[nukunuku]

Планируется небольшая сеть для раздачи инета паре сотен абонентов. Есть опыт работы с микротик, знаю как настроить "частности", но проблемы с пониманием целостной картины.

 

Вкратце опишу:

5ГГц, БС на четырёх секторных mimo и четырёх же RB711, которые подключаются медью к RB493. Абоненты сидят также за микротиками (один на несколько абонентов), последние метры медью, авторизация рррое.

От порта абонентской меди до RB493 - мост (для бродкаста pppoe discovery), беспроводные клиенты изолированы. Авторизоваться абоненты будут на RB493, шейпер simple queue, без биллинга и учёта вообще.

 

Вопрос: правильно ли я делаю? Может, существует более грамотный способ пробросить рррое?

 

Или же вообще отказаться от рррое в пользу pptp/l2tp?

Изменено 6 июня, 2013 пользователем nukunuku

[Constantin]

тарифы планируете для этих 2 сотен не более 256к?

 

больше если вы нагрузите 493 даже и с индексом АН не получите...

шейпер simple queue

в профиле рррое клиента создавайте ограничения, тогда правила будут только от авторизованных клиентов

 

и вообще направление ни че так, но остальное........

[nukunuku]

тарифы планируете для этих 2 сотен не более 256к?

 

больше если вы нагрузите 493 даже и с индексом АН не получите...

Подведён будет канал 50-100М.

Тогда что мне нужно изменить в моём плане? Убрать центральный роутер, завести инет на каждый из роутеров, обслуживающих секторы?

Концепция: использование аппаратных решений без применения серверов, максимально возможная простота (т.к. требуется минимум функций) и максимально возможная при этом масштабируемость.

 

в профиле рррое клиента создавайте ограничения, тогда правила будут только от авторизованных клиентов

Я это подразумевал, не правильно выразился.

 

и вообще направление ни че так, но остальное........

Остальное - что?

 

Мне кажется, что меня проблемы как раз с пониманием общей картины "как должно". Недостаток опыта работы с высоконагруженным оборудованием, масштабируемыми конфигурациями. Онлайн полно туториалов и хауту "как сделать то-то", но никто не рассказывает, например, как грамотно построить вот такой кампусный провайдинг. Везде готовые решения как пример, но чаще всего делают как получится и из того что есть под рукой, или на что хватило денег, а так, не как правильно. Чтобы без деталей и разжёвывания как в уроках, общими категориями. В пример могу привести разве что в начале этого, но там уж слишком неконкретная информация касаемо используемого железа, или совсем уж огромные проекты вроде такого, где микротик уже на х86 железе. И "В интернет через эзернет" читал, но там тоже только частности. Я не прошу меня тыкать носом в поиск, возможно, действительно можно что-то найти. Но я тратил и трачу время на чтение документации по mikrotik в основном.

[Saab95]

Вам просто нужно в центре поставить сервак с микротиком для PPPoE сервера, а на роутербордах только транспорт и все взлетит нормально. таким образом часто плоские сети переводят, когда была авторизация по IP + MAC и хотят привести в нормальный вид, вот параллельно 2 системы и работают, потом старую отключают и сегментируют сеть.

[NewUse]

Вам просто нужно в центре поставить сервак с микротиком для PPPoE сервера, а на роутербордах только транспорт и все взлетит нормально. таким образом часто плоские сети переводят, когда была авторизация по IP + MAC и хотят привести в нормальный вид, вот параллельно 2 системы и работают, потом старую отключают и сегментируют сеть.

Сколько можно?

Нормальные сети на пппое не строят.

Вилан-пер-Клиент не требует от клиента никаких настроек (также как и привязка по MAC) и не собирает ниакого широковеателього мусора из сигмента (также, как и любой тонель, будь то пппое, ппт или л2тп).

 

Если сеть небольша,то vlan-per-client можно и на МТ построить, вводя vid статически.

[sergios50]

на pppoe , на мыльницах сеть можно собрать , и необязательно клиенту входить по авторизации, один раз настроить и все дела, так в чем выигрышь vlan? , если конечно iptv нужно ,хотя можно извратится, и без них можно обойтись .

Изменено 6 июня, 2013 пользователем sergios50

[SSD]

на pppoe , на мыльницах сеть можно собрать , и необязательно клиенту входить по авторизации, один раз настроить и все дела, так в чем выигрышь vlan? , если конечно iptv нужно ,хотя можно извратится, и без них можно обойтись .

Отстутвие настроек на стороне клиента, завирусованый клиент не положит весь сегмент мыльниц, хакер не воспользуется твоим логином, етс.

[nukunuku]

поставить сервак с микротиком для PPPoE сервера

Т.е. ни один роутерборд не потянет нужную мне нагрузку? Мне совсем нет возможности делать серверную, всё оборудование будет в ящиках на вышках.

 

на роутербордах только транспорт

И сразу вопрос, как правильно сделать этот транспорт от клиента до NAS в случае с рррое?

 

 

vlan-per-client

Получается, мне всё равно придётся подключать каждого абонента к отдельному порту умного свича. Сэкономить, собрав находящихся рядом пользователей на один неуправляемый свич, будет не правильно, так?

 

 

 

 

Мыльниц для доступа не планируется. Сеть будет только для доставки интернета. Абоненту будет заводиться провод с достаточно стандартным механизмом аутентификации, чтобы можно было подключить хоть древний комп, хоть мыльницу.

Изменено 7 июня, 2013 пользователем nukunuku

[Saab95]

Делаете влан на каждую точку, которая кабелем подключается в абонентский коммутатор, на микротике сводите все вланы и вешаете PPPoE сервера.

 

Вам просто нужно в центре поставить сервак с микротиком для PPPoE сервера, а на роутербордах только транспорт и все взлетит нормально. таким образом часто плоские сети переводят, когда была авторизация по IP + MAC и хотят привести в нормальный вид, вот параллельно 2 системы и работают, потом старую отключают и сегментируют сеть.

Сколько можно?

Нормальные сети на пппое не строят.

Вилан-пер-Клиент не требует от клиента никаких настроек (также как и привязка по MAC) и не собирает ниакого широковеателього мусора из сигмента (также, как и любой тонель, будь то пппое, ппт или л2тп).

 

Если сеть небольша,то vlan-per-client можно и на МТ построить, вводя vid статически.

 

Да давайте на сети из 10-20 разнесенных человек управляемых свичей понаставить, выкинуть на них кучу денег и ждать получения прибыли=) На начальном этапе можно дешевых свичей понаставить за 300р, никто их ложить мусором не будет, т.к. на каждом будет 2-10 клиентов максимум. Как наберете большую базу будете думать переходить или нет.

[NewUse]

Да давайте на сети из 10-20 разнесенных человек управляемых свичей понаставить, выкинуть на них кучу денег и ждать получения прибыли=)

Кучу это сколько? 1000р за 5-портовый, 1500р. за 8 или 4000р за 24 ?

 

На начальном этапе можно дешевых свичей понаставить за 300р, никто их ложить мусором не будет, т.к. на каждом будет 2-10 клиентов максимум.

 

Ну с таким подходом -- удачи, сам с такого начинал, лет 20 назад :) Только тогда у меня ещё хватало энтузиазма на ежедневные забеги по чердакам и подвалам :)

 

Получается, мне всё равно придётся подключать каждого абонента к отдельному порту умного свича. Сэкономить, собрав находящихся рядом пользователей на один неуправляемый свич, будет не правильно, так?

Да, именно так.

[nukunuku]

Если делать чистый vlan per client без рррое, то мне нужны клиентские коммутаторы с поддержкой option 82, а вот dhcp сервер микротик вроде как не поддерживает option 82 вроде?

 

А если делать с рррое, то можно не заморачиваться насчёт поддержки option 82?

 

Но у меня ещё сомнения насчёт влан, это ведь не настоящий туннель, будет ли через разные среды ходить бродкаст с pppoe discovery?

[Saab95]

Влан на клиента можно делать и без опций. На коммутаторе клиентские порты добавляете каждый в свой уникальный влан, а на микротике в каждый такой влан ставите один и тот же адрес, маршрутами указываете где какой клиент находится, и вешаете DHCP сервера на них.

[nukunuku]

маршрутами указываете где какой клиент находится

Не совсем понятно, какие маршруты и где прописать? Извиняюсь, я пока плохо разбираюсь в vlan, но неужели это настолько просто, что я должен был догадаться сам?

 

 

Ещё вопрос. Идёт "магистральный" канал 100М, я хочу сделать урезанный "отвод" интернета в небольшую сеть с серой адресацией. Пока придумал только поставить RB751G-2HnD, поднять NAT/DHCP и ограничить в simple queue по ip, которые пускать с конкретного порта. Хватит ли производительности устройства и правильно ли так делать вообще?

[Saab95]

маршрутами указываете где какой клиент находится

Не совсем понятно, какие маршруты и где прописать? Извиняюсь, я пока плохо разбираюсь в vlan, но неужели это настолько просто, что я должен был догадаться сам?

 

Создаете вланы - 1, 2 и 3.

В IP->Address на каждый влан вешаете одну и ту же подсеть, например 10.10.10.1/24. На каждом влане создаете DHCP сервер, в пуле для выдачи адресов указываете каждому свой адрес, например 10.10.10.2, 10.10.10.3 и 10.10.10.4. Соответственно клиент включает комп в порт коммутатора, на котором вы снимаете вланы и получает нужный IP адрес, даже сможет попасть в инет, но он будет глючить, потому что микротик не знает в какой влан отправлять пакеты для этого клиента, ведь в трех вланах один и тот же адрес. Поэтому в IP->Routes нужно прописать маршруты, например 10.10.10.2 интерфейс vlan1, 10.10.10.3 интерфейс vlan2, 10.10.10.4 интерфейс vlan3, тогда пакеты, адресованные этим клиентам пойдут через нужные интерфейсы и все заработает.

 

 

Ещё вопрос. Идёт "магистральный" канал 100М, я хочу сделать урезанный "отвод" интернета в небольшую сеть с серой адресацией. Пока придумал только поставить RB751G-2HnD, поднять NAT/DHCP и ограничить в simple queue по ip, которые пускать с конкретного порта. Хватит ли производительности устройства и правильно ли так делать вообще?

 

Нет не правильно. Правильно это поставить в разрыв этого канала маршрутизатор, у которого будет входящий и исходящий интерфейсы, и ваш отвод. Настраиваете дерево шейперов с приоритетом на магистральный канал, а всю свободную полосу сможете забирать себе по отводу. Если процессор разгоните до 750мгц и установите 6 версию ПО 100 мегабит прокачает.

[Constantin]

установите 6 версию ПО 100 мегабит прокачает.

но сразу забутьте про шейпер на pcq

[nukunuku]

Создаете вланы - 1, 2 и 3.

В IP->Address на каждый влан вешаете одну и ту же подсеть, например 10.10.10.1/24. На каждом влане создаете DHCP сервер, в пуле для выдачи адресов указываете каждому свой адрес, например 10.10.10.2, 10.10.10.3 и 10.10.10.4. Соответственно клиент включает комп в порт коммутатора, на котором вы снимаете вланы и получает нужный IP адрес, даже сможет попасть в инет, но он будет глючить, потому что микротик не знает в какой влан отправлять пакеты для этого клиента, ведь в трех вланах один и тот же адрес. Поэтому в IP->Routes нужно прописать маршруты, например 10.10.10.2 интерфейс vlan1, 10.10.10.3 интерфейс vlan2, 10.10.10.4 интерфейс vlan3, тогда пакеты, адресованные этим клиентам пойдут через нужные интерфейсы и все заработает.

Спасибо, теперь стало понятно, обратный маршрут. Для каждого клиента создаётся свой пул с единственным адресом /32 для выдачи.

Если "магистральный" канал пойдёт "мимо" этой БС, то нужно будет поставить "проходной" центральный маршрутизатор (к которому будут подключены четыре МТ секторов БС) и повторить на нём конфигурацию с "отводом", так?

И я немного запутался, получается, мне не нужно делать НАТ на МТ секторов БС? Ведь одного НАТ в точке, где провайдер отдаёт нам канал (простое пппое, один белый адрес), будет достаточно? Подсети везде будут серые, но уникальные. И как тогда правильно разграничить подсеть для администрирования коммутаторов и пользовательские подсети?

 

Нет не правильно. Правильно это поставить в разрыв этого канала маршрутизатор, у которого будет входящий и исходящий интерфейсы, и ваш отвод. Настраиваете дерево шейперов с приоритетом на магистральный канал, а всю свободную полосу сможете забирать себе по отводу. Если процессор разгоните до 750мгц и установите 6 версию ПО 100 мегабит прокачает.

Про Queue Tree и HTB я почитаю и, думаю, разберусь. По производительности понятно, пока поставлю этот МТ. Пройдёт некоторое время, пока канал будет нагружаться полностью.

 

 

но сразу забутьте про шейпер на pcq

Почему? Нашёл про 6-ю версию только что "PCQ is now NAT aware", какое это имеет отношение к моему случаю?

Изменено 8 июня, 2013 пользователем nukunuku

[Saab95]

Если "магистральный" канал пойдёт "мимо" этой БС, то нужно будет поставить "проходной" центральный маршрутизатор (к которому будут подключены четыре МТ секторов БС) и повторить на нём конфигурацию с "отводом", так?

И я немного запутался, получается, мне не нужно делать НАТ на МТ секторов БС? Ведь одного НАТ в точке, где провайдер отдаёт нам канал (простое пппое, один белый адрес), будет достаточно? Подсети везде будут серые, но уникальные. И как тогда правильно разграничить подсеть для администрирования коммутаторов и пользовательские подсети?

 

НАТ нужно делать в одном месте на центральной железке, все другие только передают данные на нее. Одного белого адреса будет достаточно, там же и сделаете приоритеты, если будет сильное потребление выше вашего тарифа.

 

Для клиентов можно выделить подсеть например 10.20.0.0/16, для управления 10.10.0.0/16. Так будет легко блокировать доступ клиентов (если нужно) на ваше оборудование. Никаких вланов для управления пробрасывать не нужно, на каждом маршрутизаторе, к которым подключены коммутаторы, повесите сеть /28 или /27, в зависимости от требуемого количества адресов, и анонсируете ее через OSPF. Так же все маршруты будете передавать через OSPF, что избавит от указания их вручную, очень удобно в большой сети.

[Constantin]

Почему? Нашёл про 6-ю версию только что "PCQ is now NAT aware", какое это имеет отношение к моему случаю?

да потому, что Queue Tree не работает на 6 ветке, на 5 работает на 6 нет, разрабы сами сделать не могли когда им моск выносили.

 

попробуйте мож вас осенит

я на р/линки некоторые поставил работает, но ничего впечатляющего

[sergios50]

можно и ppoe, каждому клиенту по роутеру wifi ,и все дела

[nukunuku]

OSPF

После прочтения главы мануала МТ про это у меня прибавилось седых волос от осознания того, что мне придётся разбираться в этом.

Хотя, это уже оффтопик.

 

Управлять мне нужно только маршрутизаторами секторов и "магистральными", излишне усложнять сеть не хочется. Беспроводные МТ с клиентской стороны и подключенные к ним медью коммутаторы достаточно раз настроить и не трогать, думаю. OSPF: я настраиваю "магистральные" маршрутизаторы в область backbone, секторные маршрутизаторы одной БС в отдельную область, так?

 

на 6 ветке

Пока можно и не обновлять прошивку, наверное.

 

можно и ppoe, каждому клиенту по роутеру wifi ,и все дела

Так я уже умею :)

Я тут пытаюсь разобраться, как делать правильно, благо появилась причина разобраться, наконец.

[Saab95]

OSPF

После прочтения главы мануала МТ про это у меня прибавилось седых волос от осознания того, что мне придётся разбираться в этом.

Хотя, это уже оффтопик.

 

Управлять мне нужно только маршрутизаторами секторов и "магистральными", излишне усложнять сеть не хочется. Беспроводные МТ с клиентской стороны и подключенные к ним медью коммутаторы достаточно раз настроить и не трогать, думаю. OSPF: я настраиваю "магистральные" маршрутизаторы в область backbone, секторные маршрутизаторы одной БС в отдельную область, так?

 

Вся настройка OSPF сводится в добавление Network = 0.0.0.0/0 и более ничего, только на главном устройстве вводите дефолтный маршрут, это одно поле в списке выбрать.

[nukunuku]

Вся настройка OSPF сводится в добавление Network = 0.0.0.0/0

До этого я пока не добрался, но обязательно вернусь!

 

 

 

Позволю себе задать тут же вопрос по queue tree.

Есть "проходной" маршрутизатор, на котором нужно сделать отвод интернета 2М. Входящий магистральный ether1 (10.1.0.5/28), исходящий ether2 (10.1.0.17/28), отвод ether3 (10.1.1.1/30, клиент за ним 10.1.1.2/30).

 

/ip firewall mangle add chain=prerouting src-address=10.1.1.2/30 action=mark-connection new-connection-mark=spinoff1-conn-up

/ip firewall mangle add connection-mark=spinoff1-conn-up action=mark-packet new-packet-mark=spinoff1-up chain=prerouting

/ip firewall mangle add chain=prerouting dst-address=10.1.1.2/30 action=mark-connection new-connection-mark=spinoff1-conn-down

/ip firewall mangle add connection-mark=spinoff1-conn-down action=mark-packet new-packet-mark=spinoff1-down chain=prerouting

 

/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address

/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address

 

/queue tree add name=Download parent=ether3 max-limit=2M limit-at=2M burst-limit=4M burst-time=10

/queue tree add parent=Download queue=pcq-download packet-mark=spinoff1-down

/queue tree add name=Upload parent=ether1 max-limit=2M limit-at=2M burst-limit=4M burst-time=10

/queue tree add parent=Upload queue=pcq-upload packet-mark=spinoff1-up

 

Нужно именно ограничить отвод жёстко, а "магистраль" не трогать.

Изменено 15 июня, 2013 пользователем nukunuku

[Saab95]

А не проще просто сделать один шейпер без всяких маркировок на подсеть отвода 10.1.1.1/30? Если хотите городить нормальные шейпера то придется трогать и магистраль.

[nukunuku]

А не проще просто сделать один шейпер без всяких маркировок на подсеть отвода 10.1.1.1/30? Если хотите городить нормальные шейпера то придется трогать и магистраль.

Сейчас посмотрел на то, что я нагородил, и понял, что перехитрил сам себя =)

Начав изучать HTB, я как-то забыл про simple queue:

/queue type

add kind=pcq name=PCQ_download pcq-classifier=dst-address

add kind=pcq name=PCQ_upload pcq-classifier=src-address

/queue simple

add burst-limit=4M/4M burst-time=5s/5s interface=ether3 limit-at=2M/2M max-limit=2M/2M name=spinoff1 queue=PCQ_upload/PCQ_download target-addresses=10.1.1.2/32

 

Но мой конфиг с маркировкой также работоспособен, да?

[Saab95]

Последний конфиг правильный, его и следует использовать. Интерфейс можно не указывать, а вот адрес нужно указать не так как вы написали, а на всю подсеть, иначе он исходящий трафик обрезать не будет.