Russian Users MikroTik | Форум пользователей MikroTik

День добрый, господа!
Через пару дней буду видоизменять сеть. Что имеем:
Головной маршрутизатор 3011, 2 коммутатора CRS125.
План действий:
1) На маршрутизаторе (интернет приходит через SFP модуль) первые 2 порта в бридж, на него 3 влана (20, 30, 40), на вланы 3 разных dhcp-сервера с 30-ой маской. 3 и 4 порты в бридж,на него влан10, на него dhcp.

2) На левом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.0/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.0/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.0/24.

3) На правом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.101/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.101/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.101/24.

На коммутаторах прописываем правила фаервола, чтобы пользователи из разных vlan "не видели " друг-друга.

Собственно вопрос: при такой конфигурации будут ли пользователи из одного vlan, например, 20-го, на правом коммутаторе видеть пользователей того же vlan20, но на левом коммутаторе? Если нет, то что надо сделать, чтобы пользователи с разных коммутаторов, но в одном влане друг друга увидели?

Немного офтопа, но по делу. У вас выходит какя то каша, если ваши вланы и увидят друг друга, то зачем вам отдельные dhcp на коммутаторах, даже если у вас пулы не будут пересекаться, то в чем смысл? Не проще все это сделать на 3011 и просто разрулить логику вланов тупым бриджеванием нужных портов с нужными вланами? Пожалейте того, кто будет после вас, он в вашу кашу будет очень долго вникать... Дальше, придумка с разграничением фаерволом хороша, но только если у вас есть планы на будущее по добавлению "исключений", иначе проще это разрулить в роут - рулес, просто запретив общение между сетями всего несколькими правилами. И опять таки, с вашей текущей конфигурацией можно будет сломать голову где и что запрещено и потом это выискивать. Плюс ко всему вы собираетесь на обоих коммутаторах дублировать правила? Зачем? Не проще все таки все это сделать на "голове"?
З.Ы. все это имхо и дело конечно ваше, но пока все это выглядит очень странно, непонятно и запутано, по крайней мере на мой взгляд.

KARaS'b писал(а):Немного офтопа, но по делу. У вас выходит какя то каша, если ваши вланы и увидят друг друга, то зачем вам отдельные dhcp на коммутаторах, даже если у вас пулы не будут пересекаться, то в чем смысл? Не проще все это сделать на 3011 и просто разрулить логику вланов тупым бриджеванием нужных портов с нужными вланами? Пожалейте того, кто будет после вас, он в вашу кашу будет очень долго вникать... Дальше, придумка с разграничением фаерволом хороша, но только если у вас есть планы на будущее по добавлению "исключений", иначе проще это разрулить в роут - рулес, просто запретив общение между сетями всего несколькими правилами. И опять таки, с вашей текущей конфигурацией можно будет сломать голову где и что запрещено и потом это выискивать. Плюс ко всему вы собираетесь на обоих коммутаторах дублировать правила? Зачем? Не проще все таки все это сделать на "голове"?
З.Ы. все это имхо и дело конечно ваше, но пока все это выглядит очень странно, непонятно и запутано, по крайней мере на мой взгляд.

Спасибо за замечание - очень даже в тему и кое-что прояснило. Если я вас правильно понял, то на 3011:
1) Бридж (назовем бридж12) портов 1 и 2
2) на бридж накидываются нужные вланы (vlan20, vlan30, vlan40)
3) Вланам прописываются разные dhcp (10.50.20.0/24, 10.50.30.0/24, 10.50.40.0/24)
4) Бридж12 бриджуется с каждым вланом (назовем: бридж12_20, бридж12_30, бридж12_40)

А какие теперь действия-то провести необходимо на коммутаторах, что провести разграничение сети на вланы? Бридж первого порта и X портов, а дальше?

На 3011, на первый и второй порты развешиваете свои вланы, т.е. на первом порту 20, 30, 40 и на втором точно так же, дальше объединяете вланы с разных портов между собой бриджами т.е. 20й с первого порта объединяете бриджом с 20м со второго, точно так же поступаете с 30 и 40 и на эти бриджи уже вешаете dhcp, таким образом мы подготовили транк в сторону коммутаторов и подняли единый dhcp на всю сеть стразу. На комутаторе, на первый порт точно так же вешаете все три влана и уже эти вланы бриджуете с необходимыми портами, все, порт который сбриждован с нужным вланом на комутаторе становится аксес портом для этого влана и хост подключенный к этому порту получит адрес из необходимой подсети.
Дальше идете обратно на 3011, в IP > Rotes > Rules и там вояете правила для разграничения доступа между сетями, по типу

В данном случаем мы запретили общение между 20 и 30 подсетями полностью, соответственно правил у вас будет побольше. Завсегдатые говорили, что именно такой конструкции(два правила для запрета между двумя подсетями) необязательно, достаточно только первой или второй строчки, т.к. все равно общение хотя бы в одну сторону запрещено, но решать вам. Ну и на этом какбэ всё.
Только не понятно зачем вам еще 10 влан на 3 и 4 портах...

KARaS'b писал(а):На 3011, на первый и второй порты развешиваете свои вланы, т.е. на первом порту 20, 30, 40 и на втором точно так же, дальше объединяете вланы с разных портов между собой бриджами т.е. 20й с первого порта объединяете бриджом с 20м со второго, точно так же поступаете с 30 и 40 и на эти бриджи уже вешаете dhcp, таким образом мы подготовили транк в сторону коммутаторов и подняли единый dhcp на всю сеть стразу. На комутаторе, на первый порт точно так же вешаете все три влана и уже эти вланы бриджуете с необходимыми портами, все, порт который сбриждован с нужным вланом на комутаторе становится аксес портом для этого влана и хост подключенный к этому порту получит адрес из необходимой подсети.
Дальше идете обратно на 3011, в IP > Rotes > Rules и там вояете правила для разграничения доступа между сетями, по типу

Код: Выделить всё

/ip route rule
add action=unreachable dst-address=10.50.30.0/24 src-address=10.50.20.0/24
add action=unreachable dst-address=10.50.20.0/24 src-address=10.50.30.0/24

В данном случаем мы запретили общение между 20 и 30 подсетями полностью, соответственно правил у вас будет побольше. Завсегдатые говорили, что именно такой конструкции(два правила для запрета между двумя подсетями) необязательно, достаточно только первой или второй строчки, т.к. все равно общение хотя бы в одну сторону запрещено, но решать вам. Ну и на этом какбэ всё.
Только не понятно зачем вам еще 10 влан на 3 и 4 портах...

Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Ну выше же Вам описали подробно как делать виланы и как их объединять через бриджи, и также выше, в примере приводилось, что если
надо трафику который бегает в вилане 20, раздавать адресацию по DHCP - то DHCP проще настроить на роутере, поэтому настраиваете
DHCP-сервер на нужном бридже и он начинает работать, а чтобы DHCP-сервис сам начал работать, ему нужно задать адрес (адрес задаём естественно на бридже),
а значит по этому адресу можно к роутеру из 20-го вилана обращаться напрямую.

ТО есть подытожим: если у Вас есть 20,30 и 40 виланы, то у Вас есть на роутере ТРИ бриджа, (каждый отвечает за трафик своего вилана),
и соответственно если Вы на бриджи установите адресацию (на каждом бридже свою адресацию естественно) - то Вы будете
видеть роутер из каждого вилана по его IP.

Или создавайте ещё один бридж (ни никак не связанный с виланами), задавайте этому бриджу адресацию локальной сети,
добавляйте туда порт скажем 5й, и подключайте его в обычную сеть (нативный трафик), и сможете на роутер заходить из обычной сети.

Вариаций тут разных много.

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Тут все зависит от того, из какой сети вы хотите стучать.

Vlad-2 писал(а):

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Ну выше же Вам описали подробно как делать виланы и как их объединять через бриджи, и также выше, в примере приводилось, что если
надо трафику который бегает в вилане 20, раздавать адресацию по DHCP - то DHCP проще настроить на роутере, поэтому настраиваете
DHCP-сервер на нужном бридже и он начинает работать, а чтобы DHCP-сервис сам начал работать, ему нужно задать адрес (адрес задаём естественно на бридже),
а значит по этому адресу можно к роутеру из 20-го вилана обращаться напрямую.

ТО есть подытожим: если у Вас есть 20,30 и 40 виланы, то у Вас есть на роутере ТРИ бриджа, (каждый отвечает за трафик своего вилана),
и соответственно если Вы на бриджи установите адресацию (на каждом бридже свою адресацию естественно) - то Вы будете
видеть роутер из каждого вилана по его IP.

Или создавайте ещё один бридж (ни никак не связанный с виланами), задавайте этому бриджу адресацию локальной сети,
добавляйте туда порт скажем 5й, и подключайте его в обычную сеть (нативный трафик), и сможете на роутер заходить из обычной сети.

Вариаций тут разных много.

Вы говорите про "постучаться на роутер", у меня же как раз был интерес в "постучаться на коммутатор". С роутером вопросов по доступу на него вообще не возникло.

KARaS'b писал(а):

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Тут все зависит от того, из какой сети вы хотите стучать.

С роутером проще - разрешаю input с, например, управленческой сети, с 10.50.20.0/24. Как выдать статический IP, относящийся, например, к той управленческой сети, чтобы на коммутатор можно было зайти по винбокс?

Ну раз 20я подсеть у вас под управление, то на коммутаторах на бридж объединяющий 20 влан и какие-то порты, которые вы сами выбирали, повесьте или стат. адрес из 20й подсети, вручную укажите необходимый днс и в роутах пропишите маршруту где гетвэем будет 3011, или просто поднимите на нем DHCP клиента и все это случится автоматически, оба варианта рабочие, выбирать вам.

unholyone писал(а):Головной маршрутизатор 3011, 2 коммутатора CRS125.
План действий:
1) На маршрутизаторе (интернет приходит через SFP модуль) первые 2 порта в бридж, на него 3 влана (20, 30, 40), на вланы 3 разных dhcp-сервера с 30-ой маской. 3 и 4 порты в бридж,на него влан10, на него dhcp.

Зачем бридж?
Если у вас не хватает портов на CRS и нужны порты на 3011, то поднимите аппаратную коммутацию, иначе используйте его только как маршрутизатор.
Не забывайте про особенность второго чипа коммутации при работе с sfp.

unholyone писал(а):2) На левом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.0/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.0/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.0/24.

3) На правом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.101/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.101/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.101/24.

Я бы всю маршрутизацию и L3 функционал (dhcp) перенес на 3011, а на CRS оставил L2 и адрес для управления. Ну и конечно же использовал CRS только как коммутаторы!
В помощь вам статья по настройке CRS Настройка коммутатора MikroTik CRS125-24G-1S-RM

unholyone писал(а):На коммутаторах прописываем правила фаервола, чтобы пользователи из разных vlan "не видели " друг-друга.

Это вообще не надо делать, т.к. по умолчанию vlan-ы друг друга не видят, на то они и vlan-ы!
А вот на маршрутизаторе надо будет запретить.