EdgeRouter POE, получится ли построить такую сетку?

[Nalim]

Приветствую уважаемые.
Хочу построить сеть по нижепреведённой схеме.
Получится ли так сконфигурить роутер?
Сама архитектура правильная? Может есть идеи как сделать лучше?
Может у кого то есть похожая рабочая конфига?
Потому как раньше имел дело только с Cisco и многие вещи на ubnt ставят в тупик.
Буду благодарен за любую инфу или совет.

 

[kot4600]

Хотел бы вам помочь, но не уверен, что правильно все понимаю, и EdgeRouter POE я в руках не держал.
Прошу не принимать все за истину, и буду рад слушать поправки и комментарии, роутера у меня нет, конфиг пишу в блокноте, могут быть синтаксические ошибки.
Первое , что бы я сделал объединил Eth2, 3, 4 в виртуальный switch
switch switch0 {
address 192.168.1.1/24
description ==mgmt==
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
vif 10 {
address 192.168.10.1/24
description ==ofiice==
firewall {
local {
name LAN_LOCAL
}
}
mtu 1500
}
vif 20 {
address 192.168.20.1/24
description ==Free wifi==
firewall {
local {
name LAN_LOCAL
}
}
mtu 1500
}
vif 30 {
address 192.168.30.1/24
description ==Video==
firewall {
local {
name LAN_LOCAL
}
}
mtu 1500
}
}

Далее настроил бы DHCP, мне думается для vlan 1 он тоже нужен, для удобства первоначальной настройки.
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name mgmt {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1/24
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.1.2 {
stop 192.168.1.254
}
unifi-controller xxx.xxx.xxx.xxx
}
}
shared-network-name ofiice {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1/24
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 14400
start 192.168.10.2 {
stop 192.168.10.51
}
unifi-controller xxx.xxx.xxx.xxx
}
}
shared-network-name Free wifi {
authoritative disable
subnet 192.168.20.0/24{
default-router 192.168.20.1/24
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 14400
start 192.168.20.2 {
stop 192.168.20.151
}
unifi-controller xxx.xxx.xxx.xxx
}
}
}

 

[kot4600]

настройки Eth портов, про WAN не пишу, честно не знаю как вернее настроить
ethernet eth2 {
description ==UniFi_AC_LR_AP==
disable
duplex auto
poe {
output 24v
}
speed auto
}
ethernet eth3 {
description ==TPLINK_T1600G==
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
description ==mgmt_PC==
duplex auto
poe {
output off
}
speed auto
}

мне так же не достаточно информации по поводу: Vlan 30 port forvard (DVR1) WAN2
На порту WAN2 и WAN1 "белые" статические IP?

 

[Nalim]

Приветствую. Спасибо что откликнулись.
Я вчера пошел именно таким путём.
ubnt@ubnt:~$ show configuration
output off
}
s-vbash: ubnt@ubnt:~$: command not found
peed auto
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
vif 10 {
address 192.168.10.1/24
mtu 1500
}
vif 20 {
address 192.168.20.1/24
mtu 1500
}
vif 30 {
address 192.168.30.1/24
mtu 1500
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name vlan10 {
authoritative disable
description vlan10_dhcp
subnet 192.168.10.0/24 {
default-router 192.168.10.1
lease 86400
start 192.168.10.50 {
stop 192.168.10.150
}
}
}
shared-network-name vlan20 {
authoritative disable
description vlan20-free-wi-fi
subnet 192.168.20.0/24 {
default-router 192.168.20.1
lease 86400
start 192.168.20.50 {
stop 192.168.20.150
}
}
}
}
dns {
forwarding {
cache-size 150
listen-on switch0
listen-on switubnt@ubnt:~$ interfaces {
rface eth1
protocol all
-vbash: interfaces: command not found
source {
address 192.168.10.0/24
}
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
}
system {
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password ****************
}
level admin
}
}
name-server 8.8.8.8
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility prubnt@ubnt:

 

[Nalim]

И настроил свич TP link/



T1600G-28PS#show running-config

!T1600G-28PS

#

vlan 10

name "Office"

#

vlan 30

name "Video"

#

#

#

#

#

#

#

#

#

#

#

#

#

system-time ntp UTC+08:00 133.100.9.2 139.78.100.163 12

#

#

#

user name admin privilege admin secret 5 $1$B0B2B>B8G9E6J4J6D2H8D9@=D9H/A>L2$'}./

#

#

#

#

#

#

#

#

#

power inline consumption 192.0

#

interface vlan 1

ip address 192.168.0.1 255.255.255.0

ipv6 enable

#

interface vlan 10

ip address 192.168.10.2 255.255.255.0

description "Office"

no ipv6 enable

#

interface vlan 30

ip address 192.168.30.2 255.255.255.0

description "Video"

no ipv6 enable

#

interface gigabitEthernet 1/0/1

switchport general allowed vlan 10,30 tagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/2

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/3

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/4

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/5

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/6

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/7

switchport general allowed vlan 10 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/8

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/9

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/10

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/11

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/12

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/13

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/14

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/15

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/16

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/17

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/18

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/19

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/20

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/21

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/22

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/23

switchport general allowed vlan 30 untagged

no switchport general allowed vlan 1


#

interface gigabitEthernet 1/0/24

switchport general allowed vlan 30 untagged


#

interface gigabitEthernet 1/0/25


#

interface gigabitEthernet 1/0/26


#

interface gigabitEthernet 1/0/27


#

interface gigabitEthernet 1/0/28


#

end


T1600G-28PS#

 

[Nalim]

Но оно не заработала.
Я рассчитывал что подключившись к портам Eth2-Eth7 я получу адрес из vlan10.
Он этого не произошло.
При этом EdgeRouter и TPLink видели друг друга, через консоль можно было пропинговать адреса в vlan10 и vlan30
Помоему что то не так с роутингом.
К сожалению у меня очень мало времени, скоро открытие заведения, и нужна рабочая сеть.
Так что в 2 часа ночи было решено строить упрощённый вариант.
А всех пихаем в vlan1.
Гостей в Wi - Fi изолируем и ограничиваем по каналу средствами контроллера Unifi.
Кусок сети в видео возможно потом вырежу в отдельный vlan на TPLink.
А для общения с внешним миром был использован вариант из Wizard, для 2 WAN интерфейсов с балансировкой канала.
Кстати интересная конфига, правда с некоторыми странностями.

ubnt@ubnt:~$ show configuration

firewall {

all-ping enable

broadcast-ping disable

group {

network-group PRIVATE_NETS {

network 192.168.0.0/16

network 172.16.0.0/12

network 10.0.0.0/8

}

}

ipv6-receive-redirects disable

ipv6-src-route disable

ip-src-route disable

log-martians disable

modify balance {

rule 10 {

action modify

description "do NOT load balance lan to lan"

destination {

group {

network-group PRIVATE_NETS

}

}

modify {

table main

}

}

rule 20 {

action modify

description "do NOT load balance destination public address"

destination {

group {

address-group ADDRv4_eth0

}

}

modify {

table main

}

}

rule 30 {

action modify

description "do NOT load balance destination public address"

destination {

group {

address-group ADDRv4_eth1

}

}

modify {

table main

}

}

rule 40 {

action modify

modify {

lb-group G

}

}

}

name WAN_IN {

default-action drop

description "WAN to internal"

rule 10 {

action accept

description "Allow established/related"

state {

established enable

related enable

}

}

rule 20 {

action drop

description "Drop invalid state"

state {

invalid enable

}

}

}

name WAN_LOCAL {

default-action drop

description "WAN to router"

rule 10 {

action accept

description "Allow established/related"

state {

established enable

related enable

}

}

rule 20 {

action drop

description "Drop invalid state"

state {

invalid enable

}

}

}

receive-redirects disable

send-redirects enable

source-validation disable

syn-cookies enable

}

interfaces {

ethernet eth0 {

address dhcp

description "Internet - WAN"

duplex auto

firewall {

in {

name WAN_IN

}

local {

name WAN_LOCAL

}

}

poe {

output off

}

speed auto

}

ethernet eth1 {

address 192.168.1.35/24

description "Internet - WAN 2"

duplex auto

firewall {

in {

name WAN_IN

}

local {

name WAN_LOCAL

}

}

poe {

output off

}

speed auto

}

ethernet eth2 {

description Local

duplex auto

poe {

output off

}

speed auto

}

ethernet eth3 {

description Local

duplex auto

poe {

output off

}

speed auto

}

ethernet eth4 {

description Local

duplex auto

poe {

output 24v

}

speed auto

}

loopback lo {

}

switch switch0 {

address 192.168.88.1/24

description Local

firewall {

in {

modify balance

}

}

switch-port {

interface eth2

interface eth3

interface eth4

}

}

}

load-balance {

group G {

interface eth0 {

}

interface eth1 {

}

}

}

protocols {

static {

route 0.0.0.0/0 {

next-hop 192.168.1.1 {

}

}

}

}

service {

dhcp-server {

disabled false

hostfile-update disable

shared-network-name LAN {

authoritative enable

subnet 192.168.88.0/24 {

default-router 192.168.88.1

dns-server 192.168.88.1

lease 86400

start 192.168.88.38 {

stop 192.168.88.243

}

}

}

}

dns {

forwarding {

cache-size 150

listen-on switch0

}

}

gui {

https-port 443

}

nat {

rule 5000 {

description "masquerade for WAN"

outbound-interface eth0

type masquerade

}

rule 5002 {

description "masquerade for WAN 2"

outbound-interface eth1

type masquerade

}

}

ssh {

port 22

protocol-version v2

}

}

system {

conntrack {

expect-table-size 4096

hash-size 4096

table-size 32768

tcp {

half-open-connections 512

loose enable

max-retrans 3

}

}

host-name ubnt

login {

user ubnt {

authentication {

encrypted-password ****************

}

level admin

}

}

name-server 8.8.8.8

ntp {

server 0.ubnt.pool.ntp.org {

}

server 1.ubnt.pool.ntp.org {

}

server 2.ubnt.pool.ntp.org {

}

server 3.ubnt.pool.ntp.org {

}

}

syslog {

global {

facility all {

level notice

}

facility protocols {

level debug

}

}

}

time-zone UTC

}

ubnt@ubnt:~$

 

[kot4600]

Я б не поленился собрать схему похожую на вашу, но нет "железа" для эксперимента под рукой, а что конкретно не заработало? Я для начала попробовал без Тепелинка. Взял бы EdgeRouter, какой нить простой L2 коммутатор, и пару ноутов. Настроил бы один порт "гибрибом", и 4 "аксесом" и смотрел бы, что в какой vlan'e с порта прилетает, и что пеленгуется, а что нет.
Я когда первый раз, EdgeRouter настроил и создал виртуальный switch, подошел к настройке как на свиче, но это все таки роутер, и в последствии часть задач пришлось решать с помощью статических маршрутов, потому что как я понял , он по другому не умеет,.... ну или я не разобрался...