Здравствуйте! Извините за название вопроса, я не знаю как грамотно назвать тему. (Дайте название я поменяю)
В общем появилась желание сделать коммутатор CRS326-24G-2S+RM центром сети, а роутер только для доступа в интернет.
На коммутаторе хочу реализовать DHCP сервер + Firewall + PXE сервер + что то похожее на Netflow + следить за всем трафиком в сети.
Вроде бы все понимаю как настроить, но не знаю как сделать что бы роутер использовался только как выход в сеть.
Прописать его как шлюз по умолчанию? Но на сколько я понимаю это не правильно, так как шлюзом должен быть коммутатор?
Извините если я непонятно выражаюсь. В сети не сильно силен. Прикладываю скрин как это будет.
Как сделать коммутатор mikrotik центром сети?
-
- Сообщения: 10
- Зарегистрирован: 01 мар 2019, 18:52
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
aleksandr.rublev писал(а): ↑04 мар 2019, 23:17 Но на сколько я понимаю это не правильно, так как шлюзом должен быть коммутатор?
После выделенных вверху Ваших фраз у меня двойственное ощущение.
1) зачем Вам именно чтобы коммутатор был главный?
Какая цель всего этого?
2) надо определиться, Вы в сетях всё же понимаете или нет?
Я вот был удивлён что Вы хотите на коммутаторе файрвол сделать,
что Вы будете на коммутаторе ограничивать? Очень при очень интересно?
3) Теперь коммутатор и маршрутизатор, о главности и шлюзе:
а) коммутатор работает на L2-уровне, там бегают МАК адреса, работает ARP таблица,
и вся коммутация работает на этих основах. В рамках L2-уровня нету IP,
а значит нету ни шлюза, нету файрвола в обычном режиме.
4) Так как локальные компьютеры при локальном взаимодействии работают
в пределах своей IP-маски сети, это значит, что локальный трафик никогда не попадёт
на роутер вообще, но роутер должен быть шлюзом, чтобы по закону сети, всё что не известно,
должно уходить на роутер, а он уже вышестоящему роутеру, то есть провайдеру.
В Вашем случаи можно сделать гибко и по-разному.
а) файрвол должен быть только на роутере (по крайне мере это минимум, защита от внешних атак)
б) DHCP - можно сделать на коммутаторе, возможно это будет оптимальнее, но в настройках
DHCP надо сделать конечно, чтобы шлюз был - IP роутера.
в) PXE + Netflow - уже Вам решать, где Вам удобно, опять же, Вам в Netflow разве нужен локальный траф?
Скорее всего нет, значит надо забирать данные с роутера.
г) сервер времени и синхронизация его - опять же, проще сделать на роутере.
Ваше желание - это обычное решение для дома когда у пользователя дома сразу аж 2-4 компа,
есть медиа-сервер, есть 1-2 НАСа, и прочее, ....все компы, устройства, подключаются к
свитчу, всё это работает локально и между собой, а уже трафик между Интернетом и устройствами - вот
этот вид трафика идёт через роутер.
Почитайте по сетям, вроде даже странно, хотите поднимать Netflow - а о сетях плохо знаете и плаваете...
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
Это продолжение другой вашей темы viewtopic.php?f=3&t=10045aleksandr.rublev писал(а): ↑04 мар 2019, 23:17 В общем появилась желание сделать коммутатор RC-326-24G центром сети, а роутер только для доступа в интернет.
На коммутаторе хочу реализовать DHCP сервер + Firewall + PXE сервер + что то похожее на Netflow + следить за всем трафиком в сети.
Выяснили же что не правильный это подход.
И, перестаньте коверкать название модели, нет такой CRC / RC, это не уважение к другим участникам.
Александр
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну так, для реалистичности
Для ТС = на коммутаторах L2, есть MAC таблица, удобный
инструмент для отслеживания наличия того или иного МАКа
в том или ином порту/в вилане.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Даже кофейники дребезжат ....
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 10
- Зарегистрирован: 01 мар 2019, 18:52
Спасибо всем за отзывы. Попробую ответить. Но опять таки могу что то сказать неправильно.
У него обеспечено бесперебойное питание в случае чего. И опять таки было желание переложить часть задач с роутера на другие железки.
Я может неправильно выразился, я имел в виду создать правила для локальной сети(ограничить в доступе к интернету, к NAS, к серверам)
В микротике это реализуется на вкладке фаервола, поэтому я не правильно обозначил задачу.
б) Все понятно.
в) Так же все понятно. Локальный траффик нужен только по началу, пока буду разбираться и смотреть что к чему.
Я надеялся что Netflow можно реализовать через коммутатор mikrotik, опять таки сделав его шлюзом, что бы через него проходил весь трафик.
г) Такой задачи пока не стоит
Когда читаешь кажется что ты все знаешь, как только доходит до дела, начинаются проблемы.
Да это продолжение той темы, выяснил что для коммутации между VLAN он не годиться, как и мой роутер, поэтому от этой идеи временно отказался.
Теперь вроде как у меня другой вопрос, и я создал его в другой ветке форума.
И решил немного навести порядок в сети. Когда то, я все это делал как попало, лиш бы работало.
По поводу названия я согласен, делал это не специально, когда копировал названия, не усмотрел. И говорить о каком либо неуважении не уместно.
Я исходил из логики, что новый коммутатор по мощнее, и является центром сети. В него входят все сервера, видео наблюдения, терминалы и т.дПосле выделенных вверху Ваших фраз у меня двойственное ощущение.
1) зачем Вам именно чтобы коммутатор был главный?
Какая цель всего этого?
У него обеспечено бесперебойное питание в случае чего. И опять таки было желание переложить часть задач с роутера на другие железки.
В теории кажется что основы сети понимаю, но как доходит до практики, моментально теряюсь. Опыта неоткуда взять.2) надо определиться, Вы в сетях всё же понимаете или нет?
Я вот был удивлён что Вы хотите на коммутаторе файрвол сделать,
что Вы будете на коммутаторе ограничивать? Очень при очень интересно?
Я может неправильно выразился, я имел в виду создать правила для локальной сети(ограничить в доступе к интернету, к NAS, к серверам)
В микротике это реализуется на вкладке фаервола, поэтому я не правильно обозначил задачу.
Да я вроде хорошо понимаю что на L2 уровне нет никаких IP, но данный коммутатор может выступать в роли DHCP сервера, может коммутировать VLAN (хоть и через CPU), иметь на портах IP, и если я правильно понял, он может быть даже маршрутизатором.3) Теперь коммутатор и маршрутизатор, о главности и шлюзе:
а) коммутатор работает на L2-уровне, там бегают МАК адреса, работает ARP таблица,
и вся коммутация работает на этих основах. В рамках L2-уровня нету IP,
а значит нету ни шлюза, нету файрвола в обычном режиме.
Тут я так и думал, но были сомнения.4) Так как локальные компьютеры при локальном взаимодействии работают
в пределах своей IP-маски сети, это значит, что локальный трафик никогда не попадёт
на роутер вообще, но роутер должен быть шлюзом, чтобы по закону сети, всё что не известно,
должно уходить на роутер, а он уже вышестоящему роутеру, то есть провайдеру.
a) Опять таки я наверно не правильно выразился, мне нужны фильтры для локальной сети.В Вашем случаи можно сделать гибко и по-разному.
а) файрвол должен быть только на роутере (по крайне мере это минимум, защита от внешних атак)
б) DHCP - можно сделать на коммутаторе, возможно это будет оптимальнее, но в настройках
DHCP надо сделать конечно, чтобы шлюз был - IP роутера.
в) PXE + Netflow - уже Вам решать, где Вам удобно, опять же, Вам в Netflow разве нужен локальный траф?
Скорее всего нет, значит надо забирать данные с роутера.
г) сервер времени и синхронизация его - опять же, проще сделать на роутере.
б) Все понятно.
в) Так же все понятно. Локальный траффик нужен только по началу, пока буду разбираться и смотреть что к чему.
Я надеялся что Netflow можно реализовать через коммутатор mikrotik, опять таки сделав его шлюзом, что бы через него проходил весь трафик.
г) Такой задачи пока не стоит
Ну примерно такая идея в голове сидит. И почему то мне кажется это правильным, что все задачи переложить на коммутатор, а роутеру оставить только работу с интернет.Ваше желание - это обычное решение для дома когда у пользователя дома сразу аж 2-4 компа,
есть медиа-сервер, есть 1-2 НАСа, и прочее, ....все компы, устройства, подключаются к
свитчу, всё это работает локально и между собой, а уже трафик между Интернетом и устройствами - вот
этот вид трафика идёт через роутер.
Уже читал, и CISCO CCNA 100-101 и В. Олифер, Н. Олифер Компьютерные сети. и еще несколько книг.Почитайте по сетям, вроде даже странно, хотите поднимать Netflow - а о сетях плохо знаете и плаваете...
Когда читаешь кажется что ты все знаешь, как только доходит до дела, начинаются проблемы.
Это продолжение другой вашей темы viewtopic.php?f=3&t=10045
Выяснили же что не правильный это подход.
И, перестаньте коверкать название модели, нет такой CRC / RC, это не уважение к другим участникам.
Да это продолжение той темы, выяснил что для коммутации между VLAN он не годиться, как и мой роутер, поэтому от этой идеи временно отказался.
Теперь вроде как у меня другой вопрос, и я создал его в другой ветке форума.
И решил немного навести порядок в сети. Когда то, я все это делал как попало, лиш бы работало.
По поводу названия я согласен, делал это не специально, когда копировал названия, не усмотрел. И говорить о каком либо неуважении не уместно.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Фильтры для локальной сети? Что это? Что фильтровать? Если и фильтровать то на каком уровне (в Вашем видении?)
2) Сервер времени даже в домашней сети должен быть, а Вы пишите - не планируете, его можно сделать на микротиках вообще,
как говориться 4-5 кликами мыши, поставить пакет, вбить откуда брать время, и включить чтобы он (сам сервер времени
работал). Без него в сети плохо, свитчи, коммутаторы не могут синхронизироваться, да и другие службы, журналы, логи =
всё должно быть одинаково во временом интервале. У меня 2-4 сервера времени внутри локальной сети.
3) Коммутацию - то есть работу по коммутации между узлами = это задача коммутатора, вот он её и должен делать.
У меня коммутаторы её и делают, и виланы есть и у них и на микротиках, но если очень грубо так сказать,
то наверно виланы всё же появились(создались) на коммутаторах.
Если мне надо давать доступы в те сети, которые работают в виланах (по сути изолированы), уже
этот трафик идёт через роутер. В рамках одного вилана, одной группы - трафик ходит локально и не нагружает.
Хотя и есть иногда перегибы, когда кто-то что-то из одной сети тянет в другую.
4) DHCP надо ставить там где будут доступны нужные сети, у меня коммутаторы не все могут DHCP, да и DHCP это уже
адресация, поэтому у меня DHCP сервера (их несколько) работают на микротик-роутерах.
Но каждый DHCP естественно обслуживает свою сеть, а сеть такая каждая в своём вилане.
5) Ограничения доступа к Интернету, опять же - при чём тут коммутатор, если Вы будете на коммутаторе это
реализовывать - Вы тем самым коммутатор де-факто сделаете роутером, а у микротика это грань итак еле-еле.
Тем более коммутатор, как я писал Выше и Вы это знаете, работает на своём уровне, и для него пакет - это
лишь только пакет, а куда он (в локальную сеть или в Интернет идёт) коммутатор не знает.
Поэтому вопрос - как Вы собираетесь делать ограничения на коммутаторе, если он не понимает этого?!
Это чисто способность роутера, пришёл пакет от компа, идёт запрос на Яндекс, DST-адрес в пакете
внешний, роутер проверит, нет ли ограничений и если их нет, проНАТит пакет и выпустит в Интернет.
6) как только Вы запустите DHCP на коммутаторе и при этом конечно надо задать ещё и IP-коммутатору,
всё, можно сказать что уже он стал на половинку роутером.
Итог:
Я бы Вам порекомендал купить 2 хороших свитча (не микротика), естественно управляемых,
на них сделать чистые виланы + коммутация и не будет соблазна как-то иначе их использовать.
А в качестве роутера надо брать железку по мощнее (с учётом канала(ов), трафика клиентов, нагрузки,
всё это можно прикинуть), и приводить виланы на роутер, ставить адресацию, + DHCP, NTP и т.д.
И опять же, в будущем станет вопрос увеличение пропускной способности, агрегации каналов,
это на свитчах проще делать (для Вас это будет проще).
2) Сервер времени даже в домашней сети должен быть, а Вы пишите - не планируете, его можно сделать на микротиках вообще,
как говориться 4-5 кликами мыши, поставить пакет, вбить откуда брать время, и включить чтобы он (сам сервер времени
работал). Без него в сети плохо, свитчи, коммутаторы не могут синхронизироваться, да и другие службы, журналы, логи =
всё должно быть одинаково во временом интервале. У меня 2-4 сервера времени внутри локальной сети.
3) Коммутацию - то есть работу по коммутации между узлами = это задача коммутатора, вот он её и должен делать.
У меня коммутаторы её и делают, и виланы есть и у них и на микротиках, но если очень грубо так сказать,
то наверно виланы всё же появились(создались) на коммутаторах.
Если мне надо давать доступы в те сети, которые работают в виланах (по сути изолированы), уже
этот трафик идёт через роутер. В рамках одного вилана, одной группы - трафик ходит локально и не нагружает.
Хотя и есть иногда перегибы, когда кто-то что-то из одной сети тянет в другую.
4) DHCP надо ставить там где будут доступны нужные сети, у меня коммутаторы не все могут DHCP, да и DHCP это уже
адресация, поэтому у меня DHCP сервера (их несколько) работают на микротик-роутерах.
Но каждый DHCP естественно обслуживает свою сеть, а сеть такая каждая в своём вилане.
5) Ограничения доступа к Интернету, опять же - при чём тут коммутатор, если Вы будете на коммутаторе это
реализовывать - Вы тем самым коммутатор де-факто сделаете роутером, а у микротика это грань итак еле-еле.
Тем более коммутатор, как я писал Выше и Вы это знаете, работает на своём уровне, и для него пакет - это
лишь только пакет, а куда он (в локальную сеть или в Интернет идёт) коммутатор не знает.
Поэтому вопрос - как Вы собираетесь делать ограничения на коммутаторе, если он не понимает этого?!
Это чисто способность роутера, пришёл пакет от компа, идёт запрос на Яндекс, DST-адрес в пакете
внешний, роутер проверит, нет ли ограничений и если их нет, проНАТит пакет и выпустит в Интернет.
6) как только Вы запустите DHCP на коммутаторе и при этом конечно надо задать ещё и IP-коммутатору,
всё, можно сказать что уже он стал на половинку роутером.
Итог:
Я бы Вам порекомендал купить 2 хороших свитча (не микротика), естественно управляемых,
на них сделать чистые виланы + коммутация и не будет соблазна как-то иначе их использовать.
А в качестве роутера надо брать железку по мощнее (с учётом канала(ов), трафика клиентов, нагрузки,
всё это можно прикинуть), и приводить виланы на роутер, ставить адресацию, + DHCP, NTP и т.д.
И опять же, в будущем станет вопрос увеличение пропускной способности, агрегации каналов,
это на свитчах проще делать (для Вас это будет проще).
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Это Вам ещё по доброте душевной модератор объясняет всё подробно ...
Врач бы сказал проще - "в морг значит в морг". (Это для посвященных ...)
Что там ещё за рассуждения могут быть на тему эту - Вам четко сказали уже: роутер - это роутер (маршрутизатор). Коммутатор - это коммутатор (какой бы "умный" он не был ...) и точка. Используйте оборудование по назначению и не парьте людям мозг ...
Даже у кофейника не возникнет никогда желания чай заваривать ...
Врач бы сказал проще - "в морг значит в морг". (Это для посвященных ...)
Что там ещё за рассуждения могут быть на тему эту - Вам четко сказали уже: роутер - это роутер (маршрутизатор). Коммутатор - это коммутатор (какой бы "умный" он не был ...) и точка. Используйте оборудование по назначению и не парьте людям мозг ...
Даже у кофейника не возникнет никогда желания чай заваривать ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 10
- Зарегистрирован: 01 мар 2019, 18:52
1) Напишу что я подразумеваю под фильтрами. Например ПК ip 192.168.1.170 не имеет доступа к NAS 192.168.1.62. Или ПК c IP 192.168.1.171 не имеет доступа к выходу в интернет вообще, или телефоны на wi-fi с определенными ip не имеют доступа к локальной сети, только выход в интернет.
2) Никогда не приходилось сталкиваться. Я не против, я обязательно займусь этим делом.
3) Понял
4) В данный момент у меня так же
5) Да это я понимаю, просто у данного комутатора полный интерфейс RouterOS, и я думал что коммутатор может полностью выполнить все функции роутера.
6) Да я это понимаю, я наверно так и хотел сделать)
7) Если бы была финансовая возможность, уже бы так сделал, + нанял какого нибудь специалиста который все это настроил бы грамотно)))
Спасибо вам за ответы.
2) Никогда не приходилось сталкиваться. Я не против, я обязательно займусь этим делом.
3) Понял
4) В данный момент у меня так же
5) Да это я понимаю, просто у данного комутатора полный интерфейс RouterOS, и я думал что коммутатор может полностью выполнить все функции роутера.
6) Да я это понимаю, я наверно так и хотел сделать)
7) Если бы была финансовая возможность, уже бы так сделал, + нанял какого нибудь специалиста который все это настроил бы грамотно)))
Спасибо вам за ответы.