Задача банальная:
Есть один клиент, у него торговый комплекс на два здания. Между зданиями 2 витых пары, одна под аналоговую камеру, а вторая под интернет. При этом, этим интернетом пользуется как минимум 4 разных группы людей. Из них одна группа доверенная, вторая частично (дает доступ к WiFi каждому), остальные вообще левые чуваки. Добрый арендодатель всем дает интернет....
пока на его принтере арендатор не распечатал....
- Аааа, Андрей, Антон как то распечатал на моем принтере
- Я же говорил - не надо так делать
- А как надо?
- Надо купить коммутатор, ща, сек, я посмотрю
.........
- Ага, стоит 10000 рублей, заказываем?
- А подешевле никак?
- Особо не получается
- Тогда пусть Антон оплачивает, ему же интернет нужен
Я подумал, репу почесал, и решил что надо сделать на том, что есть, а есть у меня Huawei Huawei S2320-12TP-EI-AC и EDGE Router X, оба остались от провайдеров. Привез их домой и отложил. Тут я уезжаю, и звонит Антон:
- Я тут у Аркаши случайно распечатал, он сказал что так нельзя и надо что то делать
- Да, там надо поставить аппарат, чтобы отделить Вас от него
- Может я роутер поставлю, у меня есть сис админ, он сделает
- Не, так не прокатит, он должен выполнить настройки на моем оборудовании, но пускать я его не буду
- Но я же ничего такого не делаю
- Вы может и нет, а вот что происходит на Ваших устройствах, вы не знаете, а заражение одного приведет к эпидемии в сети. У Вас есть кто сможет кабель протянуть, там максимум 20 метров
- Есть
- Тогда я попробую настроить бу оборудование, оно обойдется тысячи в две, а новый в 10 000
- Да, 10К многовато, хорошо, буду ждать
Отправляю на такси коммутаторы в офис. Хуавэй мой сотрудник сбросить не смог, поэтому было решено сделать на EDGE Router X. А что делать то будем?
Все просто, все порты кроме одного перевести в тегированные, на стороне арендодателя на эти VLANы повесить DCHP сервер и пусть арендатор тянет к себе кабель и ставит себе роутер.
Схематично выглядит так (я отправил это сотруднику в телегу, чтобы он провел предварительную настройку EDGE Router X):
M |=> eth0(WAN) I |---ETH1-\ | =>VLAN101=> | E |\---ETH0-\ | => VLAN101 => eth1 => PC1 (10.10.10.X/24) K |=========\ | =>VLAN102=> | D | \========\ | => VLAN102 => eth2 => PC2 (10.10.20.X/24) R |=========/ | =>VLAN103=> | G | /========/ | => VLAN103 => eth3 => PC3 (10.10.30.X/24) O |---ETH1-/ | =>VLAN104=> | E |/---ETH0-/ | => VLAN104 => eth4 => PC4 (10.10.40.X/24) T |=> eth3 | => PCn (10.10.0.X/24) I |=> eth4 | => PCn (10.10.0.X/24) K |=> eth5 | => PCn (10.10.0.X/24)
В итоге не сложилось, я попросил соединить цепочкой новый RB951 и ER-X и 2 компьютера в основном офисе. При этом Mikrotik без конфигурации вообще, чтобы я мог соединиться с ним по MAC. Подключился, поднастроил Mikrotik, и хотел уже за ER-X приступить, а не могу к нему подключиться. Тырк-мырк, никак:
- На eth4 dchp, please
- OK
- И в первый порт нашу сеть воткни
- ОК
Я в этот момент в Bridge объединяю два единственно используемых порта на Mikrotik ииииии ER-X получает IP из нашей сети, все, я его вижу и могу управлять.
На картинке логика простая, себе в голове я это представляю, только один затык - у каждого вендора свои извращения по вопросу VLAN. Создал на switch0 VLANы, прописал pvid, разрешил vid и ничего, в какой то момент один из компов проглянул, но быстро исчез. Я уже банально тыркаю пальцем в небо, открыл гайды, нигде не описывается мой вариант, но исходя из всего, оно должно работать. Вижу что один порт отключен (нет коннекта)
- Подключи еще один ПК
- Ок
Опять, тырк-мырк, ни в какую, все VLANы получают IP-адреса, а машины нет. Перезапустил ER-X, о, комп опять показался, и не уходит. А еще два где?
- Так, проверь настройки на ноутбуке, на нем может быть статика, и второй комп проверь, как будто кабель отходит или хреновый
- На ноутбуке статика
- DHCP, please
- Готово
- О, вижу
- Поменял кабель
- Вижу
Все это настраивалось в такой конфигурации:
В eth0(ER-X) еще воткнута местная сеть, eth1(ER-X) занята 3 компутером, в eth0(Mikrotik) воткнута местная сеть. При этом в настройках ER-X eth1-4 в switch0, но мне так не надо, мне нужно чтобы один заходил и четыре выходили.
- Я уже пробовал eth0 добавить в switch0, но не получилось. - говорит сотрудник
- Но оно должно работать!
Хм, ошибка, нельзя добавить в switch порт с адресом. Ну ок, включаем dchp на switch0, переключаемся в браузере, снимаем ip адрес с eth0, добавляем в switch0
.........
Я краем мозга понимаю что оно правильно, но есть одна маленькая ошибка:
ПЕТЛЯЯЯЯЯЯЯЯЯЯЯ
я замкнул петлю в портах eth0(ER-X) => switch0 => eth4(ER-X) => eth3(Mikrotik) => eth0 (Mikroti k). У меня пропадает доступ к серверу (я то в 3К километрах)
- Выдергивай кабель из eth0 ER-X!!!
- ОК
Хм, не отпустило, странно, вышестоящий коммутатор DGS-1510-28X вроде не дурак, должен отработать Shtorm Control.
Вижу заббикс рапортует, отвалились такие то сервера, ставлю галку себе - ага, заббикс рапортует, значит в кабинете все ок, ибо он подключен к тому же коммутатору, а вот в серверной все плохо. Кабинет и серверную соединяет оптика.
- Перезагрузи интернеты - в кабинете на одном пилоте висит оборудование провайдеров, наш роутер и главный коммутатор, перезагружается кнопкой
- Готово
Результата ноль, я уже сижу в веб-морде коммутатора и вижу что оптика лежит, ага, значит порт загашен, а загашен с той стороны и как на зло удаленное включение порта по sms именно сегодня не работает! придется кому-то тащиться в серверную ))
В итоге Shtorm Control отработал как надо - дело в том, что изначально оптика была в портах 27-28, а в момент переезда я установил в порт 26 и не обратил внимания на режим работы Shtorm Control, который по дефолту настроен на выключение порта, а должен стоять в режиме отбрасывания пакетов.
Интересный квест
Собственно настройки:
На switch0 обязательно статический IP, иначе при перебросе eth0 в него, можно потерять доступ
VLANы на switch0
Комментариев нет:
Отправить комментарий