Здравствуйте.
К сожалению, не очень разбираюсь в Микротике.
Есть плоская сетка 192.168.10.0/24. Порядка 70 узлов. Хочу привести её в порядок, сделать кучку VLANов. Трафик должен маршрутизироваться между ними, и применятся ACL, как на Cisco 3750 хотя бы(там ACL немножко урезанные). Нужен L3 коммутатор , такой, чтобы мощности процессора хватало для этих задач. Коммутатор будет ядром сети, остальное - свичи уровня доступа.
MikroTik CRS125-24G-1S-RM подходит для этих задач? Он справится с маршрутизацией между VLAN и ACL?
CRS-серия -- довольно специфичная штука, это, скорее, SOHO-роутер, соединенный 1-2 гигабитными линками с многопортовым L2-коммутатором. Не верьте описанию "Layer 3 switch" - оно таковым не является.
L3 там очень условный, а точнее - полностью софтверный (в отличии от каталистов), больше гигабита (или двух для двухъядерных цпу) вы через него не пророутите вообще никак.
А CCR - в зависимости от модели могут быть вообще чисто софтовыми платформами и скорость/задержки/потери определяются загрузкой ЦПУ и огромным числом других факторов.
Так что, если хотите аппаратного L3 - не смотрите на Mikrotik. Хватает и без него L3-коммутаторов.
Если устроит и софтовый - то лучше CCR, с внимательным изучением блок-схем.
Спасибо большое! А не подскажите тогда аналоги? Я в свое время застрял на Cisco, и про другие совсем не в курсе. Задача - вписаться в бюджет, 150к на Сisco, да еще одну в ЗИП - за гранью добра и зла.
Сергей: inter-vlan/port routing там полностью софтовый, в чем можно убедиться, просто взглянув на тесты на сайте производителя.
Или вы считаете, что 279.3 Mbps Routing - сколь-нибудь напоминает железный L3-роутинг?
Mystray: Я правильно понимаю что если у меня один хост будет качать большой файл, от хоста в другом влане, то скорость больше 280 Мбит/c не поднимется? Хотя 1 Гбит/c с моими нуждами должно бы хватить. Печально.. Очень печально.
Сергей: VLAN-ы поддерживают чипом, естественно. Но в виде L2-сущностей, то есть обычные 802.1q-вланы с индивидуальной таблицей коммутации для каждого влана (при соответствующей галочке в настройках) и изоляцией. Но нигде производитель не говорит о том, что маршрутизация выполняется аппаратно, ни между портами, ни между вланами.
Маршрутизацией в этих железках занимается исключительно ЦПУ, который весьма хиленький.
Топикстартеру, напомню, нужно именно маршрутизировать между вланами на железке.
Я бы посоветовал дешево и сердито что-то вроде D-Link DGS-3120, ну или не очень дешево - HPe-5130EI.
Таблица правил является очень мощным инструментом, позволяющим на проводной скорости (wire speed) производить операции пакетной фильтрации, пересылки и vlan-тегирования, основываясь на соответствиях по определённым значениям в полях заголовков протоколов L2,L3,L4-уровней.
IPv4 и IPv6-условия не могут быть использованы одновременно в одном и том же правиле. Таблица содержит упорядоченный список правил, как и в меню /ip firewall filter. Вследствие того, что таблица правил полностью обрабатывается за счёт аппаратных возможностей чипа коммутации, существует ограничение на количество правил, которое вы можете задать.
Сергей: Ну разберитесь вы уже, что такое Layer3 switch, чем он отличается от сферического маршрутизатора и прекратите упорствовать.
Выше - характеристики L2+ девайса, в которой ACL перевели как "таблица правил". Никакого отношения к маршрутизации оно не имеет. Это просто пакетный фильтр, который может "заглядывать" внутрь фрейма, и что-то делать или не делать при совпадении определенных полей. LPM оно все равно не умеет делать, да и TCAM под LPM-таблицу там нет.
CRS317-1G-16S+RM - SFP порты тут лишние, хотелось бы просто железку c Ethernet портами.
Cloud Router Switch 226-24G-2S+RM - наверное подойдет.
о чем идет речь если честно я не понял )
Речь идет о том, что VLANы создаются на самом коммутаторе, им присваивают адресацию, например VLAN 100 - 192.168.15.0/24, VLAN 101 - 192.168.16.0/24. Далее включается маршрутизация между ними, то есть оба влана видят друг друга, затем настраиваются ACL - например устройства из VLAN 101 могут видеть только один хост из VLAN 100, а все остальное закрыто.
Cisco 3750 может такое на более менее большой сети из 200+ хостов не сильно напрягаясь. А сможет ли микротик?
На циске это выглядит примерно так:
interface Vlan100
ip address 192.168.15.1 255.255.255.0
interface Vlan101
ip address 192.168.16.1 255.255.255.0
ip access-group LIST in
ip routing
ip access-list extended LIST
permit ip 192.168.16.0 0.0.0.255 host 192.168.15.4
permit ip host 192.168.15.4 192.168.16.0 0.0.0.255
deny ip any any
Svetobor: crs - не факт что справится. В них порцы слабенькие, и успех будет напрямую зависеть от количества правил фаервола и прочей доп нагрузки. Если и рассматривать, то только ccr.
Средний
