Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 27
А в чем собственно смысл статьи и причем тут связка с Cisco?
Смысл статьи поделиться работоспособным решением по логике вланов у микротика, т.к. не только мне не удалось настроить их по офф.документации. Но, говорят, что по докам всё работает с d-link.
Хм… Заработало по документации с первого раза как с Cisco(Cat. 2948 и SG200) так и с кучей другого железа. ЧЯДНТ?
Какая связка заработала? Интересно посмотреть.
Отлично заработала. Кусок конфига приведу ниже, прошу прощения что без спойлера и тегов:
/interface vrrp
add interface=ether1 interval=100ms name=VRRP_MAIN preemption-mode=no
/interface vlan
add interface=VRRP_MAIN name=SERVERS vlan-id=100
add comment=«Datagroup INET VLAN» interface=VRRP_MAIN name=DG_INET_VLAN vlan-id=77
add comment=«KS INET VLAN» interface=VRRP_MAIN name=KS_INET_VLAN vlan-id=94
add comment=«Management(172.16.0.0/24)» interface=VRRP_MAIN name=MGMT vlan-id=911
add comment=«Users(172.20.0.0/24)» interface=VRRP_MAIN name=USERS vlan-id=400
add comment=«SECURITY(192.168.3.0/24)» interface=VRRP_MAIN name=security vlan-id=300
со второй стороны именно на этом конфиге стоит Cisco 2948G с настроенным trunk для VLAN 77,94,100,300,400,911 и native VLAN 200, через который работает vrrp(без тега) на ether1. Никаких проблем не наблюдаю. Настраивал по документации mikrotik.
/interface vrrp
add interface=ether1 interval=100ms name=VRRP_MAIN preemption-mode=no
/interface vlan
add interface=VRRP_MAIN name=SERVERS vlan-id=100
add comment=«Datagroup INET VLAN» interface=VRRP_MAIN name=DG_INET_VLAN vlan-id=77
add comment=«KS INET VLAN» interface=VRRP_MAIN name=KS_INET_VLAN vlan-id=94
add comment=«Management(172.16.0.0/24)» interface=VRRP_MAIN name=MGMT vlan-id=911
add comment=«Users(172.20.0.0/24)» interface=VRRP_MAIN name=USERS vlan-id=400
add comment=«SECURITY(192.168.3.0/24)» interface=VRRP_MAIN name=security vlan-id=300
со второй стороны именно на этом конфиге стоит Cisco 2948G с настроенным trunk для VLAN 77,94,100,300,400,911 и native VLAN 200, через который работает vrrp(без тега) на ether1. Никаких проблем не наблюдаю. Настраивал по документации mikrotik.
а изнутри что смотрит и куда? И какая железка микротиковская?
Изнутри микротика? Или за циской? Микротик в данном случае CCR 1016-12G
Изнутри микротика. Т.е. как маршрутизуется, какие функции. Я же не просто так статью писал, у нас почему-то не работало изначально :)
Интерфейсы на VLANах 77 и 94 — два интернет провайдера, туда натятся остальные VLAN(кроме 911). Интерфейсы на VLAN 100, 300,400,911 — локалки разного назначения(сервера, камеры, пользователи, Mgmt устройства). 400й влан бриджуется с Wi-Fi. На все VLAN действуют свои фильтры в файрволе + QoS и маршрутизация. Общую схему маршрутизации(без vrrp и VLAN) можете посмотреть тут — https://habrahabr.ru/sandbox/96643/ На момент написания VLANы и VRRP реализованы еще не были, да и не о них была статья.
В данный момент на всех микротиках из прошлой статьи настроены VLANы, бридж используется только внутри локации, весь обмен между локациями за счет маршрутизации.
В данный момент на всех микротиках из прошлой статьи настроены VLANы, бридж используется только внутри локации, весь обмен между локациями за счет маршрутизации.
Прошу прощения, неверно прочитал. В данный момент работают связки Mikrotik CCR 1016-12G и Mikrotik 1100AHx2 c:
1. Cisco Catalyst 2948G
2. Cisco sg200-50
3. D-Link DES 3200-52
4. HP 1910-24g
и неизвестными мне свитчами провайдеров.
1. Cisco Catalyst 2948G
2. Cisco sg200-50
3. D-Link DES 3200-52
4. HP 1910-24g
и неизвестными мне свитчами провайдеров.
dot1q есть dot1q, нет?
Кстати, у многих микротиков на борту аппаратный коммутатор. И если вам не нужна маршрутизация, то тегировать порты лучше в настройках свитч-матрицы, т.к. bridge делается процом, что как бы негативно влияет на производительность.
Как бы делать коммутатор из маршрутизатора, при наличии цисок, не было необходимости. Поэтому это не тот случай.
Нагрузка процессора 1%. Но, хостов там не шибко много, но трафика гоняется полно.
Нагрузка процессора 1%. Но, хостов там не шибко много, но трафика гоняется полно.
Так я не говорю о том, что надо делать коммутатор. Я говорю о том, что снимая тег аппаратно — вы вообще не расходуете ресурсы. Затем принимаете на vlan-интерфейс. Никаких bridge. Они реально грузят. Попробуйте флудануть мелкими пакетами — увидите до 90-100%% CPU load.
Может, я не очень хорошо вчитывался именно в этот метод. Присмотрюсь :)
Не знаю какая у вас подготовка, но советую про сети почитать побольше. routing&switching много курсов. Мне кажется, вам не нужна бы была вообще документация, понимай вы сеть изнутри.
Цели, преследуемые в сути поста и наспех нагугленый способ разнятся. Как, например, при таком раскладе, правилам nat указывать, в какой vlan лезть? Расфасовав вланы аппаратно, ось не станет их видеть как несколько интерфейсов, как в данном примере, и придётся изгаляться, скача с одного порта на другой.
Не путайте теплое с мягким. Вы путаете коммутацию и маршрутизацию. Это разные уровни OSI. Как только внутри vlan вы создаете vlan-интерфейс ваш L2 становится L3, но не для всего трафика, а лишь того, который должен быть смаршрутизирован. Удосужтесь — почитайте матчасть.
Я просто оставлю это здесь.
Я просто оставлю это здесь.
Мы точно о микротике говорим? Это личный опыт с микротиком, или просто общее цитирование? И я не в плане «матчасти», а о методе реализации.
Понимаете, что бы ни касалось сетей — вам надо о них знать, чтобы понимать почему тот или иной метод работает. На чем вы строите сети, микротик, кошка или жунипер — вообще не важно, по крайней мере для уровня сети, разобранной в вашей статье. Поверьте на слово — у всех их будет одинаково, с некоторыми тонкостями.
Вашим комментарием вы показываете, что вам не нужно понимать физику, чтобы рассчитать плавучесть, потому что есть методичка. Но вот взяв методичку и посмотрев ее, вы не можете найти расчет плавучести для южных морей — потому что составлялась она для тех, кто купил девайс в северном полушарии и плотности вводы юга просто не попали в таблицу. Зная же физику, и зная плотность, вам не нужна методичка, но вы все еще можете ее использовать.
PS раз уж вы подписываетесь системный инженер, то извольте знать матчасть. или не подписывайтесь так.
Вашим комментарием вы показываете, что вам не нужно понимать физику, чтобы рассчитать плавучесть, потому что есть методичка. Но вот взяв методичку и посмотрев ее, вы не можете найти расчет плавучести для южных морей — потому что составлялась она для тех, кто купил девайс в северном полушарии и плотности вводы юга просто не попали в таблицу. Зная же физику, и зная плотность, вам не нужна методичка, но вы все еще можете ее использовать.
PS раз уж вы подписываетесь системный инженер, то извольте знать матчасть. или не подписывайтесь так.
Поменял подпись, давно пора.
Настоятельно рекомендую одолжить микротик и попробовать его настроить с приходящими со стороны vlanами, не прибегая к любым документациям. Особливо, сделать, что бы хосты родной локалки (192.168.88.х) могли ходить согласно правилам файрвола.
Буду рад еще более живоспособному решению, чем в этом посте.
Настоятельно рекомендую одолжить микротик и попробовать его настроить с приходящими со стороны vlanами, не прибегая к любым документациям. Особливо, сделать, что бы хосты родной локалки (192.168.88.х) могли ходить согласно правилам файрвола.
Буду рад еще более живоспособному решению, чем в этом посте.
Давай еще картинок по настройке самого SG200)))
Пускай статья будет бестолковой до конца.
Пускай статья будет бестолковой до конца.
Доброго времени суток. Ни могли бы вы снять видеоурок или помочь мне, ситуация следующая:
Недавно приобрел себе Mikrotik RB951Ui-2HnD на смену D-link DIR-300NRU и не могу настроить на нем PPPoE + IPTV, провайдер Ростелеком.
Схема моей цели такова:
1 порт — wan, в него вставлен кабель провайдера;
2,3,4 порты — локалка в которую нужно подать интернет;
5 порт — IPTV, из него идет кабель к тв приставке.
Что делал:
Создал на 1 порту PPPoE подключение, собрал в свитч 2,3,4,5 порты, поставив мастером 2, добавил мост между wi-fi и свитчем, настроил DHCP сервер.
Нужно настроить как тут nastroisam.ru/dir-300-nru-b7 (вариант где IPTV доставляется в тегированном виде — используется VLAN ID).IPTV доставляется в тегированном виде — используется VLAN ID.?
Недавно приобрел себе Mikrotik RB951Ui-2HnD на смену D-link DIR-300NRU и не могу настроить на нем PPPoE + IPTV, провайдер Ростелеком.
Схема моей цели такова:
1 порт — wan, в него вставлен кабель провайдера;
2,3,4 порты — локалка в которую нужно подать интернет;
5 порт — IPTV, из него идет кабель к тв приставке.
Что делал:
Создал на 1 порту PPPoE подключение, собрал в свитч 2,3,4,5 порты, поставив мастером 2, добавил мост между wi-fi и свитчем, настроил DHCP сервер.
Нужно настроить как тут nastroisam.ru/dir-300-nru-b7 (вариант где IPTV доставляется в тегированном виде — используется VLAN ID).IPTV доставляется в тегированном виде — используется VLAN ID.?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Настройка VLAN на Mikrotik в связке с Cisco