Russian Users MikroTik | Форум пользователей MikroTik

Vlad-2 писал(а): ↑06 авг 2020, 12:41
mr_dima писал(а): ↑06 авг 2020, 11:18 К сожалению, к сети сейчас нет доступа. В скором будущем случится выез на пусконаладку. Вот как раз и занимаюсь подготовкой.. хочу быть максимально готов к ней.
Не знал, что порты изолированы. Значит VLAN не нужны? Ok.
А я правильно понял, что Вы на базе микротика (который Вы плохо знаете)
хотите на предприятии сделать пуско-наладку сети?
Аж странно это звучит, особенно читая Ваши сообщения!

Также в первом посту Вы написали что сети объединять не надо,
а сами бриджуете порты. Это просто дико воспринимается
(условия одно, на деле делаем другое)

Опять же, модель роутера должна будет обеспечивать производительность,
то есть роутер должен выдержать трафик, а так как Вы хотите (будете использовать
NAT-правила), то это нагрузка.
Поэтому вопросы:
а) какой трафик суммарный на вход/выход у сервера
б) какой суммарный трафик может создать одна под-сеть.
в) сети равнозначны (хотя бы условно, то есть и там 50 клиентских устройств и
в другой сети скажем 48 устройств?)

Нюансы:
1) Также надо понимать, гигабитный порты в роутере, это их название, по факту и
прочим данным, до гигабита там далеко.
2) РБ2011 - морально (по процессору) "старый" роутер, у него в пике NAT будет максимум
100мбит, плюс тут ещё (как я выше написал) зависит от типа трафика.
3) если трафик с каждой сети будет близок к гигабиту, три сети по гигабиту, ну даже
скажем каждая по 700мбит Х 3 сети = 2,1 гигабита, а сервер у Вас по гигабиту зацеплен,
сами понимаете, уже мало. Поэтому нагруженные сервера, NAS'ы делают их сетевые порты
в агрегацию, 2 порта объединяют и формируется единый виртуальный канал данных.
Поэтому портов надо с запасом и больше. И кол-во ядер в роутере тоже пусть будет с запасом.

P.S.
Когда читал Ваше первое сообщение, на первых секундах как будто я читаю условие
к технической задаче и якобы надо это решить. То есть сложилось отдалённость
Вас от темы маршрутизации и коммутации, тем более это особенно выделялось,
когда Вы у xvo попросили пояснить про NAT.

Я старался.. но наверное я все же не донес суть.
Я не делаю пусконаладку сети. Это не моя сфера. Мне надо собрать кое-какую специальную информацию о работе кое-какого оборудования. И все.
Мне надо с моего сервера прочитать только по 1 устройству из каждой подсети, ничего не изменив в существующем состоянии дел. Т.е. оставив сети между собой изолированными(!)
Я забриджевал только(!) сервер с одной из сетей. Сервер я вправе поместить в любую сеть. Гавное чтобы существующие три сети контроллеров не соединились между собой на свиче во избежании конфликтов случайных адресов (я же не знаю кто и что туда воткнул еще).

Трафик минимальный.
Ну скажем, от одного устройства я собираюсь получать около 50 DWORD 1 раз в 2 секунды. Т.е. 300 байт в секунду суммарно(!) Это не трафик.

Задача - как можно меньше вмешиваться в работу существующих сетей. По-моему то, что я делаю тут - как раз то что надо.
Если бы нужн абыла нагрузка.. я бы сам в это точно не лез.

Я выбрал для примера RB2011 только потому, что из недорогих он хорошо в сетевой шкаф становится. Остальные более - дешевые настольного исполнения.

Про отдаленность... так и есть. От темы коммутации я отдален. Вот и пришел за советом сюда.

mr_dima писал(а): ↑06 авг 2020, 13:034. А можно не прописывать весь диапазон сетей? Мне же с сервера надо читать только по одному устройству. Например, вот так..
Код: Выделить всё
/ip firewall nat
add chain=srcnat action=src-nat dst-addreess=140.80.0.1 to-addresses=140.80.0.170
add chain=srcnat action=src-nat dst-addreess=192.168.2.1 to-addresses=192.168.2.170
add chain=srcnat action=src-nat dst-addreess=10.17.211.160 to-addresses=10.17.211.170

Да, конечно, можно и так.
Я даже сам вам так хотел написать изначально, но подумал, что сейчас вам нужно по одному, завтра нужно будет по 5 - проще сделать сразу на всю подсеть и уже не трогать.
Собственно, насколько критично то, что у сервера будет возможность ходить не только на эти три, но и на остальные - это вы сами решите исходя из соображений безопасности.
Главное, что смысл вы поняли.

По остальным вопросам тоже все верно и должно работать.

Куда отправлять микротик знать будет - до тех сетей, где у него есть адрес, у него автоматически есть и маршрут (connected routes это называется).

Огромное спасибо! Некоторые вещи стали более понятными.

А вот для этого правила к примеру..

Код: Выделить всё

add chain=srcnat action=src-nat dst-addreess=140.80.0.1 to-addresses=140.80.0.170

Правильно я понимаю, что настривая NAT в RouterOS я смогу вместо адреса назначения указать номер физического порта? (см. картинку)
Если да, как это можно записать правилом?

Собираюсь купить МикроТик и потестировать работу сначала на паре домашних ноутбуков )

mr_dima писал(а): ↑06 авг 2020, 15:00
Правильно я понимаю, что настривая NAT в RouterOS я смогу вместо адреса назначения указать номер физического порта? (см. картинку)
Если да, как это можно записать правилом?

Да, меняете условие dst-address= на out-interface=
Только не номер, а имя.

Можно вообще обойтись одним правилом: добавить все три интерфейса в какой-нибудь interface-list и в NAT'е использовать условие out-interface-list=

xvo писал(а): ↑06 авг 2020, 15:03
mr_dima писал(а): ↑06 авг 2020, 15:00
Правильно я понимаю, что настривая NAT в RouterOS я смогу вместо адреса назначения указать номер физического порта? (см. картинку)
Если да, как это можно записать правилом?
Да, меняете условие dst-address= на out-interface=
Только не номер, а имя.

Можно вообще обойтись одним правилом: добавить все три интерфейса в какой-нибудь interface-list и в NAT'е использовать условие out-interface-list=

Вау
Ok. Для интерфейсов смотрящих на контроллеры я создаю список - interface-list-PLC

Код: Выделить всё

add chain=srcnat action=src-nat out-interface-list=interface-list-PLC ...

дальше не понимаю что надо вписать.

mr_dima писал(а): ↑06 авг 2020, 15:37 дальше не понимаю что надо вписать.

А точно, там же разные адреса:
тогда меняете action на action=masquerade

Итого получится:

Код: Выделить всё

add chain=srcnat action=masquerade out-interface-list=interface-list-PLC

mr_dima писал(а): ↑06 авг 2020, 13:29 Я старался.. но наверное я все же не донес суть.
Я не делаю пусконаладку сети. Это не моя сфера. Мне надо собрать кое-какую специальную информацию о работе кое-какого оборудования. И все.
Мне надо с моего сервера прочитать только по 1 устройству из каждой подсети, ничего не изменив в существующем состоянии дел. Т.е. оставив сети между собой изолированными(!)
Я забриджевал только(!) сервер с одной из сетей. Сервер я вправе поместить в любую сеть. Гавное чтобы существующие три сети контроллеров не соединились между собой на свиче во избежании конфликтов случайных адресов (я же не знаю кто и что туда воткнул еще).

Я Вас понял, хотя подход слегка странный. Если ко мне приходит подрядчик/суб-клиент или
ещё кто-то и говорит что будет делать/ставить в сети что-то, я с ним обсуждаю,
договариваемся, я сам выдаю ему адресацию, и с учётом специфики делаю (в рамках сети) какие-то
манипуляции. Просто если ляжет сеть, крайний буду я - а я этого не хочу.
Да и подрядчику приятно, что у него есть "страховка"

mr_dima писал(а): ↑06 авг 2020, 13:29 Я выбрал для примера RB2011 только потому, что из недорогих он хорошо в сетевой шкаф становится. Остальные более - дешевые настольного исполнения.

Если принципиально надо чтобы оборудование было для сетевого шкафа, то тогда уже надо брать
модели РБ3011 или РБ4011. РБ3011-она уже стоечного форм-фактора, РБ4011 идёт с ушками для стойки.
А если надо слегка сэкономить (и места нету в шкафу), то есть "дешёво-домашнее" исполнение, тот же HEX S (RB760),
он РБ2011 "в два раза уложит", а стоит не дорого. Так что порой маленькие роутеры - она не всегда домашние.

И да, обязательно поиграйтесь на роутере, а лучше ещё скачать виртуальный роутер и на нём
все те команды что Вам показывает xvo проверить дома.
Нужен то компьютер, виртуализация, и как бы и всё.

Vlad-2 писал(а): ↑07 авг 2020, 02:16 надо брать
модели РБ3011 или РБ4011.

Зачем ему это?Для задач ТС даже Hap lite много

Прожевать до 100 кбит трафика справится любой Микротик.

Ca6ko писал(а): ↑07 авг 2020, 09:21 Зачем ему это?Для задач ТС даже Hap lite много
Прожевать до 100 кбит трафика справится любой Микротик.

Да я же посоветовал в рамках описанного ТС якобы какова-то "стоечного шкафа", а больше данных нет.

Может там у них условия жёсткие - оборудование должно быть только 19-дюймовым, стоечным.
А так конечно, начиная от RB750Gr2, 951/952 до hAP AC2 пойдёт.

И я бы hAP lite - уже не брал/не рекомендовал, всё чаще официально с ним проблемы. Прошивки
стали более ёмкими, и обновлять его, даже в тестовых моментах не всегда удаётся с первого раза.
На англо-форуме регулярно юзеры создают тему, не могут обновить hAP lite, ну и всё в таком роде.
(нет, конечно можно брать отдельно пакет(ы), и самому нужные ставить,
но хочется заводской официальный полный bandle-пакет использовать).

Vlad-2 писал(а): ↑07 авг 2020, 16:16 Да я же посоветовал в рамках описанного ТС якобы какова-то "стоечного шкафа", а больше данных нет.

Ну так ТС поэтому на 2011 и нацелился.

Russian Users MikroTik | Форум пользователей MikroTik

Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?

Re: Какую модель выбрать?