Разделить два провайдера на разные (коммутаторы) сети?
Доброго времени суток, возник вопрос с разделением сети, так как придя в одну фирму, у них здесь творится непонятно что
Что мы имеем сейчас:
Сейчас творится ад, приходит 2 провайдера. через PPPoE (ip динамика, возможно в дальнейшем удастся взять статичный ip)
ISP1 - провайдер уходит на wi-fi роутер на котором и поднято подключение по PPPoE. Потом этот инет уходит на 3 других wi-fi роутера в офисе, так и сидят сотрудники.
ISP2 - уходит на wi-fi роутер бухгалтеров на котором тоже поднято подключение по PPPoE, Потом инет уходит по проводам от этого роутера на бухгалетрские компы
Сейчас что я хочу сделать:
srv1 с AD доменом, dhcp, принт сервер, зеркало обновления антивиря и мелочь. vpn сервер на вируталку поднятую на srv1
srv2, репликация данных с 1 сервера, и по мелочи задачи.
srv3, под сетевой рендер макса или полноценно для ревит сервера, или как то совместить, это посмотрим.
NAS сервер отдельно, для бэкапа важных данных.
Из железок для сети, что куплено (увы, что то докупить пока нет возможности)
На микротике разделить инет офис/бухгалтерия (офисные сотрудники все на isp1, бухи на своём канале на isp2)
srv1 с AD доменом, желательно через него dhcp настроить для офиса. (Получается инет приходит на Микротик eth1, PPPoE подключение срабатывает, уходит на порт eth2, с которого идёт в srv1, там в 1 сетевуху настройка dhcp и прочего берётся, и из 2 сетевухи уже идёт в коммутатор snr 48 портовый).
dhcp для бухов будет сам микротик раздавать.
srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану. (для возможности удалённой помощи)
На 48 портовом SNR, будут весить сервера/принтеры/wi-fi/мониторинг юпс и что то может ещё (по подсчётам 48 портов уже заняты)
На 24 портовом SNR, 6 портов уходят в офис, так как докупили принтеры и пару ПК, 6 портов уходят для бухов. (12 портов остаются в резерв)
На 24 портовом уже 6 портов бухов загнал для теста в VLAN. Имеет ли смысл загонять все порты из 48 SNR и оставшиеся 6 портов из 24 SNR в единый vlan для офиса?
Возможно, в дальнейшем какой то отдел потребуется загнать в отдельный вилан.
Кто-то оргтехнику загоняет, кто-то wi-fi, кто то сервера старается загнать в отдельные виланы (подскажите как лучше сделать и разделить)
Извиняюсь за сумбурность. Если где-то нужно дописать, допишу.
Надеюсь поможете всё раскидать правильно с настройками и конфигами для моего случая.
AlexanderSuz, Что то вроде
/interface vlan
add name=vlanMain vlan-id=1 interface=eth2 disabled=no
add name=vlanBukh vlan-id=2 interface=eth2 disabled=no
/ip firewall nat
add chain=srcnat in-interface=vlanMain action=masquerade out-interface=ISP1
add chain=srcnat in-interface=vlanBukh action=masquerade out-interface=ISP2
Не разу в жизни с микротиками не работал, но нужно уметь придумывать решения на основе документации.
AlexanderSuz, Ну вы же решили использовать VLAN. Это имеет смысл только если соединять две сети коммутаторами. И я предположил, что для микротика оно всё на одном порте.
DHCP-сервер вообще только по интерфейсам и настраивается. Если не настроить DHCP-сервер для интерфейса, то и не будет там DHCP от микротика.
AlexanderSuz, предлагаю такой вариант: склейте порты сетей офиса и бухов мостом(bridge). И настройте виланы поверх него. Так Вы сможете использовать любые порты любого коммутатора, при этом легко разделяя сети как Вам угодно. И в случае чего сможете перестроить сеть с минимальным кромсанием проводов.
Что то вы мудрите слишком сильно. Тут сейчас будет количество людей= количеству вариантов, так же все сильно зависит от рассадки персонала\кабинетов\планировки кабинетов.
С моей колокольни и реалий рассадки я бы разделил так:
Как предпосыл, яб набрал побольше железа пусть и более дешевого.
1) все все все, что связанно с бухами в свою подсеть, на свой свитч. Т.е. компы\принтеры\сервер бухов.
2) отдельная сеть для прочих серверов которые юзают все или всё.
3) отдельная сеть для wifi, отдельно для видеонаблюдения.
4) отдельная сеть "прочая" где все остальные.
Между всем этим тупое разграничение правилами фаирвола или фаирволов в идеале(т.е. каждой сетью рулит своя железка, даже микротик).
Но опять же, это мой случай. У нас все бухи сидят на одном этаже в 3х соседних кабинетах как пример. Если у вас 1 кабинет на одном этаже , второй на 5 этажей выше а еще пара рандомно находится то тут однозначно вланы. Главное помнить что чем сложнее схема, особенно с вланами, тем сложнее потом будет это контролировать, искать проблемы, прокидывать, особенно если люди обслуживающие это меняются и особенно не документируют. В этом плане раздельные подсети гораздо проще.
Спасибо и вам за отклик. Увы, оборудование сейчас новое выбить не получится уже. Возможно, если передем когда то в новый офис, там уже докуплю всё что нужно, и не будут так городить сеть как сейчас.
Весь офис занимает один этаж, распределение идёт по отделам=кабинетам. Но, тут все отделы связаны друг с другом и должны иметь доступ друг к другу (если уж ограничить, то через AD можно я думаю). Максимум 1 отдел можно тоже разделить виланом (но не обязательно, так как можно разграничить права в AD)
А вот у бухов свой отдельный кабинет на этаже, свой инет соответственно, что бы не пользоваться инетом от офиса. Соответственно, им не нужный файлы офиса, а офису файлы бухов. Как я написал в 1 сообщении, только со стороны сервера должен будет доступ к бухам, а бухов доступ к nas серверу. Но и соответственно у остального офиа доступ к nas серверу будет, конечно же с разграничением прав и доступа.
Поэтому, повторюсь, из за нехватки железа, приходятся крутиться на том, что имею. Поэтому идёт разделение на микротике, и вланы на коммутаторах.
Если вам не составит труда, помогите с конфигами и настройками того, что уже имею и о том, что я написал в 1 сообщении.
Понимаю, мудрим, костыли даже возможно. Но, увы, пока только так.
Александр. Моё лично мнение такое.
DHCP - всё на микротике. создаем неск подсетей, и оттуда управляем. На srv1 сотавляем всё кроме dhcp и шлюза.
srv1 с AD и nas (для бэкапа) должны иметь доступ к бухам и их вилану.
(для возможности удалённой помощи)
Этот вопрос решается ip>routes на самом Микротике. доступы поп подсетям.
Нафиг Вланы -накладные расходы. просто поделите сети на микротике, в роутах сделайте нужные маршруты...
допустим - с SRV и компов админа доступ разрешен, с других IP - запрещен(если надо так прям жестко разграничить безопасность)
Т.к. имеете разные подсети, 2 провейдера - задайте маркировкой тарффика движение в инет. по модели - подсеть 192.168.0.1 >>> маркировка>>>ISP1
подсеть 192.168.0.2 >>> маркировка >>>ISP2
Имеем - доступность серверов с любой подсети\пк(ограничения сами поставите_), разделения инетов для разных подразделений, управление всем с микротика...
Спасибо за ваше мнение. Задумался о том, что бы все DHCP оставить на микротике.
На srv1 сотавляем всё кроме dhcp и шлюза.
Получается 2 сетевая карта по сути, была зря куплена. Или что то с ней можно замутить?
Нафиг Вланы -накладные расходы.
Можно поподробней, о каких расходах идёт речь? Денежных? О ресурсах-быстродействии коммутатор/роутера?
Просто многие советуют именно виланами делить и всё. А вы вот так, сразу нафиг их. Поэтому хотелось бы узнать и ваше мнение.
Wi-Fi точки, которые останутся после того как все на витуху переведу, с ними что лучше сделать? Отдельную подсеть? Отдельный вилан? Хотя вы к виланам категорично относитесь.
Т.к. имеете разные подсети, 2 провейдера - задайте маркировкой тарффика движение в инет. по модели - подсеть 192.168.0.1 >>> маркировка>>>ISP1
подсеть 192.168.0.2 >>> маркировка >>>ISP2
Ну получается, каждая подсеть будет брать только своего ISP, но, внутри сети, будет видеть 2 подсеть, и никаких конфликтов как внутренней сети, так и двух разных ISP не будет? (если только кривые конфиги пропишу?)
Касательно настройки dhcp, ip>routes и маркировкой трафика, на следующей недели попробую тестово замутить.
Если вам не составит труда, и возникнут вопросы у меня, написать примерные конфиги для моей среды с правилами и файерволом. Ибо, с микротиком был знаком только в теории
2 сетевая - как резерв можно
Ну или AD по одной сетевой, 1с/файлопомойку по другой. Ну или объединить их в одну(винда умеет)
Ну влан обычно делается, когда надо по 1му кабелю пустить несколько сетей. Тк у Вас всё от одного роутера - смысла в них нету. Расходы ресурсов лишние(хотя их хватит в любом случае)
А зачем с вифи точками что то делать? Ненужны - снимите и уберите. Или вифи сделайте людям в офисе, если надо
Да, будет ходить через своего ISP, но если пропишите маршрутизацию, может видеть и соседний ISP и соседнюю подсеть, если это понадобится
Настраиваете PPPoE Client для ISP1 и для ISP2, создаете bridge1 и bridge2 для будущих подсетей, добавляете в них необходимые порты и NAT-ите ISP1 в первый bridge, а ISP2 во второй.
DHCP server так же настраивается для каждого bridge, а при необходимости можно добавить и vlan.
graf_Alibert, Спасибо, конечно в микротиках не особо понимаю, но понял, что в
/interface ethernet поменяли название интерфейсов у ether1-ether2
/interface pppoe-client - создали пппое соединение для интефейсов
/interface bridge port - сделали мост для lan1 и lan2 для оставшихся интерфейсов
/ip pool - пул адресов для lan1 и lan2
и т.д
Просто попросил конфиг, что бы не наломать дров. Спасибо
Но возник такой вопрос, так как на данный момент у бухов нет отдельного коммутатора, они будут занимать порты у SNR-S2982G-24T и у этого коммутатора будут занимать некоторые порты и офисные компы.
Получается, мне придётся делать виланы?
У SNR-S2985G-48T все порты в VLAN100-Office
У SNR-S2982G-24T первые 6 портов в VLAN100-Office и 6 портов последних в VLAN200-BUH?
У SNR-S2985G-48T все порты в VLAN100-Office
У SNR-S2982G-24T первые 6 портов в VLAN100-Office и 6 портов последних в VLAN200-BUH?
Да, именно так, нужно на микротике создать vlan100 и vlan200 и сбросить их тегом на коммутатор.
vlan на mikrotik отдельная тема для разговора, можно сделать примерно так:
graf_Alibert, Вы про management сеть? Типо VLAN99 сделать? Туда загнать только маршрутизаторы и коммутаторы? Роутеры вафли, принтеры? Или это уже другая история? И обязательно делать для них отдельный вилан? Или просто прописать статику для них типо 192.168.1.100, 192.168.1.101 и т.д
srv1,2,3 лучше в отдельный вилан? Или тоже в VLAN99 запихнуть? Или вообще в виланы не пихать и пусть на 48 портовом SNR крутятся?
И касательно DHCP там нужно interface=bridge-LAN1 будет менять на называние VLAN или как? Если виланы строить конечно.
graf_Alibert, А касательно management сеть что можете сказать? Просто написали вчера комментарий, но не дописали что вы точно имели ввиду про отдельный вилан для управления.
graf_Alibert, Но по сути, для этого вилана будет создан отдельный пул ип так (типо 192.168.99.2-192.168.99.254)? И потом dhcp будет раздавать их только для managment vlan. Ну и через мост, будет связь с другими сетями, соответственно пинговаться этот пул будет с юзверских компов, но доступа конечно не будет.
Или пул не нужно создавать? Как будет конфиг выглядеть для этого?
Здесь понятно что по Lan разделили виланы и соответственно пулы которые будет раздавать dhcp.
А если мы добавим влан99, к какому Lan он будет относится? (вилан 99 и 100 будет на 48 портовом коммутаторе только) Пулы и т.д
Как я понял, это просто для того, что бы легче было админить? Типо знать, что в этой сети все коммутаторы, маршрутизаторы, те-же принтеры и т.д? Или суть немного в другом?
Я извиняюсь может за простые вопросы и за ваше потраченное время. Просто хочу сам понять, что куда и зачем. Ваш первый конфиг я разобрал и понял что куда. А вот сейчас с виланам вообще путаница получается. Если не трудно, пожалуйста пример конфига с добавочными виланами соберите. Спасибо.
AlexanderSuz, на микротиках есть програмный и аппаратный влан. Я редко на микротиках с вланами работаю, поэтому расписал как привык. А на этом сайте правильно советуют, так производительность получше будет.
AlexanderSuz, для managment vlan лучше переделать конфиг (все что касается vlan), сделать как советуют, навесить вланы на бриджи и разрулить аппаратно, а не програмно как в моем конфиге. Но тут у меня практики мало, придется самим разбираться.
