Есть Mikrotik`и. Как решить проблему качества связи в большой замусоренной локальной сети, без утраты скорости?
Имеется разветвленная по городу локальная сеть, организованная через провайдера.
Формально, скорость более чем достаточная.
Формально, левого трафика быть не может, ибо провайдер обеспечил Vlan.
По факту стабильность не очень хороша.
Провайдер клянется и божится, что у него все идеально.
Некоторое время назад была проблема, с одного из давным-давно отключенных кабелей в давным-давно покинутом нами здании приезжал какой-то мусор из-за чего работа в локальной сети была ужасно медленной. Кабель нашли, обрезали. Ту проблему решили.
Сейчас сходная ситуация. Повторить решение с обрезкой ненужных кабелей невозможно. Так как доступа к ненужным кабелям нет. Да и провайдер берет деньги только за те концы, которые мы реально эксплуатируем.
Имеются Mikrotik 2011, можно докупить еще, только модельки попроще.
И поставить во всех офисах.
Далее организовать поверх Vlan провайдера собственную частную сеть.
Делать защиту с шифрованием нет особой необходимости.
Хочется просто обеспечить стабильность работы этой виртуальной сети, отсечение мусорных пакетов.
Программы построения карты сети ведут себя странно. Кто-то из них не видит никаких устройств не наших.
Кто-то видит некоторые "левые" устройства, которых быть не может. Но при попытке обратиться к этим устройствам (пингом, телнетом и т.п.) мы их не видим.
Предполагаем, что это мусорит кто-то за пределами нашей сети. Конечно, возможно, что это что-то и из нашего оборудования, но его не так уж и много - менее 10 наших устройств (компьютеры и сетевые принтеры) по всей сети.
Что бы вы предложили для изоляции мусорного трафика?
Какую модель Микротик попроще выбрать для части офисов, кроме имеющихся уже моделей 2011. В Wi-Fi нет необходимости.
abcyu: Вы себя слышите постановка задачи :) Формально скорость больше чем достаточно - п*здец...
Формально - вам подойдет любой из микротиковский роутеров.
Это, милый исключительно полезные ответы дающий, не вода, это так называемая "постановка задачи".
Какое это имеет значение, если вы не знаете чем мы каналы грузим? Все написано по русски:
"Формально, скорость более чем достаточная."
100 мегабит для 3 тонких терминальных клиентов (RDP) 3 принтеров более чем достаточно, остальные находятся в 1000 мегабитном сегменте, там жалоб нет. Небольшое торможение допустимо, люди подходят к компьютеру изредко.
Тем более, что незадолго до того как все начало тормозить в той же сети было 10 мегабит и нормально работало 9 тонких терминальных клиентов и 9 принтеров.
Какой Performance test results, мой дорогой автор наиполезнейшего ответа без воды?
Там нет нагрузки практически в этой сети, годится довольно слабое оборудование, там по паре устройств на точке.
Сталкивался с мусором от провайдеров, решил радикально - отказался от их использования)))
Тики отлично держат туннели в больших количествах, я бы посмотрел в эту сторону.
+1 к Maksim
Кто мусорит? Чем мусори? На каких портах/vlan? Ничего непонятно, соответственно и советовать что-либо бессмысленно. Нужно видеть конфиг+детальную схему сети+логи проблемного трафика. Иначе никак.
Советовать оборудование не зная даже примерных требований? Берите ЛЮБУЮ модель, не прогадаете!
Ну и раз уж был единственный сформулированный вопрос "Что бы вы предложили для изоляции мусорного трафика?" отвечу: используйте firewall.
abcyu: Ну так посмотрите. Мы точно не можем этого знать.
1) Отрываете torch и смотрите на каких интерфейсах/vlan и какой трафик вас не устраивает.
2) Разбираетесь откуда он пришел и можно ли его блокировать.
3) Блокируете.
Я понятия не имею кто там мусорит и чем.
В том то и вопрос.
Если вы предложите как это посмотреть, то будет очень здорово.
Детальная схема сети состоит из 4 концов выведенных в разные точки.
Соединены они Vlan, который реализован на уровне провайдера, то есть мы видим обычную локальную сеть.
Скорость Vlan 100 мегабит.
Для работы 3 принтеров, 3 терминальных клиентов RDP и одного сервера этого более чем достаточно.
И так и было долгие годы. И даже больше, так как некоторое время назад скорость этого самого Vlan была всего 10 мегабит, но держал он на 3 клиентов и 3 принтера больше без особых тормозов.
А недавно началась *опа, от которой провайдер открещивается.
На одном из 4-х концов стоит 1000 мегабитный свитч, соединяющий общегородскую 100 мегабитную сеть, описанную выше, с еще 3-мя компьютерами.
Хочется подцепить ко всем сегментам сети Mikrotik`и и замкнуть весь трафик между ними.
Мусор, который останется внутри сегмента провайдера, тогда не будет нас беспокоить.
Файрвол потребует ручного разрешения правильных портов и адресов, что трудоемко.
Должны же быть методы организации простой виртуальной частной сети (усиленное шифрование не нужно).
Что такое Торч? По гуглил (и "torch сети" и т.п.), по этой фразе что то про наркотики советует.
Попробую интерпретировать ваши слова... Есть провайдер, который дает вам в 4-х локациях аплинк. Все четыре аплинка объеденены провайдером общим Vlan-ом и к его настройке вы не имеете никакого отношения.
А вот что вы хотите сделать дальше - вообще непонятно. Равно как и то, чем могут помочь микротиких в других локациях.
Без наглядной, правильной схемы сети и конфигов оборудования разобраться в ваших хотелках нереально.
Повторюсь: берете любой анализатор трафика (на микротике есть утилита torch например) и смотрите что именно вам "мешает"
Конфигов нет. Пока Микротики чисты, свежекупленные.
Хочется на 4 конца, которые дает провайдер, посадить Mikrotik`и, которые будут решать проблему паразитного трафика, который предположительно возникает внутри сети провайдера. То есть за пределами нашей доступности.
Микротик должны не пропускать трафик, если только он не достоверно получен с одного из трех других Микротиков.
А уже после Микротиков будут стоять обычные компьютеры.
dr_schwanz: Пока речь идет только о какой-то сферической ситуации, совершенно без конкретики. Поэтому и совет совершенно тривиальный. Если человек не может сформулировать проблему, то зачем пятаться выдать абстрактное решение?
Дмитрий:
Я изолировал от вашего разума несущественные детали.
Я с удовольствием дам еще информации, если вы скажете какой именно информации вам не хватает.
abcyu: Я уже написал это в первом сообщении: "Нужно видеть конфиг+детальную схему сети+логи проблемного трафика."
Если нужно уточнение, могу пояснить. Конфиг(конфиги) оборудовани важны, даже если это "чистый микротик с дефолтной конфигурацией". Я бы даже сказал, что особенно важны, если он(они) с дефолтной. Потому что микротики по умолчанию разрешают все.
Схема сети - не на словах "тут два компа, тут микротик, там vlan" а нормальная графическая схема со всем имеющимся оборудованием и подписями.
Логи. Без них вообще смысла обсуждать нет, потому что в слепую отгораживаться от трафика бессмысленно. Может вы поставили микротик, не закрыли порты и вам ломятся, например, к dns серверу.
"Провайдер клянется и божится, что у него все идеально" и
"Кто-то видит некоторые "левые" устройства, которых быть не может. Но при попытке обратиться к этим устройствам (пингом, телнетом и т.п.) мы их не видим."
не стыкуется.
Либо провайдер не изолирует вас нормально, либо изолирует, а на вашей стороне есть кривая конфигурация.
Все микротики, которые работают на ROS и при наличии установленных advanced-tools, могут помочь с анализом мусора.
Определите, что за мусор и откуда он, дальше станет яснее.
Но это не поможет, если проблема всё же у провайдера.
Тогда останется один вариант - его смена.
В моём городе Ростелеком себя также вёл - "у нас всё в порядке, скорее всего что-то у вас".
Сменили провайдера - проблемы все ушли.
Простой
Средний