Mikrotik CRS226. Как настроить маршрутизацию между VLAN и раздать интернет?

Question

[Alexey Getun]

Mikrotik CRS226-24G-2S
Задача определена таким образом. Объединить по 2 порта в 10 сетей, изолировать друг от друга, DHCP на каждую сеть (если возможно) и предоставить доступ в интернет.

Внешний DHCP x.x.10.1 выдает интернет на адрес x.x.10.11

ether1-master - получает интернет x.x.10.11
ether2-control – управление , x.x.10.12
ether3-22 порты под сеть необходимо их разбить по принципу:
ether3, ether4 = x.x.101.0/24 – без доступа в интернет
ether5, ether6 = x.x.102.0/24 – с доступом в интернет
ether7, ether8 = x.x.103.0/24 – с доступом в интернет
все последующие сети с доступом
...
ether23, ether24 - думаю организовать trunk на аналогичное устройство, но эта тема отдельной статьи.

Это моё первое знакомство с устройствами Mikrotik, по онлайн мануалам постоянно упираюсь в две проблемы: отсутствие интернета в сетях , нагрузка CPU
Прочел не мало мануалов, подскажите пожалуйста, куда смотреть, как запилить.

PS. даже не спрашивайте почему именно так – это наследство)

Answer 1

[Дмитрий Шицков]

У вас CRS - с ними будет несколько проще. Просто объедините все порты парами в "виртуальные свитчи", можно обойтись даже без VLAN, если не критично их наличие. Вешайте на каждый "виртуальный свитч" свой DHCP.
По маршрутизации меду подсетями упретесь в CPU - ничего не поделаешь, это L2 свитч с роутером, по сути. Не самым мощным роутером. Остаётся надеятся, что трафика между подсетями не так много будет. Можно попробовать расшевелить немного wiki.mikrotik.com/index.php?title=Manual:IP/Fasttr...
Отсутвие интернета, полагаю, связано с отсутствием настроенного NAT, DNS... да чего угодно. Требуется понимать что настроено, чтобы сказать, что недонастроено.

Comments

[Alexey Getun]

пробовал уже через vlan+bridge - при минимальной нагрузке две сети уже частенько 30-50% CPU.
virtual switch тоже тестировал, но что-то в голову не пришло повесить DHCP именно на свитч, пихал VLAN. сейчас буду пробовать.
за FASTtrack спасибо.
по NAT - правил нет как таковых вообще. сразу возник вопрос - а как протащить RDP в такие подсети с внешнего RB2011UiAS-RM

[Дмитрий Шицков]

Alexey Getun: не используйте на crs бриджи, они не нужны при его функционала свитча

[Alexey Getun]

Дмитрий Шицков: так и не нашел где или как на виртуальный свитч повесить DHCP или просто раскидать свитчи по разным ip сетей

[Дмитрий Шицков]

Alexey Getun: сперва как тут описано, изолируете порты wiki.mikrotik.com/wiki/Manual:CRS_examples#Isolation
Затем, на мастере каждой группы вешаете инстанс DHCP-сервера

[Alexey Getun]

Дмитрий Шицков: проверить до подключения нет возможности, да и остались вопросы.
сделал ресет
сделал изоляцию по группам e1,e3,e4 / e1,e5,e6 / ...
в настройках группы висит dhcpv4 u v6 разрешены. вот только на что его вешать, если мастер у всех один e1. на вики по ссылки пример с тем что DHCP внешний, в моём случае он на этом устройстве. и необходима ли при такой изоляции Switch VLAN ?

[Alexey Getun]

Дмитрий Шицков: будут ли устройства видеть друг друга вне группы если сделать только изоляцию портов в одной подсети x.x.10.0/24 ? т.е. без заморочек с DHCP - он тогда будет один внешний

[Дмитрий Шицков]

Alexey Getun: неправильно вы изолируете. Надо как-то так: e3_master, e4 / e5_master, e6 / ...
DHCP Server первый настраиваете на e3, второй на e5 и т.д.

[Alexey Getun]

Дмитрий Шицков:
спасибо за помощь
если есть еще замечания, с удовольствием приму критику)

Answer 2

[Александр Романов]

Я бы на Вашем месте не делал это всё только на 226, а докупил, например, hEX. На 226 просто разрулил вланы по портам, а на роутере уже настраивал бы маршрутизацию и дхцп сервера. Посмотрите в сторону этого решения, новый hEX r3 недорогой и весьма хорош по производительности. 226, всё-таки, свитч со всеми вытекающими

Answer 3

[Wexter]

crs226 не роутер, это l3 свич и файрвол очень сильно грузит его, идеальным вариантом будут access порты на crs226 и trunk на что-нибудь более мощное хотя бы rb750(G)r2/r3.
В вики микротика есть достаточно понятная инструкция по настройке vlan, лучше читать на английском языке, будет понятнее
wiki.mikrotik.com/wiki/Manual:CRS_examples#VLAN

Answer 4

[Alexey Getun]

всё настроил и отыграл уже пару недель
основная нагрузка сетей это интернет, в части сетей внутрений высоконагружаемый трафик
связка RB2011 (разделение на две сети + nat для обоих) + 2х CRS226 (Switch Vlan 22шт)

вариант1
Switch Vlan = e1,e3,e4 / e1,e5,e6 / ...
- минимальная нагрузка на коробку, отличный вариант разделить кабинеты
один DHCP, сети друг друга не видят напрямую, интернет прямой, Nat
вариант2
Switch Vlan = e1 / e3,e4 / e5,e6 / ...
- нагрузка ниже среднего, вариант разделения офисов
на каждой сети свой DHCP, сети друг друга не видят напрямую, интернет через Nat, Nat
вариант3
Vlan + Bridge = разные варианты стыковки пробовал
- при нагрузке свыше 5 сетей и 3-5 устройствах в каждой в купе с основной сетью уже вызывает неудобства

огромное спасибо Дмитрий Шицков за ссылки и советы