Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
casa verde 2024

Intrerupator cu N - doza doar cu ...

Incalzire casa fara gaz/lemne

Incalzire in pardoseala etapizata
 Suprataxa card energie?!

Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...
 teava rezistenta panou apa calda

Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN
 Numar circuite IPAT si prindere t...

Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD.
 

Mikrotik CRS210-8G-2S+IN - Switch+Router

- - - - -
  • Please log in to reply
23 replies to this topic

#1
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Buna.
Se poate folosi echipamentul din descriere (specificatii tehnice aici) pentru interconectarea a 3 cladiri, astfel:
- 2 cladiri (aproximativ 220 PC-uri in total) sa faca parte din acelasi LAN impreuna cu un router dedicat (un PC cu Fedora Linux) pentru DHCP si alte servicii/reguli fw care vor fi implementate pe Linux
- a 3-a cladire (aproximativ 100 PC-uri) sa fie separata de LAN-ul celorlalte 2 cladiri, dar cu DHCP implementat pe router-ul Mikrotik si alte reguli de filtrare (daca acesta va permite)?

Este (va fi) primul contact cu RouterOS de la Mikrotik dar nu as vrea sa bat campii aiurea in caz ca visez cai verzi pe pereti...
Alt echipament nu am la dispozitie. Cladirile ajung in acelasi punct de distributie prin fibra single mod si ma pot juca cu SFP-uri LC sau media convertoare (am la dispozitie ambele variante).

Eu ma gandesc ca, cel putin teoretic, pot sa folosesc porturile Gigabit Ethernet pentru conectarea celor 2 cladiri impreuna cu router-ul Linux (adica Mikrotik-ul pe post de switch gigabit) si porturile SFP sa conecteze intr-un port a 3-a cladire (sa aloce ip-urile pentru computerele de acolo) si, respectiv, up-link-ul principal (sau WAN-ul router-ului MikrotiK) pe fibra...

Ce spuneti? Fabulez?

Cu stima.

#2
Alice

Alice

    Big Boobs

  • Grup: Senior Members
  • Posts: 7,133
  • Înscris: 05.12.2002
Ai deja routerul Mikrotik? Nu este foarte performant, exista si variante mai ieftine si mai puternice (fara SFP ce-i drept) - ex rb750gr3 la 1/4 din pret.
Vezi ca la asta unul dintre SFP-uri suporta doar module de 10G

Da, poti face ce vrei tu dar mai elegant ar sa conectezi cele 3 cladiri + uplink provider in Mikrotik si sa-l folosesti ca dhcp/fw pentru toate (1+2 impreuna si 3 separat, fara sa se vada intre ele - reguli in fw) si sa renunti complet la Fedora pentru rutare/dhcp.
La 300 de PC-uri ti-ar trebui si un al 2-lea link de net, ti-ar ajunge la fix porturile din rb750gr3.

#3
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Multumesc pentru reply Alice.
Din pacate da, nu a fost alegerea proprie cu echipamentul.
Uplink-ul este pe 10G si acesta cred ca a fost un factor ptr achizitie.

M-am gandit sa-l fac router ptr tot si sa nu mai folosesc Fedora, problema este ca nu stiu daca-si face treaba ok ca si fw, mai ales ca vreau sa mai filtrez si bittorent (atat cat se poate binenteles) si necunoscand inca RouterOS-ul si ce poate echipamentul cred ca voi folosi deocamdata si Fedora, mai ales ca se mai doreste si stocare, web, etc.

Daca ma impedic de RouterOS mai deranjez cu intrebari si in limita timpului dvs orice parere si sfat este foarte aprecit. Ms.

Cu stima.

#4
sonnydellmarco

sonnydellmarco

    Active Member

  • Grup: Members
  • Posts: 1,858
  • Înscris: 17.10.2006
Salut. La un asemenea nivel, nu iti recomand sa folosesti NAT pt iesirea la internet, ci un proxy cu un firewall in fata.
Cum toti vor sta pe net, iti vor face praf routerul, din cauza sesiunilor PAT. Ca sa nu mai zic, de cate clase de IP-uri publice vei avea nevoie.
Si sub nici o forma nu le poti pune pe toate in acelasi server. Cumpara un FW dedicat, hardware. NU le permite decat porturile 80 si 443, si astea via proxy.
Fa un desen cu ce vrei sa faci si vreau sa stiu cum vrei sa faci cablarea, ce topologie vrei sa pui, cate VLAN-uri etc etc

#5
Alice

Alice

    Big Boobs

  • Grup: Senior Members
  • Posts: 7,133
  • Înscris: 05.12.2002
Ce inseamna "un asemenea nivel"? De unde stii tu ca toti vor sta pe net si ca o sa-i faca praf routerul?
Si de ce ar avea nevoie de "clase" de IP-uri publice? Si ce inseamna clase? niste /30-uri, niste /28-uri? Sau cateva /16-uri? Sau macar un /29 de IPv6, nu?

#6
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Mikrotik-ul va sta oricum in spatele unui fw dedicat (FreeBSD) cu 2 provideri diferiti pe conexiuni de 1GB si 100MB (ptr back-up).
Asta ma intreb si eu daca va face fata traficului pentru cele 2 cladiri, adica daca pot sa-l folosesc direct pe post de router sau il las pe post de sw si mai pun in acelasi LAN si un PC pe post de router. Voi face teste ca din povesti nu pot sa-mi dau seama.
Pentru cladirile respective este suficienta alocarea a 2 clase private de /24.
La trafic normal rezista si routere mult mai slabe, problema este la filesharing unde omoara tot numarul de conexiuni simultane.
Iar filesharing se face si pe port 80, nu-i problema... mai greu este sa-l filtrezi....

#7
Alice

Alice

    Big Boobs

  • Grup: Senior Members
  • Posts: 7,133
  • Înscris: 05.12.2002
Ce trafic ai intre cladirile 1+2 si 3?
Ce trafic ai in internet, in total?

#8
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Cladirile 1, 2 si 3 fac parte dintr-un ansamblu de cladiri care ies in internet printr-un fw dedicat.
Cladirile 1+2 trebuie sa fie in acelasi LAN iar cladirea 3 intr-un LAN separat de acestea.

Iesirea se face prin banda de 1GB (care va fi marita in viitor la 10GB) care este ocupata in proportie de 80%.
Cladirile 1+2 ocupa cam jumatate din banda (cu limitari HTB) altfel ar ocupa cam tot (filesharing in mare parte).

Intre router-ul Mikrotik si fw exista conexiune (fibra) pe 10GB (uplink-ul ptr router pe unul dintre sfp-uri), iar celalalt sfp de 1GB il folosesc ptr cladirea 3 (cu DHCP server activat pe acest port). Raman cele 2 cladiri sa le conectez pe porturile LAN ale router-ului Mikrotik, dar aici nu stiu daca sa-l las tot ca server DHCP sau sa-l las switch si sa mai folosesc un server Fedora separat conectat in acelasi LAN cu cele 2 cladiri. Nu stiu daca rezista Mikrotik-ul la un astfel de trafic.

#9
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Daca configurez 3 interfete de retea cu DHCP care aloca ip-uri dintr-un LAN /24 din clase private (diferite) pe fiecare interfata si vreau sa-mi faca NAT pe o alta interfata de iesire (o alta interfata declarata ptr WAN) nu vrea sa faca acest NAT deloc. Daca las o singura interfata ptr LAN face acest NAT fara probleme. Unde gresesc?
Vre-o sugestie de setare pe care nu o vad eu?
Ms.

#10
maul

maul

    Member

  • Grup: Members
  • Posts: 615
  • Înscris: 10.11.2005
il faci router ca sa conectezi cele 2 lan-uri la fw.
adaugi ruta de intoarcere (sa stie de cele 2 subnet-uri) si pe fw

#11
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Rezolvat problema pe IPv4, am 3 interfete LAN (clase private diferite) si una pentru WAN si merge si NAT-ul, din a 3-a incercare Posted Image
Pur si simplu nu a vrut pana la un moment dat cand a vrut!! Nu am explicatie, setarile fiind aceleasi, ma rog...

Acum nu vrea sa faca NAT pe IPV6... Vre-o sugestie? IP-uri aloca fara probleme...

#12
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Se poate configura RouterOS-ul sa aloce adrese IPV6 Stateless pe LAN?
Imi explica cineva cum sau din ce ecrane din setari?

PS> Acum am vazut ca m-am exprimat gresit mai sus cu NAT pe ipv6 (sa nu inteleaga altii ca-s cu pluta!) si vroiam ipv6 forward, sa zic...

#13
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Stie cineva cum as putea filtra bittorrent-ul cu ajutorul regulilor de firewall pe Mikrotik?
Sigur, nu ma refer la stoparea de filesharing, dar macar sa-l mai imputinez semnificativ?
Ceva reguli poate posta cineva care le are implementate si functioneaza?
Posibil filtrare pentru layer 7?

Ms.

#14
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010

View Postsonnydellmarco, on 27 mai 2017 - 18:37, said:

Salut. La un asemenea nivel, nu iti recomand sa folosesti NAT pt iesirea la internet, ci un proxy cu un firewall in fata.
Cum toti vor sta pe net, iti vor face praf routerul, din cauza sesiunilor PAT. Ca sa nu mai zic, de cate clase de IP-uri publice vei avea nevoie.
Si sub nici o forma nu le poti pune pe toate in acelasi server. Cumpara un FW dedicat, hardware. NU le permite decat porturile 80 si 443, si astea via proxy.
Fa un desen cu ce vrei sa faci si vreau sa stiu cum vrei sa faci cablarea, ce topologie vrei sa pui, cate VLAN-uri etc etc

Acum ca l-am configurat si pus la treaba pot sa afirm si eu ca este un router care nu rezista la un asemenea trafic.
Nat-ul consuma 50-60% din CPU, rutarea si celelalte 30-40% si uite asa CPU 100% mai tot timpul...
Sunt curios daca un rb750gr3 ar face fata.
Numai bine.

#15
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010
Si o chestie ciudata: traficul nu trece de 30Mb desi are porturi de 1Gb...
Apare o limitare (gatuire) pe interfete, dar nu stiu de unde...

#16
sonnydellmarco

sonnydellmarco

    Active Member

  • Grup: Members
  • Posts: 1,858
  • Înscris: 17.10.2006

View Postsebybastian, on 23 iunie 2017 - 15:49, said:

Si o chestie ciudata: traficul nu trece de 30Mb desi are porturi de 1Gb...
Apare o limitare (gatuire) pe interfete, dar nu stiu de unde...

1Gb este viteza fizica a portului. Daca acei 30Mb implica cateva mii de packete pe secunda, as spune ca nu sta atat de rau.
repet: la design-ul unei astfel de retele, se dimensioneaza echipamentele de retea pentru trafic mult peste cel estimat.
Gatuirea e cauzata de procesorul care sta aproape de 100%. Asa ceva nu se face cu acel router, ci cu unele din alta clasa.

Pentru traficul de bittorent, trebuie pus un IPS in fata, sau trecut tot traficul printr-un proxy, si lasat doar port 80 si 443. Asa se face in mediul enterprise, nu cu NAT/PAT

Stima!

#17
sonnydellmarco

sonnydellmarco

    Active Member

  • Grup: Members
  • Posts: 1,858
  • Înscris: 17.10.2006
m-am mai uitat inca o data pe specificatii: e un router modest

#18
sebybastian

sebybastian

    Active Member

  • Grup: Members
  • Posts: 1,197
  • Înscris: 08.09.2010

View Postsonnydellmarco, on 23 iunie 2017 - 17:10, said:


1Gb este viteza fizica a portului. Daca acei 30Mb implica cateva mii de packete pe secunda, as spune ca nu sta atat de rau.
repet: la design-ul unei astfel de retele, se dimensioneaza echipamentele de retea pentru trafic mult peste cel estimat.
Gatuirea e cauzata de procesorul care sta aproape de 100%. Asa ceva nu se face cu acel router, ci cu unele din alta clasa.


Multumesc pentru explicatiile de mai sus.

Totusi am o problema cu echipamentul, lasand la o parte aspectele legate de limita resurselor.
Vreau sa-l folosesc la o retea modesta, maxim 10 PC-uri.
Am facut teste prin el lasand doar un singur PC in unul dintre lan-uri si viteza de download nu trece de 30Mbps.
Cred ca gresesc eu undeva in configurari, probabil la NAT. Am mai citit de cazuri in care limita NAT-ul la un prag, dar nu am gasit mai multe informatii legate de acest aspect.
Daca aveti sugestii sau documentatie va rog un sfat.
Multumesc.

Anunturi

Bun venit pe Forumul Softpedia!

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate