Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте! С микротиком опыт работы совсем не большой, поэтому прошу понять и простить, и помочь в настройке. Дома стоит RB2011UiAS-2HnD, до этого работал с 1100ahx2, rb750, rb951, но там ничего сложного не было.
Вообще, понятие как работают сети есть :)
Завтра приезжает CCR1009-8G-1S-1S+ и на этом железе надо поднять сеть на несколько компаний в офисном здании.

Провайдер один, заходит по оптике и сразу будет в CCR1009-8G-1S-1S+ в SFP порт, если конечно джибик нужный подберу :)
Думаю использовать сеть 10.1.0.0/16, чтобы каждому арендатору отдавать по /24 сети (если кабинет, например, 2-16, то и подсеть будет 10.1.216.0/24)
Шлюз 10.1.0.254.
Каждому арендатору - отдельный VLAN + DHCP Server. Они же все смогут ходить через 10.1.0.254?

Ещё есть мысли выделить под сервера, коммутационное оборудование, видеонаблюдение, оборудование контроля доступа и пожарных сигнализаций отдельные вланы, но вот не знаю, где настраивается доступ между вланами, насколько помню (когда-то занимался корпоративной сеткой на win serv + freebsd у интернет провайдера и иногда слышал разговоры инженеров сетевого оборудования), то такое можно сделать. Потому что некоторые ВЛАНы надо пустить в подсеть с серверами. Все свичи управляемые и поэтому портов на всех хватит :)
Если купить несколько белых айпи адресов, то как их присвоить их отдельным вланам, чтобы на внешке были определенные ИПы?

Заранее спасибо, товарищи гуру и кто не остался равнодушным.

Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)

DeLL писал(а):Необязательно использовать подсеть с 16 маской для всех. Если физических портов хватит на всех арендаторов - вешаете на каждый порт свой IP-адрес и DHCP-сервер. И выделяйте любые подсети с маской 24 каждому арендатору (разные естественно).
Если портов меньше - Создавайте VLAN на порту и уже на него вешайте IP-адрес и DHCP.
Не забудьте настроить запрет хождения трафика между подсетями, а то арендаторам это совсем не понравится)

Спасибо за ответ.
Портов, наверное, не хватит на всех.
Получается надо делать VLAN'ы с тегами и как-то помечать (маркировать) трафик до свитча?

Немного не понимаю, через какой шлюз у них трафик будет ходить. У каждого свой будет, из подсети в которой они работают или можно один на всех? Я почему и думал брать сеть /16, чтобы был один шлюз.
У каждого арендатора отдельный белый статический ip адрес, ну и естественно, свои правила фаервола и ната.

Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?

Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.

DeLL писал(а):Создавайте VLAN'ы с тэгом и пускайте их до первого управляемого свитча, где уже тэг снимете и скормите арендаторам. То есть арендаторов будете подключать к управляемому свитчу, а не напрямую к маршрутизатору.
Шлюз у каждого арендатора должен быть свой. На то он и маршрутизатор - он просто обязан иметь несколько ip-интерфейсов)
По поводу белых статических адресов тут непонятно....
Как к Вам будет приходить интернет? Статика, PPPoE, BGP, OSFP? Какая примерная нагрузка на канал?

Могу предложить еще одно решение - CCR1009 довольно-таки мощная железка и на ней можно поднять PPPoE-сервер для Ваших арендаторов со всеми вытекающими.

По статике приходит. Провайдер готов дать ещё ip-адресов.
Спасибо за помощь. Буду пробовать реализовать.

Настроил, как надо. Всё хорошо работает.
Но есть маленькая проблемка.

Сейчас провайдерская оптика идёт в медик, из медика в неуправляемый свитч, а из свитча в микротик и ДФЛку арендатора. (схема №1)
Можно ли из этой схемы убрать неуправляемый свитч?
Например, из медика в микротик, в микротике два порта мастер+слэйв, из слэйва дальше отправить на ДФЛку? (схема №2)
Или может есть схемы более изящные?


Вы конечно спросите, зачем оно так сделано изначально?
Делали это до меня. Так отдаётся арендатору белый ип

Через микротик можно.

на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)

p.s.
Вариант 2 вполне имеет право на жизнь. :)

Спасибо за ответы.

GDragon писал(а):на CCR1009-8G-1S-1S+ вроде SFP и SFP+ есть - если договоритесь с провайдером то и от медика избавиться по идее можно ;)

Медик железка неуправляемая, поэтому надо только мини джибик подобрать нужный))
Сейчас стоит GL-MC-UTPF-SC1F-18SM-1310 ссылка удалена п.3.6 Правил форума, надо как-то по длине волны подобрать подходящий мини джибик. Здесь я не силён совсем, но думаю гугл поможет в этом.
Но как потом? SFP порт нельзя же объединить с другим портом как master+slave.
Или есть решения средствами ОС микротика?

Tx:1310/Rx:1550,
по одному волокну видать , и одномод.