To nie “JEST” największy problem ubi - tylko Ty tu masz problem. Cieszę się, że przyznałeś, że nie lubisz ubi - szanuję to. To najczęstszy powód wybierania, czy odrzucania konkretnego sprzętu. Z tego dokładnie powodu ja nie polecam MT. Ale nie piszę (przynajmniej staram się tak nie pisać), że MT to kupa, szajs, czy jeszcze jak tam pisałeś. Nie lubię, nie używam, nie polecam. Tyle. Dla mnie MT to zły wybór, bo w małych sieciach wprowadza dla mnie za dużo szumu konfiguracyjnego (który na forti, czy ubi nie istnieje), a w każdej wielkości sieciach brakuje mu integracji i automatyki.

Zastanawiam się, czy masz problem z czytaniem, czy mieszasz odpowiadających. Gdzie pisałem niby, że VLAN się nie używa? Oczywiście, że się używa, tylko mam wrażenie, że nie do końca wiesz, jak. Nie pamiętam szczerze mówiąc, czy akademia cisco uczy głębiej o trunkach, vlanach i zastosowaniu, ale jednak skoro zarządzasz sieciami, to raczej VLAN używasz i trunków też. Pytam jeszcze raz - po co mieszasz VLAN z fizycznymi portami na routerze?

Zgaduję - CCNA? To dodają do płatków śniadaniowych. Po tym, jak akademie CISCO się rozpleniły po świecie w ilościach przeogromnych, to i poziom spadł. Może trafiłeś na złego nauczyciela?

O, to to.

Nie chodzi, że nie lubię, bo lubię. Uważam, że AP robią świetne. Używam ich u klientów i polecam. Jeśli już nie lubić to routerów i switchy, sprzęt może i dobry, ale po prostu mi nie pasują. Tak myślałem, że nie lubisz MT. Również cieszę się, że się przyznałeś.

MT może i wydaje się trudny w konfiguracji czy może ma za dużo opcji, ale jest elastyczny. Jak pisałem, w wielu firmach, nawet tych z 4 komputerami, zdarzają się naprawdę specyficzne potrzeby i MT nigdy nie muszę się zastanawiać czy MT sobie poradzi. Mam router Ubi, mam switch Ubi. Jak patrzę na ER, to pomimo prostego interfejsu, mam wrażenie, że jest właśnie trudny w konfiguracji i zarazem nie pozwala mi decydować co chcę osiągnąć. Może po prostu taki mają cel. Zainstalować, szybka konfiguracja, koniec.

Może po prostu nie potrafię się jasno wyrazić. Spójrz na pytanie odnośnie DHCP, może teraz będziesz wiedział o co mi chodziło.

CCNA z certyfikacją Cisco, nie w akademii. Dyplomy akademii to jedno, certyfikat to drugie, tego nie daje akademia, lecz Cisco. Nauczycieli było 2, jeden faktycznie taki sobie, drugi fajnie prowadził zajęcia. Certyfikat robiłem jeszcze w czasach, gdzie nie było jeszcze takiego boom. Planowałem robić CCNP, ale tego nauczyłem się już w praktyce, może kiedyś podejdę, chociaż ja bardziej Linux, to prędzej coś od Red Hat (IBM).

Na akademii Cisco uczyłem się z osobami, które pracowały w IT i firma ich zmusiła. VLANy ledwo ogarniali, co mnie dziwiło. Co do samych VLANów, widziałem już naprawdę dziwne konfiguracje na routerach i switchach w wykonaniu różnych adminów.

W ponad 20 lokalizacjach mam sieci, które od wielu lat działają stabilnie i wydajnie. Śpię spokojnie. Jedyne awarie, to przerwy w dostawie pradu na kilka godzin, czesto planowane. Sieci są skalowalne i czesto rozbudowywane.

Źle się wyraziłem, ja też robiłem CCNA dawno temu, jak jeszcze ten certyfikat coś znaczył. Ja zaczynałem od akademii, później dopiero egzamin.
I tak, jak piszesz - znaczna część, to ludzie z przypadku, albo przymusu (stąd też kadra zaczęła podchodzić bardzo po macoszemu - znam kilku prowadzących i podzielają ten punkt widzenia).
Co do VLAN, nadal nie rozumiem Twojego punktu widzenia, ale najważniejsze, że w RL ogarniasz wiem, jak nieraz ciężko coś wytłumaczyć na forum, szczególnie, jak jednym okiem się jest na forum, drugim w pracy, trzecim patrzy na dzieci…

Chodzi mi o to, że host może nie wiedzieć gdzie się zgłosić po adres IP. Chyba że macie inny pomysł i albo ja nie rozumiem albo nie znam. Człowiek całe życie się uczy i jeśli się na czymś nie znam lub nie jestem pewny danego zagadnienia, mówię to wprost

Przecież domena rozgłoszeniowa działa wewnątrz VLAN. Pomijam to, że DHCP w produkcji to słaby pomysł, ale załóżmy, że potrzebujesz - konfigurujesz serwer DHCP działający w danym VLAN i albo puszczasz trunkiem do konkretnej karty, która taguje VLAN po swojej stronie, albo zdejmujesz tagi na porcie switcha (nieważne, czy fizycznym, czy vswitchu) i puszczasz nieotagowany ruch do karty sieciowej. Nie ma to żadnego związku z fizycznym portem w routerze.

Czemu DHCP w produkcji to zły pomysł?

Ajj, bo rozmawiamy o serwerach i zapomniało mi się o świecie desktopów. Skrót myślowy DHCP na serwerach to słaby pomysł*
Edit: to jest właśnie to, jak się robi 3 rzeczy na raz - pracowałem, stąd IT=serwery. Przepraszam , w każdym razie poza DHCP podtrzymuję.

Rozmawiamy o desktopach

Czyli jednak nie rozumiemy się, o coś innego mi chodziło. To o czym piszesz wiem i to rozumiem. VLANy, to z automatu osobna podsieć, jeśli ma być routowany ruch. Osobiście nie znam routera, ani switcha, który pozwoli podpiąć jedną podsieć do kilku subinterfejsów. O co mi chodzi, dla przykładu masz interfejs routera, nie ważne czy fizyczny czy logiczny, do niego możesz przypisać 2 adresy IP, np. 192.168.1.1/24 i 192.168.2.1/24. Router będzie znał trasy do obu, bo są bezpośrednio podpięte. Teraz podpinasz ten interfejs do switcha bez VLANów. DHCP rozglasza się na interfejsie routera. Teraz podpinasz hosty, raz dostanie adres z podsieci 192.168.1.0/24 raz z 192.168.2.0/24. I o to cały czas mi chodziło i dlatego pisałem, że i tak bez VLANów się nie obejdzie. I dlatego każda podsieć to osobny interfejs, jeśli na switchach nie ma VLANów. Wtedy albo host bezposrednio albo switch wpinany jest do osobnego inteefejsu routera. Nie wiem czy udało mi się wyjaśnić co miałem na myśli. Jeśli nie, to nie ma co już drążyć tego tematu.

Co do DHCP na produkcji. I widzisz, tu do akcji wkracza właśnie Mikrotik Jeśli mówimy o windowsowym DHCP albo DHCP na urządzeniach Cisco, to zgadzam się, DHCP to kiepski pomysł, ale gdy jest MT, nie wyobrażam sobie statycznych adresów nawet na serwerach. Kontrolery domeny też mam na DHCP, a DNS Windowsowy jest tylko do AD, resztę domen rozwiązuje DNS Mikrotika. Działa to stabilnie i nie ma problemów. Mnie osobiście DHCP daje znać, że coś jest nie tak warstwę niżej. Jeśli serwer lub inny host gubi adres, od razu widzę, że coś jest nie tak albo z VLAN albo warstwą fizyczną, np. uszkodzony patchcord albo pętla, bo technik źle coś wpiął w szafie. Jeśli na warstwie 2 lub 1 wszystko gra, serwer nie ma prawa zgubić IPka, zarówno Windows jak i Linux. Statyki mam tylko w środowiskach Cisco i tam gdzie DHCP działa na Windows.

To Twoje słowa i z tym się nie zgadzam.

Jest kilka wektorów ataku, które wykorzystują ten mechanizm. Poza tym jest kilka zagrożeń, które wykorzystują niewiedzę admina. Nie znam żadnej poważnej serwerowni z DHCP.
Co, jeśli mikrotik się uszkodzi? To się zdarza, ja pracuję ze środowiskami dochodzącymi do minimum pięciu 9. Co, jeśli pojawi się w podsieci (czy to z powodu ataku, czy to z powodu pomyłki) obcy serwer DHCP? Co, jeśli z powodu ataku, pojawi się urządzenie ze skopiowanym adresem MAC? Co, jeśli nastąpi flood ICMP, co, jeśli… milion innych rzeczy. Znam kilka serwerowni, które cierpiało z powodu DHCP w serwerowni, jakoś nie wrócili do tego pomysłu. A co się dzieje niżej wiem po trapach SNMP, albo sofcie zarządzającym całym środowiskiem (tych jest kilka), a nie na piechotę w logach.

Tak myślałem, że o to chodzi. Źle się wyraziłem. W myślach miałem co innego i użyłem skrótu myślowego. Nie spodziewałem się, że wyjdzie z tego aż taka afera

Rozszerzając ten skrót myślowy, chodziło mi o to, że nie konfigurując VLANów na switchu/switchach, można użyć (słowo stworzyć też było błędne) tyle podsieci ile jest interfejsów fizycznych, gdyż tu ogranicza nas warstwa fizyczna, czyli możliwość podłączenia hostów lub switchy. Mam nadzieję, że teraz wyraziłem się zrozumiale. Jeśli nadal wypisuję farmazony, trudno, douczę się

Co do reszty, powiem tak. Jeśli admin wie co robi, ustrzeże się przed rzeczami, które opisałeś. Mam około 20 MT w różnych serwerowniach, przez ostatnie 4 lata odkąd mam je pod opieką, jeszcze ani jeden się nie zepsuł. Jedyna wymiana, to na mocniejszy sprzęt, bo sieć się rozrosła.

Jeśli router pada, myślę, że brak DHCP jest najmniejszym problem, jeśli istnieją podsieci.

Tam gdzie potrzebna jest wysoka dostępność usług, nie tylko serwery i macierze są redundatne, ale również routery, switche i ścieżki oraz linki na warstwie fizycznej.

Troszeczkę. Jesteś w stanie sobie wyobrazić router z np 1000 portów fizycznych? Ja nie. Z 1000 VLAN - bezproblemowo
Warstwa fizyczna nas w niczym nie ogranicza. Ktoś wymyślił interface wirtualne (a właściwie - jak o CISCO rozmawiamy, to subinterface - chyba nawet w CCNA było, jak to skonfigurować), ktoś wymyślił trunki i jakoś się wszystko kręci.

To akurat prawda, ale mnie uczyli minimalizować ilość możliwych punktów awarii a nie mnożyć
Poza tym przy okazji mechanizmów DR, DHCP to kolejny serwis, który trzeba postawić i mieć nadzieję, że dobrze zadziała. Nie, nie wyobrażam sobie. Może robię to źle, ale tak mnie uczyli. Próbuję sobie przypomnieć jakąkolwiek dokumentację powykonawczą z odpalonym DHCP po stronie serwerów i nie jestem w stanie.

Czyli nadal się nie rozumiemy. Piszesz cały czas o VLAN, ja piszę o braku VLAN. Tak to są subinterfejsy, nie tylko w Cisco. MT jak i Ubi bazują na kernelu Linux. Tu też VLANy są na podinterfejsach, to interfejsy logiczne. Cisco ASA też bazuje na kernelu Linux. Dlatego pisałem, żeby nie zastanawiać się nad innym rozwiązaniem, niż VLANy

Myślę, że nie ma już sensu drążyć tego tematu, bo robi się już spory offtop.

Minimalizowanie punktów awarii to już trochę inna bajka, ale nie chcę drążyć tego tematu. Może kiedyś sobie podyskutujemy na takie tematy, może na HZ, o ile jeszcze kiedyś się odbędą i sytuacja z wirusem będzie już tylko wspomnieniem.