Разделить два провайдера на разные (коммутаторы) сети?
Доброго времени суток, возник вопрос с разделением сети, так как придя в одну фирму, у них здесь творится непонятно что
Что мы имеем сейчас:
Сейчас творится ад, приходит 2 провайдера. через PPPoE (ip динамика, возможно в дальнейшем удастся взять статичный ip)
ISP1 - провайдер уходит на wi-fi роутер на котором и поднято подключение по PPPoE. Потом этот инет уходит на 3 других wi-fi роутера в офисе, так и сидят сотрудники.
ISP2 - уходит на wi-fi роутер бухгалтеров на котором тоже поднято подключение по PPPoE, Потом инет уходит по проводам от этого роутера на бухгалетрские компы
Сейчас что я хочу сделать:
srv1 с AD доменом, dhcp, принт сервер, зеркало обновления антивиря и мелочь. vpn сервер на вируталку поднятую на srv1
srv2, репликация данных с 1 сервера, и по мелочи задачи.
srv3, под сетевой рендер макса или полноценно для ревит сервера, или как то совместить, это посмотрим.
NAS сервер отдельно, для бэкапа важных данных.
Из железок для сети, что куплено (увы, что то докупить пока нет возможности)
На микротике разделить инет офис/бухгалтерия (офисные сотрудники все на isp1, бухи на своём канале на isp2)
srv1 с AD доменом, желательно через него dhcp настроить для офиса. (Получается инет приходит на Микротик eth1, PPPoE подключение срабатывает, уходит на порт eth2, с которого идёт в srv1, там в 1 сетевуху настройка dhcp и прочего берётся, и из 2 сетевухи уже идёт в коммутатор snr 48 портовый).
dhcp для бухов будет сам микротик раздавать.
srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану. (для возможности удалённой помощи)
На 48 портовом SNR, будут весить сервера/принтеры/wi-fi/мониторинг юпс и что то может ещё (по подсчётам 48 портов уже заняты)
На 24 портовом SNR, 6 портов уходят в офис, так как докупили принтеры и пару ПК, 6 портов уходят для бухов. (12 портов остаются в резерв)
На 24 портовом уже 6 портов бухов загнал для теста в VLAN. Имеет ли смысл загонять все порты из 48 SNR и оставшиеся 6 портов из 24 SNR в единый vlan для офиса?
Возможно, в дальнейшем какой то отдел потребуется загнать в отдельный вилан.
Кто-то оргтехнику загоняет, кто-то wi-fi, кто то сервера старается загнать в отдельные виланы (подскажите как лучше сделать и разделить)
Извиняюсь за сумбурность. Если где-то нужно дописать, допишу.
Надеюсь поможете всё раскидать правильно с настройками и конфигами для моего случая.
AlexanderSuz, Что то вроде
/interface vlan
add name=vlanMain vlan-id=1 interface=eth2 disabled=no
add name=vlanBukh vlan-id=2 interface=eth2 disabled=no
/ip firewall nat
add chain=srcnat in-interface=vlanMain action=masquerade out-interface=ISP1
add chain=srcnat in-interface=vlanBukh action=masquerade out-interface=ISP2
Не разу в жизни с микротиками не работал, но нужно уметь придумывать решения на основе документации.
AlexanderSuz, Ну вы же решили использовать VLAN. Это имеет смысл только если соединять две сети коммутаторами. И я предположил, что для микротика оно всё на одном порте.
DHCP-сервер вообще только по интерфейсам и настраивается. Если не настроить DHCP-сервер для интерфейса, то и не будет там DHCP от микротика.
AlexanderSuz, предлагаю такой вариант: склейте порты сетей офиса и бухов мостом(bridge). И настройте виланы поверх него. Так Вы сможете использовать любые порты любого коммутатора, при этом легко разделяя сети как Вам угодно. И в случае чего сможете перестроить сеть с минимальным кромсанием проводов.
Настраиваете PPPoE Client для ISP1 и для ISP2, создаете bridge1 и bridge2 для будущих подсетей, добавляете в них необходимые порты и NAT-ите ISP1 в первый bridge, а ISP2 во второй.
DHCP server так же настраивается для каждого bridge, а при необходимости можно добавить и vlan.
graf_Alibert, Спасибо, конечно в микротиках не особо понимаю, но понял, что в
/interface ethernet поменяли название интерфейсов у ether1-ether2
/interface pppoe-client - создали пппое соединение для интефейсов
/interface bridge port - сделали мост для lan1 и lan2 для оставшихся интерфейсов
/ip pool - пул адресов для lan1 и lan2
и т.д
Просто попросил конфиг, что бы не наломать дров. Спасибо
Но возник такой вопрос, так как на данный момент у бухов нет отдельного коммутатора, они будут занимать порты у SNR-S2982G-24T и у этого коммутатора будут занимать некоторые порты и офисные компы.
Получается, мне придётся делать виланы?
У SNR-S2985G-48T все порты в VLAN100-Office
У SNR-S2982G-24T первые 6 портов в VLAN100-Office и 6 портов последних в VLAN200-BUH?
У SNR-S2985G-48T все порты в VLAN100-Office
У SNR-S2982G-24T первые 6 портов в VLAN100-Office и 6 портов последних в VLAN200-BUH?
Да, именно так, нужно на микротике создать vlan100 и vlan200 и сбросить их тегом на коммутатор.
vlan на mikrotik отдельная тема для разговора, можно сделать примерно так:
graf_Alibert, Вы про management сеть? Типо VLAN99 сделать? Туда загнать только маршрутизаторы и коммутаторы? Роутеры вафли, принтеры? Или это уже другая история? И обязательно делать для них отдельный вилан? Или просто прописать статику для них типо 192.168.1.100, 192.168.1.101 и т.д
srv1,2,3 лучше в отдельный вилан? Или тоже в VLAN99 запихнуть? Или вообще в виланы не пихать и пусть на 48 портовом SNR крутятся?
И касательно DHCP там нужно interface=bridge-LAN1 будет менять на называние VLAN или как? Если виланы строить конечно.
graf_Alibert, А касательно management сеть что можете сказать? Просто написали вчера комментарий, но не дописали что вы точно имели ввиду про отдельный вилан для управления.
graf_Alibert, Но по сути, для этого вилана будет создан отдельный пул ип так (типо 192.168.99.2-192.168.99.254)? И потом dhcp будет раздавать их только для managment vlan. Ну и через мост, будет связь с другими сетями, соответственно пинговаться этот пул будет с юзверских компов, но доступа конечно не будет.
Или пул не нужно создавать? Как будет конфиг выглядеть для этого?
Здесь понятно что по Lan разделили виланы и соответственно пулы которые будет раздавать dhcp.
А если мы добавим влан99, к какому Lan он будет относится? (вилан 99 и 100 будет на 48 портовом коммутаторе только) Пулы и т.д
Как я понял, это просто для того, что бы легче было админить? Типо знать, что в этой сети все коммутаторы, маршрутизаторы, те-же принтеры и т.д? Или суть немного в другом?
Я извиняюсь может за простые вопросы и за ваше потраченное время. Просто хочу сам понять, что куда и зачем. Ваш первый конфиг я разобрал и понял что куда. А вот сейчас с виланам вообще путаница получается. Если не трудно, пожалуйста пример конфига с добавочными виланами соберите. Спасибо.
AlexanderSuz, на микротиках есть програмный и аппаратный влан. Я редко на микротиках с вланами работаю, поэтому расписал как привык. А на этом сайте правильно советуют, так производительность получше будет.
AlexanderSuz, для managment vlan лучше переделать конфиг (все что касается vlan), сделать как советуют, навесить вланы на бриджи и разрулить аппаратно, а не програмно как в моем конфиге. Но тут у меня практики мало, придется самим разбираться.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
