Надеюсь вы уже смогли выполнить базовую настройку по инструкции для начинающих сисадминов. Там описано как настроить интернет на MikroTik и произвести настройку NAT, FireWall, Bridging.
Тут же решим основные проблемы возникающие в таких сетях:
- Один из пользователей может генерировать огромное количество трафика убивая сеть.
- Сеть слишком большая и необходимо разделить её на разные L2 сегменты из-за частых падений
- Необходимо смотреть статистику по полосе пропускания
- Желательно смотреть статистику по ресурсам сети и маршрутизатора
Эти задачи решаются на маршрутизаторах MikroTik.
Как ограничить полосу пропускания на пользователя в MikroTik?
Самое лучшее, что можно сделать использовать для этого Simple Queues (Простые очереди)
Можно почитать в этой статье как настроить динамический шейпинг ограничив Rate заначением полосы которую вы хотите отдавать на пользователя (устройство). Крайне рекомендую ограничить и не оставлять весь канал.
Если вы используете слабые роутеры то локальный трафик желательно не шейпить отмаркировав его в Mangle отдельно. Тема отдельной статьи. Или мы это можем сделать в рамках услуги настройки MikroTik удалённо.
Как смотреть статистику использования интернета и ресурсы роутера?
Функцию необходимо активировать в Tools/Graphing и добавить плюсиком что вы хотите мониторить.
Смотреть можно:
- Занятость полосы пропускания на создавамое правило в Queues
- Занятость полосы пропускания по интерфейсам
- Использование оперативной памяти и CPU
Статистика публикуется на Web панели маршрутизатора.
Логиниться не обязательно просто нажимаем Graphs
Если вы не меняли стандартный порт и IP роутера - зайти можно так: http://192.168.88.1/graphs/
Лучшей практикой является установка таких ограничений Rate (на пользователя) чтобы суммарная полоса пропускания не подбиралась к значениям выдаваемым интернет провайдером.
Разбивка сети на подсети для предотвращения падений.
Часто из-за беспорядочного добавления устройств в сеть могут возникать разного рода подвисания сети. Так же это может происходить из-за случайной закольцовки. Часто чтобы локализовать проблему лучше разбить сеть на сегменты (подсети). Тогда проблема останется в одном из L2 сегментов и тогда уже легче отискать причину.
Выводим 5-ый порт из бриджа:
Копируем IP адрес на пятый интерфейс и одновременно меняем подсеть там:
Например там будем использовать 89-ую подсеть.
Настройка DCHP сервера на новом L2 интерфейсе выполняется по той же инструкции что и в выложенной выше. С той лишь разницей, что надо выбрать 5-ый порт а не bridge1.
Часто необходимо ввести новый L2 интерфейс (ether5) в Adress List LAN если вы использовали для первоначальной настройки конфигурацию роутера по умолчанию.
Если была использована пустая конфигурация это делать не обязательно.
Настройка NAT для облегчения прохождения трафика между подсетями.
Настройка NAT для возможности ходить из подсети в подсеть минуя защиту Windows Firewall на локальных компьютерах:
Всё маскарадим. (Не применимо если есть IP телефония)
При этом Общий доступ Windows работает с небольшим нюансом. Шары в других подсетях открываются только по IP адресам. Некоторые принтеры тоже начинают работать только по IP.
Всем хорошего дня! Интересен ваш опыт обслуживания подобных сетей. Делитесь пожалуйста им на нашем форуме.