Russian Users MikroTik | Форум пользователей MikroTik

doorsman писал(а):Данный конфиг я собрал дома поэтому виланы выбрал на скорую руку.
На работе приехал MikroTik CCR1036-12G-4S.
Я для себя решил сделать следующее:
1. На первый порт приходит интернет по DHCP от провайдера, и на этот же порт я повешал 10 виланов (с 20 по 120).

Сразу уточнение: а зачем Вы на первом порту, первый порт у нас это WAN - зачем делать на нём
виланы (локальные)? Обычно делают виланы на WAN порту(ах) только в том случаи если надо принять/отправить
локальные сети дальше, через провайдера куда-то (скажем во второй-третий филиал).
А если филиала нету, то виланы на внешнем порту - это не правильно, всё равно что
что закрыть квартиру и ключ под коврик по класть.
Поэтому уточните мне пожалуйста этот момент.

doorsman писал(а):2. Попарно объединил 2й порт с 20м виланом 3й с 30 и так далее с помощью бриджей.

Тут тоже вопрос, может разделять сеть проще не виланами, а просто маршрутизацией.
Если конечно Вам виланы в будущем/сейчас не нужны. Если делать по Виланам, то делать
уже правильно и чтобы и другое сетевое оборудование виланы умела обрабатывать.

doorsman писал(а):6. Задача чтоб бухгалтера с сети 192.168.3.0 ходили по RDP на сервер с IP 192.168.2.250, а все остальные просто получали интернет.

ПО умолчанию, на микротике все сети приходящие в него не имеют ограничения(запретов), то есть если микротик
будет находиться в 3х-или даже в 5-ти разных сетях одновременно, он будет о них знать и через него
эти сети будут уже по-умолчанию доступны. Так что если Вы не перемудрили, то всё это прозрачно и
работает из коробки, то есть сразу.

doorsman писал(а):(Еще думаю про QoS, ограничение скорости по вланам, но пока с этим не разберался.)

Рано, пока логику, "физику" и понимание не придёт, рано!

doorsman писал(а):По поводу правела NAT скажу чесно нашел на просторах интернета и добавил после чего у меня поднялся интернет на всех портах.

НАТ штука хорошая, но опасная, если тупо включить НАТ для всего, и при обычной работе, например как дома,
там всё это работает идеально, всё что не для домашнего доступа, сразу в интернет, а значит НАТить, тут увы,
в офисе надо понимать, что если запрос идёт с одной локальной сети в другую локальную сеть и проходя
роутер, роутер должен понимать что этот запрос не требует подмены адреса источника и значит НАТ тут не нужен,
а если роутер не поймёт, подмена осуществиться, и Вы со своей сети в ту сеть попадёте, а вот наоборот - увы.
Да и ряд других программ, протоколов уже через НАТ не будут работать.
Поэтому правила НАТ требует пристального понимания, и также как и все правила в файрволле - важны по уровню расположения,
то есть порядок их важен.

doorsman писал(а):С микротиком работаю впервые, дома тренировался на старом RB750. По этому буду благодарен за любую помощь и критику. На работе схема пока не работает я могу менять как угодно пока не протестирую подключать не буду.
Есле можно посоветуйте свою схему буду очень признателен.
Спасибо!

Рад слышать что Вы схему собрали "на столе", а не как тут делают, не поняв основ и даже логики, сразу подключают офисы,
а потом помогите, спасите, но отключать мол ничего нельзя.

Ну и совет: надеюсь Вы новый роутер очистили, потом обновили, ну и потом и обновили загрузчик роутера!?

Спасибо за ваш ответ.
Я честно говоря не сильно силен в сетях, но задачу поставили нужно решать , заодно опыта набраться.
Посоветуйте пожалуйста как бы вы поступили в моем случае.
сейчас пока приехал MikroTik CCR1036-12G-4S должно еще приехать 4 свитча CRS125-24G-1S-2HnD-IN.
Основная задача пока работа на сервере с 1С(только два отдела), почта, интернет скайп.
Пока пользователей около 100 но сказали что будет свыше 200.
Почему выбрал вилан ответить затрудняюсь, наверное начитался разного по форумам что легче админить.
Пока есть возможность хочу протестить на столе чтоб потом не было аяяяй.
Человеческое вам спасибо!

Нарисуете схему, как всё будет подключено физически. каждый отдел к отдельному CRS125 ? и как подключится сами CRS125 к CCR1036?
Тогда будет понятно как лучше сделать. Все отделы должны выдеть друг друга или надо изолировать?
Я бы подключал каждый CRS125 к CCR1036 напрямую в свой порт и по одному отделу на отдельный CRS125.

doorsman писал(а):Спасибо за ваш ответ.
Я честно говоря не сильно силен в сетях, но задачу поставили нужно решать , заодно опыта набраться.

Опыт да,нужная штука, но в таком проекте и с нуля, без знаний сетей,
да ещё и с виланами - поверьте, это будет ещё то веселье.
Главное чтобы не получилось - виланами условно разделили сеть,
а потом на маршрутизаторе Вы её логически склеите, и вся логика
ляжет на роутер = в итоге ограничения/пиковые скорости будут
ограничены в рамках мощности маршрутизатора.
Иначе ещё так скажу: в Вашей схеме надо найти грань и правильную,
так как у Вас 1С между маршрутизацией и коммутацией, на маршрутизации
с 1С - сразу просядет вся сеть, на коммутации будет работать.

doorsman писал(а):Посоветуйте пожалуйста как бы вы поступили в моем случае.
сейчас пока приехал MikroTik CCR1036-12G-4S должно еще приехать 4 свитча CRS125-24G-1S-2HnD-IN.
Основная задача пока работа на сервере с 1С(только два отдела), почта, интернет скайп.
Пока пользователей около 100 но сказали что будет свыше 200.

Я бы взял наверно ещё один свитч, его сделал условно центральным (логическим),
на этот свитч с каждого свитча доступа(то есть с тех свитчей к которым будут подключены пользователи)
в центральный свитч привёл по два провода (или по две оптики) - смотря как Вы будете делать UpLink
между свитчами. Почему по два, да потому что минимум надо с учётом 1С и 100/200 пользователей
минимум нужно чтобы к ядру сети тянулось более широкие каналы.
Но воткнуть два порта с одной стороны и два с другой стороны = это пол беды. Нужно эти порты
сконфигурировать как одно целое: поэтому есть в микротике Bonding, ну и по идеи в свитчах
должно быть что-то наподобие LinkAggregation или также ищите LACP (со свитчами микротик не работал).
Ну а центральный роутер я бы для коммутации не задействовал, не надо из него делать свитч,
DHCP, виланы и так далее, то есть задачи сетей, доступов, но гнать через себя трафик (обычный,
коммутационный) - не стоит.

doorsman писал(а):Почему выбрал вилан ответить затрудняюсь, наверное начитался разного по форумам что легче админить.

Вилан штука удобная, но виланы надо понять, если разделили ими сеть и используем их, то надо использовать
везде, планомерно и полноценно, но надо понимать как работают, как не сделать петель в сети и тем самым
сеть не "положить" и много чего. Порой админы и организации на виланы переходят постепенно, главное
при наличии сетевого оборудования которое поддерживает вилан, ибо если есть участки сети, где оборудование
вилан не поддерживает, то будет тяжко, ибо там уже придётся делать "костыли". Поэтому тут надо всё взвесить,
сделать схему(ы), логика, да и думаю даже и лёгкий проект.

doorsman писал(а):Пока есть возможность хочу протестить на столе чтоб потом не было аяяяй.
Человеческое вам спасибо!

Ну такой проект на столе протестировать в полном объёме будет сложно.
(хотя с двумия свитчами поиграться Вам стоит)
Меня смущают в этой схеме - микротиковские свитчи,потянут ли они...нагрузку.
Вроде бы 1С для клиента минимум гигабит, а значит и серверу 1С должен сидеть
минимум тоже как и свитчи - на 2х гигабитном UpLink'е.

P.S.
Редко советую такое, но думаю Вам надо нанять кого-то для данного проекта,
в роли консультанта, который бы показал явные ошибки, ну и понимал логику
сетей на L2-уровне минимум.

Нарисуете схему, как всё будет подключено физически. каждый отдел к отдельному CRS125 ? и как подключится сами CRS125 к CCR1036?

P.S.
Редко советую такое, но думаю Вам надо нанять кого-то для данного проекта,
в роли консультанта, который бы показал явные ошибки, ну и понимал логику
сетей на L2-уровне минимум.

Полностью с Вами согласен я это и сам понимаю, но к сожалению донести это начальству не получится, к тому же предприятие это госструктура, а это тендеры, казначейство, работа по безналу и еще целый ряд заморочек. Поэтому придется делать своими силами.

Нарисуете схему, как всё будет подключено физически. каждый отдел к отдельному CRS125 ? и как подключится сами CRS125 к CCR1036?

Набросал схему:


1.Зеленым выделил отделы которым нужен только интернет и скайп. (Пользователей до 120 ПК сейчас около 60)
2. Красным отделы - 1С, интернет, скайп. (Пользователей до 20 ПК, на данный момент всего 10 ПК на ближайший 2018 год)
3. Желтый - сервер с 1С стоит в серверной рядом с маршрутизатором.
4. Отделы лучше изолировать между собой, кроме тех кто работает с 1С.
5. На 2-й и на 3-й этаж идет по одной линии витой пары cat6E, а удаленный отдел (около 1км) оптика.
6. Интернет в серверную заходит по оптике канал 100Мбит, статический белый IP.


Сейчас это все работает на 5 штуках mikrotik rb951ui-2hnd которые одолжил в пользование и личный из дому забрал, и самых дешевых свитчах tenda, TP-Link, asus и т.д.

На днях ожидаем 5 неуправляемых D-linka на 24 порта, а MikroTik CRS125 4шт. через полторы две недели (тендер ). Также в сети будет видео регистратор и Wi-Fi внутренняя и гостевая сеть. Голова кипит, но для меня это возможность научиться, набраться опыта и мне это интересно (так совпало что с сентября хожу на курсы Cisco CCNA и по программе через неделю VLAN'ы как раз закрепить теорию практикой или наоборот).
Всем Вашим советам внемлю беспрекословно и еще раз спасибо что не бросаете новичка в таком нелегком деле!

Ну вот уже понятно что и как. Мои 5 копеек : каждый етаж можно в свою подсеть. CRS125 все порты объединить через master port на eth1. Сделать бридж, присвоить ему IP, eth1 в бридж. В eth1 кабель от CCR1036. К второму CRS125 от eth2. Почему? Смотрим Block Diagram : https://i.mt.lv/routerboard/files/CRS12 ... 160514.png . С master port пркачивает окло 960-980 Mbps , эсли через бридж все порты объединить, то примерно 470 Mbps, потому что тогда вес трафик идёт через CPU, а там одна шина 1Gps.
И так на каждом этаже. Пока без vlan. Соеденить, убедится что всё работает в таком простом варианте.
Потом по мере освоения и надобности можно делать vlan, "выдёргивать" с master port конкретные порты и засунуть их в vlan.
Делать гостевую WiFi сеть итд. По маленьку, а не всё сразу.
Второй этаж, С1 и удалёнку в одну подсеть.
Ой, пропустил "4. Отделы лучше изолировать между собой, кроме тех кто работает с 1С."
Нет ли взможности прокинуть отдельный кабель с вторго этажа С1 клиенту до CCR1036 ?
Конечно, можно и все компы в одну подсеть. 120 щт не так уж много. Это по свему усмотрению, нужен ли доступ между етажами / компам.
Производительности CCR1036 должно хватить.
Ну так в принципе, у других, взможно, будет другие варианты, предложения.

Спасибо за ваш совет.
Возможность проброса кабеля вроде пока еще есть если за выходные не обшили стены и потоло. Как вы думаете может стоит ко всем CRS125 кинуть отдельно кабель?

Но надо помнить, что тогда весь трафик между CRS125 в одном этаже будет ходить через CCR1036. Создаст доплнительную нагрузку. Но легче будет изолировать ползователей. Палка с двумя концами.
Как резерв можно пробросить. Кто знает, что понадобистя через год-другой.

mafijs писал(а):Сделать бридж, присвоить ему IP, eth1 в бридж. В eth1 кабель от CCR1036. К второму CRS125 от eth2. Почему? Смотрим Block Diagram : https://i.mt.lv/routerboard/files/CRS12 ... 160514.png . С master port пркачивает окло 960-980 Mbps , эсли через бридж все порты объединить, то примерно 470 Mbps, потому что тогда вес трафик идёт через CPU, а там одна шина 1Gps.
И так на каждом этаже. Пока без vlan. Соеденить, убедится что всё работает в таком простом варианте.

Я правильно Вас понял, что все отделы у меня будут в одной подсети?
Если да то как изолировать отделы? Что то я окончательно запутался.

doorsman писал(а):Я правильно Вас понял, что все отделы у меня будут в одной подсети?
Если да то как изолировать отделы? Что то я окончательно запутался.

Нет, подсети создадите на соответсвенно.
Допустим интернет приходит в eth1. Далее каждый этаж (отдел я так понимаю) в отдельный порт CCR1036.
Далее каждому порту просвоить свою подсеть.
eth2 - 192.168.10.1/24 - первый этаж
eth3 - 192.168.20.1/24 - вторй этаж
eth4 - 192.168.30.1/24 - третий этаж
Првада, не знаю как правильней - IP прямо на порту или порт в отдельный бридж и IP на бридж. Но прицип ето не меняет.
Каждому порту свой DHCP server.
Далее CRS125 на этажах соответсвенно - 192.168.10.2/24 ; 192.168.20.2/24 и 192.168.30.2/24
Если будет отдельный кабель для ползователья С1, то ещё одна подсеть создаётся.
Как-то так.

На CCR1036 надо будет запретить трафик между подсетьям.