Mikrotik

[Lieta1]

Nez, man atrod:

Code:

/interface/wifi> set wifi1 configuration.mode=
ap     station     station-bridge     station-pseudobridge

Bet es tomēr izmantotu station-bridge režīmu. Visi ethernet LAN porti un wifi jāsaliek LAN bridge:

Code:

/interface/bridge/port/print 
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, HORIZON
# INTERFACE  BRIDGE  HW   PVID  PRIORITY  HORIZON
0 ether2     bridge  yes     1  0x80      none   
1 ether3     bridge  yes     1  0x80      none   
2 ether4     bridge  yes     1  0x80      none   
3 ether5     bridge  yes     1  0x80      none   
4 wifi1      bridge          1  0x80      none   
5 wifi2      bridge          1  0x80      none   
/interface list member print 
Flags: D - DYNAMIC
Columns: LIST, INTERFACE
#   LIST  INTERFACE       
0   LAN   bridge          
1   WAN   ether1

Vienīgais: "The 'wifi' station-bridge mode, is incompatible with APs running the older 'wireless' package and vice versa." T.i. legacy wireless laikam izmantot kaut kādu proprietary implementāciju. Visiem AP jābūt ar jauno wifi.

[CeleronS]

Ir tikai Viens wifi (AC), kam es vēlos pieslēgties ar savu MT un savukārt savas ierīces gan pa gaisu, gan pa vadu slēgt klāt tikai pie sava MT.
Labi paldies, pamēģināšu sākumā ar to bridge.
Līdz šim man bija RB2011 (kur visu saslēdzu pēc šīs pamācības), bet tam nabadziņam ir tikai wifi N.
Škrobe, gribējās ātri pārlekt uz jauno, bet its MT...

[Lieta1]

Lai strādātu station-bridge mode, vajaga lai access points, pie kura repeateris slēdzas, atbalstītu 4-address mode. Ja neatbalsta, tad nāksies izlīdzēties ar station-pseudobridge.
Wireless Station Modes (iespējams outdated)

[CeleronS]

Vai 4-address mode ir tas pats, kas TP-Linkam varētu būt WDS bridging ?

[Lieta1]

Tas pats. Ja nu vienīgi viņi tur nav kaut kādu vendor specific brīnumu samuģījuši, kas strādā tikai ar TP-linkiem.
Pēc idejas uz access pointa visam vajadzētu notikt automātiski, bez jebkādas konfigurēšanas. Šis jau liekas aizdomīgi.
Es vispirms mēģinātu ar repeateri pieslēgties bez AP konfigurēšanas. Ja pieslēdzas, jāpārbauda pings starp STA1 un STA2.
STA1 <-> AP <-> REPEATER <-> STA2
STA1 un STA2 var būt arī pieslēgti pa vadu.

[adri]

Vai kāds ir taisījis High Availability risinājumu, izmantojot MikroTik komutatorus? Izmantojot MikroTik piedāvāto VRRP (Virtual Router Redundancy Protocol) risinājumu?
Ar Link agregācija (LACP) uz katru ierīci un Trunk porti starp komutatoriem, un vēl vienu monitoringa iekārtu pievienotu trafika spoguļošana no primārā komutatora.

Shēma:

[hero]

@adri, ne tik daudz MT, cik dizaina jautājums. Kāpēc ir vēlme VRRP vēlme paņemt uz switchiem, nevis uz tur iezīmētā firewalla?

[adri]

@adri, ne tik daudz MT, cik dizaina jautājums. Kāpēc ir vēlme VRRP vēlme paņemt uz switchiem, nevis uz tur iezīmētā firewalla?

Arī bija tāda doma, bet ieviesējs nerekomendēja, minēja, ka FortiGate 120g tādiem mērķiem īsti nav paredzēts

[nktns]

Man gan ir zināma alerģija pret Mikrotikiem, tādēļ uzticētu tiem pēc iespējas mazāk - Fortigate būs pārvaldāms daudz sakarīgāk un standarta active/standby HA nodrošinās uzticamu rezervāciju. MT paliek Layer2 iekārta. Ja ar tiem MT var MLAG, tad pavisam skaisti (pieņemot, ka MT tas strādā normāli, par ko nezinu), vienu serveri var pa vienai kājai pie katra MT.
Mīnuss - apjomīgs/monolīts trafiks (piem. backupi) starp dažādiem segmentiem (VLANiem) tiks dzīti caur FW, kas nav ideāli - tādam gadījumām var apdomāt optimizācijas, bet 120G nav arī nīkulis.
Tā kā teiktu, ka atkarīgs no paredzamā pielietojuma, bet īsumā - jo mazāk lomu būs MT, jo labāk naktī gulēsi.

[hero]

Nezinot visu iekšējo virtuvi, es sāktu ar bāzi:
(1) Viss Layer3 iet uz FGT-HA clusteri, kur nav vispār jādomā par VRRP. Ir viens IP/vMAC, kuru apkalpo aktīvā node.
(2) MT switchus saslēgt kaut kādā L2 stakojāmā konfigurācijā (vai nu natīvs stack, vai mclag), atkarīgs, ko MT atbalsta stabilāk. Kas ir vajadzīgs, lai var taisīt vienu LACPu uz FGT un uz serveriem no dažādiem fiziskajiem switchiem. Uz switchiem atstāt tikai L2 vlanus.





Q: Firewalls nav domāts kā 'router on the stick' un aizrīsies ar inter-vlan routinga trafiku.
A: Fortigeitem ir savi hardwariskie ASICi un viņi pīpējot tev novāks wire-speed ātrumus, ja neslēgsi inspekcijas. FGT-120G gadījumā pirmais, kas sāks pietrūkt būs fiziskā porta ātrums, jo paša backplane SP5 asicā ir 4x10G plūsmas + 1x 40G-KR plūsma, kas caur papildus BCM switch-chipu apkalpo visus fiziskos interfeisus ko tu vizuāli redzi uz kastes.


Ko redzu ikdienā, ka vienīgais globālais objektīvais iemesls atstāt routingu switchos būtu, ja ir abnormāli daudz inter vlan trafika starp serveriem (piemēram, replikācijas, backupi utt) un serveri ir pieslēgti ar daudz ātrākiem interfeisiem, nekā savienojumi uz fgt. Piemēram sw<>server = 25g savienojums, bet sw<>fgt = 2x10G, Tad skaidrs maksimāli viena datu plūsma starp segmentiem nepārsniegs 10G un varētu būt bottleneck.


Atceries arī to, ka atstājot inter-vlan routingu switchos, tu būtībā pazaudē visu visibility un kontroli, ko piedāvā firewalls

[adri]

Sazīmēju pilno plānoto topoloģijas shēmu, droši vien galvenais jautājums, vai šādu slēgumu var realizēt ar Microtik, un varbūt ir kādas citas ~1-2k swichu rekomendācijas. Cisco un Fortinet swichi sanāk par dārgu.

[hero]

Tad Orientējies uz @nktns iepostēto MC-LAG konfigu.
Enterprise level komutācija nebūs tik lēti ;(. Lētākais 10g/25g switch varētu būt DELL kkāda 4xxx sērija vai Extreme, Bet tāpat listā viņi būs vismaz ~6k.

Vai vajag arī 25G portus? Ja vajag tikai 10G portus - tad no Fortineta var izvērtēt tādu 548D switchu. Tam ir 4x10G un 2x40G uplinki. 40G uplinkus var sadalīt 4x10G katru ar breakout kabeli 40 -> 4x10G sfp+, tādējādi vienā switchā dabūjot 12x10G portus. Bet arī tas finansiāli ar diezgan 'deep discountiem' nenostāsies diži zemāk par 3k par switchu. +vizuāli stulbi stāvēs tukši 48 rj45 porti ;]

[adri]

Izskatās ka derētu Fortinet 548D bez 25G portiem, bet katrs swich tāpat labākais ko varēju dabūt sanāk ~3.8k papildus FortiCare Premium Support 3y tas vēl pieliek + 1.2k, kopā sanāk 5k par swichu....

Vai kādam ir pieredze konfigurēt Mikrotik MC-LAG konfigu?

[Lifz]

https://help.mikrotik.com/docs/space...regation+Group

ja rodas kādi jautājumi, raksti uz support@mikrotik.com pabakstīšu, lai kolēģi ātrāk apskatās.

[Eob]

Sazīmēju pilno plānoto topoloģijas shēmu, droši vien galvenais jautājums, vai šādu slēgumu var realizēt ar Microtik, un varbūt ir kādas citas ~1-2k swichu rekomendācijas. Cisco un Fortinet swichi sanāk par dārgu.

Aruba InstantOn 1960, nav baigais enterprise, bet lēts un funkciju pildīs