Ответы пользователя по тегу Сетевое администрирование
  • Не могу понять как создать, кластеру шару на windows server 2012r2?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Для создания cluster shared storage (CSV) вам надо 3 физические машины , объединить в кластер и дать им единый доступ к СХД. Можно по SAS,FC, iscsi - тут что у вас есть. Тогда вы сможете использовать общий том, между этими тремя машинами. Сразу скажу, что кластерная ФС может хранить только образы виртуальных машин, базу данных MSSQL и базу Exchange. Есть второй вариант, что редакция Enterpase с 2016 (вроде) умеет s2d, где можно объединить через storage space физические диски кластерных машин (нод). Но вот стоимость редакции заставляет сильно задуматься.

    5dd4f94681168233382920.jpeg
    Ответ написан
  • Настройка Wifi. Как правильно настроить роутер?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Микротик только что выбесил так, что 15 минут телефон в метре от него не мог подключится. при этом такой же айфон работает в его сети


    Вот с него и начинаем. Часов в 18/19 , когда самый пик людей запускаем в консоли

    /interface wireless spectral-history wireless_interface_name и показываем нам результат, а не тот спектр , который по сути не о чем.

    Дальше после того , как примерно будет понятно какие зоны у нас в печали , запускаете

    /interface wireless spectral-scan wireless_interface_name добавив show-interference=yes
    Там будут указанны и виды помех

    bluetooth-headset — bluetooth стереогарнитура (наушники);
    bluetooth-stereo — передача аудио по bluetooth;
    cordless-phone — радиотелефон;
    microwave-oven — микроволновая печь;
    «cwa» помехи
    video-bridge — видеоконференция;
    wifi — Wi-Fi устройства.


    Так же на тики можно помониторить нормально, на какой частоте больше всего качают.
    Так как из вашего графика не очень это понятно.
    Просто если да же будет очень много народа на определенных частотах, но они по сути всегда ничего не делают, то лучше уйти туда, чем там где мало - но качают постоянно.

    Ну и далее тик можно настроить на работу в очень плохих условиях.
    Вообще вам надо было не плодить кучу разных вендеров, а купить еще 2 тика и сделать бесшовный роуминг, снизив частоту (да да именно снизив, а не выкрутив) Тогда бы вы перестали ловить помехи или сократили их.
    То, что у вас он вблизи не ловит, говорит о том, что канал шумный и возможно вы выкрутили децебелы на максимум и тик орет так, что сам себя плохо слышит , что орет.

    5cee8ff8ed4f6210792401.jpeg

    Попробуйте указать так. long то же можно попробовать.
    Снизить уровень сигнала до 17.

    5cee90824a3ce824751725.jpeg

    попробовать указать data rates 1 и 2 мегабита и убрать с более высоких скоростей.

    Но в итоге тут нет волшебной кнопки, сделать хорошо. Только вот так вот пытаться анализом понять, что вообще происходит и какой М мешает.

    про 5 . Так как на этой частоте длинна волны меньше, то и затухание идут быстрее.

    Возьмем популярные частоты 2,4 ГГц (длина волны 12,5 см) и 5 ГГц (длина волны 6 см). Мы видим подтверждение правила на примере прохождения лесного массива. Стандартные размеры листьев, стволов, веток деревьев, в среднем будут меньше, чем 12,5 см, но больше, чем 6 см. Поэтому сигнал WiFi 5 ГГц диапазона при прохождении через густую листву “потеряется” практически полностью, в то время как 2,4 ГГц справится лучше.
    Ответ написан
    Комментировать
  • Чем Mikrotik hAP ac² лучше cAP ac?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Я делал обзор и про hapac2 и про cap ac. Правда это обзор, больше бла бла бла и разборка внутренностей.

    Но все же к делу.

    Железо у них идентичное , разница только в кол-ве памяти 128 в hap ac2 и 256 в cap ac (не всегда) ну и кол-во портов.
    Еще мне у hap ac 2 не понравилась система охлаждения, считайте ее там вообще нет и модное soft touch покрытие, которые скорее всего очень быстро облезнит .

    Если вы хотите нормальное покрытие wifi и есть возможность расположить ТД относительно центра комнаты , то я бы брал CAP ac (в общем то у меня они так и стоят) Две ТД в режиме capsman / бесшовный роуминг и hex s в качестве центрального роутера, покрывает все задачи. Осталось только повесит уличный вариант basebox 2, так как я не очень большой любитель выкручивать мощность wifi на всю катушку.

    Так же учитывайте перекрытие в доме, например пенофол , отлично переотражает сигнал wifi.
    Ответ написан
    5 комментариев
  • Как коммутировать оптические патчи?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Maksim Kotov
    Крест накрест или параллельно должны идти патчи?

    Крест накрест. На нормальной оптики , да же бирка есть с цифрами 1 и 2 или буквами A и B

    5ce5b7c93f243709110281.jpeg

    Хотя конечно все зависит от того, что вы будите подключать.
    Бывает, что передача идет только в одном направление и хватает просто simplex.
    Но я рассматриваю стандартный вариант для роутеров и коммутаторов.
    Ответ написан
    Комментировать
  • Как защитить Mikrotik от внешних переборов pptp, ipsec?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Георгий Измайлов Все же я бы отказался от pptp, если конечно это возможно.
    Настройка l2tp+ipsec не так сложна.

    Но в любом из вариантов, можно блокировать многие вещи.
    Сделайте любой популярный порт ловушку, главное, что бы не пересекалось с рабочими.
    Например у меня есть роутеры, которые только раздают интернет и у них нет открытых портов вообще.
    Я поставил порты ловушки на 80,22,443,3389,5080 и все что вы еще хотите.
    Если будут запросы на эти порты, то запрос попадает в blacklist и запросы с этих блокируется на определенное время. У меня же собирается все в одну БД и я там дальше делаю обработки на более сложных условиях.

    Для VPN есть несколько вариантов дополнительно, это проверять кол-во авторизаций
    вот пример для l2tp

    https://hd.zp.ua/zashhita-routera-mikrotik-ot-brut...

    и есть разные варианты для pptp

    spvd.ru/page/mikrotik-simple-bruteforce-prevention

    Так как уже давно не использую pptp, то остальные вариант предлагаю поискать самому.
    Ответ написан
    Комментировать
  • Много ли 2000 arp записей в бридже на mikrotik?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Владислав Татаринцев для mikrotik ccr-1036 2000 записей , это вообще не о чем.
    Если вы конечно не запихнули все в одну L2 сеть.
    Все операции там идут через CPU.
    Вот на 1100 и более младших, там уже 2000 host записей на группу портов.
    В итоге такие вещи надо просто осматривать при покупки или спросить у менеджеров/у тех поддержки тика или где-то еще. :)
    Ответ написан
    Комментировать
  • Как настроить Микротик чтоб работал интернет + локальная сеть одновременно?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    в цепочки forward , разрешаете для нужного ip выход через WAN

    5cdfe27d820f1547917812.jpeg

    в слд цепочку после этого , блокируйте всю сеть 101.x.x.x

    В итоге при запросе выхода в интернет, с этого ip он попадет на правило разрешающие, все остальные попадут в запрещающие.
    Ответ написан
  • Какой связкой на MIKROTIK лучше всего объединять филиалы через интернет на главный белый IP?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Kenny00
    Мы используем связку с ipip там где есть ip, там где их нет l2tp.
    При бюджете , это все можно сделать отказоустойчивым до определенных приделов.
    Что бы не было одной точки отказа.

    5cdf49257255c290836982.jpeg

    Где то были тесты по скорости через разные варианты vpn, но правда на старых прошивках. Опять же , если есть необходимость в скорости.
    Ответ написан
    Комментировать
  • Возможно ли настроить микротик RB750Gr3 как два роутера в одном?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    В общем и целом проблем не вижу. Главное , что бы у вас было в голове вот такая таблица

    https://i.mt.lv/routerboard/files/RB750Gr3-esw2-16...

    Если скорость интернета не 1gb, то рекомендую два порта под wan перевести в режим 100.
    Между ними и switch будет 1gb канал (но условно там будет 200).
    switch между собой будет уже как нормальный switch и отдать его дальше.
    Так как у вас особых изысков нет, то и маркировать пакеты да же не надо.
    Настройки в NAT для каждой сети, свой выход.
    Ответ написан
    Комментировать
  • Как сегментировать сеть?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    sanrega

    Требуется сегментировать сеть на подразделения и изолировать сегменты друг от друга. Я правильно понимаю, что это решается посредством VLAN и управляемого коммутатора? Вопрос в том, какое оборудование понадобится для решения задачи и на что лучше заменить имеющийся роутер? Нужно в т.ч. настроить балансировку нагрузки, т.е. у одного отдела должен быть железно гарантированные, скажем, 10Мбит для доступа в инет, у другого 5Мбит и т.д.


    Вам нужен будет как коммутатор так и маршрутизатор.
    Что бы ответить на вопрос с оборудованием, надо все же знать топологию. Но я думаю вам хватит нормального mikrotik 3011 . Далее, можно использовать и старое оборудование , которое есть - если оно не требует, передачу тех же vlan и разбиение условного одного отдела на несколько в приделах этажа/комнаты итд. (надеюсь что понятно сказал)

    Выделенную скорость, можно настроить на Mikrotik , через QOS - правда эта отдельная тема, которая все же требует погружение и что-нибуть еще для тестов у себя.
    Из коммутаторов можете брать CRS-326,не путайте с CSS-326. - это если вам надо будет где-то ставить. Только прошу, не делайте из него роутер.
    Ответ написан
    Комментировать
  • Маршрутизатор Mikrotik и 3 сети. Возможно?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Я правильно понимаю, что для этого мне нужен роутер с 3 портами и иначе никак? Если приобрести маршрутизатор MIKROTIK RB3011UIAS-RM, то там же можно такую схему настроить?


    Да все верно. 3 порта у вас будут заняты.
    Только есть один момент, скорость между сетками у вас будет 1gb.
    Второй момент, что 3011 имеет сразу два switch и вы можете обе сетки раскидать по разным switch chip.

    Ну или как выше предложили, использовать vlan, хотя я думаю если вы не планируете расширяться, то можно их не использовать.
    Будите использовать, то делайте vlan через switch chip.
    Ответ написан
    Комментировать
  • Как настроить nat между двумя bridge на mikrotik?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Есть Mikrotik с 2-мя Bridge с в которых находятся сети, LAN и Video, с одинаковой адресацией 192.168.2.1/24
    Нужно сделать так что бы трафик из Video не мог из нее выбраться, но из LAN можно было по 80 порту попадать на DVR в сети Video.


    Хотелось бы увидеть конфигурацию.

    Но допустим у вас два bridge, один из них будет работать через CPU.
    Можно было бы очень просто настроить роутинг между ними, но у вас одинаковая адресация.
    Я бы конечно очень сильно советовал сменить на другое, особенно там где dhcp, это было бы проще.
    Если вдруг это невозможно, то вам для хождение из одной сети в другоую надо использовать netmap.

    Вот пример, что есть два офиса:

    1 офис
    /ip firewall nat
    add action=netmap chain=srcnat dst-address=192.168.2.0/24 src-address=192.168.0.0/24\
    to-addresses=192.168.1.0/24
    add action=netmap chain=dstnat dst-address=192.168.1.0/24 src-address=192.168.2.0/24\
    to-addresses=192.168.0.0/24

    2 офис

    /ip firewall nat
    add action=netmap chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24\
    to-addresses=192.168.2.0/24
    add action=netmap chain=dstnat dst-address=192.168.2.0/24 src-address=192.168.1.0/24\
    to-addresses=192.168.0.0/24

    Теперь ходим из офиса-1 в офис-2 по адресам 192.168.2.х, а из офиса-2 в офис-1 по адресам 192.168.1.х

    По другому увы не как, чудес не бывает.
    Ответ написан
    Комментировать
  • Нужен роутер(маршрутизатор) microtik для сети в 50-60 компов?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Если у вас стоит Edgemax router PoE , можно смело брать 3011 если не нужно ipsec шифрование.
    Правда у edgemax заявлен 1 лям пакетов, но это надо смотреть, что они там считали и как.
    Ответ написан
    Комментировать
  • Как реализовать 2 DHCP на Mirotik (локальная сеть + CAPsMAN)?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Имеется RB3011UiAS 6.37.5 с поднятым на нем CAPsMAN, через который подключаются много устройств + клиенты по кабелю , в следствии порой не хватает адресов на всех, необходимо что все видели всех.


    Так и хочется спросить, как там сетка с 254 устройствами поживает ?
    Если такого одновременного кол-во устройств нет, может стоит снизить время аренды адреса ?

    В другом варианте, отделяйте один из интерфейсов от текущего bridge .
    Создавайте новый bridge и вешайте на него новый dhcp сервер.
    Так как у вас два switch чипа коммутации и между ними трафик все равно идет через CPU, то я бы под wifi Отдал бы один из них.
    Ответ написан
    Комментировать
  • Как на RouterBoard сделать внутреннюю сеть и гостевую сеть?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Задача-максимум — чтобы никто из гостевой сети не имел доступа ни к домашней сети, ни к кому-либо из соседей.


    https://weblance.com.ua/226-guest-wi-fi-sozdanie-g...
    Ответ написан
    Комментировать
  • Mikrotik + DHCP + DHCP reley + 2 VLAN, как реализовать?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Как я понял:
    Не разу не реализовывал VLAN и к тому же на MIKROTIK. Подскажите правильно ли планирую и как лучше это реализовать?


    Правильно в вашем случаи использовать vlan на switch. Многие тупо создают его как интерфейс и получают жопу с производительностью. Так как у вас откровенно убогий 125, то там только switch chip.

    Для понимание как работает switch vlan на Mikrotik, советую почитать статью
    https://habrahabr.ru/post/313702/
    Там единственное не будет конечно тэгов и транков, но просто покажет куда копать и что читать.
    Там простое разделение на уровни чипа, что снижает нагрузку.

    В итоге вам надо просто создать vlan между которыми будет роутинг на 3011.
    Транковый порт вам тут не нужен, если вы не планируете на 125 разбивать на несколько сетей.
    Те вся коммутация будет на 3011.

    Так же советую обратить внимание на диаграмму
    https://i.mt.lv/routerboard/files/RB3011UiAS-16030...

    Те вы должны понимать, что в 3011 стоит два чипа и передача между ними идет через CPU!
    Ответ написан
    Комментировать
  • Как узнать ip vlan1 упр.свитча?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    >есть коммутатор фирмы Allied Telesis,

    У них есть отдельная утилита для поиска своих коммутаторов, сейчас название не вспомню.
    Но надо понимать, что вы должны быть в одном широковещательном домене.

    Второй способ более геморройный. Ставим снифер wareshark и идем по портам устройства , если не знаем какой из них отдан под vlan. По умолчанию у него все порты в vlan1.

    Сбросить вроде устройство, вроде надо снять крышку морды и там будет reset. Если не срабатывает, вы делаете что-то не так. Неплохо было бы модель указать.
    Ответ написан
  • Как объединить несколько подсетей в одну сеть?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Да уж огород.

    hap ac мы та и оставляет в качестве роутера.
    wap можно вообще сбросить все настройки и не делать по умолчанию.
    В итоге потом самому руками прописать получение ip по eth и создать bridge-local для
    eth+wlan1+wlan2 если он там есть.

    Тогда wap и все клиенты wifi будут получать ip по dhcp с роутера hap ac.
    Потом на hap ac можно настроить capsman , что бы был бесшовный роуминг wifi. Почему бы и нет ?
    Про capsman я писал тут - Как настроить CAPsMAN на устройстве Mikrotik RB2011UiAS-RM и двух Mikrotik RB cAP2n?
    Только в вашем варианте, надо добавить еще и сам hap ac в capsman.

    Теперь по поводу synology.
    Самое простое наверно будет прописать маршруты двух сетей на роуторе провайдера и на роуторе hap ac.
    Хотя конечно было бы лучшим вариантом прокинуть кабель от synology до hap ac.

    Гигабитный POE свитч Mikrotik RB260GSP, в который, в свою очередь, подключены:

    Вот тут я немного не понял. У вас все воткнуто в 260 ? те и роутер от провайдера ?
    или только роутер от провайдера и уже потом в hap ac, а hap ac на ТД ?

    Тогда я бы поменял местами hap ac и 260.

    На текущий момент у вас в сети получается аж три nat :) Красота !

    P.S. Если что , могу помочь удаленно все сделать. Делать на 15 минут не особо спешно :)
    Ответ написан
  • Как организовать переезд it инфраструктуры компании в датацентр?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    Прошу совет, правильно ли будет поступить вот так:

    Насколько правильно или нет все же решать вам. Главное найти такого человека или компанию, но в общем и целом я не вижу вообще каких-либо проблем, что бы это отдавать на сторону.

    1. Найти специалиста, который более подробно оценит необходимые ресурсы и «нарисует» желаемую архитектуру, включая требования к железу, один тип виртуализации и т.д. (основоной вопрос – где найти такого специалиста)


    Под ваш кейс, очень хорошо ложится hyper-v.
    Если у вас все сидят в терминале , то в общем и выносить отдельно AD не нужно как кеш.

    Нужно некоторым сотрудникам (до 5 человек) обеспечить работу с графикой Autocad (без рендера, преимущественно только незначительные правки), powerpoint

    Можно организовать и с рендером графики через RemoteFX (по сути тот же RDP)
    Пример работы:

    https://www.youtube.com/watch?v=MUrY3_lqK2Q

    2. Установить железо в дата центре

    Тут под некоторые вещи, можно подумать и об аренде сервера в ДЦ.
    Но надо более четко представлять задачу.

    4. Переносить сервисы на новое место

    Проще всего сделать поэтапно.

    Но у меня возникают другие вопросы.
    Как быть, если у вас например сервер выйдет из строя ? Насколько ваш бизнес сможет перетерпеть 1-2 дня простоя ? Если вы планируете несколько серверов, тогда имеет смысл рассматривать кластеризацию и для этого в общем подходит опять же Hyper-V. Для резервных копий можно использовать непрерывную репликацию. Вопрос тут уже идет дальше, по поводу надежности хранения данных итд.
    Ответ написан
  • Какой есть бюджетный вариант для выноса пк в другую комнату?

    icCE
    @icCE
    youtube.com/channel/UC66N_jRyZiotlmV95QPBZfA
    По моему вы решаете задачу не так.

    Можно взять БУ KVM, такие продаются. Возможно без USB , но с USB будем решать отдельно.
    Есть различные удаленные режимы работы с машинами, начиная от RemoteFX у MS который вам нормально протащит отображение видеоигр,проброс USB. Для того, что бы дать конкретный совет - нужно изначально понимать задачу, зачем вам это все. Есть мат платы с удаленным доступом, так называемые чипсеты серии Q.
    Ответ написан