mikrotik bridge port isolation

[Dimkers 1,615]

Ну так а кто виноват тому, что у вас бедстайл сети и попытки после этого натянуть сову на глобус?

 

У вас роутер выше, как вы там шейпите, терминируете, выпускает в инет? Чере трлинк? И домашний инет?

На 20 пользователей чего? Если отделов - то влан на отдел.

Или вы на 20 абонов воткнули цср? Вам можно было воткнуть их в тупарь с тем же успехом, толькоддешевле.

Но даже уже если на то пошло, 20 аланов это много? Пффф... А ещё и куинку есть для такого.

 

1 час назад, Sandorik сказал:

У меня нет железяки на чем их терминировать, а если на микротике еще одном, то это тотже бридж.

А зачем бридж? Сделал влан на вышестоящем роутере, на каждый повешал /30 например, выпустил в инет, зарезал между собой.

 

Ещё в рамках говностроительства на полууправлялках - /32 на абона и запретить им траф между собой.

 

Вариантов на самом деле вагонище, но в этом вагонище есть и говнище. Вот у вас талант выбирать именно второе.

 

 

 

 

Edited 2019-09-08 10:23:54 by Dimkers

[Dimkers 1,615]

5 часов назад, Туйон сказал:

Есть у меня микрот, на нем поднят НАТ, а там бридж для клиентов разбит на 4 интерфейса. И

А почему нельзя дать отдельный влан на порт? Что это за привычка все в бридж пихать, а потом разделять трафик?

[WideAreaNetwork 222]

4 часа назад, Dimkers сказал:

почему нельзя дать отдельный влан на порт?

Если этот мтик л3 то даже вланов не надо, просто каждый порт по отдельности со своим адресом

[nedoinet 441]

10 часов назад, Туйон сказал:

отключить Hardware Offload

Не делайте так если не уверены что делаете. Потом можно очпуеть от 100% на проце.

 

[Туйон 1,298]

10 минут назад, nedoinet сказал:

Не делайте так если не уверены что делаете. Потом можно очпуеть от 100% на проце.

 

Ну-ну, расскажи ка, аж интересно стало.

К слову, после отказа от правила "add chain=forward action=drop in-interface=!магистраль out-interface=!магистраль" и применения Horizon загрузка проца упала наполовину.

Horizon, кстати, автоматически отключает Hardware Offload даже если он включен - флаг H гаснет.

Edited 2019-09-08 15:33:11 by Туйон

[Dimkers 1,615]

Астанавитесь!

Перестаньте делать гавносеть с улыбкой на лице.

Edited 2019-09-08 17:12:19 by Dimkers

[Туйон 1,298]

Только что, Dimkers сказал:

Перестаньте делать гавносеть.

А нах@ра давать влан на человека, если за микротом офисная сеть?

На каждом интерфейсе 20-30 машин.

Может им на каждую комнату управляхи поставить?

После такого я буду послан, как озвучу сумму всего дела.

И кто-то сделает на совсем тупарях. Даже без сегментации. Зато дороже, чем я.

[Sandorik 21]

 Вот если брать vlan на отдел, в отделе 10 компов... как же внутри одного vlan ограничить? или там пусть общаются компы?.... цель изолировать компы друг от друга, я понимаю что дать /30 каждому компу, а потом л3 роутить меж собой это правильно! на данный момент был вопрос именно как изолировать порты.

[Dimkers 1,615]

Вы ьрохи попутал.

На офисную сеть можно дать отдельный влан. Не более.

 

Вот есть у чела срс. Что включено в порт? А покую что. Можно влан завернуть на порт. Ваше без проблем.

 

Теперь расскажите что даёт горизонт и что даёт влан? Вот чисто технически?

3 минуты назад, Sandorik сказал:

Вот если брать vlan на отдел, в отделе 10 компов... как же внутри одного vlan ограничить? или там пусть общаются компы?.... цель изолировать компы друг от друга, я понимаю что дать /30 каждому компу, а потом л3 роутить меж собой это правильно! на данный момент был вопрос именно как изолировать порты.

Хм, так у вас в каждый порт абонент или таки порт на отдел? Вы определитесь уже с Туйоном

Внутри влана можно влан сделать, прикинь. Куинку называется.

 

Порты изолируются вланами. В чем проблема?

Edited 2019-09-08 17:23:33 by Dimkers

[Sandorik 21]

Dimkers, вы когда внешнюю подсеть даете /22, вы тоже по /30 нарезаете? имею ввиду не рррое не рртр а езернет.

у меня в каждый порт абонент + есть удаленный свич (приходят 4 влана с каждого порта удаленного свича). т.е. в коммутаторе срс бридж соединяет 23 физически порта и 4 влана.

Edited 2019-09-08 17:31:34 by Sandorik

[Dimkers 1,615]

10 минут назад, Sandorik сказал:

Dimkers, вы когда внешнюю подсеть даете /22, вы тоже по /30 нарезаете? 

У меня радиус есть, не выдумывайте.

 

10 минут назад, Sandorik сказал:

меня в каждый порт абонент + есть удаленный свич (приходят 4 влана с каждого порта удаленного свича). т.е. в коммутаторе срс бридж соединяет 23 физически порта и 4 влана. 

И чо?

Повторю ещё раз, назовите тех. разницу между вланом в вашем случае и горизонтом? Я скажу больше - горизонт софтовая фича со всеми вытекающими. И разрабами она придумана для vpls, о котором вы даже не слышали, в чем я уверен на все 99%.  И то потому, что vpls в микроте работает как и все остальное - через задницу.

 

Но как любого микротикостроителя - вам пофик нюансы, вас абы работало по роликам с Ютуба поздравляю.

Edited 2019-09-08 17:34:54 by Dimkers

[nedoinet 441]

2 часа назад, Туйон сказал:

Ну-ну, расскажи ка, аж интересно стало.

К слову, после отказа от правила "add chain=forward action=drop in-interface=!магистраль out-interface=!магистраль" и применения Horizon загрузка проца упала наполовину.

Horizon, кстати, автоматически отключает Hardware Offload даже если он включен - флаг H гаснет.

Если у Вас ros старше версии 6.37(когда работу с бриджом изменили и упростили мастерпорт) то индикация флагов вещь интересная. Флаг оффлоада может гореть но поскольку он аппаратно не работает в данной конфигурации, то все равно отображается. А на нагрузка на проц уменьшилась за счет трафика между портами, который режется нахрен. 

И да, товарищи, от отсутствия работы я горбатился монтажником на прова. Сейчас работаю по специальности на подстанции. 

Edited 2019-09-08 17:37:42 by nedoinet

[Туйон 1,298]

2 минуты назад, nedoinet сказал:

Если у Вас ros старше версии 6.37(когда работу с бриджом изменили и упростили мастерпорт) то индикация флагов вещь интересная.

6.42.9

2 минуты назад, nedoinet сказал:

А на нагрузка на проц уменьшилась за счет трафика между портами, который режется нахрен. 

Так он и до этого резался. Правилом в bridge / filters

Пример этого правила я выше писал.

[Dimkers 1,615]

1 минуту назад, Туйон сказал:

Так он и до этого резался. Правилом в bridge / filters 

[Sandorik 21]

12 минут назад, Dimkers сказал:

Но как любого микротикостроителя - вам пофик нюансы, вас абы работало по роликам с Ютуба поздравляю.

ну вот какие нюансы? есть в длинках фича сегментации трафика, спросил как сделать ее в микротике... а вы про радиус...

Edited 2019-09-08 17:45:19 by Sandorik

[Dimkers 1,615]

Вам порты изолировать надо? Надо.

В бридже!!!! Почему порты в бридже? Вот почему, скажите? Тяжело было влан на порт натянуть?

 

 

Edited 2019-09-08 17:47:19 by Dimkers

[Туйон 1,298]

3 минуты назад, Dimkers сказал:

Бл#))

Ну смотри.

Есть тупосетка.

Есть какой то микрот (валяется под ногами).

Есть задача - сегментировать сеть. 

Цель сегментации - уменьшение широковещательного трафика и всякого гоуна в пределах одного сегмента.

Чтобы 100 чел жрали и орали не в одной столовой вместе, а в 5 разных залах одной и той же столовой. И не было слышно одного зала другому.

А повар и пункт выдачи еды (интернета) по факту у них остаётся один.

Чем не решение?

[Sandorik 21]

потому что их нада обьеденить в одну сетку л2. с одним диапазоном /24

По уму канешно так делать нада, разделить /30, и маршрутизировать и фильтровать. на данный момент это невозможно.

Edited 2019-09-08 17:49:20 by Sandorik

[Dimkers 1,615]

Только что, Туйон сказал:

Бл#)) 

Ну смотри.

Есть тупосетка.

Есть какой то микрот (валяется под ногами).

Есть задача - сегментировать сеть. 

Цель сегментации - уменьшение широковещательного трафика и всякого гоуна в пределах одного сегмента.

Чтобы 100 чел жрали и орали не в одной столовой вместе, а в 5 разных залах одной и той же столовой. И не было слышно одного зала другому.

А повар и пункт выдачи еды (интернета) по факту у них остаётся один.

Чем не решение?

Это пздц.

Влан как раз для этого и придуман!!! Прикинь

 

1 минуту назад, Sandorik сказал:

потому что их нада обьеденить в одну сетку л2. с одним диапазоном /24 

[Туйон 1,298]

Только что, Dimkers сказал:

Влан как раз для этого и придуман!!! Прикинь

 

ясен хер, но...

1 минуту назад, Sandorik сказал:

потому что их нада обьеденить в одну сетку л2. с одним диапазоном /24

айпишнеги и шлюз должны остаться старыми

 

(щаззз начнется и про это )))))

[Dimkers 1,615]

Я понял. Продолжайте говностроить....

 

Один вопрос - зачем их в одну сетку объединять то на Л3?

И сразу ответ - микротикостроители не знают о unnammbered

Edited 2019-09-08 17:54:22 by Dimkers

[Туйон 1,298]

Только что, Dimkers сказал:

Я понял. Продолжайте говностроить....

 

Если так будет сказано заказчику, он ответит - ну ок, иди там на каждом компе офисном перебей руками ай-пи и т д.

И на принтере сетевом не забудь.

И ещё на какой-то залупе.

И будет потрачено куча времени и нервов.

Но денег это не прибавит.

 

Я не дурак и прекрасно понимаю что в провайдинге давно ушли времена мыльниц и прочего.

Но ситуации бывают разные и иногда нужно хотя бы облегчить боль поциенту.

[Dimkers 1,615]

Туйон, ты лишь подтвердил мои слова

[Dimkers 1,615]

Все, я понял. Для микротыковце есть сеть только /24.

Ни о каком планировании адресного пространства речи нет. И они не в курсе, что разбив допустим по /27 в инет можно выпустить по /24

[nedoinet 441]

23 минуты назад, Sandorik сказал:

есть в длинках фича сегментации трафика

Есть глинк, есть ёжиккорэ, есть сиськи, брокады... У каждого свои приколы, в т.ч. когда л3 железка срать хотела на ваши желания в л3. А есть mikrotik, которыы срать хотел на rfc. Ну что ж теперь. Глубже надо вникать в то говно в котором плаваем. Понимаю что не от хорошей жизни, но все же.