Всем добра!
Я понимаю, что сейчас буду выглядеть не красиво в глазах специалистов и вот почему. Есть основной mikrotik rb2011uas-rm, который выдаёт интернет для всей конторы и находиться он в отдельном помещении. Несколькими этажами выше находиться mikrotik crs125, он забит не полностью, да и места там больше. Решил отдельно для проекта наставить серверов и выделить их отдельную под сеть, но столкнулся с проблемой, что скорость между сетями не превышает сотку на одном и том же аппарате, но при этом они обмениваются своей сети в гиг и даже не напрягаются. Был удивлён, что на уровне одной железки такое возможно, а вопрос в том, как уговорить их общаться между сетями в полный рост?
P.S. В правилах разрешено общение, ограничений никаких нет.
Когда они обмениваются данными в своей сети, то работает коммутация и пакеты не прилетают на процессор, а когда из разных сетей, то уже работает маршрутизация и ЦПУ напрягается, а если ещё и вагон правил фаерволла, нат, qos, то железке чуток плохеет и она не может это все переварить
fshp: Да, только обратите внимание на размер пакетов в спецификации. Этот роутер раздает инет для всего офиса и пакеты там не по 1500, а еще он кроме фильтрации натирует (connection tracking жрет ресурсов больше всех, его иногда выносят на отдельную железку), шейпит, возможно держит vpn, а если ещё и L7 фильтрует, то как раз все упадет до 100 мбит.
>mikrotik rb2011uas-rm, который выдаёт интернет для всей конторы и находиться он в отдельном помещении. >mikrotik crs125, он забит не полностью, да и места там больше.
как подключены между собой ?
crs125 - надеюсь не используется как роутер ?
В итоге 1gb между ними должен быть, так как примерно такую конфигурацию я настраивал.
1gb на уровни switch.
UPD. Хотя я засомневался, что у 2011 не блокирующий switch. Надо уточнять в тех поддержки mikrotik.
Народ не читает всё полностью, по этому я уже забил получить ответ. 2011 является роутером, а 125 это отдельный свич даже на другом этаже, вот на нём создана отдельная сеть, как тесты показали, что он упирается в 50% процессора и более 100-ки не выдаёт. Если работают сами микрухи то они гонят гигалан, а вот с под сетями высокой скорости не получиться.
DdarkX: ну у 2011 два свитча. 1gb порт и 100mb.
Что значит на 125 создана отдельная сеть ? Кто роутер для той сети ? Сам 125 ?
Распишите все более подробно. Я попробую сделать тест со своим 326 и что-то типа Hap AC.
125 работает свичем раздавая 1.0/24 сеть, я у него оторвал несколько портов и создал на них сеть 2.0/24 разрешил всех видеть и ходить без ограничений, но вот только ходят медленно.
DdarkX: тогда возможно и будут ходить медленно. Надо смотреть как вы настроили сеть, но коротко не надо вешать на CRS125 вообще сети и использовать как роутинг.
Можно теперь увидеть как вы реализовали разделение сети ? Скорее всего Bridge ? Как вы разделили switch. В общем тут много вопросов, лучше посмотреть конфиг.
Если коротко как бы делал я, с разными вариантами.
На 2011 создал бы все сети и сделал его головой. Возможно бы объединил два канала bonding между 2011 и crs125. Это soft решение и немного будет есть CPU, но не критично. Bonding даст условный прирост скорости и отказоустойчивость при обрыве одного из каналов. На bonding уже повесил Vlan и разделил сети на Vlan. При этом Vlan создать на уровне switch, это сэкономит CPU.
На Crs125 я бы уже приземлил vlan на нужные порты.
Думал, конечно на Vlan посадить, но почему-то решил, что железка с не большой нагрузкой потянет ещё одну подсеть, не хотелось лишним грузить 2011, но видимо Vlan будет единственным решением
DdarkX: Для 2011 как раз все нормально. Можно смело вешать vlan, только через switch. Так как он не будет есть ресурсов. Точно так же с другой стороны.
Как второй вариант, это обе сети поднять на CRS125, но именно как route на уровне L3. Еще одну сеть до 2011, через тот же route , а он уже будет раздавать интернет. Но этот способ больно кривой и не очень логичный.
Ну и еще раз, не готов подтвердить или опровергнуть проблему в скорости 100%. Надо смотреть конфигурацию, но я могу представить конфигурацию когда будет скорость около 100.
Еще отмечу, что у 125 в разделе switch есть дополнительные вкладки включая по vlan и надо отдельно почитать и посмотреть как там конфигурируется. Там много дополнительных значений, больше чем на 2011. (это если я модели не путаю)
Спасибо за советы, я конечно опробую vlan, так как скоро надо будет делить сеть на больше сегментов, так как добавить видео охрана, а это уже тяжело для любого оборудования. По этому надо будет посмотреть, как лучше поступить и, как это всё нарезать на том уровне, чтобы не терять по скорости. Конечно, больше чем уверен, что 2011 уже не справиться с таки объёмами, даже есть все vlan подключить через свич, хотя, чем черти не шутят. Так что будет даже очень интересно, только надо почитать, как правильно цепляться vlanном к свичу.
DdarkX: Ну смотри. Основная задача 2011 будет, это по сути фильтровать правила интернета, nat и роутинг сети с dhcp и dns. Если не задаваться целью гонять объемные данные из одной сети в другою в общем все будет нормально. Видео само по себе очень требовательно не только к сетевому оборудованию , но и к серверам или регистраторам. Тут обычно хватает калькулятора, что бы подсчитать нагрузки и необходимость каналов. Как вариант на CRS125 можно сделать роутинг между сетями, но не более того. Он с этим справится отлично. Все остальное оставить на откуп 2011, а роутинг будет уже в приделах одного switch.
Планировать нужно будет, если у вас сеть вырастить больше чем в 48 портов.
Видео будет на плечах оранной фирмы, по этому надо им только выдать сколько-то адресов, но проблема в том, что я даже не представляю сколько им понадобиться. По этому их надо выгнать в отдельную сеть и пусть там живут. Что-то пока эксперименты не дали нужного результата, но видимо vlan к свичу плохо прилипает или руки мои окривели )))
DdarkX: Тут все по договоренности или вы бибикаете и управляете сетью (DРCP,DNS,NAT) или просто даете конец провода и говорите тут у вас интернет. Что они там будут делать уже не ваша задача.
Если не сложно вы можете сделать экспорт backup настроек в текстовый формат на посмотреть, удалив не нужное export file=config_backup.rsc Тогда можно давать советы.
В новом RC очень серьезные изменения с работой bridge , пока еще не пробовал
v6.40rc36 [release candidate] is released! (New bridge implementation)
This update will convert all interface "master-port" configuration into new bridge configuration, and eliminate "master-port" option as such.
Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
Что в общем будет намного лучше и не будет у людей путаницы.
Далее я думаю сделать наверно пару youtube ролик с разными конфигурациями по mikrotik.
Ответы на частые вопросы, смотрю тостер и везде примерно одинаковые вариации и толком о них не рассказано :) но вот когда руки дойдут, вопрос интересный.
В том то и дело, что никто не пишет почему и, как, в основном складывается ощущение, что некоторые даже не понимают, что говорят, так первые 2 сточки из первых вариантов в поисковике. Найти грамотного в вопросе человека очень сложно, но радует, что они встречаются.
Я проведу последние настройки уже тут по своему вопросу и тогда смогу отправить конфиг. А по охранке, бибикать всё таки буду я, так как они всё равно не смогут по человечески в чужой сети :)
За ролики +1 иногда только в них ответ и находится
DdarkX: Все так и есть. Например настройка бесшовного роуминга wifi через Capsmann на всех сайтах, это обнять и плакать. Хотя есть несколько грамотных.
Сегодня я разобрался с новым bridge. В общем все просто, они отказались от идеи master-port (хотя пока еще опция осталась) Теперь первый bridge всегда будет master для интерфейсах , которые туда попадают и работает он на уровне чипсета.
Еще у них появился igmp (не proxy) пусть и software.
В вашем варианте для охрана и камер я бы брал crs326, как раз недавно тестировал на камерах и полет нормальный. Но опять все зависит от того , какой поток будут создавать камеры.
Буквально на днях, я видел инсталляцию crs125 на который повесили роутинг для датчиков. Мало того, что в обычной сети там бардак, много чего фильтруица , админ не пошел на уступки . Mikrotik этот изучали недели 2, а то и 3 спалили один sfp (ну или брак был) , не стали использовать 2011 как главный GW итд итп. В общем там своя атмосфера. Хотя у меня настройка всего заняла неспешно 3 часа + поднял мониторинг и разобрался в аде параллельной сети !
P.S. Просто наболело :)
P.P.S. Да я попробовал 2011 + crs326 (125 мне не дали) - проблем как у вас нет. Жду конфиг.
Наболевшее - это всегда хорошо, так как можно почерпнуть, что-то новое и не допустить тех же ошибок. Про бесшовное покрытие, я много начитался, но так и не осилил, что-то постоянно где-то терялось и не проходило. Пока поделил всё отдельными точками, но в скором времени надо будет заняться этим вопросом, так как точек уже слишком много, а подключаться каждый раз по новому, как-то не красиво. Хотя тут поставщик говорит, что стоит перейти ubiquiti, что там всё уже реализовано и можно управлять сетями на достаточно простом уровне. Пока не разбирался, но думаю, если большой проект будет, то да, стоит всё оптимизировать и создать единую сеть под центральным управлением.
Когда пытался понять, что такое vlan и как его употреблять в производстве, то все инструкции, как один писали, что надо сделать с одной стороны, но не один не описывал, что делать с другой и, как ловить тегировынный трафик. Получилось конечно при помощи некоторый мануалов собрать сеть для телефонии, но честно признаться, я всё ещё туплю в области vlan.
Посмотрел, что crs326 такая же железка, как и 125 только 2 оптики, что очень радует, так как можно свичи между собой по оптике собрать, а остальное по меди и будет радость.
Тут мысль пришла, что можно перейти например на почту, а тут в последствии оставить решение, а то у нас ветка будет бесконечной. :)
Посмотрел, что crs326 такая же железка, как и 125 только 2 оптики
Только мощнее проц и sfp Не просто два, а они оба sfp+.
Кстати еще момент, что в некоторых моделях первый sfp , а второй sfp+ :)
С Capsman на самом деле все просто, переходить на ubi вопрос не очень простой. С одной стороны они сильнее в wifi чем tik, с другой мне лично не очень нравится управление. Сильно прикипел к tik. Тут надо будет исходить от задачи (хотя так надо всегда делать). Возможно лучше будет посмотреть в сторону простите tplink и их ent решения или вообще cisco.
>Тут мысль пришла, что можно перейти например на почту, а тут в последствии оставить решение, а то у нас ветка будет бесконечной. :)
С Capsman на самом деле все просто, переходить на ubi вопрос не очень простой. С одной стороны они сильнее в wifi чем tik, с другой мне лично не очень нравится управление. Сильно прикипел к tik. Тут надо будет исходить от задачи (хотя так надо всегда делать). Возможно лучше будет посмотреть в сторону простите tplink и их ent решения или вообще cisco.
Я не особо рвусь в ubi по многим причинам, например мне не нравиться их глюки, когда они упираются в предел скорости, что-то с ними происходит интересное и за частую приводит к перезапуску аппарата. Иногда распределение нагрузки приводит к разрыву, которое можно решить только перезапуском. Это только, то что видел сам, но систему не собирал. Я остановился на микротиках и уже никуда не хочу.
На столько последние исследование показали, что cisco и mikrotik находятся на одном уровне по возможностям, есть специфика, но это слишком узко даже для среднего предприятия.
DdarkX: >что cisco и mikrotik находятся на одном уровне по возможностям, есть специфика
Увы но нет. У Cisco особенно в области wifi очень много своих решений. Хотя я в общем не фанат cisco, мне больше juniper из брендов нравится.
у mikrotik rb2011uas-rm одноядерный процессор всего 600 мегагерц для офиса как минимум 4 ядра нужно если компьютеров много смотрите загрузку ЦП mikrotik rb2011uas-rm
