Mikrotik настройка vlan trunk через winbox

Полезно

Узнать IP – адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP – АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Популярное и похожее

Настройка PPTP клиента на Mikrotik

Мониторим MikroTik с помощью Zabbix по SNMP

Настройка web proxy на MikroTik

Все про трафик с Netflow на MikroTik

Настройка VLAN в Mikrotik

Умение настраивать VLAN (Virtual Local Area Network) или виртуальные локальные сети – одно из самых базовых умений, которым должен обладать системный администратор. Сегментирование сети с помощью VLAN-ов строго необходимо для PCI, HIPAA и прочих стандартов безопасности, и, кроме того, это помогает сохранять “чистоту” и порядок в больших сетях. Настройка VLAN-ов на маршрутизаторах MikroTik не является сложной задачей, подробнее о шагах настройки вы можете прочесть ниже.

Дизайн VLAN в организации

Первым шагом в сегментировании сети должен быть не настройка маршрутизатора, а понимание будущей схемы в целом – предпочтительно нарисовать схему на листе бумаги, использовать ПО наподобие Microsoft Visio и т.д. К тому же, если ваша сеть должна соответствовать стандартам безопасности, которые были перечислены выше, то практически не нужно ничего придумывать – в описании стандартов есть подробные инструкции что и как должно быть сегментировано. Однако, чаще всего, сегментирование происходит для общей оптимизации сети – и тут необходимо будет что-то придумать самому. На наш взгляд, проще всего отразить структуру организации в схеме VLAN-ов. Каждый департамент должен находится в собственном VLAN-е, т.к каждый департамент обладает своими собственными уникальными функциями, и, скорее всего, различными правами доступа. Также в отдельные VLAN-ы необходимо поместить сервера и дисковые хранилища.

Для серверов и хранилищ рекомендуется использовать отдельные коммутаторы, но, для маленьких компаний это часто невозможно из-за лимитированного бюджета.

К тому же, с помощью таких инструментов как Torch или NetFlow можно будет контролировать и мониторить трафик каждого департамента. Гостевая сеть также должна быть помещена в отдельный VLAN, который будет полностью изолирован от внутренней сети. Беспроводные сети также должны находится в своем VLAN, таким образом весь трафик мессенджеров, обновлений мобильных приложений и т.д будет полностью отделен от основной сети.

Транковые протоколы VLAN

В нашем сценарии у нас есть только один роутер, и создадим VLAN-ы для HR (192.168.105.0/24), бухгалтерии (192.168.155.0/24) и гостевую сеть (192.168.1.175.0/24). Если у вас получится создать три VLAN-а, то, очевидно, получится создать и сто – в нашем примере мы описываем создание только трех VLAN-ов для простоты и прозрачности примера. IP-адреса для каждого VLAN-а также были выбраны случайным образом – для вашей организации, скорее всего, адресация будет иной. В нашем случае, маршрутизатор подключен к коммутатору по интерфейсу ether2, с 802.1q транком между ними – эта схема также известна под именем “роутер на палке” (router on a stick). Мы не будем углубляться в детали касаемо свитча – это может быть Cisco, HP и т.д – потому что 802.1q транки одинаковы практически на всех платформах – если у вас какой-нибудь необычный свитч, то вам стоит просто обратиться к документации и прочесть, как выполняется конфигурация транкового порта. Наш маршрутизатор также обладает подключением к WAN на порту ether1 – все пользователи в VLAN-ах будут использовать его для доступа к интернету.

Создание VLAN-ов на MikroTik

Сперва необходимо создать VLAN-ы на маршрутизаторе и назначить их на интерфейс ether2. После этого, интерфейс ether2 будет автоматически настроен как 802.1q транк и не будет доступен для трафика без тэгов, что означает, что до конца настройки этот линк будет “лежать” – поэтому строго рекомендуется выполнять эти действия во в нерабочее время.

Крайне рекомендуется всегда давать понятные имена интерфейсам и писать комментарии – в дальнейшем это может сильно облегчить администрирование сети и обучение новых системных администраторов. Как мы упомянули выше, создание VLAN-ов и назначение их на физический порт ether2 автоматически изменит тип инкапсуляции на 802.1q, но вы нигде этого не увидите – даже если выведете всю информацию об интерфейсе.

Назначаем IP-адреса

Далее, необходимо назначить сетевые адреса, чтобы VLAN интерфейсы могли работать как шлюзы:

На всякий случай, еще раз обращу ваше внимание на то, как важно комментировать интерфейсы для удобства в дальнейшем. На данном моменте у нас уже настроены VLAN-ы и у них назначены сетевые адреса. Если у вас не используется DHCP, а используется статическая адресация – на этом настройка VLAN в общем-то закончена. Следующим шагом (этот шаг, соответственно, опционален) является настройка DHCP на VLAN интерфейсах, для того чтобы клиенты внутри каждого VLAN могли автоматически получить динамический IP-адрес.

DHCP для VLAN

Для начала, необходимо установить адресные пулы для каждого из VLAN-ов:

Далее, настраиваем DHCP с опциями для DNS и шлюзов:

В данном случае мы используем DNS сервис от Google. Далее, добавляем ранее настроенные пулы на VLAN интерфейсы:

Адресные пулы соответствуют настроенным сетям, и именно такие DHCP опции как шлюз и DNS присваиваются конкретной DHCP инстанции. Смысл присвоения DHCP для каждого VLAN в том, чтобы у вас была возможность контролировать сроки выдачи адреса (lease times), опции и т.д для каждого сегмента сети, что дает большой простор для оптимизации и контроля DHCP в вашей организации.

Настройка VLAN на коммутаторе

На данном этапе настройки вам необходимо будет назначить порты доступа на ваших свитчах на конкретные VLAN-ы, и клиенты, которые будут подключены к этим портам будут находится в их VLAN и получать соответствующие IP-адреса по DHCP. Теперь уже вам решать, какие VLAN будут полностью изолированы друг от друга, а какие смогут “общаться” – осталось только настроить соответствующие правила на фаерволле. Как правило, мы разрешаем доступ только абсолютно необходимого трафика в VLAN – если разрешить весь трафик, тогда теряется смысл сегментирования.

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

Все о локальных сетях и сетевом оборудовании

Если вы нашли эту статью, значит вы определенно уже понимаете для чего нужен Vlan и что это такое вообще. Если вы попали сюда случайно или настройка Vlan нужна, но пока вы самостоятельно не можете или не знаете, как это сделать – то вы попали туда, куда нужно.

Что такое VLAN?

По своей сути Vlan – это некая виртуальная сеть внутри физической сети. По-простому – это ЛВС внутри ЛВС. Внутри одной физической сети можно создать до 4096 виртуальных сетей, если быть точным, то 4094. Откуда берутся эти цифры? Давайте рассмотрим чуть более детально.

Для идентификации виртуальной сети используется VLAN ID или как его сокращенно называют VID – номер Vlan`а. Это метка, присоединяемая к кусочку кадра, который передается по сети. Для этой метки отведен блок размером в 12 бит. Путем нехитрых вычислений узнаем, что можно получить номера Vlan`ов с 0 по 4095 (всего 4096) но первый и последний ID зарезервированы системой, потому их использовать запрещено.

Обычное неуправляемое сетевое оборудование (такое как коммутатор, простая сетевая карта без поддержки Vlan и т.п.) не понимает, что такое Vlan, это задача коммутаторов и прочего «умного» оборудования второго уровня. В управляемых коммутаторах можно указать каким Vlan разрешено проходить по данному порту, а каким запрещено.

Зачем это нужно? Надо ли так усложнять сеть?

  • Технология Vlan позволяет объединить компьютеры в одну локальную сеть независимо от их территориального или географического расположения;
  • Становится возможным разделение физической сети на несколько виртуальных, которые не будут пересекаться и доступ из одной виртуальной сети в другую будет невозможен;
  • Снижается нагрузка на сеть, так как на указанные порты коммутатора попадают только те пакеты сети, которым разрешено прохождение по данному порту;

Это лишь крохотная часть возможностей, которые предоставляет Vlan.

С первого раза тяжело «переварить» информацию, но на самом деле здесь нет ничего сложного.

Перейдем к настройке VLAN на оборудовании Mikrotik

Предположим, что нам нужно разделить одну большую сеть на 3 виртуальных.
Для примера будем использовать RB750UP. Структура будущей сети выглядит следующим образом:

Подключаемся через WinBox к оборудованию.

  • Заходим в раздел Interfaces;
  • Переходим на вкладку VLAN;
  • Нажимаем на значок «+»;
  • В появившемся окне присваиваем имя vlan5 интерфейсу в поле Name;
  • Прописываем VLAN ID, которое равно 5;
  • Выбираем интерфейс, для которого создается Vlan (в нашем случае это Ether5);

Видим, что интерфейс добавился:

Также он отображается в окне Interfaces и структурно находится под интерфейсом, на который добавлен, название vlan5 смещается чуть-чуть вправо относительно основного списка интерфейсов

Аналогично добавляем vlan4 на ether4 и vlan3 на ether3

Следующее, что нам нужно сделать – это добавить IP адрес для созданных виртуальных сетей:

  • Переходим в раздел IP > Addresses;
  • Добавляем адрес как обычно, только в поле интерфейс выбираем наш vlan5;

Добавляем IP адреса на vlan4 и vlan3.

В результате у нас должно получиться следующее:

Доступ в интернет

Подсети созданы, IP адреса присвоенны, теперь нужно «выпустить в интернет» устройства, работающие в vlan3, vlan4, vlan5.

Переходим в раздел IP > Firewall вкладка NAT и создаем новое правило

Переходим на вкладку Action и в поле Action выбираем действие masquerade и сохраняем правило

Такие правила нужно создать для каждой из подсети, изменяя лишь адреса сети.

В результате должно получиться следующее:

Дополнительные «фишки»

Теперь каждая из виртуальных сетей имеет доступ в интернет, но при необходимости его можно ограничить, разрешая доступ только выделенным адресам.

  • Переходим на вкладку Address List;
  • Добавляем, для примера, IP адрес 168.5.24 в Address List под названием Net (Прописать вручную);

Теперь, если в правиле под номером 13 (вкладка NAT) перейти на вкладку Advanced и в поле Src. Address List указать список Net

то выход в интернет получат только те хосты, которые находятся в списке Net. В нашем случае – это единственный хост, который мы добавили: 192.168.5.24

Сеть разделена и настроена. Так же можно поднять DHCP сервер на каждом из созданных нами vlan – тогда не придется прописывать адрес каждому ПК в локальной сети, но это уже совсем другая тема…

Опция VLAN обеспечивает быстрое и простое создание в маршрутизаторах нескольких домашних сетей в едином интерфейсе. В настоящее время многие пользователи, чтобы разделить между собой трафики базовых станций либо клиентов, применяют именно VLAN.

Метод обрел широкую популярность благодаря удобству и легкости процедуры настройки сепарации. Однако нередко появляются проблемы с вводом параметров на приборах Mikrotik.

Ниже представлено пошаговое руководство по настройке VLAN на маршрутизаторе Mikrotik, пользуясь которым даже новичкам будет доступно самостоятельно справиться с поставленной задачей, а опытным пользователям инструкцию можно использовать как «напоминалку», чтобы не пропустить ни одного из важных этапов.

В каких микротиках поддерживаются VLAN ?

Прежде чем приступить к процедуре настройки, рекомендуется убедиться, что Ваш микротик поддерживает VLAN. Ниже приведен перечень номеров чипов моделей «Atheros», для которых доступна настройка «вланов»:

  1. 7240;
  2. 8316;
  3. 8227;
  4. 8327.

Как узнать чип, используемый в Mikrotik?

С этой целью потребуется исполнить всего несколько последовательных действий:

  1. Через утилиту «winbox» войти в раздел «switch»;
  2. Открыть закладку «switch;
  3. В столбце «Тип» будет отображаться искомое наименование чипа.

В случае если с вышеописанным способом идентификации модели возникли проблемы, можно использовать терминал, в котором надо напечатать «interface ethernet switch print», как показано в примере на рисунке ниже.

Как можно убедиться, результат полностью идентичен первому способу, но отличается более высокой скоростью исполнения.

Настраиваем интерфейс «влан»

В приложении «Winbox» необходимо выполнить следующие последовательные шаги:

  1. Войти во вкладку «Interface» и кликнуть на плюс;
  2. Далее «VLAN»;
  3. В отобразившемся меню найти графу «Name» и напечатать имя «vlan1»;
  4. В графе «VLAN />
  5. В графе «Интерфейс» с отметкой 4 напечатать «vlan1»;
  6. Кликнуть «Ok»;
  7. В перечне сетей появится присвоенный «айпи».

Теперь почти все готово, но клиенты не получат доступ к сети, если правильно не настроить NAT.

Настройка NAT

Алгоритм состоит из следующих этапов:

  1. В разделе «Айпи» кликнуть «Firewall»;
  2. Далее открыть закладку NAT;
  3. Кликнуть «+»;
  4. В отобразившемся меню в верхней графе указать «srcnat»;
  5. В следующей графе напечатать «192.168.0.0/24»;
  6. Кликнуть «Ok»;
  7. Готово. Настройка «влан» на vикротик окончена.

Несмотря на то, что вышеприведенная методика кажется простой для осуществления, иногда у некоторых пользователей возникают сложности с настройкой. Ниже описан еще один способ достижения той же цели, но только через Свитч.

Настройка «влан» через Switch

Основное отличие второго способа в том, что через программу «Winbox» уже реализовать необходимые настройки не удастся, поэтому все параметры будут вводиться с использованием терминала.

При этом, к сожалению, придется отказаться от некоторых преимуществ функциональности роутера. Например, невозможно будет вручную отрегулировать скорость интерфейса и выборочно лимитировать его для некоторых клиентов.

Всего доступно два метода исполнения задачи:

  1. С применением роутера для Switch-доступа (эта методика подробно описана на официальном ресурсе Mikrotik);
  2. Использование vикротика в качестве устройства для транзита.

1 метод: Свитч

С 3-го по 5-й порты применяются для доступа, то есть как «access». Второй используется в качестве Trunk-порта.

Потребуется сделать следующие шаги:

  1. Сначала нужно произвести их группировку:
  2. Далее настроить «vlan-mode» и «vlan-header». Для 3, 4, 5 портов установить «default-vlan-id».

Примечание 1: Для «Влан» с приставкой mode можно использовать один из нижеуказанных параметров:

  • Secure – не использовать пакеты, у которые присутствуют теги, отсутствующие в перечне вланов;
  • disabled – не использовать данные влан-таблицы;
  • check – проверять и не пропускать пакеты с влан-тегами, не входящими в перечень;
  • fallback – используются встроенные настройки.

Примечание 2: Для «Влан» с приставкой header можно использовать один из нижеуказанных параметров:

  • add-if-missing – присваивается влан-заглавие пакету, в случае когда его нет.
  • always-strip – стирается влан-заглавие пакета, в случае когда оно присутствует.
  • leave-as-is – без каких-либо корректировок.
  1. Затем в перечень надо дополнить влан-записи:
  2. Готово. По методу Switch процедура настройки полностью завершена.

2 метод: Использование микротика в качестве устройства для транзита

Роутер установлен между 2-мя свитчами, то есть требуется ввести параметры лишь для 2-х Trunk-портов. Таким образом, методика немного проще предыдущей, и потребуются, например, только порты под номерами 4 и 5.

Необходимо сделать следующие шаги:

  1. Сначала требуется произвести их группировку:
  2. Далее настроить влан-mode и влан-header:
  3. Затем в перечень надо дополнить влан-записи:
  4. Готово.

Заключение

Весь процесс настройки VLAN на маршрутизаторе Mikrotik не отнимает много времени и усилий, главное, чтобы модель имела поддержку VLAN.

Оцените статью
ПК Знаток
Добавить комментарий

Adblock
detector