у меня вопрос не планирования. планировать я умею, было бы понимание что и куда может вырасти. у меня вопрос в был в другом. (кстати, 10 плохо агрегируется, тогда уж 8/12/16 ;) )
конкретный пример для чего это нужно: было 2 устройства. разбросаны по зданию, подключаются к акцесным коммутаторам. устройства не должны видеть друг-друга. теперь, никто и никогда бы не подумал через много лет - нарисовалось +~50 таких устройств. "в резерве" было еще 14 подсетей /24 (запас в 8 раз).
коммутаторы port isolation/PVLAN не умеют. выделять дополнительно 48 /24 подсетей?
Valentin Barbolin, если организация развивается, то план рано или поздно станет не актуальным/не удобным. иногда надо разбить подсеть на подсети меньше чем /24 (для сохранении агрегации маршрутов, например). но это отход от вопроса
Valentin Barbolin, да, примерно так и именуем. а теперь разбейте 10.15.40.0/24 - 1540 на 10 подсетей и укажите вланы, когда рядом есть 10.15.39.0/24, 10.15.41.0/24
для больших сетей ipam есть, а для небольших сетей, где ~20 подсетей он не особо нужен, если везде /24 маска. но, бывает, из-за "домовитости ;)" хочется какую-то "гостевую" сетку разбить на более мелкие. вот тут-то и вопрос возникает.
да и глаз иногда может подсказать, когда рука "промахнулась", что для 172.29.31.0/24 стоит влан 32 или 132 - т.е. не похожий на номер сети
Оно не симпотичнее, а более мощное, если знать как пользоваться.
Мой ответ в одну строку является решением для данной задачи, как и решение с опциями.
Оно по-своему элегантное - из данного диапазона можно выделять поддиапазоны, а каждому поддиапазону назначать свой набор опций, чтобы не выставлять нужным адресам опции вручную
Как вывод: сам микротик, как маршрутизатор подходит (с оговорками на количество/сложность правил firewall, на queue), весь вопрос в беспроводке.
Всего 3 канала 2,4Гц в небольшом помещении с таким количеством людей не позволит сделать полностью не перекрывающуюся сеть. Как правильно сказал ТС - мощность ставим минимальную. В 5Гц каналов больше, плотность на канал выше, скорость в канале выше, площадь покрытия меньше (волны хуже огибают), что для нас лучше.
Другой вариант: с предварительным анализом геометрии помещения, с подобранными антеннами и местами установок. Судя по вопросу и предложенному оборудованию - это не наш вариант.
Сергей: Мой пост был не для тех, кто работает с циско аэронетами и прочими железками. Они точно знают, как работает wifi. Мы здесь говорим о "роуминге" для дома или малого бизнеса (у нас тэг mikrotik :)).
Про использование wifi в качестве "удлинителя" - для soho лучше, дешевле и надежней провод. Конечно, если использовать точки доступа с несколькими трактами, с возможностью разделить по частотам "клиентский" и "технический" канал, с выделенными контроллерами и с многими другими оговорками, то возможно, надежность будет всего на порядок ниже чем кабелем. А цена выше. Но там тэги будут уже cisco, aruba etc.
Максим Забелин: Все верно. Обеспечение безопасности это комплексные мероприятия. Сложные. Дорогие.
Не все могут позволить себе иметь IDS/IDS. Далеко не все могут позволить отказать сотрудникам работать с внешней почтой - основным каналом заражения такими вирусами.
SRP это хороший заслон от запуска "левых" программ - как тех, которые появились без прямого участия пользователя, так и тех, которые пользователи сами пытаются запустить.
Кстати, помимо работы - используйте ее дома, для детей - дешево и достаточно надежно. Домен не обязателен.
Да, панацеи нет, но srp очень здорово помогает. От ошибок в самих программах она не поможет (взлом через выполнение кода при прослушивании mp3, просмотре pdf и пр), но без прав администратора не так сильно будет больно.
Важное - бэкапить. Кстати, есть криптовирусы, которые еще и теневые копии удаляют (это для тех, кто хранит бэкапы локально и работает под администратором) ...
Тут вопрос в целесообразности такого правила в принципе... Что человек хотел получить? Пробрасывать весь траффик с определенного ip на нужный адрес? То ли он хотел?
PS. экшн route появился только в прошивке 6.35. И кроме как в ченчлоге он нигде не описан :( (*) firewall - added experimental "action=route" in mangle prerouting - that forces packets to specific gateway by ignoring routing decisions (CLI only);)
1. 172.16.0.13/30 это не опечатка? маска у маршрутизатора? сделайте, пожалуйста, именно /export
2. вообще (если не более хитрый случай), если вы хотите перенаправлять траффик на сквид, то вам надо делать dstnat, иначе сквид просто не будет принимать пакет, адресуемый не ему
Qubc: /32 маска это конкретный адрес. 192.168.88.254
в моем понимании, очень странноеповедение с ssl сертификатами. очень на вирусню похоже. как телефон работает с wifi, так же "коряво"?
Qubc: ошибка про безопасные соединения какие? вообще, это точно не интерфейс пк?
а по проводу все нормально? если да, то это однозначно wifi интерфейс
поэкспериментируйте стандартом и частотой - у вас сейчас только n и расширенный диапазон. поставьте bgn и поиграйте частотой ce/ec
ps add dst=wlan1 limit-at=3M/3M max-limit=3M/3M name=1 target=192.168.88.254/32 это ограничение для конкретного ip адреса и по вашему конфигу этот адрес не зарезервирован
конкретный пример для чего это нужно: было 2 устройства. разбросаны по зданию, подключаются к акцесным коммутаторам. устройства не должны видеть друг-друга. теперь, никто и никогда бы не подумал через много лет - нарисовалось +~50 таких устройств. "в резерве" было еще 14 подсетей /24 (запас в 8 раз).
коммутаторы port isolation/PVLAN не умеют. выделять дополнительно 48 /24 подсетей?