Mikrotik, VLAN и прохождение l2 трафика

Обсуждение ПО и его настройки
Ответить
po7eidon
Сообщения: 18
Зарегистрирован: 04 сен 2016, 23:25

Всех с прошедшими праздниками, друзья! Есть проблема с прохождением маков до биллинга. Неизвестные маки невидно и в логах пусто. Так как сеть порезана вланами, это логично. Проблема не в биллинге, если приконектить напрямую в бридж все работает. Подскажите пожалуйста, как можно преобразовать сеть, чтобы и сегментацию не потерять и микротик в качестве NAS оставить в работе. Вот примерная схема сети:

Изображение


В домашнем хозяйстве:
RB941-2nD
RB951G-2HnD
RB433AH
RB411AR
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Не совсем понял, задачи Ваши:
то нет МАКов на биллинге, то надо микротик в качестве NAS оставить!? (начали с одного, надо другое) :-)
(отвечу как понял я и как думаю/вижу я)

1) Если надо чтобы биллинг видел МАКи нужные, я бы сделал проще, тем более если уже есть виланы,
то привёл все виланы на биллинг. Если биллинг - это виртуальная машина, то я бы сделал
2-3-4 виртуальных сетевых интерфейса, каждый интерфейс - в свой вилан... И биллинговая машина была
внутри каждого вилана (в каждой отдельной сети), а значит видела МАКи все в каждом своём вилане.
И сегментация осталась, и всё работает, и биллинг был (как роутер) = видит все сети сразу.

2) Использовать микротик в качестве NAS = очень плохо. НЕ "заточен" он для этого.
При такой схеме сети, я бы воткнул средне-начальный NAS сервер прямо в центр сети,
(где у Вас написано Switch), хотя что там у Вас за свитч не понятно.
И также сделал, чтобы его клиенты видели.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
po7eidon
Сообщения: 18
Зарегистрирован: 04 сен 2016, 23:25

Vlad-2 писал(а): 10 янв 2019, 23:07 Не совсем понял, задачи Ваши:
то нет МАКов на биллинге, то надо микротик в качестве NAS оставить!? (начали с одного, надо другое) :-)
(отвечу как понял я и как думаю/вижу я)

1) Если надо чтобы биллинг видел МАКи нужные, я бы сделал проще, тем более если уже есть виланы,
то привёл все виланы на биллинг. Если биллинг - это виртуальная машина, то я бы сделал
2-3-4 виртуальных сетевых интерфейса, каждый интерфейс - в свой вилан... И биллинговая машина была
внутри каждого вилана (в каждой отдельной сети), а значит видела МАКи все в каждом своём вилане.
И сегментация осталась, и всё работает, и биллинг был (как роутер) = видит все сети сразу.

2) Использовать микротик в качестве NAS = очень плохо. НЕ "заточен" он для этого.
При такой схеме сети, я бы воткнул средне-начальный NAS сервер прямо в центр сети,
(где у Вас написано Switch), хотя что там у Вас за свитч не понятно.
И также сделал, чтобы его клиенты видели.
Спасибо за подробный ответ. Микротик ccr-1036 в качестве NAS, пока так бюджетно, по мере роста будем что-то менять обязательно. Свитч в центре пока под вопросом какой. Используем UBilling в роли биллингового сервера на фряхе., кстати на ней пробовал добавить пользовательские вланы, но ничего не изменилось. Сейчас проблема в том что биллинг работает с одним пользовательским интерфейсом, т.е. если мы выбираем какой либо влан, то мы сможем авторизовать хост в этом сегменте, но у нас вланов более 120 и будут рости. Также после изоляции вланами мы не видим на билинге не авторизованные маки хостов и приходится забивать руками+не работает arp ping, как это все побороть я пока не придумал, уже бьюсь третий день над этим. Может надо менять схему сети, но без биллинга работает все замечательно. Пробовал на freebsd добавить эти вланы, но ничего не изменилось.


В домашнем хозяйстве:
RB941-2nD
RB951G-2HnD
RB433AH
RB411AR
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

po7eidon писал(а): 10 янв 2019, 23:34 Спасибо за подробный ответ. Микротик ccr-1036 в качестве NAS, пока так бюджетно,
Я правильно понимаю, Вы из CCR1036 сделали сервер хранения данных?
Это очень не бюджетно. Из роутера хорошего, 36 ядерного делать файло-помойку. :sh_ok:
po7eidon писал(а): 10 янв 2019, 23:34 Свитч в центре пока под вопросом какой.
Ну тут от трафика локальной сети и от магистралей зависит. По схеме всё красиво,
а вот как на деле. Надо брать и с запасом и такой свитч(коммутатор) у которого
шина данных(внутренняя) не слабая.
po7eidon писал(а): 10 янв 2019, 23:34 Используем UBilling в роли биллингового сервера на фряхе., кстати на ней пробовал добавить пользовательские вланы, но ничего не изменилось. Сейчас проблема в том что биллинг работает с одним пользовательским интерфейсом, т.е. если мы выбираем какой либо влан, то мы сможем авторизовать хост в этом сегменте, но у нас вланов более 120 и будут рости.
1) зачем 120 виланов ? (я понял что у Вас именно разных виланов 120 штук?) Вы что провайдер? Или у Вас каждый комп в отдельном вилане? :sh_ok:
2) второй вопрос: если Ваш биллинг не работает с виланами как надо (в-параллель), то может обхитрить его, и (пока теоретически лишь говорю)
сделать так, чтобы к биллингу приходили только адресация, без МАКов? (хотя спорно, сам понимаю)
2.1) А что форум/саппорт UBilling говорит по части работы с виланами?
3) Ставить 3-4-6 разных копий UBilling и каждый вилан на свой биллинг (понимаю что тоже звучит ужасно, но ...)
po7eidon писал(а): 10 янв 2019, 23:34 Также после изоляции вланами мы не видим на билинге не авторизованные маки хостов и приходится забивать руками+не работает arp ping, как это все побороть я пока не придумал, уже бьюсь третий день над этим. Может надо менять схему сети, но без биллинга работает все замечательно. Пробовал на freebsd добавить эти вланы, но ничего не изменилось.
Вам надо определиться, либо если Вы хотите видеть маки всех виланов на биллинге, приводите туда все виланы, всё будете видеть,
линукс и фряха должны работать с виланами замечательно, делаете сетевой интерфейс транковым, туда гоните со свича (с транкового порта)
все виланы на сетевой интерфейс, а уже внутри фряхи поднимаете каждый вилан, даёте адресацию. Это я и имел ввиду в первом своём сообщении.
Если такой вариант не подходит, значит надо биллинг затачивать лишь под адресацию, но и тут есть свои но...

На счёт ARP - не понял, если все виланы есть на CCR1036 - то все маки всех виланов на CCR Вы видеть и должны. Если не видите, что-то не то
у Вас в сети.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
po7eidon
Сообщения: 18
Зарегистрирован: 04 сен 2016, 23:25

Vlad-2 писал(а): 10 янв 2019, 23:53
po7eidon писал(а): 10 янв 2019, 23:34 Спасибо за подробный ответ. Микротик ccr-1036 в качестве NAS, пока так бюджетно,
Я правильно понимаю, Вы из CCR1036 сделали сервер хранения данных?
Это очень не бюджетно. Из роутера хорошего, 36 ядерного делать файло-помойку. :sh_ok:
po7eidon писал(а): 10 янв 2019, 23:34 Свитч в центре пока под вопросом какой.
Ну тут от трафика локальной сети и от магистралей зависит. По схеме всё красиво,
а вот как на деле. Надо брать и с запасом и такой свитч(коммутатор) у которого
шина данных(внутренняя) не слабая.
po7eidon писал(а): 10 янв 2019, 23:34 Используем UBilling в роли биллингового сервера на фряхе., кстати на ней пробовал добавить пользовательские вланы, но ничего не изменилось. Сейчас проблема в том что биллинг работает с одним пользовательским интерфейсом, т.е. если мы выбираем какой либо влан, то мы сможем авторизовать хост в этом сегменте, но у нас вланов более 120 и будут рости.
1) зачем 120 виланов ? (я понял что у Вас именно разных виланов 120 штук?) Вы что провайдер? Или у Вас каждый комп в отдельном вилане? :sh_ok:
2) второй вопрос: если Ваш биллинг не работает с виланами как надо (в-параллель), то может обхитрить его, и (пока теоретически лишь говорю)
сделать так, чтобы к биллингу приходили только адресация, без МАКов? (хотя спорно, сам понимаю)
2.1) А что форум/саппорт UBilling говорит по части работы с виланами?
3) Ставить 3-4-6 разных копий UBilling и каждый вилан на свой биллинг (понимаю что тоже звучит ужасно, но ...)
po7eidon писал(а): 10 янв 2019, 23:34 Также после изоляции вланами мы не видим на билинге не авторизованные маки хостов и приходится забивать руками+не работает arp ping, как это все побороть я пока не придумал, уже бьюсь третий день над этим. Может надо менять схему сети, но без биллинга работает все замечательно. Пробовал на freebsd добавить эти вланы, но ничего не изменилось.
Вам надо определиться, либо если Вы хотите видеть маки всех виланов на биллинге, приводите туда все виланы, всё будете видеть,
линукс и фряха должны работать с виланами замечательно, делаете сетевой интерфейс транковым, туда гоните со свича (с транкового порта)
все виланы на сетевой интерфейс, а уже внутри фряхи поднимаете каждый вилан, даёте адресацию. Это я и имел ввиду в первом своём сообщении.
Если такой вариант не подходит, значит надо биллинг затачивать лишь под адресацию, но и тут есть свои но...

На счёт ARP - не понял, если все виланы есть на CCR1036 - то все маки всех виланов на CCR Вы видеть и должны. Если не видите, что-то не то у Вас в сети.
На ccr ничего не хранится. У нас планируется влан на порт каждого управляемого коммутатора и с этого порта идет дальше на тупые свитчи доступа. Насчет завести вланы на фряху, я это уже делал, возможно неправильно, с ней я на вы. ARP ping (пинг по маку) не работает в билинге, он просто не видит наши вланы. Саппорт биллинга предлагает вообще использовать сам билинг в качестве NAS и DHCP сервера, а на микроте только терминировать вланы, но это не вариант. Биллинг нам нужен для авторизации клиентов и как база данных. Да, мы местный очень мелкий провайдер.


В домашнем хозяйстве:
RB941-2nD
RB951G-2HnD
RB433AH
RB411AR
Ответить