Russian Users MikroTik | Форум пользователей MikroTik

Блин извините за тупой вопрос. но что то я завис. Как сделать несколько подсетей на одном микроте? и чтобы у всех был интернет, но разный доступ к сервисам и другим подсетям..

допустим у микрота есть несколько физ. портов. В эти порты воткнуты свитчи, за каждым из свитчей какая-то сетка.

Все эти физ порты объеденены в один бридж, который имеет адрес 192.168.1.1/24

я же хочу чтобы у меня было несколько подсетей, например 192.168.2.Х 192.168.5.Х и так далее, но каждой из них раздать определенную скорость в инет, определенные доступы к сервисам и к другим подсетям.

как это сделать? просто всунуть в бридж другую маску? но я как бы не хочу делать очень большой широковещательный домен..

подозреваю что в этом деле как то замешаны бриджи. может можно как то создать несколько бриджей каждый для своей подсети? но как?

Добавьте бриджу столько IP адресов, сколько вам нужно.

Более правильно: не объединять порты в бридж. Для каждой подсети выделите физический Ether на микротике. Каждому Ether укажите нужный IP, он и будет шлюзом для соответствующей подсети.

Все остальное по-желанию... Например, можно для каждой подсети сделать свое правило NAT, а можно сделать правило NAT настолько общим, чтобы все подсети в него попадали.

каждой подсети отдельный Ethetnet порт? хм наверное не получится.


У меня настроен capsman, есть много "гостевых" клиентов и много "своих". своих же от чужих как-то надо отделять? я планирую делить их именно с помощью подсетей. Своим дхцп будет раздавать жестко прописанные статик-адреса, чужим раздает из пула. та же песня с проводными "гостями" и проводными "своими".
или как в таком случае решить эту проблему?

Плохая идея запихать все это в один бридж. Если подсетей будет много и в них будет много хостов, то вы очень быстро столкнетесь с проблемой обильного бродкаста и последующих глюков от него, т.к. в вашей сети все это будет вариться разом и на всем оборудовании, более того, про несколько dhcp, при такой схеме, вам придется забыть, сам микротик не даст вам повесить больше одного dhcp сервера на один бридж.
Если подсетей меньше чем количество портов вашего микротика (минус порты\порт под ван интерефейс) то лучше и логичней сделать как вы описали - раздать каждому интерфейсу адрес, повесить на каждый интерфейс dhcp, если он нужен и т.д. по необходимости и цеплять к этим портом свичи. Если подсетей больше чем портов, то нужен хотя бы один "умный" свич, дабы спихнуть на него часть ваших подсетей посредсвам вланов.
И дальше все просто, шейпите, разграничиваете и вообще делаете что хотите со своими подсетями.

да, но как мне тогда отделить своих от гостей? гость же может подключится к любой розетке. я не хочу чтобы подсеть гостя зависела от его месторасположения. гость должен быть всегда гость. а если он Wi-Fi гость? как тогда? точки доступа вообще все воткнуты по всему предприятию и управляются капсманом. или надо делать много капсманов в таком случае?

lexalex83 писал(а):да, но как мне тогда отделить своих от гостей? гость же может подключится к любой розетке. я не хочу чтобы подсеть гостя зависела от его месторасположения. гость должен быть всегда гость. а если он Wi-Fi гость? как тогда? точки доступа вообще все воткнуты по всему предприятию и управляются капсманом. или надо делать много капсманов в таком случае?

Если гость может воткнуться куда угодно, в любую розетку, то вы никак не выкрутитесь. Да и в принципе, на мой взгляд, такой подход неверный и небезопасный, т.к. вы своего гостя запускаете в свою сеть, а с какой целью этот гость пришел и что он вам "принес" на своем устройстве только ему и известно, а может и ему даже неизвестно. Но если вы действительно разрешаете гостям "втыкаться" куда угодно, то ничто вам мне поможет, даже если у вас все коммутаторы будут управляемыми, второй dhcp, под гостей все равно вы не сделаете, точнее это будет бессмысленно и даже противопоказано в ваших условиях.
С вайфаем немного проще, на каждую точку вешаете еще один ssid и его упаковываете во влан, который полетит прямиком к контроллеру, который уже может отделить своих от чужих, главное что бы ваши гости подключались исключительно к гостевым ssidам и им никто не давал возможности подключится к рабочим.

а dynamic ARP Inspection не спасет?

До этого не слышал про эту штуку, но из того, что успел о ней прочесть, мне кажется что она совершенно для другого предназначена.

она предназначена чтобы никто не мог вручную прописать параметры сети.

ОК!

Еще раз, назначьте нужном интерфейсу (который DownLink, который смотрит в сторону подсетей) столько IP адресов, сколько у вас подсетей.
Эти IP будут шлюзом в подсетях, соответственно.