На данный момент имею такую конфигурацию: на роутер приходит транком VLAN101. На роутере поднят VLAN105 с DHCP-сервером, который раздает во VLAN105 адреса.
У меня стоит задача: настроить микротик что бы из VLAN105 пользователи могли выходить в сеть через VLAN101.
Если более развернуто, то нужно отрезать всю маршрутизацию за этим микротиком из сети VLAN101. Пусть пользователи из 105ой сети выходят в сеть, интернет и прочие внешние ресурсы через этот микротик не учавствуя в общей схеме маршрутизации внешней сети. На корневом свиче сети происходит переполнение arp-таблиц и нужно отрезать часть хостов спрятав их за роутером. Дело приобретает немножечко специфический оттенок в том плане, что в роутер будет прибывать тегированный трафик и перенаправить его нужно в другой влан.
Пока не совсем понимаю - как это сделать. На ум приходит только SrcNAT.
Разграничение двух VLAN
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ничего не понятно.
Когда есть два vlan-интерфейса (да собственно любых L3-интерфейса), то маршрутизация между ними будет работать автоматом, если её не запрещать.
Когда есть два vlan-интерфейса (да собственно любых L3-интерфейса), то маршрутизация между ними будет работать автоматом, если её не запрещать.
Telegram: @thexvo
-
Gekko
- Сообщения: 49
- Зарегистрирован: 15 ноя 2017, 09:37
Вы знакомы с таким явлением на свичах, как переполнение динамической arp-таблицы? На дешевых свичах которые позиционируются производителем как L2+ (Это вроде бы еще не L3 свич, но уже можно ставить ядром небольшой сети) таблица динамической маршрутизации относительно мала - всего 254 записи. То есть как только ваша сеть перерастет в количество хостов за эту цифру - начнется периодическое выпадение самых "нерасторопных" хостов из сети. Такая вот проблема у меня. Для ее решения я выбрал самый "нетехнологичный" участок нашей сети и решил спрятать его за роутером, что бы пользователи этого участка больше не маячили на этом моем узловом недо-L3 свиче и не переполняли его таблицу.
-
Gekko
- Сообщения: 49
- Зарегистрирован: 15 ноя 2017, 09:37
Может есть какое то более изящное решение, но мне не приходит в голову ничего, кроме как поставить роутер между сетями и попробовать спрятать этот участок за src-nat. Нужно, что бы корневой свич думал, что за микротиком больше нет хостов и общался ч ними исключительно через микротик.
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Хочется - прячьте часть сети в отдельном сегменте за роутером, в arp-таблице на свитче останется только запись для адреса роутера.
NAT то зачем?
NAT то зачем?
Telegram: @thexvo
-
Gekko
- Сообщения: 49
- Зарегистрирован: 15 ноя 2017, 09:37
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Может почитать что-нибудь о том, как работают сети?
Самые азы.
Не бывает маршрутов между сетями.
Бывают маршруты до сетей.
И если маршрутизатор сам физически состоит в обоих сетях, зачем ему маршруты до них?
Они у него и так есть.
Маршрут нужен дефолтный, наружу.
И маршруты нужны на всех других маршрутизаторах, до той сети, которая новая, которую вы спрятать хотите за этим маршрутизатором.
Самые азы.
Не бывает маршрутов между сетями.
Бывают маршруты до сетей.
И если маршрутизатор сам физически состоит в обоих сетях, зачем ему маршруты до них?
Они у него и так есть.
Маршрут нужен дефолтный, наружу.
И маршруты нужны на всех других маршрутизаторах, до той сети, которая новая, которую вы спрятать хотите за этим маршрутизатором.
Telegram: @thexvo
-
Gekko
- Сообщения: 49
- Зарегистрирован: 15 ноя 2017, 09:37
У меня есть в сети такая схема c другим микротиком: в него приходит один влан VLAN22, и раздается на локалку другой - VLAN104. И в этой схеме все равно адреса из VLAN104 попадают в arp-таблицу корневого свича.
Пути прописаны на нем следующим образом:
Пути прописаны на нем следующим образом:
Я это к тому, что такая схема не изолирует эту сеть от остальной в плане маршрутизации.[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.22.254 1
1 ADC 172.16.22.0/24 172.16.22.5 VLAN22 0
2 ADC 172.16.104.0/24 172.16.104.100 VLAN104 0
-
xvo
- Сообщения: 4230
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Значит у вас что-то не так настроено.
Вроде proxy-arp на этих интерфейсах.
А может вообще у вас там так наворочено, что по факту все в одном широковещательном домене.
Маршрутизация вообще призвана не изолировать, а объединять сети, а точнее обеспечить хождение пакетов между разными сетями.
И если у вас пакеты из одной сети в другую ходят - значит да, маршрутизация работает.
Только вот arp-таблица к маршрутизации никакого отношения не имеет, это инструмент позволяющий наоборот спуститься от маршрутизации обратно к коммутации - от IP-адресов, к MAC-адресам.
Одному роутеру MAC-адреса устройств за каким-то другим роутером не нужны ни в каком виде.
Ещё раз, почитайте на досуге, как вообще устроены сети.
Вот прям с самых самых азов.
Telegram: @thexvo
-
Gekko
- Сообщения: 49
- Зарегистрирован: 15 ноя 2017, 09:37