Продолжаем разбираться вместе с вами, почему же микротик закрепился как корпоративное решение низкой ценовой категории. За что его любят и ненавидят, что он дает в сравнении с другими конкурентами.
В этой статье я попробую рассказать о коммутационных возможностях данных ус-в. Что они предлагают и чем примечательны.
Коммутация
В самых распространенных моделях: 2011, 3011 и 4011 - на борту представлено 10 езернет портов. На младшей модели 951 - их 5. Давайте разберемся что с ними можно делать, есть ли какие-либо ограничения по использованию того или иного порта, как у циски, например?! Отвечу сразу - нет никаких ограничений. Все порты равнозначны, любой из них можно настроить под провайдера и так же любой под внутреннего клиента. При желании микрот можно даже использовать как свитч. Делается это очень просто: создается виртуальный интерфейс Bridge, и к этому интерфейсу прикрепляете физические порты. Этот бридж - это своеобразный loopback. Очень рекомендую все айпи-адреса вбивать на микрот только через бриджи: используется локальная подсеть 10.0.0.0/24 - создайте бридж, назначьте ему этот адрес и далее распределяйте физику, хоть все интерфейсы разом и тогда вы получите свитч, или все кроме одного для провайдера и тогда будет роутер. Все довольно просто.
На скринах представлено мое видение настройки интерфейсов, включение их бриджи и пр. На уникальность и правоту не претендую, но лично мне так удобно.
На данном слайде представлено распределение портов и вланов к конкретным бриджам. Таким образом можно легко и непринужденно перераспределять порты и назначать им ту или иную подсеть, в зависимости от задачи.
Как видите, вланы задаются под физический интерфейс, я для удобство их сразу обозвал как "номер порта"."номер влана" - это помогает работать в других таблицах, например, в таблице бриджей, когда назначаете влан на 1 порту опреденному бриджу. А уже от бриджа зависит какая подсеть будет внутри этого влана.
Так же есть встроенные механизмы защиты от петель: STP, RSTP. Но работают несколько странно и иногда на ровном месте могут вырубить порт. Поэтому, все-таки, использовать микроты как свитчи я бы не рекомендовал - только от безысходности ;)
Настройка Wi-Fi выполняется в несколько движений.
В Security profile задается тип авторизации и устанавливается пароль.
Далее переходим к настройке самого беспроводного интерфейса, по умолчанию WLAN1, активируем Advanced mode и забиваем нужные нам параметры: SSID, Security profile и тип вай-фай точки - ap bridge. В этом режиме она будет выдавать айпи-адреса, которые вы настроите на бридж для вафли. Так же вайфай позволяет авторизоваться через радиус-сервер и, соответственно, через доменную учетку.
Тут, думаю, все ясно.
В данной таблице мы назначаем алиас для нескольких интерфейсов и в дальнейшем эти алиасы можно использовать в фаерволе. Например, можно сделать правило masquerade в таблице NAT'ов для группы интерфейсов external - т.о. вы разрешите пользователям выходить в интернет сразу через двух и более провайдеров.
В ARP-таблице так же достаточно удобно видеть бридж-интерфейс и примерно понимать что и где находится. В основном это для поисков нового оборудования, а если честно, то камер. Когда их монтируют сторонние организации и потом вам надо засунуть их в нужную подсеть - это очень удобный инструмент в вашем арсенале.
В меню IP -> Neighbors можно посмотреть физически подключенных соседей. Так же очень нужный механизм для понимания топологии сети в удаленном офисе. Не всегда там есть админы, а даже если есть, то они могут даже не подозревать как и что у них там скоммутировано. Так что такой механизм бывает просто незаменим.
Вот, пожалуй, для обзорной статьи и все. Я постарался описать основные важные механизмы и функции, которые вы будете чаще всего использовать. В дальнейшем, если статьи будут пользоваться интересом, я могу разобрать отдельные аспекты подробнее, углубившись в ту или иную тематику, поделиться траблшутингом и пр. Так что, если понравилось, подписывайтесь и оставляйте комментарии.
Огромное спасибо всем, кто прочитал все 3 части, оставил обратную связь и поделился своим мнением.
ПыСы Вывод по теме статьи каждый сделает самостоятельно. Я не ставился целью решать за вас хорошо что-либо или плохо, мне достаточно было описать имеющиеся возможности роутеров Микротик. Все что описано мной - реально работает и работает 24/7. Но, как я писал в 1 части, запущен процесс миграции на Cisco.