Как правильно настроить локальную сеть и мультиван на Mikrotik?

Question

[Likbezup]

Добрый день. В сетях особо не разбираюсь, поэтому прошу помочь. На данный момент в офисе на 70 пользователей есть работающая сеть, но она работает не так как должна.

Дано:
CRS317-1G-16S+RM в качестве центрального узла
Пачка из 8 коммутаторов CRS326-24G-2S+RM
PoE-коммутатор CRS328-24P-4S+RM для видеонаблюдения
4 тарелки RBcAP2nD и одна RBOmniTik U-5HnD для Wi-Fi

Есть два бриджа:

Интерфейсы:

Адрес лист:

DHCP сервер:

Файрволл:

Что тут происходит и как это все перелопатить ума не приложу.

Что мне нужно:
Сейчас есть три провайдера, но в дальнейшем будет 4. Мне нужно все 4 провайдера завести, сделать какую то связку всех коммутаторов между собой, и сделать разные подсети, что бы к примеру у компании А было:
192.168.10.0 - подсеть для хостов
192.168.11.0 - подсеть для оргтехники
у компании Б было:
192.168.20.0 - подсеть для хостов
192.168.21.0 - подсеть для оргтехники
и т.д.
Ключевое: эти подсети должны смотреть друг в друга

При этом чтобы подсеть 192.168.20.0 была привязана к провайдеру Б, и в интернет выходила только с него
Подсети должны смотреть друг в друга, т.к. на весь офис есть общие ресурсы: шара, сетевые службы и т.д.

Я понимаю что описывать подробно мне никто не станет, но мне хотелось бы получить хотя бы алгоритм действий, типа:
1. подклчение провайдеров по мультиван
2. создание собственной сети для коммутаторов
и т.д.
а уже по алгоритму буду искать мануалы.
Заранее благодарю за помощь!

Comments

[Akina]

Извините, у Вас в мыслях полный бардак и абсолютное отсутствие понимания, что нужно получить на выходе. Одни ощущения... Ваше "что мне нужно" ничего в принципе понять не позволяет. И Вы всё мешаете в кучу - и L2, и L3...

Вам в первую очередь надо чётко всё расписать. Что Вы хотите получить окончательно. Где какие VLAN, где какие подсети, что куда маршрутизируется, где какой DHCP и т.п.

Answer 1

[Valentin Barbolin]

Все правильно написал Виктор, это в первую очередь коммутатор, он без проблем справляется с L3 уровнем, но NAT это не его задача про VPN я вообще молчу.

Да, на нем есть такой функционал как NAT, но этого хватит от силы для нормальной работы 5-10 пользователей, но точно не 70.

Даже mikrotik hap ac2 справиться лучше чем CRS317.
Я бы посоветовал 4011 или хотябы ax2.

Строй по класике три уровня, L3 и NAT должны делать разные устройства
- роутер
- l3 коммутатор
- l2 коммутатор

Берешь, один коммутатор, возлогаешь на него роль l3, все остальные L2. На l3 настраиваешь маршрутизацию между сетями и firewall по надобности, на нем делаешь маршрут defaul gw на роутер. На роутере настраиваешь правила для мутивана.

192.168.0.0/16 не использую эту подсеть для локальной сети, бери адреса из 10.0.0.0/8

Comments

[Akina]

Да, на нем есть такой функционал как NAT, но этого хватит от силы для нормальной работы 5-10 пользователей, но точно не 70.

То есть коммутировать 80-гигабитные потоки для него не проблема, а 70 юзеров в один интернет-канал он не потянет? Знаете, у меня вшивый RB2011iL-RM распрекрасно тянет общагу на 120 клиентов с внешним каналом 800 Мбит и ограничением в 25 Мбит на клиента через simpleQueue при средней загрузке канала в 30% днём и 85% ближе к ночи... причём каждый клиент в отдельном VLAN с отдельным DHCP-сервером в своём VLAN. Мониторинг показывает пиковую загрузку процессора в районе 35% и повседневную в 4-7%. И все жалобы на скорость доступа в Инет пока или были на установленное ограничение в 25 мегабит, или показывали проблемы на оконечном оборудовании клиента, т.е. проблем именно от маршрутизатора за уже 4 года - ни одной.

[Wexter]

Akina, google:/чем+отличается+коммутатор+от+маршрутизатора+и+почему+я+несу+хуйню+в+комментах

[AntHTML]

Akina, Посмотрите тесты производительности CRS317 и RB2011 на том же оффсайте микротика. У CRS R-часть на уровне RB750: она там чисто для фаерволинга 80-гигабитных потоков, а NAT, VPN и тп. там тупо из-за того что разрабы не захотели урезать ROS и "а вдруг понадобится 2 компа изолировать" но не как не боевой gateway на 4 прова

Answer 2

[Виктор]

CRS317-1G-16S+RM - это не роутер...Это свитч, хоть и с поддержкой RouterOS. Очень сильно сомневаюсь, что он потянет нормально маршрутизацию при таком кол-ве подсетей и таком количестве провайдеров.
А так вообще читайте - ТУТ

Comments

[Akina]

CRS317-1G-16S+RM - это не роутер...Это свитч, хоть и с поддержкой RouterOS. Очень сильно сомневаюсь, что он потянет нормально маршрутизацию при таком кол-ве подсетей и таком количестве провайдеров.

Это полноценный маршрутизатор. 4 провайдера по гигабиту и с полтыщи клиентов он обслужит и даже не вспотеет, если не использовать L7-фильтрацию.

[Wexter]

Akina,

Это полноценный маршрутизатор

Вы бы хоть официальные тесты открыли сперва.


Жалкий RB750Gr3 уделывает его по всем фронтам.

Касательно изначального вопроса - найдите человека у которого достаточно квалификации для решения этой задачи, вам она не по зубам

Answer 3

[Дмитрий Кузнецов]

Который раз убеждаюсь в том что все нужно записывать и расчитывать.
У меня такая же ситуация. Решил выписать то что я хочу и зачем. А потом уже решаю как это будет и кто куда будет ходить.