зависит от желаемой схемы и если у сетевого инженера есть понимание как работает маршрутизация, ему в общем-то без разницы на каком оборудовании строить сеть.

 

Не требуется управляющего VLAN, можно и без него, не требуется разделять трафик по VLAN, можно каждого оконечного клиента на отдельную "ноздрю" маршрутизатора (MIKROTIK) завести, там же тоже Switch. ;) Закончатся "ноздри", можно VLAN'нами до "ноздрей" соседних коммутаторов такую оконечку дотянуть, чай ID под VLAN в стандарте 4096 4094, на каждого хватит. Тем более, у Вас в сети практически чистая маршрутизация (L3), с фильтрацией на Bridge, кто работал с IPTables / IPFilter легко поймёт логику, без "нагромождения" кучи Deny правил. Что касается радио, если это радио-мосты, точка-точка, а не Wi-Fi AP для бесшовного доступа, то в принципе, ничего сложного не должно быть, Вы же через радио VLAN не пропускаете, а для работы xPLS достаточно рассчитать MTU. ;)

 

Вот только возвращаясь к изначальной логике, если сетевой инженер умеет думать и понимает выше написанное, зачем он будет настраивать сеть только на гибридных L3 маршрутизаторах MIKROTIK и работать на Вас? Нет, ну может у Вас З/П намного интереснее, чем на сетевом рынке в целом, тогда возможно да, можно Ваши схемы создавать, поддерживать и не спорить. ;)

 

P.S. Если что, я не сетевой инженер и меряться письк@ми, ради того чтобы померяться, не планирую и даже не боюсь, что у кого-то больше окажется. ;)

 

Изменено 13 апреля, 2022 пользователем SUrov_IBM

[Ivan_83]

В 12.04.2022 в 20:46, SUrov_IBM сказал:

чай ID под VLAN в стандарте 4096

4094 вообще то.

0 - типа нет влана, используется для выставления меток приоритезации/QoS

4095 - под что то там зарезервирован или как то так.

[Nickuz]

В 13.04.2022 в 00:03, Saab95 сказал:

ранее мало работал со вланами и прочими устаревшими технологиями

я извиняюсь, наверное, в многочисленных холиварах это уже проскакивало - не могу быть постоянно в тренде сетевых срачей, а что для вас "современная технология"?

В 13.04.2022 в 00:03, Saab95 сказал:

не имели багажа "коммутаторных" знаний

вы сейчас говорите про водителя, который умеет только направо поворачивать, а налево - нини. тут нужен второй водитель.

[SUrov_IBM]

Ivan_83, здравствуйте.

 

В 13.04.2022 в 03:07, Ivan_83 сказал:

4094 вообще то.

Спасибо, что подметили мою неточность. Вот, что значит специалист "старой школы". Правда для Saab95, любой VLAN ID будет "плоской сетью" и "устаревшей технологией". ;)

Ещё маленький нюанс на CISCO, VLAN ID 1002-1005 зарезервированы действительно под "устаревшие технологии" (Token Ring и т.п.). Я умудрился споткнуться об этот подводный камушек подойдя к кошке, потом менял ID по трассе, ибо на кошке данное резервирование намертво прибито.

[jffulcrum]

В 13.04.2022 в 09:25, SUrov_IBM сказал:

Ещё маленький нюанс на CISCO, VLAN ID 1002-1005 зарезервированы действительно под "устаревшие технологии"

Это совсем старые Cisco зажимают 1001-1005, поновее еще и залезают в 1006-1023, а Nexus вообще 128 последних при загрузке утаскивает в тёмный лес, красавцы, ну хоть переопределить потом дают. 

[kapydan]

В 13.04.2022 в 09:25, SUrov_IBM сказал:

Ещё маленький нюанс на CISCO, VLAN ID 1002-1005 зарезервированы действительно под "устаревшие технологии" (Token Ring и т.п.).

sh vlan | b 1002
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
 

да, 1002-1005 - их нельзя удалить, переименовать и тд

[YuryD]

В 12.04.2022 в 12:28, Nickuz сказал:

Если у сетевика есть мозги, он приготовит сеть не только на мокротике, а если мозгов нет - он будет делать бессмысленные телодвижения потому, что у него есть понимание, где находятся нужные кнопки в винбоксе, но нет понимания, как их нажатие влияет на состояние пациента.

 Если у сетевика есть чуть больше, чем немного мозгов и опыт эксплуатации, то он не будет строить опорную сеть из говна и палок, остальные, с перепиленными мозгами будут строить сеть на любимом вендоре... Каждый пишет, как он слышит, в основном эта траблема решается с одной стороны - изучением букваря, с другой - покупкой слухового аппарата... Проблема перепиленных мозгов была и есть, и будет вечно...

[Saab95]

В 13.04.2022 в 17:02, YuryD сказал:

 Если у сетевика есть чуть больше, чем немного мозгов и опыт эксплуатации, то он не будет строить опорную сеть из говна и палок, остальные, с перепиленными мозгами будут строить сеть на любимом вендоре

То есть он будет строить сеть на цисках? Но не все же работают в крупных конторах, которые могут себе позволить покупать дорогое оборудование контейнерами впрок.

 

В 13.04.2022 в 08:49, Nickuz сказал:

вы сейчас говорите про водителя, который умеет только направо поворачивать, а налево - нини. тут нужен второй водитель.

Тут дело в том, что администратор редко когда выбирает оборудование, с которым работать. Ему дают такое оборудование или оно уже есть на сети. Поэтому и опыт, развитие, идет от оборудования, с которым он работает.

 

Вот в данном случае вопрос был про сеть - а оборудование не управляемое. Администратор же думал, зачем нужно все это, вланы, прочие плюшки - ведь и так все работает, достаточно витуху обжать да DHCP раздачу адресов сделать. Потом из-за проблем оказывается, что хорошо бы иметь возможность на вланы разбить. А хорошо бы адреса с меньшей маской раздавать. И получается что сначала идет влан на коммутатор с разбитием маски на 25-26-27-28, потом разруливание всего этого.

 

А есть же другой вариант сразу прибить влан на порт, или IP на порт. Раздавать везде одну и ту же сеть поштучно и не знать вообще никаких бед?

 

В 13.04.2022 в 08:49, Nickuz сказал:

я извиняюсь, наверное, в многочисленных холиварах это уже проскакивало - не могу быть постоянно в тренде сетевых срачей, а что для вас "современная технология"?

Современная технология это то, что исключает появление любых проблем на сети.

 

Вариант повесить IP на порт, раздать с порта этот IP поштучно и через прокси арп разрешить обмен с другими устройствами с той же маской /24. Проблем в такой сети никогда не будет. Ясно дело тут для обмена маршрутами требуется OSPF.

 

В 12.04.2022 в 23:46, SUrov_IBM сказал:

Вот только возвращаясь к изначальной логике, если сетевой инженер умеет думать и понимает выше написанное, зачем он будет настраивать сеть только на гибридных L3 маршрутизаторах MIKROTIK и работать на Вас?

Так редко когда администратор или сетевой администратор сам решает с чем ему работать. Это уже не администратор а некий руководитель, который управляет уже администраторами. И вот к слову сказать, все администраторы, работающие у нас, очень положительно отзываются о микротике, т.к. админить через винбокс намного проще и удобнее, чем через путти или командную строку (для дотошных напишу, что можно и через винбокс командами управлять), что всегда можно зайти на устройство через мак-телнет, если напортачили с настройками, или ставят новое устройство. То есть администраторы микротика уже не будут стремиться работать с цисками, длинками и иным морально устаревшим по управлению оборудованием.