Mikrotik CRS210-8G-2S+IN - Switch+Router
Last Updated: Jul 07 2017 11:04, Started by
sebybastian
, May 27 2017 14:52
·
0
#1
Posted 27 May 2017 - 14:52
Buna.
Se poate folosi echipamentul din descriere (specificatii tehnice aici) pentru interconectarea a 3 cladiri, astfel: - 2 cladiri (aproximativ 220 PC-uri in total) sa faca parte din acelasi LAN impreuna cu un router dedicat (un PC cu Fedora Linux) pentru DHCP si alte servicii/reguli fw care vor fi implementate pe Linux - a 3-a cladire (aproximativ 100 PC-uri) sa fie separata de LAN-ul celorlalte 2 cladiri, dar cu DHCP implementat pe router-ul Mikrotik si alte reguli de filtrare (daca acesta va permite)? Este (va fi) primul contact cu RouterOS de la Mikrotik dar nu as vrea sa bat campii aiurea in caz ca visez cai verzi pe pereti... Alt echipament nu am la dispozitie. Cladirile ajung in acelasi punct de distributie prin fibra single mod si ma pot juca cu SFP-uri LC sau media convertoare (am la dispozitie ambele variante). Eu ma gandesc ca, cel putin teoretic, pot sa folosesc porturile Gigabit Ethernet pentru conectarea celor 2 cladiri impreuna cu router-ul Linux (adica Mikrotik-ul pe post de switch gigabit) si porturile SFP sa conecteze intr-un port a 3-a cladire (sa aloce ip-urile pentru computerele de acolo) si, respectiv, up-link-ul principal (sau WAN-ul router-ului MikrotiK) pe fibra... Ce spuneti? Fabulez? Cu stima. |
#2
Posted 27 May 2017 - 16:15
Ai deja routerul Mikrotik? Nu este foarte performant, exista si variante mai ieftine si mai puternice (fara SFP ce-i drept) - ex rb750gr3 la 1/4 din pret.
Vezi ca la asta unul dintre SFP-uri suporta doar module de 10G Da, poti face ce vrei tu dar mai elegant ar sa conectezi cele 3 cladiri + uplink provider in Mikrotik si sa-l folosesti ca dhcp/fw pentru toate (1+2 impreuna si 3 separat, fara sa se vada intre ele - reguli in fw) si sa renunti complet la Fedora pentru rutare/dhcp. La 300 de PC-uri ti-ar trebui si un al 2-lea link de net, ti-ar ajunge la fix porturile din rb750gr3. |
#3
Posted 27 May 2017 - 16:33
Multumesc pentru reply Alice.
Din pacate da, nu a fost alegerea proprie cu echipamentul. Uplink-ul este pe 10G si acesta cred ca a fost un factor ptr achizitie. M-am gandit sa-l fac router ptr tot si sa nu mai folosesc Fedora, problema este ca nu stiu daca-si face treaba ok ca si fw, mai ales ca vreau sa mai filtrez si bittorent (atat cat se poate binenteles) si necunoscand inca RouterOS-ul si ce poate echipamentul cred ca voi folosi deocamdata si Fedora, mai ales ca se mai doreste si stocare, web, etc. Daca ma impedic de RouterOS mai deranjez cu intrebari si in limita timpului dvs orice parere si sfat este foarte aprecit. Ms. Cu stima. |
#4
Posted 27 May 2017 - 18:37
Salut. La un asemenea nivel, nu iti recomand sa folosesti NAT pt iesirea la internet, ci un proxy cu un firewall in fata.
Cum toti vor sta pe net, iti vor face praf routerul, din cauza sesiunilor PAT. Ca sa nu mai zic, de cate clase de IP-uri publice vei avea nevoie. Si sub nici o forma nu le poti pune pe toate in acelasi server. Cumpara un FW dedicat, hardware. NU le permite decat porturile 80 si 443, si astea via proxy. Fa un desen cu ce vrei sa faci si vreau sa stiu cum vrei sa faci cablarea, ce topologie vrei sa pui, cate VLAN-uri etc etc |
#5
Posted 27 May 2017 - 19:25
Ce inseamna "un asemenea nivel"? De unde stii tu ca toti vor sta pe net si ca o sa-i faca praf routerul?
Si de ce ar avea nevoie de "clase" de IP-uri publice? Si ce inseamna clase? niste /30-uri, niste /28-uri? Sau cateva /16-uri? Sau macar un /29 de IPv6, nu? |
#6
Posted 28 May 2017 - 12:19
Mikrotik-ul va sta oricum in spatele unui fw dedicat (FreeBSD) cu 2 provideri diferiti pe conexiuni de 1GB si 100MB (ptr back-up).
Asta ma intreb si eu daca va face fata traficului pentru cele 2 cladiri, adica daca pot sa-l folosesc direct pe post de router sau il las pe post de sw si mai pun in acelasi LAN si un PC pe post de router. Voi face teste ca din povesti nu pot sa-mi dau seama. Pentru cladirile respective este suficienta alocarea a 2 clase private de /24. La trafic normal rezista si routere mult mai slabe, problema este la filesharing unde omoara tot numarul de conexiuni simultane. Iar filesharing se face si pe port 80, nu-i problema... mai greu este sa-l filtrezi.... |
#7
Posted 28 May 2017 - 13:23
Ce trafic ai intre cladirile 1+2 si 3?
Ce trafic ai in internet, in total? |
#8
Posted 28 May 2017 - 14:20
Cladirile 1, 2 si 3 fac parte dintr-un ansamblu de cladiri care ies in internet printr-un fw dedicat.
Cladirile 1+2 trebuie sa fie in acelasi LAN iar cladirea 3 intr-un LAN separat de acestea. Iesirea se face prin banda de 1GB (care va fi marita in viitor la 10GB) care este ocupata in proportie de 80%. Cladirile 1+2 ocupa cam jumatate din banda (cu limitari HTB) altfel ar ocupa cam tot (filesharing in mare parte). Intre router-ul Mikrotik si fw exista conexiune (fibra) pe 10GB (uplink-ul ptr router pe unul dintre sfp-uri), iar celalalt sfp de 1GB il folosesc ptr cladirea 3 (cu DHCP server activat pe acest port). Raman cele 2 cladiri sa le conectez pe porturile LAN ale router-ului Mikrotik, dar aici nu stiu daca sa-l las tot ca server DHCP sau sa-l las switch si sa mai folosesc un server Fedora separat conectat in acelasi LAN cu cele 2 cladiri. Nu stiu daca rezista Mikrotik-ul la un astfel de trafic. |
#9
Posted 30 May 2017 - 15:40
Daca configurez 3 interfete de retea cu DHCP care aloca ip-uri dintr-un LAN /24 din clase private (diferite) pe fiecare interfata si vreau sa-mi faca NAT pe o alta interfata de iesire (o alta interfata declarata ptr WAN) nu vrea sa faca acest NAT deloc. Daca las o singura interfata ptr LAN face acest NAT fara probleme. Unde gresesc?
Vre-o sugestie de setare pe care nu o vad eu? Ms. |
#10
Posted 31 May 2017 - 20:43
il faci router ca sa conectezi cele 2 lan-uri la fw.
adaugi ruta de intoarcere (sa stie de cele 2 subnet-uri) si pe fw |
|
#11
Posted 05 June 2017 - 12:10
Rezolvat problema pe IPv4, am 3 interfete LAN (clase private diferite) si una pentru WAN si merge si NAT-ul, din a 3-a incercare
Pur si simplu nu a vrut pana la un moment dat cand a vrut!! Nu am explicatie, setarile fiind aceleasi, ma rog... Acum nu vrea sa faca NAT pe IPV6... Vre-o sugestie? IP-uri aloca fara probleme... |
#12
Posted 13 June 2017 - 09:06
Se poate configura RouterOS-ul sa aloce adrese IPV6 Stateless pe LAN?
Imi explica cineva cum sau din ce ecrane din setari? PS> Acum am vazut ca m-am exprimat gresit mai sus cu NAT pe ipv6 (sa nu inteleaga altii ca-s cu pluta!) si vroiam ipv6 forward, sa zic... |
#13
Posted 18 June 2017 - 14:24
Stie cineva cum as putea filtra bittorrent-ul cu ajutorul regulilor de firewall pe Mikrotik?
Sigur, nu ma refer la stoparea de filesharing, dar macar sa-l mai imputinez semnificativ? Ceva reguli poate posta cineva care le are implementate si functioneaza? Posibil filtrare pentru layer 7? Ms. |
#14
Posted 23 June 2017 - 14:48
sonnydellmarco, on 27 mai 2017 - 18:37, said:
Salut. La un asemenea nivel, nu iti recomand sa folosesti NAT pt iesirea la internet, ci un proxy cu un firewall in fata. Cum toti vor sta pe net, iti vor face praf routerul, din cauza sesiunilor PAT. Ca sa nu mai zic, de cate clase de IP-uri publice vei avea nevoie. Si sub nici o forma nu le poti pune pe toate in acelasi server. Cumpara un FW dedicat, hardware. NU le permite decat porturile 80 si 443, si astea via proxy. Fa un desen cu ce vrei sa faci si vreau sa stiu cum vrei sa faci cablarea, ce topologie vrei sa pui, cate VLAN-uri etc etc Acum ca l-am configurat si pus la treaba pot sa afirm si eu ca este un router care nu rezista la un asemenea trafic. Nat-ul consuma 50-60% din CPU, rutarea si celelalte 30-40% si uite asa CPU 100% mai tot timpul... Sunt curios daca un rb750gr3 ar face fata. Numai bine. |
#15
Posted 23 June 2017 - 15:49
Si o chestie ciudata: traficul nu trece de 30Mb desi are porturi de 1Gb...
Apare o limitare (gatuire) pe interfete, dar nu stiu de unde... |
|
#16
Posted 23 June 2017 - 17:10
sebybastian, on 23 iunie 2017 - 15:49, said:
Si o chestie ciudata: traficul nu trece de 30Mb desi are porturi de 1Gb... Apare o limitare (gatuire) pe interfete, dar nu stiu de unde... 1Gb este viteza fizica a portului. Daca acei 30Mb implica cateva mii de packete pe secunda, as spune ca nu sta atat de rau. repet: la design-ul unei astfel de retele, se dimensioneaza echipamentele de retea pentru trafic mult peste cel estimat. Gatuirea e cauzata de procesorul care sta aproape de 100%. Asa ceva nu se face cu acel router, ci cu unele din alta clasa. Pentru traficul de bittorent, trebuie pus un IPS in fata, sau trecut tot traficul printr-un proxy, si lasat doar port 80 si 443. Asa se face in mediul enterprise, nu cu NAT/PAT Stima! |
#17
Posted 23 June 2017 - 20:00
m-am mai uitat inca o data pe specificatii: e un router modest
|
#18
Posted 29 June 2017 - 14:11
sonnydellmarco, on 23 iunie 2017 - 17:10, said: 1Gb este viteza fizica a portului. Daca acei 30Mb implica cateva mii de packete pe secunda, as spune ca nu sta atat de rau. repet: la design-ul unei astfel de retele, se dimensioneaza echipamentele de retea pentru trafic mult peste cel estimat. Gatuirea e cauzata de procesorul care sta aproape de 100%. Asa ceva nu se face cu acel router, ci cu unele din alta clasa. Multumesc pentru explicatiile de mai sus. Totusi am o problema cu echipamentul, lasand la o parte aspectele legate de limita resurselor. Vreau sa-l folosesc la o retea modesta, maxim 10 PC-uri. Am facut teste prin el lasand doar un singur PC in unul dintre lan-uri si viteza de download nu trece de 30Mbps. Cred ca gresesc eu undeva in configurari, probabil la NAT. Am mai citit de cazuri in care limita NAT-ul la un prag, dar nu am gasit mai multe informatii legate de acest aspect. Daca aveti sugestii sau documentatie va rog un sfat. Multumesc. |
Anunturi
Bun venit pe Forumul Softpedia!
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users