Спасибо, моя ошибка я в схеме ну указал что отдел это не целый этаж, а отдельно каждый цветной квадратик это отдел.
Так что понимаю без VLANов мне не обойтись.
Настройка VLAN с тегированным и нетегированным трафиком
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
mafijs
- Сообщения: 564
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Во как. Вопрос - звчем так изолировать отлелы ? всё равно доступа в компютер нет, если ничего не рассшарено.
Позже появится какая нибудь общая файло-помойка и надо будет дать доступ всем.
Ну можно каждый CRS125 своим кабелем к CCR1036.
С нaчала соберите без vlan. Возножно даже не понадобится vlan.
Это просто мои мысли на тему
Позже появится какая нибудь общая файло-помойка и надо будет дать доступ всем.
Ну можно каждый CRS125 своим кабелем к CCR1036.
С нaчала соберите без vlan. Возножно даже не понадобится vlan.
Это просто мои мысли на тему
-
doorsman
- Сообщения: 0
- Зарегистрирован: 30 ноя 2017, 21:52
По Вашему предложению я сделаю обязательно сохраню конфиги и буду играться с VLANами. Если не получиться восстановлю сохраненные конфиги и поставлю, а пока есть время на столе собрать схему без ущерба для работы сети предприятия буду пробовать все что можно(когда еще такой шанс выпадет 
) .
Может оно и в действительности не нужно разбивать на каждый отдел достаточно 3 штуки (1С сервер, Wi-Fi, и все остальные).
) .Может оно и в действительности не нужно разбивать на каждый отдел достаточно 3 штуки (1С сервер, Wi-Fi, и все остальные).
-
mafijs
- Сообщения: 564
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
WiFi подять на CAPsMAN , если и все точки Mikrotik. Там уже и отделяная подсеть и блокировка трафика между клиентами при надобности.
Этаж - своя подсеть. Для начала.
Этаж - своя подсеть. Для начала.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Виланы нужны, во-первых, разделяя сеть виланами, мы уменьшаем домен коллизий,
а это и лучше и уменьшает в будущем бродкаст-штормов в сети, ибо они будут
ограничены отдельным виланом.
Второе, естественно, каждый важный сервис требует и полного управления и удобства,
поэтому ВиФи тоже обязательно нужно выделять в отдельный вилан, это требуется
даже для норм безопасности, как ни как по ВиФи может подключиться не доброжелатель,
поэтому тут нужен наверно два вилана, ВиФИ-сеть обычная и ВиФИ сеть гостевая.
Ну и опять же, смотря на чём ВиФи сеть делается, может быть потребуется сеть
отдельная для управления точками (точки Убикью требуют L2-сеть для администрирования).
В-третьих, явно утверждать что пользователям тем только потребуется Интернет и всё,
опрометчиво, всё меняется разом, бац, отдел съехал, на его место другой отдел заселился,
вот будет головняка потом что-то коммутировать, поэтому виланы должны быть как бы
сказать в комплексе, и должна быть возможность тут или иной порт, или группу портов
пару кликами засунуть/высунуть из одного вилана и засунуть в другой. Вот она
сущность и гибкость виланов.
(то есть у Вас в локальной сети скажем 7-10 виланов, 3 это вифи, 2 видеонаблюдение,
ну и один для 1С и так далее).
Пример:
Бац, надо подключить ещё одного 1С-клиента (аудитор на 5 дней приехал),
посадить его к бухам невозможно или нельзя, садят в другой кабинет, скажем
в приёмную или в конференц-зал, а там у Вас обычный свитч без вилана и доступов,
и что делать? А так, когда виланы "нарезаны", вы берёте, заходите
на этот свитч, порт Вы уже знаете куда Вы подключили этого аудитора, и порт19
(как пример) засовываете в вилан 11 (это сеть 1С и сервера там). Всё, после применения,
комп попадает в сеть 11 вилана, там может работать уже свой DHCP,
комп аудитора получит адрес, и может работать уже с 1С. Надо доступ в Интернет,
вот тут и вступает уже маршрутизатор, который позволяет или не позволяет
таким то сетям работать или не работать в Интернете.
Виланы хорошо, но и скорость Важна, где сможете, предусмотрите возможность
свитчи соединить их по 2гигабитным каналам, и как я говорил выше, не надо
делать коммутацию на роутере, он как бы сбоку должен быть, решать вопросы
иные, но коммутация должна быть со свитчей на свитч(узловой).
а это и лучше и уменьшает в будущем бродкаст-штормов в сети, ибо они будут
ограничены отдельным виланом.
Второе, естественно, каждый важный сервис требует и полного управления и удобства,
поэтому ВиФи тоже обязательно нужно выделять в отдельный вилан, это требуется
даже для норм безопасности, как ни как по ВиФи может подключиться не доброжелатель,
поэтому тут нужен наверно два вилана, ВиФИ-сеть обычная и ВиФИ сеть гостевая.
Ну и опять же, смотря на чём ВиФи сеть делается, может быть потребуется сеть
отдельная для управления точками (точки Убикью требуют L2-сеть для администрирования).
В-третьих, явно утверждать что пользователям тем только потребуется Интернет и всё,
опрометчиво, всё меняется разом, бац, отдел съехал, на его место другой отдел заселился,
вот будет головняка потом что-то коммутировать, поэтому виланы должны быть как бы
сказать в комплексе, и должна быть возможность тут или иной порт, или группу портов
пару кликами засунуть/высунуть из одного вилана и засунуть в другой. Вот она
сущность и гибкость виланов.
(то есть у Вас в локальной сети скажем 7-10 виланов, 3 это вифи, 2 видеонаблюдение,
ну и один для 1С и так далее).
Пример:
Бац, надо подключить ещё одного 1С-клиента (аудитор на 5 дней приехал),
посадить его к бухам невозможно или нельзя, садят в другой кабинет, скажем
в приёмную или в конференц-зал, а там у Вас обычный свитч без вилана и доступов,
и что делать? А так, когда виланы "нарезаны", вы берёте, заходите
на этот свитч, порт Вы уже знаете куда Вы подключили этого аудитора, и порт19
(как пример) засовываете в вилан 11 (это сеть 1С и сервера там). Всё, после применения,
комп попадает в сеть 11 вилана, там может работать уже свой DHCP,
комп аудитора получит адрес, и может работать уже с 1С. Надо доступ в Интернет,
вот тут и вступает уже маршрутизатор, который позволяет или не позволяет
таким то сетям работать или не работать в Интернете.
Виланы хорошо, но и скорость Важна, где сможете, предусмотрите возможность
свитчи соединить их по 2гигабитным каналам, и как я говорил выше, не надо
делать коммутацию на роутере, он как бы сбоку должен быть, решать вопросы
иные, но коммутация должна быть со свитчей на свитч(узловой).
-
doorsman
- Сообщения: 0
- Зарегистрирован: 30 ноя 2017, 21:52
Спасибо огромное за столь исчерпывающие ответы теперь я на 100% убедился в необходимости виланов.
Еще вопрос можно ли использовать RB951G-2HnD в качестве точки доступа Wi-Fi?
обязательно изучу эту технологию не пригодиться здесь на будущее очень актуально.
Еще вопрос можно ли использовать RB951G-2HnD в качестве точки доступа Wi-Fi?
mafijs писал(а):WiFi подять на CAPsMAN , если и все точки Mikrotik. Там уже и отделяная подсеть и блокировка трафика между клиентами при надобности.
Этаж - своя подсеть. Для начала.
обязательно изучу эту технологию не пригодиться здесь на будущее очень актуально.
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
doorsman писал(а):Спасибо огромное за столь исчерпывающие ответы теперь я на 100% убедился в необходимости виланов.
Не за что! Главное помните и я говорил, с виланами в будущем будет просто,
но чтобы было просто,гибко и удобно, эту работу по созданию виланов,
их описанию на каждом свитче и роутере - это тот процесс который надо пройти.
Опять же, сразу в документацию надо вписывать, какие виланы (названия и id),
за что отвечает, какие порты будут тегированнными, а какие нетегированными.
Поэтому внедрение виланов не сложное, особенно когда есть оборудование,
главное педантично подойти ко всему.
doorsman писал(а):Еще вопрос можно ли использовать RB951G-2HnD в качестве точки доступа Wi-Fi?
Вопрос слишком какой-то такой общий: если просто для себя в кабинете, то конечно.
А если делать правильную большую сеть вифи по организации то тут уже надо более
детально подходить, да и в качестве вифи-точки использовать роутер, зачем
покупать дороже, когда используешь всего на треть.
У Микротика есть отдельные устройства, чисто Точки Доступа, и есть разных форм,
видов,мощностей и каналов. Если уж делать ВИФИ сеть, то делать надо
приближённо правильно: то есть ставит 10-20-30 точек, правильно их расставить
по организации, то есть сделать расчёт где мёртвые зоны, где много пользователей
чаще всего и ряд других критерий есть. Вообще ВиФи сеть это отдельный комплекс.
Поэтому и подходить надо правильно-основательно.
Если сделаете сеть проводную на виланах, то ВиФи в будущем делать будет проще,
через виланы можно точек навесить много и подключив их к ближайшим свитчам,
за счёт виланов всё это сделать как единую сеть L2-уровня.
-
doorsman
- Сообщения: 0
- Зарегистрирован: 30 ноя 2017, 21:52
Wi-Fi как основная задача пока не висит так что да RB951G-2HnD Mikrotik временное решении для себя ну и в пару отделов для вайбера .
А про виланы Вы мне очень доходчево объяснили очень благодарен, если во время настройки возникнут вопросы хотел бы рассчитывать на Ваши советы.
ну и в пару отделов для вайбера .А про виланы Вы мне очень доходчево объяснили очень благодарен, если во время настройки возникнут вопросы хотел бы рассчитывать на Ваши советы.
-
PapaTramp
- Сообщения: 1
- Зарегистрирован: 14 дек 2017, 02:10
Настраивал нечто подобное у себя.
Роутер: CCR1009-7G-1C-1S, два свича CSS326-24G-2S-1, свитч Ubiquiti EdgeSwitch 24 и свитч Ubiquiti EdgeSwitch 48.
Компьютеры и принтеры в сети 192.168.160.0/24.
WiFi устройства в сети .180.0/24
IP камеры в сети .150.0/24
SIP телефоны в сети .170.0/24
на рутере:
Честно говоря, я не помню, для чего запихивал ether7 в бридж.
На первом свиче микротика указал, что порт 23 и порт SFP используют VLAN 190, на втором свиче указал что порт 10 и SFP так же в VLAN 190.
EdgeSwitch 48:
EdgeSwitch 24:
Т.е. у меня часть устройств в VLAN, часть - в дефолтном VLAN. У нас еще не до конца определились в сетками, рабочими местами и тд, потому и такая половинчатость. Хотя нет ничего более постоянного, чем временное :)
Роутер: CCR1009-7G-1C-1S, два свича CSS326-24G-2S-1, свитч Ubiquiti EdgeSwitch 24 и свитч Ubiquiti EdgeSwitch 48.
Компьютеры и принтеры в сети 192.168.160.0/24.
WiFi устройства в сети .180.0/24
IP камеры в сети .150.0/24
SIP телефоны в сети .170.0/24
на рутере:
Код: Выделить всё
/interface vlan
add interface=ether6 name=TEST-VLAN vlan-id=190
add interface=ether7 name=VLAN-CAMERA-150 vlan-id=150
add interface=ether7 name=VLAN-VOIP-170 vlan-id=170
add disabled=yes interface=ether7 name=VLAN-WIFI vlan-id=180Код: Выделить всё
/interface bridge port
add bridge=Bridge_WiFi interface=ether7Честно говоря, я не помню, для чего запихивал ether7 в бридж.
Код: Выделить всё
/ip dhcp-server
add address-pool=LAN-POOL disabled=no interface=ether6 name=DHCP_LAN
add address-pool=WIFI-POOL authoritative=after-2sec-delay disabled=no interface=Bridge_WiFi name=DHCP_WIFI
add address-pool=CAMERA-POOL disabled=no interface=VLAN-CAMERA-150 name=DHCP-CAMERA
add address-pool=VOIP-POOL disabled=no interface=VLAN-VOIP-170 name=DHCP-VOIP
add address-pool=TEST-POOL-190 disabled=no interface=TEST-VLAN name=DHCP-TESTНа первом свиче микротика указал, что порт 23 и порт SFP используют VLAN 190, на втором свиче указал что порт 10 и SFP так же в VLAN 190.
EdgeSwitch 48:
EdgeSwitch 24:
Т.е. у меня часть устройств в VLAN, часть - в дефолтном VLAN. У нас еще не до конца определились в сетками, рабочими местами и тд, потому и такая половинчатость. Хотя нет ничего более постоянного, чем временное :)
-
kowalsky
- Сообщения: 16
- Зарегистрирован: 24 июл 2016, 11:29
- Откуда: Москва
Подскажите как нетегированный трафик сделать тегированным. Предположим на ether24 пришел трафик как мне на него повесить метку и далее уже транком отправить с остальными вланами.