Příspěvky

1

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 25. 03. 2026, 21:55:22 »

Radši jsem nepsal hned než vychladnu - CAPsMAN má statickou a dynamickou správu CAP... Takže pokud nemáte všechno na CAPsMAN nastavené napoprvé správně, připojíte CAP a ono si vytvoří ITF na CAPsMAN - tak s ním nehnete, dokud ho prostě a jednoduše nesmažete! Taková ptákovina mě zasekala na půl dne, pořád jsem přenastavoval provisioning, resetoval, obnovoval, znova nastavoval... Pořád bez reakcí a nefunkční, až na miliontém návodu/zdroji/nevím kde přesně jsem narazil na poznámku ITF prostě smazat a nechat to založit znova... Se správně nastaveným provisioningem a create dynamic enabled pak WLAN správně a automaticky reaguje na změny konfigurace.
Pro zkušené asi samozřejmost, ale v tom guláši verzí, názvů a změn z poslední doby pro někoho kdo to nepoužívá denně docela vý**b. A jednoduché zmazání-založí se znova není zmíněné skoro nikde...

2

Sítě / Re:MikroTik 2× WAN - nastavení port forward přes konkrétní WAN

« kdy: 25. 03. 2026, 21:33:02 »

Řekl bych, že jsem řešil asi to samé - dvě připojení, pokud se připojím přes IP sekundárního, tak se musely značit spojení aby se správně vrátily, odkud přišly a takto mi to funguje... V těch routech je něco vypnutého a něco nesouvisejícího...
ETH9 - DSL s PPPoE, ETH10 - LTE/5G modem. Snad jsem zobrazil všechny sloupce.
Proč je u jednoho ITF veřejná IP a u druhého ne už nevím. Buď na druhém chybí, ale funguje, nebo je na prvním zbytečná, nebo to bude rozdílem ETH vs PPPoE...

EDIT: Asi je na čase to po třech letech a dvou výměnách modemu resetovat a zkontrolovat, nezdá se mi že obě def. GW mají distance 1...

3

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 23. 03. 2026, 21:33:42 »

Tak PPSK/Multi Passphrase Group bylo překvapivě jednoduchý... Zasekal jsem s CAPsMAN vs CAP vs VLAN - miliarda návodů je různě stará a v tom chaosu co MT změnami a přejmenováními udělal se nevyzná ani prase která verze je stará, nová, jak se jmenovala a jak se jmenuje teď a tuny návodů se všemi možnými verzemi dohromady... CAP a CAPsMAN discovery intrface nemá být bridge jako ve většině návodů ale MGMT VLAN a pak se to rozjelo... Ještě WiFi itf nepřidávat do bridge a nenastavovat mu VLAN. Když se CAP chytil na CAPsMAN, tak přehození z PSK hesla na PPSK bylo doslova na pár kliknutí - všechno co stačí je toto:

Kód: [Vybrat]

#Hesla pro jednotlivé VLAN - PPSK group
/interface wifi security multi-passphrase
add disabled=no group=sec-ppsk-g passphrase=helloworld20 vlan-id=20
add disabled=no group=sec-ppsk-g passphrase=helloworld30 vlan-id=30

#SEC profil používající skupinu PPSK
/interface wifi security
add disabled=no name=sec-ppsk-p multi-passphrase-group=sec-ppsk-g authentication-types=wpa2-psk

#Nastavit SEC profil pro konfiguraci
/interface wifi configuration
add disabled=no datapath.bridge=lan_bridge mode=ap name=cfg-main security=sec-ppsk-p ssid=MikroTikMasters

4

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 23. 03. 2026, 17:56:59 »

Super, díky za kontrolu. S přístupem problém nemám - když zapojím PC do eth8 RB5009 (frame-types=admit-only-untagged-and-priority-tagged pvid=99), tak se bez problému dostanu na všechny switche. V Bridge-VLANs je totiž dynamicky doplněné:
bridge=bridge1 tagged=bridge1 vlan-ids=10, 20, 30 ... 99-100
s commmentem "added by vlan on bridge". Řekl bych, že na základě toho:
/interface vlan add interface=bridge1 name=vlan99-MGMT vlan-id=99
V příkladech jsem to tuším viděl také přidávané ručně, ale když to bylo doplněné dynamicky, tak jsem to už neduplikoval...

Jinak jsem náhodou narazil na skvěle vypadající věc - multi-passphrase a PPSK - jedno SSID a různá hesla - podle použitého hesla se klient připojí do určené VLAN...

EDIT: dostanu se vlastně všude odevšud - jakmile se přopojím na SFP2 switchů nebo ETH1 317, tak vidím všechno. Kterýkoliv access port vlan99 mě pustí kamkoliv - proto nechci v podružných rozvaděčích nechávat mgmt na volném ETH, aby se tam někdo náhodou nepřipojil, ale radši v SFP, kam kabel jen tak někdo omylem nestrčí...

5

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 22. 03. 2026, 16:47:15 »

OK, díky všem za rady. Nebylo na to moc času tak to trvá, ale na stole to mám kromě FW a WLAN rozjeté (ne že by to nejelo, jen jsem s tím zatím nezačal).
Ty VLAN nejsou až tak složité, ale všude kde jsem na to narazil to vysvětlení není úplně ono a systémově, všude jen tuny příkladů a jak rozjet 2 VLAN na jednom-dvou routeru/switchi se statickou IP... Ale občas jen někde někdo zmíní jak to v pozadí pracuje, takže se z těch příkladů často blbě odvozuje co se týká routeru, co switche, jak páteřní switch, jak access switch... Nejlepší jsou borci na YT, co nakreslí a ukážou schéma co jdou dělat a hned na to řekne, že to má v jiném portu:D
Chápu to tak, že to co nastavuji v Bridge, tak se týká L2 switche, takže v momentě kdy se zapne VLAN filtering, tak jde komunikace s ROS do háje a swtich chip všechno řeší sám. Co se nastavuje v Interface-VLAN a nad těmi VLAN ITF, tak je L3 tlačící provoz do CPU a HW offload to neodřeže. Takže switche a porty se nastavují v Bridge (+1x MGMT VLAN), router je zase prakticky celý nastavený v interface. Pokud bych nechtěl na GW využít prázdné porty pro testovací přístup do jednotlivých VLAN, tak bridge na GW prakticky není potřeba (dalo by se všechny VLAN natlačit přímo na SFP1).
Nechce se mi anonymizovat celé schéma, tak jen stručný popis se zaokrouhlenými počty...
GW - 5009. SFP na páteřní switch, ETH1 WAN, ETH2-7 testovací přástup do vybraných VLAN, ETH8 MGMT (vlastně stejně jako 2-7, jen jiné číslo VLAN)
Páteřní switch - 317, vše spojené sem přes DAC / Maxlink BiDi. VLAN průchozí - pouze ETH1 pro MGMT
PoE switch 328 - 8x kamera, 6x wifi, 4x další PoE... Pro WiFi trunk, pro koncové zařízení access
Pracoviště+byty switche - 3x 310 a 2x 326 - ETH access porty, SFP1 trunk, SFP2 - hybrid záložní trunk + MGMT přes S-RJ01
Jestli se to někomu bude chtít projít a případně by k tomu měl nějaké připománky, určitě uvítám. Zatím to nejde do provozu, ale v principu by se to už moc měnit snad nemuselo (doplnění firewallu a wifi, případně u koncových acess switchů ořežu všechny VLAN na pouze potřebné)

Nastavení GateWay RB5009 (kromě obecných nesouvisejících věcí jako DNS, NTP...):

Kód: [Vybrat]

/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge1 protocol-mode=none vlan-filtering=no #vlan-filtering až na konci po nastavení VLAN

# L2 rozhraní - aby jim šly přidělit IP a routovat je, "správa VLAN"
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
...
add interface=bridge1 name=vlan99-MGMT vlan-id=99
add interface=bridge1 name=vlan100-Public vlan-id=100
add interface=ether1 name=vlan848 vlan-id=848

# Porty do bridge - SFP je trunk - pouze nastavení only tagged, zbytek je testovací přístup do VLAN - untaged access porty
/interface bridge port
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=20
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=30
...
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether8 pvid=99
# Před rozjetím je dobré jeden port nechat mimo bridge - pokud se podělá přístup, aby se dalo z Winbox připojit na MAC a opravit to, do Bridge ho dát až to celé funguje i a je ověřené přes VLAN

# Trunk port - všechny VLAN pustit do SFP směrem na páteřní switch - musí se pro TRUNK. Pro untagged access a L3 VLAN interface se přidá samo dynamicky
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1 vlan-ids=10-100

# DSL připojení přes terminátor
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan848 name=pppoe-out1 user=o2...
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT na WAN" out-interface=pppoe-out1

# IP adresy a DHCP servery pro jednotlivé sítě
/ip address
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
...
add address=192.168.99.1/24 interface=vlan99-MGMT network=192.168.99.0
add address=192.168.100.1/24 interface=vlan100-Public network=192.168.100.0

/ip pool
add name=pool10 ranges=192.168.10.100-192.168.10.200
add name=pool20 ranges=192.168.20.100-192.168.20.200
add name=pool30 ranges=192.168.30.100-192.168.30.200
...
add name=pool99 ranges=192.168.99.100-192.168.99.200
add name=pool100 ranges=192.168.100.100-192.168.100.200

/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 domain=p1.local gateway=192.168.10.1 ntp-server=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 domain=p2.local gateway=192.168.20.1 ntp-server=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.30.1 domain=p3.local gateway=192.168.30.1 ntp-server=192.168.30.1
...
add address=192.168.99.0/24 dns-server=192.168.99.1 domain=sys.local gateway=192.168.99.1 ntp-server=192.168.99.1
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1 ntp-server=192.168.100.1

/ip dhcp-server
add address-pool=pool10 interface=vlan10 lease-time=10m name=server10
add address-pool=pool20 interface=vlan20 lease-time=10m name=server20
add address-pool=pool30 interface=vlan30 lease-time=10m name=server30
...
add address-pool=pool99 interface=vlan99-MGMT lease-time=10m name=server99
add address-pool=pool100 interface=vlan100-Public lease-time=10m name=server100

#Zapnout vlan-filtering... na GW celkem zbytečné - všechno se stejně routuje/NATuje...
Konfigurace páteřního SFP switche CRS317 (nerozlišuji, kde je která VLAN, všechno všude - asi ne ideální bezpečnost, ale všechno můžu libovolně přeházet a pořád to funguje):

Kód: [Vybrat]

/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge1 protocol-mode=none vlan-filtering=no #vlan-filtering až na konci po nastavení VLAN

# MGMT přístup do nastavené ROS, jinak switch chip všcehno požere a switch je nedostupný
/interface vlan
add interface=bridge1 name=vlan99 vlan-id=99
/ip dhcp-client
add default-route-tables=main interface=vlan99

# Všechny SFP jako trunk, pouze eth1 jako access port pro MGMT
/interface bridge port
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus2
...
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus16
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=99

# Nastavení všech VLAN na všechny SFP - musí se pro TRUNK. Pro untagged access a L3 VLAN interface se přidá samo dynamicky
/interface bridge vlan
add bridge=bridge1 tagged="sfp-sfpplus1,sfp-sfpplus2,...,sfp-sfpplus16" vlan-ids=10-100

#Zapnout vlan-filtering
Konfigurace koncových access switchů CRS310/326:

Kód: [Vybrat]

/interface bridge
add frame-types=admit-only-vlan-tagged name=bridge1 protocol-mode=none vlan-filtering=no #vlan-filtering až na konci po nastavení VLAN

# MGMT přístup do nastavené ROS, jinak switch chip všcehno požere a switch je nedostupný
/interface vlan
add interface=bridge1 name=vlan99 vlan-id=99
/ip dhcp-client
add default-route-tables=main interface=vlan99

# Všechny porty jako untagged acces, jen SFP1 jako TRUNK, SFP2 jako hybrid záložní trunk + MGMT přes S-RJ01
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether1 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=20
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=20
...
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether99 pvid=100
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether100 pvid=100

add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=sfp-sfpplus1

add bridge=bridge1 interface=sfp-sfpplus2 pvid=99

# Nastavení všech VLAN na oba SFP - musí se pro TRUNK. Pro untagged access a L3 VLAN interface se přidá samo dynamicky
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1,sfp-sfpplus2 vlan-ids=10-100

#Zapnout vlan-filtering
Pokud tedy chci port přehodit z jedné sítě do druhé (a na switchi mám příslušné VLAN přivedené TRUNK portem), tak jen na portu přepíšu PVID a to je vše...

6

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 03. 03. 2026, 11:37:56 »

panpanika: Díky za tip s tím Xtendlan DAC, dám si na to pozor. Našel jsem, že UBQT má 0,5m DAC na rozdíl od většiny, kteří dělají 1m. Půlmetr bohatě postačí, všechno bude hned nad sebou jen s menšíma mezerama na větrání, ať se to nepeče úplně na sobě.

7

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 03. 03. 2026, 02:12:02 »

ch3, 5nik: Super, díky, moc pomohlo

M_D: Taky díky. Jelikož je to s 10G optikou cenově úplně jinak než v čem jsem celou dobu žil podle 25Gb MT a nepodíval se jinam a tady mě nikdo nekopnul (pouze že optiku jo, ale ne že ta cena co píšu je mimo), tak jednoznačně CRS317 bez metaliky (kromě PoE).
Na hromady zásuvek CRS326 a v těch malých DR nechám ty CRS310 s 2,5G - přecejen to dnes má každá lepší nová deska a stejně levnější CRS s SFP+ a <24 porty není, až CRS326 - a než mít 18 prázdných portů, radši ať je těch 8 rychlejších... Možná bych i dal do toho většího DR02 326+310 na dva BiDi spoje z centrální 317.

Už se mi podařilo sehnat i týpka přes zabezpečovačku a kamery - velice nečekaně to vypadá na 6-7 PoE kamer všude možně (pro jistotu jedna na každé pracoviště, kde předtím nebyla + nějaký erár) a NVR v hlavním racku:) Takže tam budou dvě PoE 5009 - jedna WiFi a druhá kamery (ano, je tam jediný záložní zdroj v DR01). Ať ty 5009 netrhám, tak GW bude taky PoE verze, ať jsou 3 stejný a kdyby se pak nahodilo něco silnějšího, zůstane jako záloha pro WiFi/Kamery.
A už teď mám 10xSFP+ využité - 3x 5009 (3xDAC), 3x 326 (2xDAC + 1xOptika), 4x 310 (4xOptika)...
K tomu RSTP - zatím nemám zkušenosti... Teoreticky má 317 volné porty i na bonding/LACP? Zase by to byl dvojnásobek modulů...  Nebo raději ten okruh? Alespoň 310+326 v DR02 spojit DAC? Pak je otázka, jestli by mělo cenu okruhovat ty zbývající 3 CRS310 po 6 zásuvkách - z toho očekávám 1 max 2 zapojené a vyžívané... Aby tam nakonec nebyl jen NB na WiFi...

Ad opt. vany - ano, všechny jsou stejné a ten typ patch kabelů které odkazuješ tam přesně nechali zedníci v bedně (v prvním postu jsem to špatně dešifroval a uvedl LC/LC). Ty spoje ve vaně vpravo do bytů nevedou, tam jsou jen po dvou UTP. Přesně to nemám potvrzené, ale řekl bych, že to je vytažené ven před barák k přípojce na CETIN - jestli se na to pak jen před domem nasplicují? Ale potvrzené to nemám a o žádné jiné optice v tom baráku nevím.

8

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 02. 03. 2026, 13:47:51 »

Je pro mě v této situaci (5 racků, do 30m, natahaná 4 vlákna/rack) nějaký rozdíl v použití modulů pro jedno nebo dvě vlákna? Kromě toho jestli vytvořím maximálně 2 nebo 4 spoje?
Dvě vlákna 1310nm jsou o něco levnější než jedno 1270+1330, ale rozdíl je minimální.
Lze do DualLC modulu zapojit dva samostatné simplex patch kabely, nebo je tam nějaký zámek, který tomu zabraňuje/důvod to nedělat?

9

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 02. 03. 2026, 13:13:54 »

Možná ještě takový dotaz zpět k té optice - pořád tady píšu, že ta 10Gb optická páteř by potřebovala moduly za cca 20-30k, protože jsem na mikrotiku našel nejlevnější SFP+ >1Gb XS+31LC10D za cca 2 700,- x2 ~ 5 500,- na jeden spoj.

Jenže jsem teď na i4wifi něco dohledával, a vidím tam SFP+ 10Gb moduly za 600-700 XtrendLan, Planet... Ubiquity sada 2ks za 2000.
Tak se dívám znova, že MT má pouze SFP28 25Gb moduly a žádné pouze 10Gb SFP+ - je to jediný důvod toho velkého cenového rozdílu? Protože 25Gb je pro mě nesmysl.
Stačí tedy vzít libovolné tyto 10Gb moduly á2000 za spoj? Nějaké známé problémy s kompatibilitou? Rozdílné specifikace/vlastnosti, které si pohlídat? Preferovaný/vhodný/ověřený/bezproblémový typ? Nebo libovolný SingleMode dual LC/upc?
Protože jestli je 10Gb spoj za 1500-2000, tak není o čem debatovat...

10

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 01. 03. 2026, 17:12:52 »

Je to možné - tím pádem by zatím asi stačila ta provizorní 5009 (nebo dokonce s VDSL testovací hAP ax2 kterou jsem doma vyhrabal) a jestli po napojení na optiku nebude varianta jak z nich vyrazit 2Gb bez PPPoE/jejich jednoduchého "HW PPPoE bridge", tak to tak může dopadnout. Asi bych pak potřeboval tip na vhodný HW, ale teď to asi nemá cenu řešit - nevím, kdy to přesně bude a jestli bude PPPoE nutné. Ozval bych se, až ta situace nastane, dobré o této možnosti vědět.
Zatím by se tedy připravily jen switche - CRS309 SFP+, CRS310 2,5G, CRS326 na zásuvky, RB5009 PoE + WiFi a asi samostatnou 5009 na GW a uvidím, co přinese budoucnost. Celkem mi ta 2,5G CRS310 dává smysl i do DR0x místo 5009...

11

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 01. 03. 2026, 16:13:00 »

Cena ani tak napjatá není, ale vzhledem k tomu, že zatím nevím, jak by přesně mohla být řešená případná 2+Gb optika (PPPoE?) a jestli by to ta 2004 nebo i 2116 utáhla (2004 zase tak moc rychlejší oproti 5009 není, 2116 to drtí 16 jádry, ale PPPoE je singlethread...), tak nechci pořídit něco drahého, co se nedejbože s 2Gb WAN stane nepoužitelné. Mít jistotu, že 2116 utáhne 2Gb PPPoE, tak ji rovnou beru. Není problém zaplatit robustní 10/2,5G páteř (ale 25-30k za opti moduly mi teda zatím příjde zbytečné), která vydrží dlouhodobě a na které se pak případně protočí router/doplní moduly dle budoucího dostupného připojení.
Pořád jsem přemýšlel o 2,5-10Gb metalice s S+RJ10, které jdou kvůli topení ve větším množství vrazit prakticky jen do CCR2004SFP nebo CRS317, to mě pořád táhlo do slepých uliček... CRS309 je totiž pasivní a víc S+RJ10 ji upeče. Ale ještě jsem teď narazil na CRS310 s 8x2,5Gb ETH za cenu 4 S+RJ10 modulů - což by elegantně vyřešilo problém s upečením pasivní 309, připojilo externí rozvaděče na 2,5G a hlavní switch ve velkém racku by mohla být CRS309 - 8 SFP+ portů je akorát i do budoucna na optiku.
Ta UTP verze 2004 by se bohužel do budoucna mohla dostat do pasti s rychlejším WAN (nedejbože PPPoE) a posílením páteře. Porty má jen 1G RJ45, takže by se přinejhorším všechno překopalo a 2004 zůstala na ocet/jen jako 1Gb switch... Trochu mě to to svádí k dočasné 5009, která pojede na 1Gb PPPoE na krev/800-900Mb, ale až se nahradí za pořádnou GW, tak se neztratí/zůstane do zálohy/není drahá a k tomu 309+310 poslouží jako solidní základ i s rezervou na budoucí 10Gb upgrade.

Nelíbí se mi počet variant, které začínám generovat... Ceny v příloze pracovně s DPH, nezahrnují co je ve všech variantách stejné (CRS326 na zásuvky + 5009 PoE a v DR0x + WiFi)

Každopádně mi teď dává největší smysl jako hlavní switch CRS309 bez S+RJ10 (max 1) a vzdálené DR na 1G z GW nebo 2,5G přes CRS310. A spíš je tedy otázka co jako GW - 5009, 2004UTP nebo 2004SFP...
Ještě mě k té spoustě variant v příloze napadá 2004SFP + 309 + 310 - silné CPU v 2004 bez switchování (jen 1xWAN-1xLAN), 309 pořeší provoz a 310 za cenu S+RJ10 modulů připojí 5009 v DR0x na 2,5G... Sice jedna z dražších variant, ale dost robustní. Vlastně varianta "Low cost" s 2004 místo 5009. (11,5+5,2+4,2=21k)

PS: zajímavé je, že MT má v měření výkonu dost rozdíl mezi UTP a SFP verzemi 2004 s identickým CPU (+60%).
Routing 25 IP filter rules, 64byte: RB5009=414Mb, CCR2004UTP=394Mb, CCR2004SFP=636Mb (všechny 4core), CCR2116=2122Mb (16core, 335% 4core 2004 - podobný singlethread?)

12

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 28. 02. 2026, 23:13:29 »

To schéma už je dost staré a situace prošla výraznou evolucí, ale chápu, že je tady po tom tuna textu, takže se v tom blbě orientuje (a taky chápu, že ne vše se úplně chce číst...).
Když jsem tam provizorně hodil hAP ax2, které se mi povalovalo doma aby se dalo rozjet topení, tak to jelo cca 160Mbit, ale optika se aktuálně v obci kope. Minimálně s 1Gb PPPoE počítám, že rovnou aktuálně pořízený router musí utáhnout - což je těsně nad hranicí RB5009, takže je právě ta 2004 minimum.
V budově ale bude naprosté minimum vnitřního provozu, maximálně v rámci jednoho pracoviště na switchi, bez serverů - takže u GW stejně všechno skončí natované v CPU do PPPoE - switchovat mezi porty prakticky nebude co.
Btw wAP už mám v novejší verzi nahozené místo hAP ax, stejně tak CCR326. Místo CSS610 do malých switchů zvažuju 5009 - ROS, 2,5G out of box, možnost S+RJ10 nebo 10G optiky později.

Výkon té CRS418 je podle MT testů cca jako hAP ax³, poloviční oproti 4011.

13

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 28. 02. 2026, 12:00:35 »

Super, DÍKY za věcnou a praktickou reakci.
Ad. zakončení - zatím je terminátor, budova nezkolaudovaná, optiku CETIN už na některých místech kope, takže pořizovací/dohadovací kolečko teprve nastane. Ale jestli bude varianta dostat z někoho jednoduchý ideálně nečínský "mediakonvertor" a z toho přímo IP bez dodatečného PPPoE, bylo by to super. Díky za info, zkusím po tom pak pátrat.
S topením S+RJ10 počítám, vybíral jsem právě podle MT interface compatibility listu, ta 2004 jich podporuje až 6, já potřebuju 4, rovnou jsem se chystal je rozházet minimálně ob-port.
DAC všechny 1 metr.
Ad pasivní port extender v té 2004 - no jestli tedy dá 3Gbps v náročné zátěži přes CPU, tak to je v podstatě to, co by mi prozatím stačilo - na 1 možná 2Gbit lince to udýchá a až někdy bude možné/potřebné více, tak se z něho routování/firewall vyrazí, zůstane čistě jako 10Gb VLAN switch (což CPU podle MT testu bridging dá) a před něho pořídí pořádný router, který výkonově obstará vše potřebné - jen tam tu 2116 nedám hned naslepo. Jestli si třeba 5 let odroutuje na 1Gbit než mu dojde dech - ideální stav. Nebo v tom vidíš i nějaké další potenciální problémy?
To dočasné vynechání 2116 dost srazilo aktuální cenu, ale není nezbytně nutné - prostor na 2116+317 je, jen by zase byla škoda je teď mít využité na 2% a za 5 let zjistit třeba že se bez 5+Gb PPPoE neobejdu a ani ta 2116 to nedá a stejně se bude shánět něco tou dobou aktuálnějšího/výkonnějšího...

14

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 28. 02. 2026, 02:15:46 »

Jose D: O routování bych nepochyboval, ale tady je problém PPPoE směrem do CETIN - PPPoE implementace je prakticky všude single-thread, takže ani 30 jader nikoho nespasí, 5009 dá podle všeho cca 800Mb, jeden týpek co jsem našel to vyladil uzamčením max frekvence a 3 dalšíma nastaveníma na 900+Mb - doslova na krev. Ale ani CCR2004 nebo CCR2116 na tom nejsou extra líp - 1Gbit zvládají, 2Gbit pravděpodobně snad +- taky, ale 5+Gb PPPoE už nedají. To bez HW podpory ustojí asi jen x86.

Jinak update stavu - přes několik iterací jsem se dostal do stavu, že celá páteř bude 10Gb, jen 3 malé racky 2,5G (zatím, lze doplnit na 10G) - ale ne optikou - v racku přes DAC (což mi nikdo z ostřílených korporátních mazáků neporadil) a mezi racky S+RJ10 po metalice.

Z GW CCR2116 kvůli CPU (20k) a všem na gigabitu jsem to napřed přeplánoval na doplnění CRS317 16xSFP+ (10k) a DAC, pak jsem si všiml, že CCR2004-1G-12S+2XS (12xSFP+) za 11k bude lepší než CRS317 (stejná cena, 12 SFP+ stačí, ale s pořádným CPU) a nakonec mi došlo, že se z CCR2116 stává option, až by náhodou ta 2004 třeba v budoucnu nestíhala 2Gbit PPPoE nebo cokoliv, co by mohlo nastat - ale nemusí se pořizovat teď naslepo "kdyby náhodou možná bude", ale jestli/až ta situace nastane, tak se 2004 přenastaví z routeru na switch a pořídí se taková GW, jaká bude v tu dobu zrovna dostupná a potřeba - bez ohledu na porty, ty obstará "CCR switch" 2004. Schéma ještě nemám, pak možná nahodím...

15

Sítě / Re:Nová infrastruktura, 10-15 sekcí - VLAN? [Mikrotik]

« kdy: 25. 02. 2026, 16:40:43 »

Jn, je tam toho víc, předtím mi ho schoval filtr na SFP+, CRS112-8P-4S-IN má jen 1Gb SFP, což by podle některých mohla být katastrofa... Jako nevím - nechci to zbytečně podstřelit, situace se může změnit a je dobré mít rezervy, ale zase je pravděpodobné, že až přestene GBE stačit, tak bude celá infrastruktura morálně dávno po smrti a jestli tou dobou ještě bude běžné 10Gb SFP+ nebo se už všechno vyhodí a stejně za 10-15 let udělá celé úplně jinak...

L009UiGS-RM - ROS, 1xPoE, SFP2.5, 120$
CSS610-8G-2S+IN - SwOS, 0xPoE, SFP+, 120$
L009UiGS-2HaxD-IN - ROS, 1xPoE, SFP2.5, 130$
CSS326-24G-2S+RM - SwOS, 0xPoE, SFP+, 160$
CRS112-8P-4S-IN - ROS, 8xPoE, SFP, 210$
CRS326-24G-2S+RM - ROS, 0xPoE, SFP+, 210$
RB5009UG+S+IN - ROS, 0xPoE, SFP+, 220$
RB5009UPr+S+IN - ROS, 8xPoE, SFP+, 300$

Něco z toho budu muset do těch malých racků vybrat podle křišťálové koule - odhadnout kombinaci SFP(2.5/+) a PoE... Teoreticky by to i s WiFi řešila ax verze L009, ale jen 2,4GHz a zavřená v rozvaděči... Takže ještě RP-SMA pigtailem vytáhnout antény ven z rozvaděče. Ale bez další krabičky kvůli WiFi a dost levné na to, aby případnou náhradou nevznikla žádná velká škoda... +2.4GHz WiFi, +1xPoE, +ROS jen s -SFP2.5 namísto SFP+ u 610 bez PoE a s SwOS.