2 WAN 1 untagged vlan

[Христо Момчев]

Здравейте,

ситуацията е следната:

към този момент, клиента има свързаност от два доставчика на две различни физически точки в града (ще има и трета). НО от единия доставчик идва от друг порт на Оптично устройство Untagged Vlan, като идеята е (този Vlan излиза и на другата точка в града) да се виждат локалните машини през влана (untagged vlan3510 1Gbps) на двете физически точки

 

ISP1 влиза на ether1 в микротиците

ISP2 влиза на ether2

ISP2vlan влиза на ether3

 

има направен bridge на wlan и останалите lan портове

 

ще има е failover, но доставчиците раздават по dhcp адресите, само на едното място единият доставчик е дал static ip с gw и mask i dns.

 

 

Та, тъй като не съм навътре с вланите, биохте ли ме насочили и/или дали някакво решение на задачката/ите

 

Поздрави

[Mitko]

преди 27 минути, Христо Момчев написа:

на две различни физически точки в града

това някаква правописна грешка ли е? 

Искаш да кажеш, че в офис 1 влизат два доставчика в рутер МТ, в офис 2 интернета се взима от същия доставчик и, че ще има офис 3 с интернет пак от същия доставчик?

Единствено в офис 1 влиза втори доставчик като Failover.

За да се "виждат" компютрите в офис 1, 2 и 3, трябва да се пусне VPN между рутерите.

Бриджа между wlan (wireless ethernet) и lan (local area newtowrk) е направен за да има радиото интернет, и няма нищо общо с виждането на офисите.

[Христо Момчев]

Във всяка от трите точки влизат 2 доставчкита в МТ, но единия пуска от Оптичното им устройство (което е 4 порта) на 1порт интернет - по dhcp си взимаш ип адрес / и от друг порт ънтагнат влан, който влан е пуснатна другите физически точки.

 

Офис А - 2 доставчика, като единия пуска допълнително ънтагед влан на друг порт от ПОНа - isp1 static ip | isp2 dhcp & vlan

Офис Б - 2 доставчика, като единия пуска допълнително ънтагед влан на друг порт от ПОНа - isp1 static ip | isp2 dhcp & vlan

Офис В - 2 доставчика, като единия пуска допълнително ънтагед влан на друг порт от ПОНа - isp1 dhcp | isp2 dhcp & vlan

 

като вариант може да бъде направен и тагнат влан да се пусне от доставчика

Редактирано 28 Ноември, 2017 от Христо Момчев

[mysticall]

ISP2 е предоставил локална свързаност на фирмата през vlan3510?

Ако е така, от теб се иска само да вдигнеш vlan3510 и подмрежата, която се използва в другите два офиса и ще има локална свързаност. Не знам колко плаща фирмата, но трябва да е доволно, за да се занимава ISP2 с подобен багер.

Какво те притеснява? Имаш два офиса, които са свързани и два микротика, където може да видиш как са настроени. В третия офис използвай същата схема с подобна конфигурация на микротика.

Bridge = универсално лекарство? Или голяма мрежа от ISP1 + ISP2. Чиповете, които се използват в микротик позволяват switch режим на хардуерно ниво (на ether портовете).

Редактирано 28 Ноември, 2017 от mysticall

[Христо Момчев]

Преди 9 часа, mysticall написа:

ISP2 е предоставил локална свързаност на фирмата през vlan3510?

Ако е така, от теб се иска само да вдигнеш vlan3510 и подмрежата, която се използва в другите два офиса и ще има локална свързаност. Не знам колко плаща фирмата, но трябва да е доволно, за да се занимава ISP2 с подобен багер.

Какво те притеснява? Имаш два офиса, които са свързани и два микротика, където може да видиш как са настроени. В третия офис използвай същата схема с подобна конфигурация на микротика.

Bridge = универсално лекарство? Или голяма мрежа от ISP1 + ISP2. Чиповете, които се използват в микротик позволяват switch режим на хардуерно ниво (на ether портовете).

Да, ИСП2 доставя от порт1 на ОНУ-то интернет а от друг порт  влан свързаност, който влан е вдигнат и на друга точка в града. Цената е доста ниска  

това което в момента съм направил е етер3 (където влиза влана) съм го сложил в бриджа на локалната мрежа и във филтърс съм забранил 67 порт по удп (дхцп) ин.интерфейс и аут интерфейс. Не съм създавал нов интерфейс влан, дирекно етера съм бучнал вбриджа.

В таба Хостс виждам мак адреси от другата страна. Пинг нямам обаче към вътрешните ип адреси.

ЛАН адресите са Офис А - 192.168.100.0/24, офис Б ....200.0/24 и на Офис В не съм сигурен може и да е ...1.0/24

 

сега казваш да вдигна локалните ип адреси на останалите точки, но къде ? на етера ли?

[111111]

Тази концепция на свързване не е много издържана на ниво външна сигурност.

Ако падне единия доставчик какво правиш?

[Христо Момчев]

Ако падне доставчикът, който доставя и влан свързаност, клиента ще се свърже с пптп /както в момента всъщност е изградил връзка до отсрещната точка/, но желанията са му да има по бърза вътрешна мрежа тъй като има .... 100тина камери   и като цяло от домашния нет иска да гледа в офисите камерите/комповете, а обратно май няма да му трябва (от офиса у тях няма какво да гледа може би )

[Mitko]

Преди 2 часа, Христо Момчев написа:

Да, ИСП2 доставя от порт1 на ОНУ-то интернет а от друг порт  влан свързаност, който влан е вдигнат и на друга точка в града. Цената е доста ниска  

това което в момента съм направил е етер3 (където влиза влана) съм го сложил в бриджа на локалната мрежа и във филтърс съм забранил 67 порт по удп (дхцп) ин.интерфейс и аут интерфейс. Не съм създавал нов интерфейс влан, дирекно етера съм бучнал вбриджа.

В таба Хостс виждам мак адреси от другата страна. Пинг нямам обаче към вътрешните ип адреси.

ЛАН адресите са Офис А - 192.168.100.0/24, офис Б ....200.0/24 и на Офис В не съм сигурен може и да е ...1.0/24

 

сега казваш да вдигна локалните ип адреси на останалите точки, но къде ? на етера ли?

Мак адресите може да ги виждаш, но МТ - не знае как да рутира мрежите за да ги достъпваш, в това ти е проблема - рутиране.

Преди 1 час, 111111 написа:

Тази концепция на свързване не е много издържана на ниво външна сигурност.

Ако падне единия доставчик какво правиш?

Ако е изградена правилно маршрутната таблица, няма да има проблем с отпадането на единия от доставчиците.

Относно сигурност - аз бих вдигнал тунели между офисите, със съответните маршрути и криптиране.

Направено, тествано и работи от години

Редактирано 29 Ноември, 2017 от Mitko

[Христо Момчев]

Привет,

подкарах нужната услуга и по VLAN изкарвам с bandwidth test 500-600мбита от единия до другия микротик (CRS125-24G-1S-2HnD и RB2011UiAS) Обаче, когато клиента започне да тегли файл (1ГБ примерно) не стига повече от 300мбита. 

Възможно ли е с тези микротици да се докара 1Гбпс свързаност? Има fast track connection във firewall.

 

(П.П: направих рутингите и нещата тръгнаха  )

Редактирано 29 Ноември, 2017 от Христо Момчев

[kokaracha]

RB2011UiAS не може  и няма как да изкара гигабит.300-350 мб/с са му тавана.