Russian Users MikroTik | Форум пользователей MikroTik

Всем доброго времени суток.

Хочу понять, как правильней сделать разделение трафика, вланов, ip адресов. Может что-то лишнее на схеме или чего-то не хватает? Не прошу написать мне готовые скрипты или рассказывать что такое HTB, PCQ и т.д

Задача следующая.

Два Mikrotik SXT G-2HnD объединены в бридж. Который first (см. схему) принимает инет и вещает в сторону second. Последний его принимает и раздает уже на home роутер linksys wrt610n. Домашний роутер будет как точка доступа (то есть для Mikrotik SXT G-2HnD second он будет бриджом по факту) и функции маршрутизации осуществляться на нем не будут. Всей маршрутизацией, вланами и QOS, выдачей ip по DHCP хочу нагрузить Mikrotik SXT G-2HnD_second, т.к. не вижу смысла давать возможность "лететь" трафику до SXT G-2HnD_first, чтобы забивать "воздушный канал" и только там "резать", проверять что-то.

Итак. Есть 2 дома. Второй дом будет подключаться к первому по wi-fi (сосед не хочет ни в какую витую пару тянуть)

У первого дома должно быть 2 подсети и 2 влана:

- VLAN 100 для жителей первого дома с сетью 172.16.1.0/29 (максимум 6 человек)
- VLAN 500 для гостей жителей первого дома с сетью 172.16.2.0/30 (2 адреса для служебных интерфейсов)
- Хотя бы один из компьютеров жителей должен быть и в 4 влане, т.к. этот влан служебный, для доступа к оборудованию mikrotik

У второго дома:

- VLAN 200 для всех жителей и гостей с сетью 172.16.3.0/29 (максимум 6 человек)

Все ip адреса в каждой из под сетей должны выдаваться автоматически. А теперь, собственно, сами вопросы реализации:

1). Как мне идентифицировать компьютеры, чтобы включать их в нужный влан и выдавать ip из нужного диапазона адресов? Если по MAC-адресу, то что, если появится новое устройство в сети? Оно не будет работать получается и MAC надо будет добавлять руками. Есть ли какие-то другие решения?
2). Как мне разделять трафик? По подсетям или по VLAN? Как будет эффективнее?
3). Должен ли справляться Mikrotik SXT G-2HnD со всеми этими задачами или лучше купить вместо linksys wrt610n какой-нибудь роутер микротик, помощней чем вышеуказанный беспроводной маршрутизатор и настраивать все на нем?
Что-то еще крутилось.. Как вспомню допишу.

z1ll писал(а):1). Как мне идентифицировать компьютеры, чтобы включать их в нужный влан и выдавать ip из нужного диапазона адресов? Если по MAC-адресу, то что, если появится новое устройство в сети? Оно не будет работать получается и MAC надо будет добавлять руками. Есть ли какие-то другие решения?
2). Как мне разделять трафик? По подсетям или по VLAN? Как будет эффективнее?
3). Должен ли справляться Mikrotik SXT G-2HnD со всеми этими задачами или лучше купить вместо linksys wrt610n какой-нибудь роутер микротик, помощней чем вышеуказанный беспроводной маршрутизатор и настраивать все на нем?
Что-то еще крутилось.. Как вспомню допишу.

1. идентифицировать вам нужно не компьютеры а их трафик, и по существу на микротик трафик от клиентов уже должен прилетать размеченным vlan'ами. обычно это делается на доступе, т.е. на том оборудовании куда втыкается клиент. обычно это L2 коммутатор.
2. если в плане разделения трафика, то без разницы. если в каких то других планах, то люди обычно все таки делят сети vlan'ами, во избежании конфликтных ситуаций.
3. обратитесь в саппорт линксиса за разьяснениями возможностей их оборудования.

1). Да, я понимаю, что в идеальном случае должен быть свитч. И он, как работающий на L2 пометит трафик и отправит его на Mikrotik SXT G-2HnD_second через свой trunk порт. Но свитча у меня нет, к сожалению.
2). Спасибо, понял, значит правильней VLAN'ами делить. Буду знать.
3). Саппорт linksys не поддерживает этот роутер, как бы Вам не соврать.. c 2009 года. Последняя прошивка для первой ревизии датирована этими числами: 10/13/2009. Могу ошибаться, но поддержки VLAN там не было. Есть в dd-wrt, но на нем никогда не настраивал. Хорошо, даже если я настрою на dd-wrt вланы, я ведь все равно не смогу отличать разных клиентов, подключенных по wi-fi, правильно? Вот если бы они в порты подключались - да. А так нет?

Единственный вариант, который можно сделать без проводов с роутерами (которые есть) следующий:

Роутер второго дома (R3) подключается к роутеру первого дома (R2) по wi-fi. Последний подключается уже по LAN к Linksys wrt610(R1). В таком случае, все что будет приходить на LAN от роутера R2 можно маркировать на роутере Linksys и отправлять уже маркированный на Mikrotik SXT2hnd.

Но в этом случае, чтобы сделать отдельный влан для гостей дома №1 нужно ставить еще одну точку доступа, которая будет подключаться по LAN опять же, к Linksys wrt610, а тот уже будет маркировать и тоже слать на SXT2hnd.

И выглядит это все какими-то костылями..

z1ll писал(а):Хорошо, даже если я настрою на dd-wrt вланы, я ведь все равно не смогу отличать разных клиентов, подключенных по wi-fi, правильно? Вот если бы они в порты подключались - да. А так нет?

не сможете, хотя можно сделать две wifi сети (не помню как это на дд-врт реализовано), но на микротике просто создаёте виртуальную wifi, и клиентов каждой из них пихать в свой влан.

Точно!

Получается, если сделать 3 wi-fi сети.

Первая wi-fi сеть будет для жильцов дома №1
Вторая wi-fi сеть будет для гостей жильцов дома №1
Третья сеть будет для дома №2

В теории, в dd-wrt можно будет каждую virtual wi-fi пометить вланом.

Что скажете?

скажу, что теоретически, должно работать.

Спасибо Вам большое!

Буду пробовать, по результатам напишу как и что получилось.

Да, все казалось намного проще, чем есть на самом деле. Хотя, подозреваю, дело в руках.

Инструкции в Интернете пестрят как настроить Virtual Wi-Fi в dd-wrt. И у меня получилось сделать 3 wi-fi сети(2 из них виртуальные), со своим диапазоном ip адресов (каждый в своем интерфейсе). С тегированием так и не разобрался, но, подозреваю, в случае, когда каждому интерфейсу будет присваиваться ip по DHCP именно от wrt610 - особого смысла во вланах нет и вот почему:

- если у каждой wi-fi сети будет свой диапазон ip адресов, то роутер будет уже не как свитч, т.к. он начинает оперировать ip адресами, а не пакетами и работает на уровне L3
- как следствие, роутер будет ну очень сильно напрягаться, т.к. если еще и маркировать трафик, а еще и научить WAN порт его тегировать, отправляя микротику, а потом ведь еще он должен уметь и обратно пакет уже без тега отправить на нужный интерфейс...

Попробую, конечно, поковырять, но не уверен. Подскажите, какое из устройств микротик может подойти для моей цели?

Повторюсь, на всякий случай:

1). Должно быть поднято 3 wi-fi сети с разными SSID
2). При подключении каждой из сетей клиент должен попадать в свой влан
3). Попадая в свой влан, клиент должен запросить у DHCP микротика, который 2hnd, ip адрес и т.д.
4). "Оборудование" должно только метить трафик и сразу отправлять его дальше, на 2hnd, который уже и как L2 и как L3 будет работать, но ему уже нужно отправлять маркированные пакеты.
5). В обратную сторону тоже должно все работать. Оборудование должно принимать на свой тегированный порт трафик, "распечатывать" и отправлять нужные пакеты в нужный влан.

Извиняюсь, что все написано "облачными" терминами, но суть должна быть ясна..

по функционалу, любое устройство линейки мтик.
смотрите по ресурсам, что обработает ваш трафик выраженный в мегабитах и ппс'ах.