classic.ISPforum.cz

Resim jak spravne oddelit dve site na jednom MK (2011). Priklanim se k reseni - ether1=wan, ether2-9=lan1, ether10=lan2. kazda lan sve DHCP a oddelene FW. Je tak OK nebo resit jinak napr. pres VLANy?

předpokládám že klienti se nemají vidět tak to by se asi řešilo přes pravidla Fw, jinak pozor ta řada portů je jako jeden port akorát to má integrovanej switch . VLANama by jsi to neoddělil pokud by tam zase nebylo pravidlo ve Fw.

Pokud má na tom routeru dostatek portů, tak mu jsou VLANy k ničemu. VLANa mi zjednodušeně udělá z jednoho portu dva (a více). A aby mu to k něčemu bylo, tak stejně potřebuje další switch, kde jednotlivé VLANy vytáhne fyzicky na porty.

To, že je to v tom RBčku jeden switch čip nehraje roli (alespoň z hlediska L3 a vyšších). Pro operační systém to jsou samostatné porty. Tedy alespoň u ostatních RB, zrovna tenhle typ jsem v ruce ještě neměl.

ja myslel že to roli hraje že se ta řada portů tváří jako jeden tudíž nelze na každý port nastavit jinou IP. Také jsem je v ruce neměl takže možná myslím špatně.

Nevím jak z datasheetu poznat, jestli jsou uvnitř dva switch čipy nebo jen jeden. Ale ve winboxu je to poznat na jedno kliknutí ...

Pokud je tam jen jeden, tak to co má popsané nakonfiguruje. V default konfiguraci (resp. "prázdné", neboť co tam mikrotik při výrobě nacpe je ve hvězdách) se prostě všechny porty tváří samostatně. Takže stačí portům 3-9 nastavit Master Port = 2. Tím dostane vlastně jen tři porty (Ether1, Ether2 a Ether10) a s nimi samostatně pracuje.

Pokud tam jsou dva switche (jako třeba v RB1100AH), tak to neudělá. Master port lze nastavit jen v rámci jednoho čipu. Tedy jen mezi 100Mbit porty nebo mezi 1Gbit porty. Pak lze udělat dva "switche" mezi 2-5 a 6-9 a master porty může spojit do Bridge. A pak pracovat jen s bridgem a konfigurace je opět shodná. Jenom holt bridge je věc softwarová a jaký bude mít výkon je ve hvězdách. V každém případě max rychlosti dosáhne jen v rámci hardwarového switche.

Třetí možnost - jakože by to byl opravdu switch s nemožností nakonfigurovat porty samostatně - se mi nezdá. To mikrotik nikde zatím neudělal.

podle winboxu jsou dva switch cipy... Nastavil jsem vcera bridge na porty 2-9 na nich DHCP (1.1), na 1 je WAN s DHCP klientem, na 10 je DHCP( 2.1). Staci to takto nebo je potreba jeste resit dal FW aby z desitky nebylo mozne se jakkoliv dostat na 2-9 a naopak?

Takhle se uvidí musíš to ošetřit přes FW pravidla.
zdrojová adresa z LAN 1 10.0.1.0/24
Cilova adresa Z LAN2 10.0.2.0/24
akce Zahoď paket

nastavil jsem si forward drop z 10ky na bridge a naopak... nestaci to?