Раздаване на външни IP адреси зад микротик

[Mitko]

Привет на всички,

предстои ми реаранжиране на една мрежа.

Задачата е следната:

Има няколко външни адреси които трябва да раздам на съответните вътрешни мрежи на които ще има отделен рутер.

Схема:

На етнер1 идва кабела от доставчика, на етнер2, етнер3 и етнер4 са връзките към съответните мрежи на които трябва да дам външните адреси.

Целта е освен раздаването на адресите да има и шейпър които само да балансира по равно трафика на останалите три интерфейса.

[111111]

transparent bridge + firewall най лесно за статични адреси

[Mitko]

transparent bridge + firewall най лесно за статични адреси

Искаш да кажеш да вкарам четирите интерфейса в бридж?

[111111]

Да

след което може да ги имитираш чрез маркиране

[solar_sea]

Ако рутерът ти има адекватен процесор, или трафикът няма да е става също така с destination nat. Даже е с една идея по-удобно, защото така външните адреси ще са изцяло под твой контрол, вместо просто да продължиш мрежата на доставчика.

Опашките - родителска с max-limit = общата връзка. По 3 деца (parent=родителя), всяка със същия max-limit, но с limit-at=max-limit/3

Слагаш на интерфейсите където ще шейпваш (зачита се изходящ трафик от гледната точка на интерфейса)

[Mitko]

Да метода който си описал е единия който мисля да приложа. Желязото ще се справи с трафика - няма да е повече от 100 мв.

Втория както предложи 111111 ми е интересен - не съм го прилагал до сега, само не разбрах маркирането за шейпинга ли ще трябва да е? С бриджове нямам голям опит... относно firewall и шейпинг на бридж.

Затова и отворих темата, да споделите как решавате този козус със раздаване на външни адреси - при мен случая е за три адреса но ако са повече?

Редактирано 23 Октомври, 2012 от Mitko

[solar_sea]

Simple queues могат да работят и без пакетите да са маркирани. За йерархичните обаче си трябва . А последните ти трябват, за да разделиш трафика на 3, като 1/3 е гарантирана за всяка връзка, а при свободен трафик - да може да се възползват и от него.

Не мисля, че има елегантно решение за n адреса. Все пак трябва да знаеш на къде да ги изкараш.

[Mitko]

Ще тествам описаните методи и ще споделя мнение относно работата, гъвкавост и натоварване...

[111111]

Simple queues могат да работят и без пакетите да са маркирани.

за бридж трябва

има и друго решение със загуба на 2 публични адреса

и proxy-arp на интерфейса

[Mitko]

за бридж трябва

има и друго решение със загуба на 2 публични адреса

и proxy-arp на интерфейса

Хъм... заинтригуващо сподели?

Не е голяма загубата на два адреса... но са си два адреса - пет лева са си пет лева

[111111]

то това си е стандартното изпълнение

един отвън един отвътре за геит на вътрешните ип-та

http://www.mikrotik.com/documentation//manual_2.7/IP/Address.html#ht8981711513

http://blog.butchevans.com/2010/06/when-and-why-proxy-arp/

[Самуил Арсов]

Класиката е да ги нарежеш на маски. Давам ти реален пример.

1. 93.155.130.58/30 е WAN порта на рутера а 93.155.130.57/30 е адреса на доставчика а 93.155.130.59/30 е broadcast.

2. 93.155.130.1/28 e LAN порта на рутера. В тази маска влизат адреси 93.155.130.1/2/3/4/5/6/7/8/9/10/11/12/12/14 а 93.155.130.15 също е broadcast. В тази схема клиентите в LAN сегмента на рутера ще са:

клиент 1 - IP: 93.155.130.2/28 Gateway: 93.155.130.1

клиент 2 - IP: 93.155.130.3/28 Gateway: 93.155.130.1

клиент 3 - IP: 93.155.130.4/28 Gateway:93.155.130.1

и така до клиент 14

3. В LAN сегмента на рутера разбира се ще има и частна мрежа 172.16.50.0/24 която ще е маскирана. Това в никакъв случай няма да пречи на маршрута 93.155.130.1/28 защото изрично сме описали src-address=172.16.50.0/24 в ip firewall nat.

/ip address

add address=93.155.130.58/30 interface=vlan523

add address=93.155.130.1/28 interface=bridge1

add address=172.16.50.1/24 interface=bridge1


/ip route

add dst-address=0.0.0.0/0 gateway=93.155.130.57


/ip firewall nat

add action=masquerade chain=srcnat out-interface=vlan523 src-address=172.16.50.0/24

Принципно няма кой знае какво значение как ще го направиш но "чистия" routing си е чиста работа ! Пък и както виждаш цялата конфигурация е точно 5 реда

За помощ малка табличка с маските:

http://itservice-bg.net/tools/netmask.html

Редактирано 2 Ноември, 2012 от samyil

[Mitko]

Класиката е да ги нарежеш на маски. Давам ти реален пример.

1. 93.155.130.58/30 е WAN порта на рутера а 93.155.130.57/30 е адреса на доставчика а 93.155.130.59/30 е broadcast.

2. 93.155.130.1/28 e LAN порта на рутера. В тази маска влизат адреси 93.155.130.1/2/3/4/5/6/7/8/9/10/11/12/12/14 а 93.155.130.15 също е broadcast. В тази схема клиентите в LAN сегмента на рутера ще са:

клиент 1 - IP: 93.155.130.2/28 Gateway: 93.155.130.1

клиент 2 - IP: 93.155.130.3/28 Gateway: 93.155.130.1

клиент 3 - IP: 93.155.130.4/28 Gateway:93.155.130.1

и така до клиент 14

3. В LAN сегмента на рутера разбира се ще има и частна мрежа 172.16.50.0/24 която ще е маскирана. Това в никакъв случай няма да пречи на маршрута 93.155.130.1/28 защото изрично сме описали src-address=172.16.50.0/24 в ip firewall nat.

/ip address

add address=93.155.130.58/30 interface=vlan523

add address=93.155.130.1/28 interface=bridge1

add address=172.16.50.1/24 interface=bridge1


/ip route

add dst-address=0.0.0.0/0 gateway=93.155.130.57


/ip firewall nat

add action=masquerade chain=srcnat out-interface=vlan523 src-address=172.16.50.0/24

Принципно няма кой знае какво значение как ще го направиш но "чистия" routing си е чиста работа ! Пък и както виждаш цялата конфигурация е точно 5 реда

За помощ малка табличка с маските:

http://itservice-bg....ls/netmask.html

Благодаря! Ето това търсех... преди много време бях открил един manual точно с такова подобно описание и такаи не можах да го открия сега.

Още веднъж благодаря Самуиле!