Ограничения в локальной сети

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
blo0ds
Сообщения: 0
Зарегистрирован: 20 фев 2017, 15:14

Спасибо тебе добрый человек, немного понятнее стало.
Роутер у меня RB2011U
Может я с утра не проснулся, но по правилам сети на шлюз никто не обращается, пока не выходят обращение за рамки маски сети.
А значит как Вы хотите "резать" клиентов из сети 192.168.0.0/24 при обращении на узел сети 192.168.0.10 ?
Они идут мимо, в рамках обычной работы сети на L2-layer.
И такая схема (где указывается интерфейс) тоже не работает, Вы же задаёте таргет уже адресом, значит и ДСТ должен быть адресом,
нельзя разные уровни оперировать, сильно не буду утверждать, но с указанием ether у меня не работала очередь.

А если забить в таргет допустим ether6 (любой комп) а в Dst. Ether3 (сервер), то между ними будет работать? Сейчас попробую)
Ну и последнее, если у Вас такая сложная схема, свитчи, роутеры, может надо посмотреть и что-то переделать?
Может есть уже где-то в сети "узкое горлышко"?
Пора на свитчах и/или на роутерах поднимать (делать) режим Бондинга(объединения несколько портов, что позволит увеличить скорость).
Так же если у Вас огромные скорости, не проще заменить логический бридж в роутере на свитч-чип? Он быстрее, производительнее,
Вы кстати ни сказали какой у Вас роутер, марка, память?
Что показывает утилита Profile ? Нагрузка на какой компонент системы?
Вообще то нагруженные сервера только в хороший аппаратный проф-свитч подключают и желательно уровня 3 и как я уже написал - сразу 2 сетевыми картами.

режим Бондинга для сервера сложно физически, да вторая карта в нем на 100мбит.
По поводу свитч чипов я не могу этого, т.к. 3 порта на vlan и разных подсетях с своим DHCP, при объединении конфликты( Можно конечно DHCP взять с основного, но тогда и нагрузка на основной микротик больше станет( Надо конечно подумать....
Также в Вашем конфиге (бегло посмотрел) почему то два раза пулы одни и теже описаны?
Также и по версии прошивки, даже самая при самая стабильная сейчас 6.37.4, а у Вас пока уже старая..а у микротиков политика - обновлять надо.

По поводу пулов есть такое, но они не используются, проще говоря все хорошо. По поводу обновлений это да. Но исходя из опытов, то не так и необходимо.
Пришла идея, если Вы так хотите ограничивать/контролировать трафик сервера 192.168.0.10, уводите её в сетку отдельную, маркируйте её трафик,
а лучше по сервисам маркируйте, и эту маркировку указывайте в очередях, да - более сложно и тонкая настройка, но трафик и через роутер пойдёт и
Вы при правильной маркировке сможете нужный сервис обеспечить нужным приоритетом и скоростью, но роутер должен это потянуть.

Конечно не хотелось бы выделять его в отдельную подсеть, но если по другому никак....
Проще говоря попробую и отпишусь)


blo0ds
Сообщения: 0
Зарегистрирован: 20 фев 2017, 15:14

А если забить в таргет допустим ether6 (любой комп) а в Dst. Ether3 (сервер), то между ними будет работать? Сейчас попробую)


Работает!!! Значит можно забить интерфейсы и по ним будут квоты)


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

blo0ds писал(а):
А если забить в таргет допустим ether6 (любой комп) а в Dst. Ether3 (сервер), то между ними будет работать? Сейчас попробую)

Работает!!! Значит можно забить интерфейсы и по ним будут квоты)

Я рад что подставив "общий знаменатель" сработало у Вас очередь по физическим портам,
но к сожалению не увидел инженерного подхода.

Вроде всё правильно пишите/отвечаете, но а по многим вопросам - увильнули (формально).
свич-чип можно сделать лишь в рамках 2-х портов только и это бы работало, виланы можно увести,
DHCP поднять ещё где-то, и ещё раз - сеть пора сегментировать и оптимизировать,
"ядро" сети делать сильнее и мощнее, что-то мелочное на другое периферийное оборудование вынести.
Так и не сообщили какой у Вас роутер/память его/нагрузка?, и даже если в сервере у Вас гигабитная сетевая карта,
выжать через роутер полный(настоящий)гигабит - почти нереально, а если ещё трафик пойдёт через процессор (а
он пойдёт так как его роутер должен анализировать и им управлять) то будет скорость намного ниже.

В любом случаи локальную сеть (в рамках работы между клиентами и серверов друг от друга не ограничивают,
а расширяют саму сеть и её пропускную способность).

Удачи Вам



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
blo0ds
Сообщения: 0
Зарегистрирован: 20 фев 2017, 15:14

Я рад что подставив "общий знаменатель" сработало у Вас очередь по физическим портам,
но к сожалению не увидел инженерного подхода.

Вроде всё правильно пишите/отвечаете, но а по многим вопросам - увильнули (формально).
свич-чип можно сделать лишь в рамках 2-х портов только и это бы работало, виланы можно увести,
DHCP поднять ещё где-то, и ещё раз - сеть пора сегментировать и оптимизировать,
"ядро" сети делать сильнее и мощнее, что-то мелочное на другое периферийное оборудование вынести.
Так и не сообщили какой у Вас роутер/память его/нагрузка?, и даже если в сервере у Вас гигабитная сетевая карта,
выжать через роутер полный(настоящий)гигабит - почти нереально, а если ещё трафик пойдёт через процессор (а
он пойдёт так как его роутер должен анализировать и им управлять) то будет скорость намного ниже.

В любом случаи локальную сеть (в рамках работы между клиентами и серверов друг от друга не ограничивают,
а расширяют саму сеть и её пропускную способность).

Удачи Вам


Спасибо!
Скорость с сервером максимальная 850 мбит. Сервер на 3-ем порту.
Ограничение поставил на 730 мбит и поставил очереди pcq (честно, то стало намного лучше, чем без этого правила).
Роутер у меня RB2011U (основной, через который интернет и сервер) и 2-ва микротика RB951 по vlana'м на 4-м и 5-м портах основного (соединение по гигабитным портам).
На микротиках RB951 свой DHCP сервер и сети 192.168.10.0/24 (1-й RB951) и 192.168.20.0/24 (2-й RB951)
На основном (RB2011U) свой DHCP c 192.168.0.0/24.
Сети объединены через медь по гигабитным портам (4-й и 5-й, соответственно vlan ID -10 и vlan ID -20, по каждому на порт).
программно сети объединены через настройки роутинг и адреса, на каждом микротике.
Настроено было в соответствии с одной статьёй + указан был wins сервер. (проще говоря компьютеры видят друг друга, интернет есть везде)
НО!!!
Порты на основном (RB2011U) 4-й и 5-й вообще никуда не объединены не в бридж ни в свитч! Так же, как и на RB951 имеют по одному порту, в который входит медь.
Иначе, если включать эти порты в свитч/бридж, то микротик начинает в другой сети раздавать адреса устройствам со своего DHCP!

Вопрос про оптимизацию в продолжение разговора (думаю будет интересно)....
Как можно поток пакетов из vlan'ов (других сетей) увести напрямую на сервер на 3-й порт (что бы трафик не через процеcсор шёл)?
Это решение снизило бы нагрузку....
Потом может я вообще не очень то и правильно делаю, что создал 3 сегмента сети? Нагрузка на центральный ЦП была бы меньше, если был бы один DHCP на одном устройстве?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

blo0ds писал(а):Вопрос про оптимизацию в продолжение разговора (думаю будет интересно)....
Как можно поток пакетов из vlan'ов (других сетей) увести напрямую на сервер на 3-й порт (что бы трафик не через процеcсор шёл)?
Это решение снизило бы нагрузку....
Потом может я вообще не очень то и правильно делаю, что создал 3 сегмента сети? Нагрузка на центральный ЦП была бы меньше, если был бы один DHCP на одном устройстве?

Важные советы я дал ранее.
Повторюсь в общих планах:
1) если делается выбор между маршрутизацией и коммутацией, надо стараться выбрать коммутацию (для сервера это особенно предпочтительно)
2) виланы прекрасно умеют делать и поддерживают обычные управляемые свитчи, отсюда совет - для упрощения и снятия нагрузки - поставьте свитч "железный",не мучьте роутер задачами, на которые он не рассчитан
3) а роутер - пусть только маршрутизирует между сетями, а там уже смотрите в итоге и опять приводите к общему знаменателю и где-то к сокращению/упрощению топологии в целом.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
blo0ds
Сообщения: 0
Зарегистрирован: 20 фев 2017, 15:14

Важные советы я дал ранее.
Повторюсь в общих планах:
1) если делается выбор между маршрутизацией и коммутацией, надо стараться выбрать коммутацию (для сервера это особенно предпочтительно)
2) виланы прекрасно умеют делать и поддерживают обычные управляемые свитчи, отсюда совет - для упрощения и снятия нагрузки - поставьте свитч "железный",не мучьте роутер задачами, на которые он не рассчитан
3) а роутер - пусть только маршрутизирует между сетями, а там уже смотрите в итоге и опять приводите к общему знаменателю и где-то к сокращению/упрощению топологии в целом.

Ну если честно, то менять оборудование не хочется! Если не будет хватать ресурсов оборудования, то да.
А этот вопрос проще говоря про оптимизацию)
При этом в RB2011U есть же 2 свитча. Вроде, как он умеет оперировать vlan, но только, как это сделать, я не очень понимаю. В вики микротика вообще ничего не понятно, а в интернете именно такого примера не нашёл( Есть с бриджами, но через свитч самого микротика нет. Да и потом реализуемо ли это в принципе? или это равносильно объединению езернет портов в свитч?


Ответить