Jump to content
  • 0

Раздаване на външни IP адреси зад микротик


Mitko

Question

Привет на всички,

предстои ми реаранжиране на една мрежа.

Задачата е следната:

Има няколко външни адреси които трябва да раздам на съответните вътрешни мрежи на които ще има отделен рутер.

Схема:

На етнер1 идва кабела от доставчика, на етнер2, етнер3 и етнер4 са връзките към съответните мрежи на които трябва да дам външните адреси.

Целта е освен раздаването на адресите да има и шейпър които само да балансира по равно трафика на останалите три интерфейса.

Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 0
  • Administrator

transparent bridge + firewall най лесно за статични адреси

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

transparent bridge + firewall най лесно за статични адреси

Искаш да кажеш да вкарам четирите интерфейса в бридж?

Link to comment
Share on other sites

  • 0
  • Administrator

Да

след което може да ги имитираш чрез маркиране

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Ако рутерът ти има адекватен процесор, или трафикът няма да е става също така с destination nat. Даже е с една идея по-удобно, защото така външните адреси ще са изцяло под твой контрол, вместо просто да продължиш мрежата на доставчика.

Опашките - родителска с max-limit = общата връзка. По 3 деца (parent=родителя), всяка със същия max-limit, но с limit-at=max-limit/3

Слагаш на интерфейсите където ще шейпваш (зачита се изходящ трафик от гледната точка на интерфейса)

Link to comment
Share on other sites

  • 0

Да метода който си описал е единия който мисля да приложа. Желязото ще се справи с трафика - няма да е повече от 100 мв.

Втория както предложи 111111 ми е интересен - не съм го прилагал до сега, само не разбрах маркирането за шейпинга ли ще трябва да е? С бриджове нямам голям опит... относно firewall и шейпинг на бридж.

Затова и отворих темата, да споделите как решавате този козус със раздаване на външни адреси - при мен случая е за три адреса но ако са повече?

Edited by Mitko
Link to comment
Share on other sites

  • 0

Simple queues могат да работят и без пакетите да са маркирани. За йерархичните обаче си трябва :). А последните ти трябват, за да разделиш трафика на 3, като 1/3 е гарантирана за всяка връзка, а при свободен трафик - да може да се възползват и от него.

Не мисля, че има елегантно решение за n адреса. Все пак трябва да знаеш на къде да ги изкараш.

Link to comment
Share on other sites

  • 0

Ще тествам описаните методи и ще споделя мнение относно работата, гъвкавост и натоварване...

Link to comment
Share on other sites

  • 0
  • Administrator

Simple queues могат да работят и без пакетите да са маркирани.

за бридж трябва

има и друго решение със загуба на 2 публични адреса

и proxy-arp на интерфейса

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

за бридж трябва

има и друго решение със загуба на 2 публични адреса

и proxy-arp на интерфейса

Хъм... заинтригуващо сподели?

Не е голяма загубата на два адреса... но са си два адреса - пет лева са си пет лева ::)

Link to comment
Share on other sites

  • 0
  • Administrator

то това си е стандартното изпълнение

един отвън един отвътре за геит на вътрешните ип-та

http://www.mikrotik.com/documentation//manual_2.7/IP/Address.html#ht8981711513

http://blog.butchevans.com/2010/06/when-and-why-proxy-arp/

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
  • Administrator

Класиката е да ги нарежеш на маски. Давам ти реален пример.

1. 93.155.130.58/30 е WAN порта на рутера а 93.155.130.57/30 е адреса на доставчика а 93.155.130.59/30 е broadcast.

2. 93.155.130.1/28 e LAN порта на рутера. В тази маска влизат адреси 93.155.130.1/2/3/4/5/6/7/8/9/10/11/12/12/14 а 93.155.130.15 също е broadcast. В тази схема клиентите в LAN сегмента на рутера ще са:

клиент 1 - IP: 93.155.130.2/28 Gateway: 93.155.130.1

клиент 2 - IP: 93.155.130.3/28 Gateway: 93.155.130.1

клиент 3 - IP: 93.155.130.4/28 Gateway:93.155.130.1

и така до клиент 14

3. В LAN сегмента на рутера разбира се ще има и частна мрежа 172.16.50.0/24 която ще е маскирана. Това в никакъв случай няма да пречи на маршрута 93.155.130.1/28 защото изрично сме описали src-address=172.16.50.0/24 в ip firewall nat.

/ip address

add address=93.155.130.58/30 interface=vlan523

add address=93.155.130.1/28 interface=bridge1

add address=172.16.50.1/24 interface=bridge1


/ip route

add dst-address=0.0.0.0/0 gateway=93.155.130.57


/ip firewall nat

add action=masquerade chain=srcnat out-interface=vlan523 src-address=172.16.50.0/24

Принципно няма кой знае какво значение как ще го направиш но "чистия" routing си е чиста работа ! Пък и както виждаш цялата конфигурация е точно 5 реда :)

За помощ малка табличка с маските:

http://itservice-bg.net/tools/netmask.html

Edited by samyil
Link to comment
Share on other sites

  • 0

Класиката е да ги нарежеш на маски. Давам ти реален пример.

1. 93.155.130.58/30 е WAN порта на рутера а 93.155.130.57/30 е адреса на доставчика а 93.155.130.59/30 е broadcast.

2. 93.155.130.1/28 e LAN порта на рутера. В тази маска влизат адреси 93.155.130.1/2/3/4/5/6/7/8/9/10/11/12/12/14 а 93.155.130.15 също е broadcast. В тази схема клиентите в LAN сегмента на рутера ще са:

клиент 1 - IP: 93.155.130.2/28 Gateway: 93.155.130.1

клиент 2 - IP: 93.155.130.3/28 Gateway: 93.155.130.1

клиент 3 - IP: 93.155.130.4/28 Gateway:93.155.130.1

и така до клиент 14

3. В LAN сегмента на рутера разбира се ще има и частна мрежа 172.16.50.0/24 която ще е маскирана. Това в никакъв случай няма да пречи на маршрута 93.155.130.1/28 защото изрично сме описали src-address=172.16.50.0/24 в ip firewall nat.

/ip address

add address=93.155.130.58/30 interface=vlan523

add address=93.155.130.1/28 interface=bridge1

add address=172.16.50.1/24 interface=bridge1


/ip route

add dst-address=0.0.0.0/0 gateway=93.155.130.57


/ip firewall nat

add action=masquerade chain=srcnat out-interface=vlan523 src-address=172.16.50.0/24

Принципно няма кой знае какво значение как ще го направиш но "чистия" routing си е чиста работа ! Пък и както виждаш цялата конфигурация е точно 5 реда :)

За помощ малка табличка с маските:

http://itservice-bg....ls/netmask.html

Благодаря! Ето това търсех... преди много време бях открил един manual точно с такова подобно описание и такаи не можах да го открия сега.

Още веднъж благодаря Самуиле!

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.