[rout53]

Добрый день! Прошу помощи разобраться. Есть Маршрутизатор Mikrotik RB1100AX4, Коммутатор  CRS326-24G-2S+ Настроена обычная сеть, около 5 Vlan под нужды организации, Capsman на несколько сетей, несколько  EoIP тунелей. Все vlan-ы заведены в бридж (Bridge Vlan Filtering).  Два вопроса:

1.       При копировании файлов из одного Vlan в другой , на RB1100x4 загрузка процессора 15-30% при том основная загрузка лежит именно на 4 ядре. Без разницы откуда трафик летит из EoIP тунеля или из Vlan интерфейса внутри. Трафик небольшой 100-200 Мбит/с. При этом на CRS326-24G-2S+ загрузка нулевая почти 1-3% при условии, что ползет этот же трафик, несколько десятков камер  и др. Hw. Offload включен, в статусе подтверждается. Пробовал Vlan на отдельный бридж повесить ситуация такая же, в плане загрузки, получается Hw. Offload не работает???

2.       Коммутатор CRS326-24G-2S+: L3 на портах включен, прописан, адрес присвоен, нужный Van в маршурутах прописан (статус DACH отображается), но трафик между Vlan все равно ползет через маршрутизатор.

 

[jffulcrum]

1. Если у вас EoIP в бридж загнан, HW offload не работает в принципе. И у RB1100AHx4 нет Bridge VLAN filtering HW offload. Плюс, если посмотреть на схему роутера , то видно, что у него два раздельных свитча, трафик между ними идёт через CPU

 2. Чтобы это работало, у вас шлюзы по-умолчанию должны быть на свитче (сами IP адреса). Если они на роутере, то трафик и пойдёт на роутер. Надо делать промежуточную сеть между свитчем и роутером, в промежуточном VLAN, и объявлять на свитче маршрут по-умолчанию (0.0.0.0) на адрес роутера в этой сети. Тогда между VLAN будет свитч маршрутизировать, а в интернет все отправит в роутер.

[rout53]

1. Eoip не в бридже, отдельным интерфейсом идет. Задействованы только два порта eth1 - ISP, eth2 - транк на crs326, поэтому весь трафик ползет в одном свитче.

2. Да шлюзы по умолчанию на машрутизаторе, надо тогда разбираться

 

p.s. Попробовал ради эксперимента на RB1100 в  eth3  подкинуть nas сервер и сам в eth4 кабелем подцепился, все получается в одном свитче, порты в аксесс, но разные vlаn!!!!, запустил копирование и все равно при копировании загрузка процессора взлетает, я просто переживаю, сеть еще строится и дальше нагрузка только расти будет. Я либо что-то не правильно настраиваю или маршрутизатор не подходит???

[jffulcrum]

Вы нагрузку в Tools - Profile смотрите? Какая версия ROS? 

 

 

 

[rout53]

Добрый день, на форуме видно ограничение для меня в количестве сообщений, не сразу могу ответить на ваши сообщения!

 

Нагрузку смотрел system/resource/cpu. В Tools - profiile такая картина (см. вложение) при прохождение трафика между VLAN. Нагрузка взлетает. Версия ROS 7.19.4. 

 

 

Возвращаясь к вопросу про L3 коммутацию, сеть управления выведена в отдельный Vlan99, адресация прописана 192.168.99.0/24 

Адреса соответственно:

99.1 RB1100x4

99.2 СCRS326

Для теста назначил адреса другим VLAN интерфейсам на CRS326

маршрут до 0.0.0.0/0 - 192.168.99.1 на CRS326 прописан

Vlan cети в Routes объявлены

Все Vlan в Bridge

Bridge Vlan Filtering включен

L3 Включен на портах.

Трафик все равно ползет через маршрутизатор ,что я  делаю не так, голова уже скоро поедет!!!! Подтолкните к поиску ошибки, прошу!!!!

 

 

[jffulcrum]

Вы не поняли концепт. Адрес 192.168.99.1 - он на свитче! И остальные тоже. Между свитчем и роутером - какая-то еще сеть, с какими-то IP, типа на свитче 192.168.100.2 и маршрут 0.0.0.0 на 192.168.100.1, который на роутере. Порт между свитчем и роутером лучше вообще из моста вывести, хотя видел реализации и с VLAN для промежуточной сети (192.168.100.0 в нашем случае). L3 в меню Winbox Switch включен КАК для портов ТАК и для свитча в целом. Тогда МЕЖДУ VLAN трафик будет через L3 HW, а В Интернет - обычным образом лететь со свитча в роутер через промежуточную сеть. На роутере VLAN уже нет! 

 

5 часов назад, rout53 сказал:

В Tools - profiile такая картина (см. вложение)

Значит как и писал - нет у 1100AHx4 HW Offload для работы с VLAN. Либо у вас есть правила в FW на межсетевой обмен, принуждающие трафик лезть в CPU (типа ACL на межсетевой обмен). 

[Saab95]

В 14.10.2025 в 10:57, rout53 сказал:

CRS326-24G-2S+

Просто этот коммутатор совсем слабый, нужно было брать другую модель на быстром процессоре, тогда он бы смог обрабатывать маршрутизацию внутри сети, а основной роутер только в интернет бы пускал. Сейчас внутрисетевой трафик идет через роутер и нагружает его.

 

Что бы этого не было нужно убрать вланы с бриджа и раздать всем клиентам сети адреса из единого пула, шлюзом для которого и будет основной роутер, тогда трафик внутри сети пойдет через коммутатор и не будет нагружать роутер. Если есть какая-то нужда в разделении трафика, для телефонии или управления, то эти задачи с малым трафиком завести через влан на роутер.

[mafijs]

Quote

Просто этот коммутатор совсем слабый, нужно было брать другую модель на быстром процессоре

CRS326-24G-2S+  -Architecture   ARM 32bit 

Огласите тогда "весь список" правильниых комутаторов с мощным процесором. Неужели на mipsbe (CRS354-48G-4S+2Q+RM) ?

 

[rout53]

 

 

 

Quote

Вы не поняли концепт. Адрес 192.168.99.1 - он на свитче! И остальные тоже. Между свитчем и роутером - какая-то еще сеть, с какими-то IP, типа на свитче 192.168.100.2 и маршрут 0.0.0.0 на 192.168.100.1, который на роутере. Порт между свитчем и роутером лучше вообще из моста вывести, хотя видел реализации и с VLAN для промежуточной сети (192.168.100.0 в нашем случае). L3 в меню Winbox Switch включен КАК для портов ТАК и для свитча в целом. Тогда МЕЖДУ VLAN трафик будет через L3 HW, а В Интернет - обычным образом лететь со свитча в роутер через промежуточную сеть. На роутере VLAN уже нет! 

Т.е. в таком случае получается весь функционал надо переносить на коммутатор ?? firewall, capsman и т.д. а маршрутизатор будет просто шлюзом???

 

Quote

Значит как и писал - нет у 1100AHx4 HW Offload для работы с VLAN. Либо у вас есть правила в FW на межсетевой обмен, принуждающие трафик лезть в CPU (типа ACL на межсетевой обмен). 

Правила есть но минимальные, но конкретно между данным vlan, откуда тестировал копирование-загрузка маршрутизатор, вообще правил нет

 

 

Quote

Просто этот коммутатор совсем слабый, нужно было брать другую модель на быстром процессоре, тогда он бы смог обрабатывать маршрутизацию внутри сети, а основной роутер только в интернет бы пускал. Сейчас внутрисетевой трафик идет через роутер и нагружает его.

 

Что бы этого не было нужно убрать вланы с бриджа и раздать всем клиентам сети адреса из единого пула, шлюзом для которого и будет основной роутер, тогда трафик внутри сети пойдет через коммутатор и не будет нагружать роутер. Если есть какая-то нужда в разделении трафика, для телефонии или управления, то эти задачи с малым трафиком завести через влан на роутер.

 

Посоветуйте тогда в среднеценовой категории маршрутизатор, где нормально будьте работать HW Offload в Bridge Vlan Filtering, ну в том смысле процессор будет переваривать и "молчать". Два кана от операторов по 200Мбит, capsman на 15 - 17 точек (3 этажа), камеры порядка 150 шт, тут  получается как? камеры все в своем vlan но есть разные организации которые клиентом будут отдаваться определенные камеры для их нужд, на просмотр онлайн ну и просмотр записей, в фаерволе будет ограничения по вланам и индивидуальные аксесс листы по доступу к технологическому обордуованию.

 

Коммутатор тоже посоветуйте на какой заменить CRS326

 

 

[jffulcrum]

12 минут назад, rout53 сказал:

Т.е. в таком случае получается весь функционал надо переносить на коммутатор ?? firewall, capsman и т.д. а маршрутизатор будет просто шлюзом???

CAPSMAN может быть вообще удалён от точек, ему с точкой можно взаимодействовать по IP (DTLS протокол)

Firewall - зависит от задач. Те же задачи ACL можно решать на HW уровне на свитче (Switch - Firewall, надо учитывать лимиты железа, но даже 128 правил обычно достаточно для всего разумного) . Задачи FW, связанные с Интернет или удалёнными локациями, остаются на роутере

 

 

 

[fractal]

5 часов назад, rout53 сказал:

 

 

 

Т.е. в таком случае получается весь функционал надо переносить на коммутатор ?? firewall, capsman и т.д. а маршрутизатор будет просто шлюзом???

 

Правила есть но минимальные, но конкретно между данным vlan, откуда тестировал копирование-загрузка маршрутизатор, вообще правил нет

 

 

 

Посоветуйте тогда в среднеценовой категории маршрутизатор, где нормально будьте работать HW Offload в Bridge Vlan Filtering, ну в том смысле процессор будет переваривать и "молчать". Два кана от операторов по 200Мбит, capsman на 15 - 17 точек (3 этажа), камеры порядка 150 шт, тут  получается как? камеры все в своем vlan но есть разные организации которые клиентом будут отдаваться определенные камеры для их нужд, на просмотр онлайн ну и просмотр записей, в фаерволе будет ограничения по вланам и индивидуальные аксесс листы по доступу к технологическому обордуованию.

 

Коммутатор тоже посоветуйте на какой заменить CRS326

 

 

Isr4331, isr4431 или 1111x-8p первого должно быть много на авито, второй мощнее и третий ещё актуальный (по до 2031 выпускать будут) настольный (можно крепеж в стойку купить) или на наге

[rout53]

Друзья посоветуйте более производительный маршрутизатор и коммутатор, на что заменить AX1100x4 и CRS326-24G-2S+.

Тут посоветовали Сisco, но хотелось бы рассмотреть Mikrotik

[Saab95]

В 16.10.2025 в 12:39, rout53 сказал:

Два кана от операторов по 200Мбит

2 канала от оператора по 200Мбит легко раздаст и имеющийся RB1100.

 

В 16.10.2025 в 12:39, rout53 сказал:

capsman на 15 - 17 точек (3 этажа)

Тут нужен некий другой роутер, который будет обслуживать точки.

 

В 16.10.2025 в 12:39, rout53 сказал:

камеры порядка 150 шт

Камеры же передают картинку на некие сервера / регистраторы?

 

В 16.10.2025 в 12:39, rout53 сказал:

камеры все в своем vlan но есть разные организации которые клиентом будут отдаваться определенные камеры для их нужд, на просмотр онлайн ну и просмотр записей, в фаерволе будет ограничения по вланам и индивидуальные аксесс листы по доступу к технологическому обордуованию.

Тут все просто. Если нужен интернет делаете влан для интернета, если хотите делить абонентов так же вланами - делаете много вланов для интернета каждой организации и раскидываете. Тут проблем не будет со скоростью работы.

 

Если беспроводка то капсман устанавливается на каком-то роутере попроще, тот же RB4011, или еще проще RB450, его подключаете в центральный коммутатор и сводите вланы от беспроводных точек. И далее этот роутер отдельным кабелем минуя коммутатор подключаете к роутеру интернета, что бы кому надо могли тоже доступ в интернет получать.

 

Для видео камер (в том числе для безопасности, стабильности работы) нужен отдельный микротик, который будет IP адреса выдавать, вланы с камер собирать и т.п. Это еще один роутер. Тоже на него с основного коммутатора выдаете нужные вланы, на нем заводите IP подсети камер и т.п. Все ограничения файрволом на этом роутере.

 

Тогда у вас будут 3 не зависимых роутера для работы. Роутер интернета можете перезагружать, менять, выключать - на работу камер это не повлияет, т.к. камеры обслуживаются другим роутером. То же самое и с точками доступа - если через них будет доступ во внутреннюю сеть, обмен данных между сотрудниками, выключение роутера с интернетом не повлияет на работу.