Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

aleks-th, С чего бы хаос?

У меня всё будет происходить на самом Межсетевом экране.

Кто-то запрещает сделать 4-6 бриджей?

SFP1 порт - это bridge1 подсеть 1.0/24
SFP2 порт - это bridge2 подсеть 2.0/24
SFP3 порт - это bridge3 подсеть 3.0/24
SFP4 порт - это bridge4 подсеть 4.0/24

Ipsec peer будет с /18 или /19 маской не важно.

Все во VLAN1

В чём проблемы? Это лучше чем все в одной подсети НО БЕЗ ЖОПАБОЛИ с влан.

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

rPman, с чего ради?

Указываешь адрес источника 192.168.0.0/18

Это будет охватыть сети с 192.168.0.0-192.168.63.255

У тебя все сети будут в центральном ядре с маской /24

Но за счёт IPSEC пира с маской /18 у тебя все сети автоматом будут видны и удалённые тоже.

Вопрос в том будет ли работать маршрутизация.
На Zywall да на микротике не знаю

Возможно ли разделить порты коммутатора на отдельные подсети БЕЗ VLAN?

Alexey Dmitriev, хорошо. Здравствуйте.

Следующий вопрос нормально сделаю.

Жду когда сетевики проснутся освободятся и мне ответят

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

brar, ну лучше поздно чем никогда узнать чего-то новое для себя (тебя) и не пороть чушь в будущем за "ПРАВИЛЬНЫЙ" вариант.

Который ты походу считаешь ещё и единственно верным

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

AUser0, щас многое поменялось насколько понял. Но до 2008R2 всегда делали крест накрест.

На скорость это никоим образом не влияет. Я проверял и специально ронял DNS сервера по очереди.

Кароче я старовер и ничё плохого в крест накрест не будет.

Оба решения - вполне продакшен если работает идеально

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

AUser0, ну дак а если ты основным укажешь localhost он будет сам к себе обращаться, тот же х.

Правильно и так и так. В каждом способе есть минусы и плюсы.

Вот что ответил мне один уважаемый человек с хабра. Цитирую

"хочу отметить одну вещь:
почему иногда рекомендуется настраивать DC на самого себя.
контент DNS сервера хранится в AD. Соответственно он оттуда при старте и загружается
риск в схеме крест-накрест: Если контент DNS на DC1 будет отличаться от DC2 то у конкретного локального сервера произойдет расхождение в данных:
клиентские службы на нем будут видеть один DNS ответ а серверные, завязанные на AD, считать что он другой - это критично для работоспособности AD.
Риск в локальном DNS: сервер не сможет работать если у него не запустился DNS сервер, не будет работать репликация и связь с другими AD. Однако неработоспособность DNS по сути будет связана с проблемами в данных в AD

Оба риска завязаны на работоспособность зоны и синхронизации её, поэтому адресация - одна и та же: мониторинг, починка репликации, поддержание всей схемы работы AD в здоровом состоянии"

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

и в случае сбоя всё будет летать всё равно да?)

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Rsa97, То есть делаю так

DC01: DNS1 - указываю "сам себя" DNS2 - указываю DC02

DC02: DNS1 - указываю "сам себя" DNS2 - указываю DC01

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Rsa97, Но я попробую ради интереса)) Уговорили

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Rsa97, ну значит пусть ради кэша будет такая схема.

В случае сбоя -дёрнем сетевую карту, настроим DNS

Мне так спокойнее когда смотрят друг на друга. Я старовер.

Хуже не будет))

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

Ты так CPU на 30% сильнее загрузишь.

Читай читай и вникай.

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

Вот тебе официальная wiki если в английский могёшь.

так это описывается.

https://help.mikrotik.com/docs/display/ROS/IPsec

Оба варианта рабочие. Но Mangle по самой идее лучше так как РАНЬШЕ отрабатывает.

А так ты по тупому засираешь табилцу Filter и грузишь CPU.

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

А RAW срабатывает ещё раньше чем Mangl.

Я использую RAw для honeypot

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

с какими пояснениями? ты думаешь я её не читал?

Там показан единственный вариант и не объясняется другой.

Я считаю что правильно через Mangle. Гугли.

Mangle срабатывает РАНЬШЕ чем Filter. По сути разницы никакой, но через маркировку на мой взгляд правильнее.

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Rsa97, так то и внутренние запросы DC01 и DC02 резолвят. Так что и записи обновляются синхронно и одновременно.

Тут и репликация автоматическая + обмен постоянный. + разгрузка серверов.

или я чёт не понимаю. Переубедите меня

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Записи DNS в AD хранятся в самом дереве домена, обмен ими идёт через внутренние алгоритмы синхронизации и запросы к DNS-серверу для этого не нужны. Обмен через DNS идёт только с недоменными серверами, если поднята "дополнительная зона" (slave).

Ну а где гарантия того, что эти алгоритмы успеют отработать когда у нас не перекрёстный способ, а параллельный?

А то что резолв не влияет это где написано?

Где написано что ПЕРЕКРЕСТНЫЙ это не правильно, а параллельный (сначала я потом сосед) - это правильно?

Пока что одна вода.

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

А при падении основного контроллера домена зачем ему DNS? Что с ним будет делать упавший контроллер?

Кому нужны? При падении основного DC01, у нас останется DC02 на котором будет полная копия DC01 - репликация + перекрестный обмен резолвами.

Многие пишут что ВСЕГДА Dc01 и DC02 должны смотреть друг на друга.

Если у нас 3 штуки DNS - каждый DNS должен смотреть на 2 других, но никак не на себя

Как организовать резервный контроллер домена Windows Server 2012 R2?

squidw, холивара нет есть человеческая тупость и отсутствие логики.

У DNS есть понятие РЕПЛИКАЦИЯ. И она происходит НЕ мгновенно.

Иными словами первый вариант: когда указываем сначала самого себя а потом соседа.
У нас сервера работают параллельно независимо.

Плюс в том что когда один из них сдохнет - домен НЕ будет тупить. Но НИКТО не мешает тебе зайти и сменить настройки сетевой карты и всё будет гуд на время аварии.

Другой вопрос если сервер сдох а данные НЕ УСПЕЛИ отреплицироваться и ты попал братишшшка.)))

А в перекрестном такого НЕ БУДЕТ. DNS сервера постоянно опрашивают друг друга и работают в паре. минус в чуть большей задержки Resolv внешних DNS имён но по факту получаем железобетонную защиту.

не важно какой из DC упадёт - все данные будут на месте

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

AUser0, у меня основной вопрос за Основной и Альтернативный DNS сервер.

Я считаю что нужно:

1) DC01 сервер. DNS1 - указываем DC02, DNS2 - указываем 127.0.0.1

2) DC02 сервер. DNS1 - указываем DC01, DNS2 - указываем 127.0.0.1

Разве нет?

Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

AUser0, смысл тогда от DC02 если они не будут 24/7 общаться друг с другом