Здравствуйте! С микротиком опыт работы совсем не большой, поэтому прошу понять и простить, и помочь в настройке. Дома стоит RB2011UiAS-2HnD, до этого работал с 1100ahx2, rb750, rb951, но там ничего сложного не было.
Вообще, понятие как работают сети есть :)
Завтра приезжает CCR1009-8G-1S-1S+ и на этом железе надо поднять сеть на несколько компаний в офисном здании.
Провайдер один, заходит по оптике и сразу будет в CCR1009-8G-1S-1S+ в SFP порт, если конечно джибик нужный подберу :)
Думаю использовать сеть 10.1.0.0/16, чтобы каждому арендатору отдавать по /24 сети (если кабинет, например, 2-16, то и подсеть будет 10.1.216.0/24)
Шлюз 10.1.0.254.
Каждому арендатору - отдельный VLAN + DHCP Server. Они же все смогут ходить через 10.1.0.254?
Ещё есть мысли выделить под сервера, коммутационное оборудование, видеонаблюдение, оборудование контроля доступа и пожарных сигнализаций отдельные вланы, но вот не знаю, где настраивается доступ между вланами, насколько помню (когда-то занимался корпоративной сеткой на win serv + freebsd у интернет провайдера и иногда слышал разговоры инженеров сетевого оборудования), то такое можно сделать. Потому что некоторые ВЛАНы надо пустить в подсеть с серверами. Все свичи управляемые и поэтому портов на всех хватит :)
Если купить несколько белых айпи адресов, то как их присвоить их отдельным вланам, чтобы на внешке были определенные ИПы?
Заранее спасибо, товарищи гуру и кто не остался равнодушным.
Настойка сети малого предприятия
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)
-
- Сообщения: 5
- Зарегистрирован: 13 ноя 2014, 13:09
DeLL писал(а):Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)
Спасибо за ответ.
Портов, наверное, не хватит на всех.
Получается надо делать VLAN'ы с тегами и как-то помечать (маркировать) трафик до свитча?
Немного не понимаю, через какой шлюз у них трафик будет ходить. У каждого свой будет, из подсети в которой они работают или можно один на всех? Я почему и думал брать сеть /16, чтобы был один шлюз.
У каждого арендатора отдельный белый статический ip адрес, ну и естественно, свои правила фаервола и ната.
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?
Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?
Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.
-
- Сообщения: 5
- Зарегистрирован: 13 ноя 2014, 13:09
DeLL писал(а):Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?
Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.
По статике приходит. Провайдер готов дать ещё ip-адресов.
Спасибо за помощь. Буду пробовать реализовать.
-
- Сообщения: 5
- Зарегистрирован: 13 ноя 2014, 13:09
Настроил, как надо. Всё хорошо работает.
Но есть маленькая проблемка.
Сейчас провайдерская оптика идёт в медик, из медика в неуправляемый свитч, а из свитча в микротик и ДФЛку арендатора. (схема №1)
Можно ли из этой схемы убрать неуправляемый свитч?
Например, из медика в микротик, в микротике два порта мастер+слэйв, из слэйва дальше отправить на ДФЛку? (схема №2)
Или может есть схемы более изящные?
Вы конечно спросите, зачем оно так сделано изначально?
Делали это до меня. Так отдаётся арендатору белый ип
Но есть маленькая проблемка.
Сейчас провайдерская оптика идёт в медик, из медика в неуправляемый свитч, а из свитча в микротик и ДФЛку арендатора. (схема №1)
Можно ли из этой схемы убрать неуправляемый свитч?
Например, из медика в микротик, в микротике два порта мастер+слэйв, из слэйва дальше отправить на ДФЛку? (схема №2)
Или может есть схемы более изящные?
Вы конечно спросите, зачем оно так сделано изначально?
Делали это до меня. Так отдаётся арендатору белый ип
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
Через микротик можно.
- GDragon
- Сообщения: 80
- Зарегистрирован: 20 ноя 2014, 15:48
на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)
p.s.
Вариант 2 вполне имеет право на жизнь. :)
p.s.
Вариант 2 вполне имеет право на жизнь. :)
-
- Сообщения: 5
- Зарегистрирован: 13 ноя 2014, 13:09
Спасибо за ответы.
Медик железка неуправляемая, поэтому надо только мини джибик подобрать нужный))
Сейчас стоит GL-MC-UTPF-SC1F-18SM-1310 ссылка удалена п.3.6 Правил форума, надо как-то по длине волны подобрать подходящий мини джибик. Здесь я не силён совсем, но думаю гугл поможет в этом.
Но как потом? SFP порт нельзя же объединить с другим портом как master+slave.
Или есть решения средствами ОС микротика?
GDragon писал(а):на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)
Медик железка неуправляемая, поэтому надо только мини джибик подобрать нужный))
Сейчас стоит GL-MC-UTPF-SC1F-18SM-1310 ссылка удалена п.3.6 Правил форума, надо как-то по длине волны подобрать подходящий мини джибик. Здесь я не силён совсем, но думаю гугл поможет в этом.
Но как потом? SFP порт нельзя же объединить с другим портом как master+slave.
Или есть решения средствами ОС микротика?
-
- Сообщения: 561
- Зарегистрирован: 09 дек 2012, 17:12
Tx:1310/Rx:1550,
по одному волокну видать , и одномод.
по одному волокну видать , и одномод.