[SashaGub]

Здравствуйте, уважаемые форумчани !

Обращаюсь с таким вопросом и прошу технической помощи.

 

Есть сеть в которой сетевое оборудование находятся в одной подсети с пользователями:

1. Антенны, свитчи и серевер спрятаны за портами - зная IP адрес свитча и т.д. по стандартному 80 порту клиенты на него не попадут.

2. Клиентское оборудование находиться за NAT - все что делает клиент он мне не мешает.

3. На всех сетевых свитчах настроен фаервол который фильтрует бед и неверные пакет, частично широковещательный трафик, а также режет некоторые порты.

4. На всех антенна RocketM2 включена изоляция клиентов.

5. На клиентских точках настроен шейпер с чуть большим порогом чем на сервере - чтобы не перегружать Wi-Fi.

 

В принципе эта сеть работает и нормально, пока не стал вопрос о расширении адресного потока, а также внутреннего понятия, что пора перестроить на VLAN чтобы не садить за NAT новые объекты подключения (населенные пункты).

 

Что не нравится в этой схеме (выше представленной):

1. Все таки нету изоляции от широковещательного трафика.

2. Клиенты сидят за 3-йным NATом , а новые населенные пункты будут за 4-ым.

 

В принципе схему сети по IP-адресам можно описать так:

 

10.0.0.99/192.168.0.1 <-> 192.168.0.5/192.168.1.1 <-> 192.168.1.101/192.168.2.2

 

Где:

адрес 10.0.0.99 - выданный провайдером,

/ - слеш это NAT,

192.168.0.1 <-> 192.168.0.5 - магистраль

192.168.1.1 <-> 192.168.1.101 - антена - клиент

192.168.2.2 - IP компьютера клиента

 

Вот в принципе можно увидеть схему на рисунке:

 

 

Я не сталкивался еще с VLAN, почитал много литературы в интернете, но все равно остались вопросы. Из той схемы что есть у меня, хочу посадить каждую мачту (антенну) и клиентов, что сидят на ней в свой VLAN.

 

Например:

 

Центральная раздающая мачта VLAN ID 10 (10.10.10.0/24)

Раздающая мачта 2 VLAN ID 11 (10.10.11.0/24)

Раздающая мачта 3 VLAN ID 12 (10.10.12.0/24)

 

 

 

Как создать VLANы на МikroTik и дать доступ через натирование - знаю, но не знаю как настроить маршрутизацию между выше указанными VLAN и как настроить MikroTik с другой стороны (на мачтах) чтобы клиенты наносы были с IP 10.10.10.2-10.10.10.100.

 

P.S. Ребят, может кто-то может помочь в Киеве, за вознаграждение.

 

P.S.S Понимаю что многие сейчас начнут что тема разжевана, пережеванная но ткните тогда носом куда смотреть, по форуму видел косвенные темы, но все не то.

Edited September 25, 2012 by SashaGub

[Constantin]

P.S. Ребят, может кто-то может помочь в Киеве, за вознаграждение.

 

это может помочь с любого места, инет это великая вещь.....

[Negator]

Ребят, может кто-то может помочь в Киеве, за вознаграждение.

Эх, скоро отпуск, как раз собирался в том числе в Киев.

Может совместить приятное с полезным..

 

Схема малопонятная.

Но вы видимо решили наплодить кучу НАТ-ов. ЭТО неверно.

Как рассказать о вланах -ума не приложу.

[himikell]

Нафиг вланы ? пару натов убрать и всё

[Saab95]

Если все точки UBNT заменить на микротик то все станет работать значительно лучше, даже без разборки сети на вланы.

 

Хотя вообще вланы - вчерашний день. Будущее за динамической маршрутизацией=)

[Constantin]

Хотя вообще вланы - вчерашний день. Будущее за динамической маршрутизацией=)

 

что вы все таки курите???? такое забористое, перлы аж и сыпяться

[vlin]

Если все вланы терминировать на "Центральный сервер" то настройка роутинга не нужна, сервер будет видеть все сети напрямую и перебрасывать между ними пакеты.

Я бы сделал так - на устройстве 192.168.1.11 создал влан №11 на порту езер1, этот влан и порт езер2 в отдельный бридж. Аналогично для порта 3 - влан №12 на порту езер1 и с портом езер3 в отдельный бридж. На 192.168.1.1 создать вланы №11 и №12 на порту езер5. На созданные вланы повесить ип с новых сетей - 10.10.11.1 и 10.10.12.1 соответственно.

Настраивать особым образом микротики на мачтах не надо, ведь они используются как свичи. Надо только сменить ип и шлюзом прописать ип с влана центрального сервера, тоже сделать на раздающих антеннах.

 

Можно убрать один нат возле провайдера - в точке "Антенна у провайдера" трафик с порта езер1 завернуть в влан, влан дотянуть до центрального сервера и на нем повесить ип 10.0.0.99. Итого останется два ната - один на вашем сервере и второй у клиента.

 

Если все точки UBNT заменить на микротик то все станет работать значительно лучше, даже без разборки сети на вланы.

Почему ? Денег на замену дадите ?

Edited September 25, 2012 by vlin

[Saab95]

Хотя вообще вланы - вчерашний день. Будущее за динамической маршрутизацией=)

 

что вы все таки курите???? такое забористое, перлы аж и сыпяться

 

Представьте что при схеме все вланы в центр один клиент на какой-то удаленной базе, качая поток данных порядка 10 мегабит в секунду отвалится от сети, и эти данные, адресованные ему, пойдут гулять по всей сети, создавая широковещательные штормы. Конечно можно на всех узлах зафильтровать вланы и т.п. Но сколько проблем.

 

Когда проще присвоить каждой точке свой не зависимый IP, включить во всей сети OSPF, настроить MPLS или L2 через EoIP, L2TP и легко без проблем добавлять новые БС и другие устройства в сети.

 

Если все точки UBNT заменить на микротик то все станет работать значительно лучше, даже без разборки сети на вланы.

Почему ? Денег на замену дадите ?

 

Потому что в арсенале микротика много всяких полезных настроек. А потраченные на замену деньги через полгода вернуться, т.к. можно в 2 раза увеличить тарифы и меньше гонять монтажников на решение проблем у клиентов.

[SSD]

Хотя вообще вланы - вчерашний день. Будущее за динамической маршрутизацией=)

 

что вы все таки курите???? такое забористое, перлы аж и сыпяться

 

Представьте что при схеме все вланы в центр один клиент на какой-то удаленной базе, качая поток данных порядка 10 мегабит в секунду отвалится от сети, и эти данные, адресованные ему, пойдут гулять по всей сети, создавая широковещательные штормы. Конечно можно на всех узлах зафильтровать вланы и т.п. Но сколько проблем.

 

Когда проще присвоить каждой точке свой не зависимый IP, включить во всей сети OSPF, настроить MPLS или L2 через EoIP, L2TP и легко без проблем добавлять новые БС и другие устройства в сети.

 

Шикарно, еще РРРоЕ стоит добавить для кошерности и стены в желтый перекрасить у админа на рабочем месте.

[SashaGub]

Сделал как описал vlin, на центральном например VLAN ID 12 (10.10.12.1) , VLANы с обратной стороны настроил на конечных свитчах (раздающие антены), а не на 192.168.1.11, в итоге свитчи по влану вижу пингую например 10.10.12.2, также перенастроил Рокету IP 10.10.12.3, шлюз 10.10.12.1 в итоге рокет не пингуется, но в Neighbors вижу под правильным IP, что сделал не так? Как достучатся к Рокету?

[SashaGub]

Или шлюзом должен быть ближайший свитч?

[SashaGub]

Эврика! Нашел! Нужно было VLAN ID 12 разтегировать, но пока остались вопросы.

Edited September 26, 2012 by SashaGub

[SashaGub]

Вот выкладываю схемы, как необходимо настроить свитчи для снятия вланов:

Мне как раз именно таких схем и не хватало... о чем я выше говорил, что как настроить центральный свитч знаю, а как именно свитчи для хостов не в курсе...

 

 

 

А как например прокинуть vlan 14 дальше в ether5?

[vlin]

А как например прокинуть vlan 14 дальше в ether5?

Создать влан14 на езер1 и езер5, по одному для каждого порта, итого два. Обьединить отдельным бриджем.

[SashaGub]

Создать влан14 на езер1 и езер5, по одному для каждого порта, итого два. Обьединить отдельным бриджем.

 

Если я Вас правильно понял та как то так, верно?

 

 

Видел ответ Saab95 в этом топике

 

На Ether1 создаете e1_vlan10, e1_vlan20, e1_vlan30.

 

Создаете Bridge1 и в него e1_vlan10 + Ether2.

Создаете Bridge2 и в него e1_vlan20 + Ether3.

 

На Bridge2 создаете b2_vlan30.

 

Создаете Bridge3 и в него e1_vlan30 + b2_vlan30.

 

То исходя из его схемы где vlan30 нужно было пробросить дальше, я понял вот так:

 

 

Так все таки по какой схеме правильно? Или я что-то не понял...

Edited September 26, 2012 by SashaGub

[SashaGub]

Не хотел открывать новую тему, а поднять старую.

 

Подскажите, пожалуйста по VLANам на MikroTik, есть несколько вопросов.

 

1. Ситуация такая есть RB750, на каждом интерфейсе свой IP-адрес (ether2 - 10.10.10.1/24, ether3 - 10.10.11.1/24 и т.д.), как дать на все интрефесы управляющий VLAN ID 100?

 

2. Также есть RB750, на первый порт приходит 2 - VLANа, VLAN ID 12 растегируется, VLAN ID 100 нужно протранслировать (пробросить) дальше, так вот как это правильно сделать (протранслировать)?

Edited February 14, 2013 by SashaGub

[SashaGub]

По второму вопросу сам себе и отвечаю нашел Saab95 ответ на форуме и применил для себя вот такой рисунок получился.

 

 

Соответственно и действия:

 

На Ether1 создаем vlan12 и e1_vlan100

 

Создаем Bridge1 и в него vlan12 и Ether2, Ether3, Ether4, Ether5.

 

На Bridge1 создаем b1_vlan100

 

Создаем Bridge2 и в него e1_vlan100 и b1_vlan100.

 

На вопрос первый ответа пока не нашел. Как кинуть vlan100 во все порты (LAN)?

[Saab95]

На вопрос первый ответа пока не нашел. Как кинуть vlan100 во все порты (LAN)?

 

Так создайте на каждом Ether по влану с номером 100, а потом объедините их в бридж.

[SashaGub]

Saab95, большое Вам спасибо, я что-то не додумался... , а вот по поводу моей нарисованной схемы с описанием проброса VLANa и растегирования в один и тот же порт я Вас правильно понял?

[Saab95]

Saab95, большое Вам спасибо, я что-то не додумался... , а вот по поводу моей нарисованной схемы с описанием проброса VLANa и растегирования в один и тот же порт я Вас правильно понял?

 

Как бы работать может и будет, но надо зафильтровать трафик из влана 100 на 1 порт, иначе может заворот трафика произойти. Не совсем понятна смысл забирать влан из порта и сразу же отправлять обратно данные из него.

[SashaGub]

Не совсем понятна смысл забирать влан из порта и сразу же отправлять обратно данные из него.

 

А как правильно растегировать vlan12 с 1 порта на 2,3,4,5 порт и также с 1 порта на остальные отправить тегированым vlan 100 ?

[Constantin]

А как правильно растегировать vlan12 с 1 порта на 2,3,4,5 порт и также с 1 порта на остальные отправить тегированым vlan 100 ?

создать бридж

 

в котором физические порты на которые растагируешь влан и логические инты с меткой влана 100 куда его дальше тагированным отправить хочешь

[SashaGub]

создать бридж в котором физические порты на которые растагируешь влан...

 

Это понятно.

 

и логические инты с меткой влана 100 куда его дальше тагированным отправить хочешь

 

Это не очень..., что значит "логические инты".

 

Тегированным хочу отправить туда куда и растегированый.

[Constantin]

Тегированным хочу отправить туда куда и растегированый.

непонимаю

[SashaGub]

Имелось ввиду что на роутер приходит 2 тегированых VLANа 12 и 100 на порт Ether1, где 12-й - клиентский и 100-й управления.

Нужно например на Ether2 и Ether3 растегировать VLAN12 и в эти же порты оправить тегированым 100-й, за этими портами клиенты и точки доступа.

 

Как растегировать 12й на порты я знаю, а как пробросит 100-й с этим пока затруднения.