Какие бывают роутеры с двумя VLAN?

Сергей Сахаров,

Тётки обычно начинают со звонка по телефону со словами "У меня тут чёта проблема, подойди...".

Ну очень знакомо. Я тут всех уже 8 лет дрессирую - так половина просто принципиально необучаемы. Порой по собственной рукой записанной бумажке не могут воспроизвести простейшие действия. Ну с этим можно только смириться. Хорошо хоть сейчас молодёжь пошла, там откровенно необучаемых мизер.

настроить заранее порядка 40 компов - задача нетривиальная.

Согласен. Чтобы сидеть и плевать в потолок, надо сперва сильно побегать. У меня, при 120 хостах в сети это заняло почти два года.

Какие бывают роутеры с двумя VLAN?

Сергей Сахаров,

1. Компы не в домене (чо там по поводу удалённого помощника)?

Не в домене пользователь с проблемой просто не может сам запросить помощь, ткнув в учётку админа, вот и всей разницы. Так что он начнёт с телефонного звонка или сообщения в мессенджере. А уже зная, кому надо помогать, подключиться не проблема. Ну и да, надо настроить разрешение на подключение без подтверждения, конечно.

2. Доступ в интернет по IP, который пользователи могут на раз сменить ("безопасность, основанная на незнании").

Как я говорил выше - блокируется ещё на L2. Смена адреса означает статическое назначение, а DHCP Snooping такой узел просто не подключит в сеть.

3. Компы не в одном месте, а разнесены по заводу.

Ну у меня тоже разнесены - и не только по заводу, где я сижу, но и ещё на 2 площадках.

Рассмотрите ситуацию когда за одним компом сидят по очереди два сотрудника, причём у одного интернет должен быть, у другого не должен.

А вот это уже аргумент. Хотя, если у каждого своя личная учётная запись на этом компьютере, то это уже теоретически лечится - авторизацией на шлюзе. Правда, не лечится практически, если все - локальные админы.

PS.

Вы уверены?

Ну если у вас в профиле не фотография сына - то да.

Какие бывают роутеры с двумя VLAN?

Ziptar, почему? Его включение заблокирует подключение компьютеров со статическим назначением, оставив только возможность получения адреса по DHCP. Плюс уже сработает белый список, позволив подключиться (и получить адрес) только зарегистрированным МАС. Как итог - в сети только легальные узлы, получившие адрес строго DHCP. И получающие по МАС доступ в Интернет в соответствии с настройками маршрутизатора.
Какие вы видите пути обхода? ну кроме изменения своего МАС несознательным сотрудником, конечно... хотя если на предприятии бардак, все сидят локальными админами, делают что хотят и не несут за это никакой ответственности, то я как-то вообще не вижу вменяемых способов ограничения, даже если поднять домен и установить там жесточайшие ограничения - сто пудов загрузку с внешнего носителя тоже никто не запретил.

Какие бывают роутеры с двумя VLAN?

Сергей Сахаров,

А кто сказал, что "исключительно"?

Вы. Я дважды просил озвучить задачу. Вы ни разу не ответили - не то что деталями, а вообще.

обойти порядка 40 компов в разных точках завода и настроить доступ по DameWare или RAdmin - задача нетривиальная

Удалённый помощник.

пользователи на своих компах - локаладмины

Вы будете это менять?

Вы серьёзно считаете модель, когда доступ пользователя в инет основана на IP нормальной?

Это зависит от организации. Например, если доступ к порту коммутатора разрешён по белому списку МАС, и включен DHCP Snooping, то всё уже не так грустно, как вы себе представляете.

Тогда нам с Вами не о чем говорить

Ну заставлять не буду... не у меня проблема, в конце концов.

Пусть берут мальчика на побегушках вроде Вас и пусть он сам и бегает...

Только давайте обойдёмся без перехода на личности и оскорблений. Я всё-таки постарше буду...

Какие бывают роутеры с двумя VLAN?

Сергей Сахаров, Задачу вы по-прежнему не описываете. Но хотя бы добавили деталей - и они, кстати, в корне меняют понимание того, что у вас имеется.

Потому есть мысль разрешить интернет всем и потом ограничивать его группой доступа AD

Вы серьёзно? поднимать домен исключительно из-за такой ерунды? Нет, оно можно, конечно, но как по мне - из пушки по воробьям. Я бы обошёлся одним микротиком, и даже из не очень продвинутых. Всего-то и делов - два вилана, два DHCP-скопа, и контролируемая маршрутизация (в т.ч. и в Инет) по белому списку МАС-адресов.

Как узнать кто получил адрес от DHCP а кому прописали статику?

Мне надо узнать какие именно были прописаны.

Делов-то... пропинговываешь подсеть, получаешь ARP, сравниваешь со списком адресов, выданных DHCP-сервером.

PS. Если у вас 192.168.1.1-192.168.1.254 - это пул адресов при маске /24, то проблем у вас гораздо больше, чем вы думаете.

Как настроить значения сводной таблицы по умолчанию на среднее вместо суммы?

Нет никакого "по умолчанию". Берётся просто из списка первое доступное для типа данных. Для числовых данных это сумма. Соответственно и никакой настройки нет.
Но что мешает сделать это программно?

Set Worksheet(index).PivotTables(index).PivotFields(index).Function = xlAverage

Код на кнопку, кнопку на панель, итерация по всем полям, и соответственно профит. Лист в большинстве случаев - активный, а таблица - первая.

Какие бывают роутеры с двумя VLAN?

Сергей Сахаров,

То есть лучше брать не роутер, а обычный комп с тремя сетевухами?

Лучше описывать задачу/проблему, а не свои попытки её решать. Причём описывать полно, точно, и со всеми задачами и тонкостями.

За каким рожном вообще всё это в кучу? если исходить из текущего описания, в котором требование доступа из одной сети в другую или доступа в Инет из спецсети отсутствует - то нужно просто физически изолировать внутреннюю спецсеть от общей с доступом в Инет.

Конфликт сетевых портов сервера видеонаблюдения. Как исправить?

Это не схема, это так, эскизик. Опять же неполный - там кто-то говорил про интернет, которого на рисунке в упор не видать.

Нет, суть проблемы уже понятна. С вероятностью в 90% она в том, что имеется два двухинтерфейсных сервера, которые торчат интерфейсами в одних и тех же сегментах, подсетях, рабочих группах, и т.д., и т.п. И когда один из сервисов (фиг знает на каком уровне) обнаруживает петлю, то начинается визг, и коммутатор отрубает один из портов. Ну или сервер оказывается либо умнее, либо тупо быстрее, и отрубает адрес первым.

Одно решение я уже предложил. Более надёжно - отключить на одном из серверов интерфейс в Инет, и обеспечить ему выход в инет через другой (если ему вообще туда реально нужно ходить, что для видеосервера обычно категорически низзя).

Конфликт сетевых портов сервера видеонаблюдения. Как исправить?

skywion,

могу предположить что вы говорите о сетевом шторме?

Петля - это далеко не всегда шторм. А иногда даже необходимо. Но на описанную схему просто обязан окрыситься, к примеру, Loopback Detection.

Конфликт сетевых портов сервера видеонаблюдения. Как исправить?

Как исправить такие постоянные вылеты из сети?

начните с того, что на обоих серверах на всех сетевых интерфейсах в свойствах поснимайте все галки, кроме IPv4. Если что-то нужно - потом включите... но когда будете точно знать, что, где, для чего и почему нужно включить.
И убедитесь, что маршрутизацией на серверах даже не пахнет.

Конфликт сетевых портов сервера видеонаблюдения. Как исправить?

У меня такое ощущение, что в сети тупо петля. И коммутатор нафиг отшибает один из портов.
А с учётом описания - 99% за то, что так и есть.

Где на самом деле лежит и как называется файл hosts в windows?

переваривает только вторую

показывает папку etc

То есть DIR папку видит, папка не скрытая и не системная (как и должно быть), Explorer также папку видит о отображает, а вот третьи программы, работающие через функции ОС, папку не видят.

Симптом известный. Он говорит (с достаточно высокой вероятностью) о том, что в каталоге C:\Windows\System32\drivers присутствует объект (папка, файл, линк), имеющий некорректное имя и располагающийся по алфавиту ранее, чем etc. Надо лечить, но скорее всего штатный chkdsk это некорректное имя не посчитает за ошибку и не будет исправлять.

Возможное решение. Загрузиться с флешки или установочного диска. Создать копию папки drivers из командной строки с использованием XCOPY, включая скрытые и системные файлы с сохранением прав доступа. Типа

XCOPY /S /E /C /H /K /O /X C:\Windows\System32\drivers\*.* C:\Windows\System32\drivers.copy\*.*

По завершении - переименовать drivers в drivers.bak, а drivers.copy соответственно в drivers. После чего перезагрузиться и проверить, ушла ли проблема. Также - внимательно изучить выведенный в процессе работы XCOPY список копируемых файлов на предмет "странного" имени и ошибок копирования.

Где на самом деле лежит и как называется файл hosts в windows?

А что говорят

DIR /A:shd C:\Windows\System32\drivers
DIR /A:d C:\Windows\System32\drivers

?

Почему коммутатор периодически перестает отвечать?

Mors Clamor,

особой разницы между voice clan и бросанием тега в телефон не вижу.

Это хорошо, если у тебя народ не бродит.

Порты дергаются десятки раз в минуту

А если идёт мерцание порта, то это почти наверняка коммуникация говно. Причём в любом месте - от ламелек на сетевухе и до ламелек в разъёме коммутатора. Окислившиеся или окривевшие контакты, передавленный патч, крутой перегиб на кабеле и пр. Реже - длинные сегменты. И уж совсем редко - проблема за пределами СКС.

Почему коммутатор периодически перестает отвечать?

Mors Clamor,

есть места где коммутаторы уровня доступа соединены с распределением медью.

Просто медь - похрен. А вот транк или магистраль через клиентский порт - это натуральная засада. В отличие от транковых портов, клиентские шарятся на модуле с другими клиентами.

Сейчас потихоньку выношу телефонию в отдельный влан.

А что, коммутаторы Voice VLAN не поддерживают, что ли?

В логах все 10к записей забиты строками типа Link N UP/Link N Down.

Это включение-выключение клиентских компьютеров.

хорошая теория про коллизии, надо изучить и найти способ проверить свои коммутаторы на подверженность болячке

Раз в минуту скрипт, который пингает все коммутаторы (-w 100 -n 2), после чего сливает в файл arp -a. Накопить такой хрени за недельку, а потом обработать на предмет коллизий.

Почему коммутатор периодически перестает отвечать?

А нет ли в сети таких мест, где коммутаторы соединены по меди по клиентским портам? если есть - избавляйтесь от таких соединений, они вполне могут быть причиной тормозов.

Сколько всего коммутаторов в сети? Настроен ли STP, если да, то какой именно и как именно, кто-то настроен чтобы быть мастером, или как получится?

Какая максимальная длина сегмента от мастера в хопах? Какой вообще диаметр сети?

Используете ли VLAN, или все полторы тыщи узлов в дефолтном сегменте?

Переподключение PHP к MySQL как правильно организовать?

PHP-процесс постоянно висит в памяти, и периодически кидает запросы в БД.

Уточните временнЫе параметры этого "периодически". Если речь идёт об интервалах бездействия в несколько секунд (тем более минут), то гораздо более разумно устанавливать соединение в начале сеанса обмена, выполнять нужные операции, и сразу по окончании закрывать.

Как правильно настроить мост на Mikrotik?

MZhack,

заметил, что TX трафик ходит, RX всегда - 0. Исходя из этого полагаю, что пытаться прописать ip - уже бессмысленно. Верно?

Да, вы абсолютно правы.

У микротика (смотрел по каталогу nix.ru (не реклама!) в том числе архивные модели) аналогичных sfp трансиверов не нашёл...

Я при приобретении свистков сразу оговариваю, в оборудовании какого вендора они будут работать. И неработоспособность в указанном оборудовании - стопроцентное основание для возврата.
Впрочем, реально я столкнулся с этой проблемой только дважды: свистки SNR-SFP+W37-40 / SNR-SFP+W73-40 работают либо в D-Link, либо в Mikrotik (в зависимости от прошивки - лежат соотв. образом помеченные), и свистки D-Link 330T, не желающие работать в какой-то (не помню модель) серверной карте Intel.

Как правильно настроить мост на Mikrotik?

MZhack, Прелестно. Только переместите (или скопируйте) этот рисунок в текст основного вопроса. И делайте так с любыми значимыми фактами (можете помечать дополнения как UPDATEx).

По VLAN (в нём L2TP туннель) связь с компьютерами, часть из которых подключена со стороны sfp1, часть со стороны sfp2

Я не вижу в схеме никаких VLAN. Укажите, где они - номера и тегованность.

Нужно хождение трафика между sfp1 и sfp2

Сперва убедитесь, что ваши свистки правильно работают в Микротике. Например, повесьте на интерфейс SFP1 какой-нибудь IP-адрес из подключенной к нему подсети, и проверьте, есть ли видимость (а хоть бы и тупо пинг) от любого узла до Микротика и обратно. То же и со вторым свистком. До тех пор, пока такой связи не появится, о прохождении сквозь Микротик можно даже не разговаривать. Кстати, раз физический линк не поднимается на автоопределении скорости, предвижу тут большие проблемы. Если на стороне двуглазого свистка ещё могли быть причиной перепутанные RX и TX, то на стороне одноглазика это явно свидетельствует о проблемах интерфейса свистка с Микротиком, потенциально вплоть до полного непонимания.

SP. А что за третий интерфейс, eth1? Это чисто управление, и оттуда в SFP1/2 трафик ходить вообще не должен?

Daemon23RUS, а тут срабатывает стандартное "что не описано явно, может быть как угодно". Теперь есть схемка, и стало понятно, что и где.