Russian Users MikroTik | Форум пользователей MikroTik

Настроил на RB1100AHx4
2 UPlink (2 провайдера)
10 портов на каждом своя подсеть VLAN с выходом в инет
1 порт с 5 VLAN также с инетом
некоторые ходят через одного провайдера некоторые через второго

между подсетями компы не видят друг друга и не должны

внутри подсети некоторые должны друг друга видеть а некоторые нет
как это сделать правильно?

в CapsMan все красиво включил или нет Local Forwarding

Устройство может управлять только тем трафиком, который через него проходит.

Так что если это

lorddemon писал(а): ↑27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет

подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это

lorddemon писал(а): ↑27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.

xvo писал(а): ↑27 сен 2018, 00:25 Устройство может управлять только тем трафиком, который через него проходит.

Так что если это

lorddemon писал(а): ↑27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет

подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это

lorddemon писал(а): ↑27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.

за соответствующими портами есть только простые свичи так что управляет трафиком только микротик
если точнее это учебное заведение в котором есть 8 комп классов и каждый из классов должен крутится только в своем окружение и с доступом в инет
на других портах компы администрации но не все VLAN ы должны позволять общение внутри подсети
какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми

lorddemon писал(а): ↑27 сен 2018, 00:41

xvo писал(а): ↑27 сен 2018, 00:25 Устройство может управлять только тем трафиком, который через него проходит.

Так что если это

lorddemon писал(а): ↑27 сен 2018, 00:01 10 портов на каждом своя подсеть VLAN с выходом в инет

подразумевает, что на портах висит какое-то ещё оборудование (коммутаторы, точки доступа), в которое уже подключены клиентские устройства, то вот это

lorddemon писал(а): ↑27 сен 2018, 00:01 внутри подсети некоторые должны друг друга видеть а некоторые нет

надо настраивать на этом самом другом оборудовании.

за соответствующими портами есть только простые свичи так что управляет трафиком только микротик
если точнее это учебное заведение в котором есть 8 комп классов и каждый из классов должен крутится только в своем окружение и с доступом в инет
на других портах компы администрации но не все VLAN ы должны позволять общение внутри подсети
какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми

Если у вас на порту микротика висит неуправляемый свитч, то управлять трафиком между портами этого свитча вы никак не сможете.

lorddemon писал(а): ↑27 сен 2018, 00:41 какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми

Что должно быть изолированно: vlan'ы друг от друга или клиенты внутри одного vlan'а?
Если первое, то это firewall на микротике.
Если второе, то это что-то вроде port isolation или protected ports на свитче, если он умеет.

А вообще, зачем вам нужны vlan'ы, если все равно на каждом порту своя подсеть?
Нарисуйте что ли схему, без этого совершенно не понятно, что вы хотите получить в итоге.
А играть в угадайку, это мы с вами долго можем.

xvo писал(а): ↑27 сен 2018, 01:29

lorddemon писал(а): ↑27 сен 2018, 00:41 какое правило надо прописать для изолированных VLAN ов чтоб они были таковыми

Что должно быть изолированно: vlan'ы друг от друга или клиенты внутри одного vlan'а?
Если первое, то это firewall на микротике.
Если второе, то это что-то вроде port isolation или protected ports на свитче, если он умеет.

А вообще, зачем вам нужны vlan'ы, если все равно на каждом порту своя подсеть?
Нарисуйте что ли схему, без этого совершенно не понятно, что вы хотите получить в итоге.
А играть в угадайку, это мы с вами долго можем.

внутри подсети некоторые должны друг друга видеть а некоторые нет
как это сделать правильно?

в 2 из созданных VLAN ов компы внутри этого VLAN а не должны друг друга видеть


port1 |port2 | port3 | port4 |port5 |port6 |port7 |port8 |port9 |port10 |port11 | port12 | port13
Uplink1 | Uplink2 | Класc1 |Класc2 |Класc3 |Класc4|Класc5|Класc6|Класc7|Класc8|Admin1|Admin2|Cam
|Vlan1 |Vlan2 | Vlan3 |Vlan4 |Vlan5 |Vlan6 |Vlan7 |Vlan8 |Vlan9 |Vlan10 |Vlan11

Между собой VLANы не общаются вообще
Vlan1 - Vlan8, Vlan11 - компы видят друг друга внутри своего VLANа
Vlan9, Vlan10 - компы внутри VLANa не должны видеть друг друга

Еще возможно понадобится сделать на порту 11 еще 2 VLANa изолированных от остальных но с взаимодействием внутри VLANa Vlan бухгалтерии и VLAN директора
как я понимаю компы уже будут привязаны в Vlan по мак но это я еще не делал

Дак сделайте больше вланов. Зачем внутри вланов усложнять все?

SergeyZ писал(а): ↑28 сен 2018, 19:48 Дак сделайте больше вланов. Зачем внутри вланов усложнять все?

в чем усложнение? в запрете взаимодейтсвия компов внутри влана? сделать больше вланов это по вашему сколько компов столько вланов?

Вы внутри влана делите компы на группы, которые аналогичны вланам. Только вланы проще и менее требовательны к ресурсам роутера.

SergeyZ писал(а): ↑28 сен 2018, 21:40 Вы внутри влана делите компы на группы, которые аналогичны вланам. Только вланы проще и менее требовательны к ресурсам роутера.

а подробнее как сделать
как вы говорите в одном влане 3 группы компов из которых 2 группы будут между собой общаться а в одной нет
по поводу ресурсов ...у меня 1100AHx4 и на нем пока порядка 300 юзеров и добавятся около 300 по WiFi + 30 камер ...
для этого рутера это пыль....