Доброго времени суток коллеги.
Имею железку: MikroTik Routerboard RB3011UiAS-RM, версия прошивки 6.37.2 и чип QCA-8337 (ссылка на роутер на официальном сайте микротик https://routerboard.com/RB3011UiAS-RM)
Мой вопрос будет касаться только VLAN, например пулы для DHCP и его клиенты, серверы упоминать о них не буду, только логика создания VLAN.
Введение:
От провайдера получаю: (IP адреса вымышлены)
1. Постоянный белый IP: 176.100.100.30 из сети 176.100.100.28/30 (255.255.255.252) - все пользователи сети будут выходить под этим адресом (пользователи 1-4 порты для админов, 6-10 для менеджеров).
2. На этот белый IP 176.100.100.30 смаршрутизирована сеть из 16-ти белых IP адресов 176.100.101.0/28 (255.255.255.240) - для этой сети создать Interface привязанный к VLAN id 220 и настроить 1-ый порт в режим TRUNK, и добавить на этот порт tagget VLAN id 220 с этой сеткой.
В итоге мы имеем:
5-ый порт Up'Link настраиваю для провайдера
1-4 порты - для администраторов - должны быть с untagged VLAN id 200, а вот на порт1 сделать TRUNK и настроить на этом порту tagget VLAN id 220, а по умолчанию этот порт1 в untagget VLAN id 200
6-10 порты - для менеджеров - должны быть с untagged VLAN id 300
А теперь к практике и сам вопрос как все это сделать:
Я так понимаю что в MikroTik нет таких понятий в настройке как тегированный VLAN или не теггированный и получается что настраивать необходимо несколько иначе, может кто поделится краткими или же развернутыми соображениями по этому поводу?
Во втором сообщении приведу более подробное описание моего видения в настройке VLAN и некоторых попутных настроек.
Вопрос по VLAN (TRUNK, taggets and untaggets - в МикроТik это настраивается чуть по другому)
-
Michael
- Сообщения: 11
- Зарегистрирован: 26 ноя 2016, 22:39
-
Michael
- Сообщения: 11
- Зарегистрирован: 26 ноя 2016, 22:39
Что имеем:
/interface ethernet
set [ find default-name=ether5 ] comment="Internet service provider: TRANSTELECOM (Switch1\\port 5) " name=WAN1
set [ find default-name=ether1 ] comment="Administrator network"
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether6 ] comment="Managers network"
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] comment="Reserve WAN channel (Switch2\\port10)" name=ether10-reserv
set [ find default-name=sfp1 ] disabled=yes
Для администраторов, на Master порт1 создал Bridge Administrator-Bridge, в итоге имею 1-4 порт в бридже
Для менеджеров, на Master порт 6, создал Bridge Managers-Bridge, , в итоге имею 6-9 порт в бридже
В итоге мы сделали связку такие то порты, в такие то бриджы и теперь можем приступить к настройке DHCP, но описывать не будем этот момент, т.к. оффтопик.
/interface bridge
add comment="Administrator network (Switch1\\port1-4)" name=Administrator-Bridge
add comment="Manager network (Switch2\\port6-9)" name=Managers-Bridge
Теперь, забиваем на такие каноны моды и стиля и так сойдет, безопасность должна быть безопасной, особенно когда стоит задание настроить безопасность согласно правилу безопасности компании :) Все как в армии, должна быть сеть в VLAN'e значит должна быть в VLAN'e.
Задание:
1. Физические порты (1-4) роутера для админов делаем untagget VLAN id 200
2. Физические порты (6-9) роутера для менеджеров делаем untagget VLAN id 300
3. А дополнительная сеть из 16-ти адресов (от провайдера) VLAN id 220, порт 1 в админской группе портов должен быть в TRUNK, чтобы передать тегированны VLAN 220 при этом быть в антагете VLAN 200 соответственно.
1. Создаем VLAN'ы в разделе WinBox: Interfaces -> VLAN
/interface vlan
add interface=ether1 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth1_VLAN200 vlan-id=200
add interface=ether1 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth1_VLAN220 vlan-id=220
add interface=ether2 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth2_VLAN200 vlan-id=200
add interface=ether3 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth3_VLAN200 vlan-id=200
add interface=ether4 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth4_VLAN200 vlan-id=200
add interface=ether6 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth6_VLAN300 vlan-id=300
add interface=ether7 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth7_VLAN300 vlan-id=300
add interface=ether8 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth8_VLAN300 vlan-id=300
add interface=ether9 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth9_VLAN300 vlan-id=300
/interface ethernet
set [ find default-name=ether5 ] comment="Internet service provider: TRANSTELECOM (Switch1\\port 5) " name=WAN1
set [ find default-name=ether1 ] comment="Administrator network"
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether6 ] comment="Managers network"
set [ find default-name=ether7 ] master-port=ether6
set [ find default-name=ether8 ] master-port=ether6
set [ find default-name=ether9 ] master-port=ether6
set [ find default-name=ether10 ] comment="Reserve WAN channel (Switch2\\port10)" name=ether10-reserv
set [ find default-name=sfp1 ] disabled=yes
Для администраторов, на Master порт1 создал Bridge Administrator-Bridge, в итоге имею 1-4 порт в бридже
Для менеджеров, на Master порт 6, создал Bridge Managers-Bridge, , в итоге имею 6-9 порт в бридже
В итоге мы сделали связку такие то порты, в такие то бриджы и теперь можем приступить к настройке DHCP, но описывать не будем этот момент, т.к. оффтопик.
/interface bridge
add comment="Administrator network (Switch1\\port1-4)" name=Administrator-Bridge
add comment="Manager network (Switch2\\port6-9)" name=Managers-Bridge
Теперь, забиваем на такие каноны моды и стиля и так сойдет, безопасность должна быть безопасной, особенно когда стоит задание настроить безопасность согласно правилу безопасности компании :) Все как в армии, должна быть сеть в VLAN'e значит должна быть в VLAN'e.
Задание:
1. Физические порты (1-4) роутера для админов делаем untagget VLAN id 200
2. Физические порты (6-9) роутера для менеджеров делаем untagget VLAN id 300
3. А дополнительная сеть из 16-ти адресов (от провайдера) VLAN id 220, порт 1 в админской группе портов должен быть в TRUNK, чтобы передать тегированны VLAN 220 при этом быть в антагете VLAN 200 соответственно.
1. Создаем VLAN'ы в разделе WinBox: Interfaces -> VLAN
/interface vlan
add interface=ether1 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth1_VLAN200 vlan-id=200
add interface=ether1 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth1_VLAN220 vlan-id=220
add interface=ether2 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth2_VLAN200 vlan-id=200
add interface=ether3 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth3_VLAN200 vlan-id=200
add interface=ether4 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth4_VLAN200 vlan-id=200
add interface=ether6 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth6_VLAN300 vlan-id=300
add interface=ether7 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth7_VLAN300 vlan-id=300
add interface=ether8 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth8_VLAN300 vlan-id=300
add interface=ether9 loop-protect-disable-time=0s loop-protect-send-interval=0s name=Eth9_VLAN300 vlan-id=300
-
Vlad-2
- Модератор
- Сообщения: 2527
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Как-то всё сложно и много букв, неа, я люблю когда подробно, видать просто у меня утро и мозг пока лениться 
На счёт виланов - да, в микротике их надо просто про-чувствовать, там не так всё с одной стороны просто, а с другой и не сложно.
Очень просто, топорно и лично от меня:
1) хотим вилан, создали его на нужном порту
2) порт с таким виланом уже как бы тегированный
3) хотим избавиться от тега - добавляем вилан в бридж
4) помним, что вилан - такой же интерфейс как и ether, поэтому на него можно и нужно порой давать
адресацию и можно/надо и маршрутизацию, и если надо, то и NAT'ить также через него.
На счёт виланов - да, в микротике их надо просто про-чувствовать, там не так всё с одной стороны просто, а с другой и не сложно.
Очень просто, топорно и лично от меня:
1) хотим вилан, создали его на нужном порту
2) порт с таким виланом уже как бы тегированный
3) хотим избавиться от тега - добавляем вилан в бридж
4) помним, что вилан - такой же интерфейс как и ether, поэтому на него можно и нужно порой давать
адресацию и можно/надо и маршрутизацию, и если надо, то и NAT'ить также через него.
-
Michael
- Сообщения: 11
- Зарегистрирован: 26 ноя 2016, 22:39
Vlad-2 писал(а):Как-то всё сложно и много букв, неа, я люблю когда подробно, видать просто у меня утро и мозг пока лениться
На счёт виланов - да, в микротике их надо просто про-чувствовать, там не так всё с одной стороны просто, а с другой и не сложно.
1) хотим вилан, создали его на нужном порту
3) хотим избавиться от тега - добавляем вилан в бридж
4) помним, что вилан - такой же интерфейс как и ether, поэтому на него можно и нужно порой давать
адресацию и можно/надо и маршрутизацию, и если надо, то и NAT'ить также через него.
1) Я хочу VLAN 100 на каждом порту с 1 по 4. Иду в WinBox, Interfaces -> VLAN добавляю VLAN 100 на каждый порт с именами (Eth1_VLAN100, Eth2_VLAN100 и т.д.), соответственно во вкладке Interface под именем порта появился синий значок и название VLAN'a.
2) Хочу чтобы VLAN 100 на этих портах были untagget'ами, иду в WinBox, Bridge -> вкладка Bridge создаю мост с именем Administrator-Bridge, а далее WinBox, Bridge -> вкладка Ports во вкладке Ports добавляю New Bridge Port где указываю Interface и ниже сам Bridge (который только что создали Administrator-Bridge). Догадываюсь что в данном случае мы не вешаем этот бридж на master port eth1, т.к. у нас VLAN'ы.
Нужно пойти в WinBox, Interfaces -> VLAN создать vlan интерфейс например TEST_VLAN100 указать параметры VLAN id 100 и выбрать ранее созданный на шагу 2 бридж Administrator-Bridge, в результате у нас будет новый interface TEST_VLAN100
а в настройках бридж порта WinBox, Bridge -> вкладка Ports, кликаем + и переходим в меню New Bridge Port в интерфейс выбираем TEST_VLAN100 а в Bridge выбираем Administrator-Bridge.
3) И перейти уже к шагу №3 и настраивать адресацию для всего этого VLAN'ового интерфейса TEST_VLAN100 .
Поправьте меня пожалуйста если я ошибаюсь и двигаюсь в неправильном направлении.
Попробовал, ничего не получилось, буду рад какому либо напутствию, ничего не получается :(
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Будет правильнее, отказаться от мастер порта и перейти только на бридж.
Подозреваю, что с мастер портами VLAN вообще работать не будет. Ни разу не пробовал.
viewtopic.php?f=15&t=5972#p31529
Часть картинок пропало. Достал этот savepic. Но там в самом начале пропало. Думаю, будет понятно по описанию.
Картинки обязуюсь восстановить в самое ближайшее время.
Подозреваю, что с мастер портами VLAN вообще работать не будет. Ни разу не пробовал.
viewtopic.php?f=15&t=5972#p31529
Часть картинок пропало. Достал этот savepic. Но там в самом начале пропало. Думаю, будет понятно по описанию.
Картинки обязуюсь восстановить в самое ближайшее время.
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
1) Я хочу VLAN 100 на каждом порту с 1 по 4. Иду в WinBox, Interfaces -> VLAN добавляю VLAN 100 на каждый порт с именами (Eth1_VLAN100, Eth2_VLAN100 и т.д.), соответственно во вкладке Interface под именем порта появился синий значок и название VLAN'a.
Повесить VLAN на бридж а не создавать их 4 штуки
Повесить VLAN на бридж а не создавать их 4 штуки
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
и честно не понятно зачем Вам вообще VLAN ы?
-
Michael
- Сообщения: 11
- Зарегистрирован: 26 ноя 2016, 22:39
wolf_ktl писал(а):и честно не понятно зачем Вам вообще VLAN ы?
VLAN'ы необходимы в данном случае чтобы сети друг друга увидеть не смогли, для безопасности
тут 3 сети:
1. Администратор - админская сеть, где есть доступ к администрированию оборудования, серверов.
2. Менеджеры - простые клерки, чтобы умники "вполне возможно и хакеры" не бедокурили и не пытались получить доступ к тому или иному серверу, камерам видео наблюдения и т.д.
3. Для сети с дополнительными IP адресами от провайдера.
Кстати я разобрался как настраивать VLAN в тагете и антагете, в этой статье все популярно описано http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN, нужно просто сосредоточиться :) и логика будет понятна как настроить через CLI, а потом уже и через WinBox.
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Michael писал(а):wolf_ktl писал(а):и честно не понятно зачем Вам вообще VLAN ы?
VLAN'ы необходимы в данном случае чтобы сети друг друга увидеть не смогли, для безопасности
тут 3 сети:
1. Администратор - админская сеть, где есть доступ к администрированию оборудования, серверов.
2. Менеджеры - простые клерки, чтобы умники "вполне возможно и хакеры" не бедокурили и не пытались получить доступ к тому или иному серверу, камерам видео наблюдения и т.д.
3. Для сети с дополнительными IP адресами от провайдера.
Кстати я разобрался как настраивать VLAN в тагете и антагете, в этой статье все популярно описано http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN, нужно просто сосредоточиться :) и логика будет понятна как настроить через CLI, а потом уже и через WinBox.
Вланы только разделяют ваши сети на коммутационном оборудовании, что бы сети не пересекались на физическом уровне, а разграничение между сетями осуществляет маршрутизатор.
Точно такую же задачу я решал проще, свич в серверной отдавал мне 2 разных аксес порта, оба порта были подключены в микротик, на портах микротика уже были разные адреса и дальше все зависит от того, надо ли вам полностью ограничить сети в общении, или нужны некие исключения, соответственно вы либо полностью ограничиваете все в ip -routes - rules, либо берет фаервол и делаете так, как вам надо.
-
Michael
- Сообщения: 11
- Зарегистрирован: 26 ноя 2016, 22:39
KARaS'b писал(а): Вланы только разделяют ваши сети на коммутационном оборудовании, что бы сети не пересекались на физическом уровне, а разграничение между сетями осуществляет маршрутизатор.
Точно такую же задачу я решал проще, свич в серверной отдавал мне 2 разных аксес порта, оба порта были подключены в микротик, на портах микротика уже были разные адреса и дальше все зависит от того, надо ли вам полностью ограничить сети в общении, или нужны некие исключения, соответственно вы либо полностью ограничиваете все в ip -routes - rules, либо берет фаервол и делаете так, как вам надо.
Хм, вообще у МикроТик есть и роутерные VLAN'ы, которые настраиваются на L3, а есть и коммутационный уровень L2, пройти туда можно в WinBox => Switch => VLAN
Однако, Я заметил что когда конфигурируешь VLAN'ы через Interfaces => VLAN и объединяешь через Bridge согласно задуманной топологии, в Switch => VLAN эти VLAN'ы не появляются, собственно имеется 2 способа их создания, на L2 и L3
В случае конфигурации VLAN с L3 я столкнулся с такой проблемой (все посдети видят друг друга по умолчанию и нужно их блокировать), тему решил обсуждать в отдельной теме этого форума: viewtopic.php?f=3&t=7222