Как я боролся с Mikrotik, часть 1, вводная.

Добрый день всем!

Как то раз предложили мне один, как мне сначала показалось, достаточно простой проект. Поехал, пообщался, взялся..

Задача - есть некая плоская сеть. В сети есть некие пользователи, некое АСУТП, нужно всё это дело разделить и изолировать АСУТП от остальной сети. Объект состоит из 3-х площадок, между ними WiFi бриджи. Интернет через 4G модем ZTE. В общем, ничего сложного.

Как мне показалось, задача буквально на пару дней. Дизайн сети полностью мой, выбор оборудования мой, в общем твори чего хочешь. Ну чего тут можно сотворить? Центральный маршрутизатор, 3 коммутатора. Топология звезда. Классика!

Единственное что, меня несколько смущали WiFi бриджи, т.к. не было понимания пропускают ли они через себя тегированный трафик, а так же можно ли будет им назначить management vlan. Поэтому было внесено предложение на всякий случай предусмотреть построение шифрованного туннеля между площадками, но, скажу сразу, этого делать не пришлось. Правда железки в дальнейшем пригодились...

Конечно же, я с ходу начал топить за Cisco. Ну а что? Железки мне известные, в бюджет укладываемся. Маршрутизация на 881 или 921, коммутация на 2960, ну или на SG250. Причём Cisco 921 я предлагал взять сразу с 4G, дабы отказаться от ZTE. Точнее говоря заказчик сам предложил его убрать и попросил подобрать что-то, что умеет сразу всё.

Но тут случились санкции, ценники стали космические либо оборудование исчезло и.. пришлось покупать то, что было в ближайшем DNS. В ближайшем DNS был Mikrotik RB3011 в виде маршрутизации и CRS112 в виде коммутатора. Ну и ZTE тоже остался в схеме. Да и ценник на Mikrotik в 2 раза ниже. Ну пусть будет Mikrotik, мы ж профессионалы, мы всё можем.

Полистал интернет, пришёл к выводу, что документации по Mikrotik навалом, если что, найду, почитаю. Функционал позволяет вроде всё, что мне нужно. Купили.

Скажу честно, с железками познакомился впервые. Естественно знал про этот бренд, естественно знал, что это типа "функционал энтерпрайз уровня по цене D-Link", по крайней мере по мнению интернет экспертов. Даже удивился, почему мы у себя не используем такие замечательные железки? Одна только фраза в отзывах про то, что "прокачивает 120 мегабит ipsec" чего стоила! Сколько? 120 мегабит? Железка за 15К??? Шифрованного трафика??!! Ню Ню..

Т.к. вся адресация частная, не думаю, что я прям выдам коммерческую тайну, если буду указывать реальную адресацию, так что, да простит меня заказчик..

Сразу для себя решил делить сеть следующим образом:

1. 172.16.100.0/24 - менеджмент подсеть, где будет всё управляемое оборудование. VLAN 100.

2. 172.16.113.0/24 - старая плоская подсеть, в которой решил оставить оборудование АСУТП, дабы минимизировать его настройки. VLAN 113. К слову, заказчик хотел оставить здесь пользователей, дескать их больше, и менять адресацию тоже больше, но в конечном итоге всё это вылезло в нехилые грабли и было сделано так, как я хотел изначально.

3. 172.16.110.0/24 - новая пользовательская подсеть. VLAN 110.

4. 172.16.111.0/24 - интерлинк для интернета. Интернет в конторе раздаётся посредством 4G модема ZTE. VLAN 111.

В общем, вводные ясны, начинаем настройку.

Продолжение дальше.

#mikrotik