Настойка сети малого предприятия

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
krsk
Сообщения: 5
Зарегистрирован: 13 ноя 2014, 13:09

Здравствуйте! С микротиком опыт работы совсем не большой, поэтому прошу понять и простить, и помочь в настройке. Дома стоит RB2011UiAS-2HnD, до этого работал с 1100ahx2, rb750, rb951, но там ничего сложного не было.
Вообще, понятие как работают сети есть :)
Завтра приезжает CCR1009-8G-1S-1S+ и на этом железе надо поднять сеть на несколько компаний в офисном здании.

Провайдер один, заходит по оптике и сразу будет в CCR1009-8G-1S-1S+ в SFP порт, если конечно джибик нужный подберу :)
Думаю использовать сеть 10.1.0.0/16, чтобы каждому арендатору отдавать по /24 сети (если кабинет, например, 2-16, то и подсеть будет 10.1.216.0/24)
Шлюз 10.1.0.254.
Каждому арендатору - отдельный VLAN + DHCP Server. Они же все смогут ходить через 10.1.0.254?

Ещё есть мысли выделить под сервера, коммутационное оборудование, видеонаблюдение, оборудование контроля доступа и пожарных сигнализаций отдельные вланы, но вот не знаю, где настраивается доступ между вланами, насколько помню (когда-то занимался корпоративной сеткой на win serv + freebsd у интернет провайдера и иногда слышал разговоры инженеров сетевого оборудования), то такое можно сделать. Потому что некоторые ВЛАНы надо пустить в подсеть с серверами. Все свичи управляемые и поэтому портов на всех хватит :)
Если купить несколько белых айпи адресов, то как их присвоить их отдельным вланам, чтобы на внешке были определенные ИПы?

Заранее спасибо, товарищи гуру и кто не остался равнодушным.


DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)


krsk
Сообщения: 5
Зарегистрирован: 13 ноя 2014, 13:09

DeLL писал(а):Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)

Спасибо за ответ.
Портов, наверное, не хватит на всех.
Получается надо делать VLAN'ы с тегами и как-то помечать (маркировать) трафик до свитча?

Немного не понимаю, через какой шлюз у них трафик будет ходить. У каждого свой будет, из подсети в которой они работают или можно один на всех? Я почему и думал брать сеть /16, чтобы был один шлюз.
У каждого арендатора отдельный белый статический ip адрес, ну и естественно, свои правила фаервола и ната.


DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?

Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.


krsk
Сообщения: 5
Зарегистрирован: 13 ноя 2014, 13:09

DeLL писал(а):Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?

Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.

По статике приходит. Провайдер готов дать ещё ip-адресов.
Спасибо за помощь. :co_ol: Буду пробовать реализовать.


krsk
Сообщения: 5
Зарегистрирован: 13 ноя 2014, 13:09

Настроил, как надо. Всё хорошо работает.
Но есть маленькая проблемка.

Сейчас провайдерская оптика идёт в медик, из медика в неуправляемый свитч, а из свитча в микротик и ДФЛку арендатора. (схема №1)
Можно ли из этой схемы убрать неуправляемый свитч?
Например, из медика в микротик, в микротике два порта мастер+слэйв, из слэйва дальше отправить на ДФЛку? (схема №2)
Или может есть схемы более изящные?
Изображение

Вы конечно спросите, зачем оно так сделано изначально?
Делали это до меня. Так отдаётся арендатору белый ип :-)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Через микротик можно.


Аватара пользователя
GDragon
Сообщения: 80
Зарегистрирован: 20 ноя 2014, 15:48

на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)

p.s.
Вариант 2 вполне имеет право на жизнь. :)


krsk
Сообщения: 5
Зарегистрирован: 13 ноя 2014, 13:09

Спасибо за ответы.

GDragon писал(а):на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)

Медик железка неуправляемая, поэтому надо только мини джибик подобрать нужный))
Сейчас стоит GL-MC-UTPF-SC1F-18SM-1310 ссылка удалена п.3.6 Правил форума, надо как-то по длине волны подобрать подходящий мини джибик. Здесь я не силён совсем, но думаю гугл поможет в этом.
Но как потом? SFP порт нельзя же объединить с другим портом как master+slave.
Или есть решения средствами ОС микротика?


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Tx:1310/Rx:1550,
по одному волокну видать , и одномод.


Ответить