Нужно настроить:
Две отдельные подсети внутри устройства, каждая из которых смотрит в свой VLAN (51 или 66) и может выйти в интернет. Одна отдельная сеть для телефонии, где VLAN (16) уже явно задан на телефонах.
Конфигурация файрвола подробно рассматриваться не будет.
Дано:
Модель: Mikrotik 951G-2HnD
Порт1: Кабель из CiscoSG200, с 40U, 16T, 51T, 66T VLANами
Порт2: Подключен напрямую к розетке для первой подсети
Порт3: Подключен напрямую к розетке для первой подсети
Порт 4,5: Пустой
WifiAP1: Должен смотреть в первую подсеть
WifiAP2: Должен смотреть во вторую подсеть
Логика работы:
Наличие VLAN на порту определяется созданием интерфейса типа «vlan» с указанием мастер-порта. Трафик, который пойдет по основному порту, будет считаться UNTAGGED, трафик, который пойдет по «vlan» интерфейсу — TAGGED. В соответствии с этим и будут создаваться мосты (bridge).
Настройка:
1. Для Порт1 создаем 3 интерфейса типа «vlan» с VLAN ID 16, 51, 66. Называем их соответственно Порт1-VLAN16 (51,66).
2. Направляем маршрут 0.0.0.0/0 на Порт1, это будет выход в интернет.
3. Поскольку параллельно с компьютерами будут на неуправляемых свичах подключаться телефоны за Порт2,3, то для этих портов создаем интерфейсы «vlan» с VLAN ID 16. Называем их соответственно Порт2,3-VLAN16
4. Создаем мост Bridge-VLAN16. Объединяем в него интерфейсы Порт1,2,3-VLAN16. Телефония заработала.
5. Настраиваем Wifi-точку. Называем ее Wifi0. В её параметрах не указываем vlan id.
6. Добавляем новый интерфейс типа «Virtual AP». Называем его Wifi1. В параметрах не указываем vlan id.
7. Создаем мост Bridge-VLAN66. Объединяем в него интерфейсы Порт1-VLAN66, Порт2, Порт3 и Wifi0. Т.к. в этой подсети устройства не знают о vlan, то пакеты будут приходить в «голый» порт, и автоматически тегироваться в случае попадания во VLAN66 и растегироваться, приходя из него. На этот мост вешаем DCHP, NATим интернет и т.д.
8. Создаем мост Bridge-VLAN51. Объединяем в него интерфейсы Порт1-VLAN51 и Wifi1. Ситуация с пакетами будет аналогична. Приправить DHCP и правилами файрвола по вкусу.
Наслаждаемся.
Комментарии (27)
abehterev
22.04.2016 17:15+1Кстати, у многих микротиков на борту аппаратный коммутатор. И если вам не нужна маршрутизация, то тегировать порты лучше в настройках свитч-матрицы, т.к. bridge делается процом, что как бы негативно влияет на производительность.
nikerossxp
22.04.2016 17:19Как бы делать коммутатор из маршрутизатора, при наличии цисок, не было необходимости. Поэтому это не тот случай.
Нагрузка процессора 1%. Но, хостов там не шибко много, но трафика гоняется полно.abehterev
22.04.2016 17:26+1Так я не говорю о том, что надо делать коммутатор. Я говорю о том, что снимая тег аппаратно — вы вообще не расходуете ресурсы. Затем принимаете на vlan-интерфейс. Никаких bridge. Они реально грузят. Попробуйте флудануть мелкими пакетами — увидите до 90-100%% CPU load.
nikerossxp
22.04.2016 17:28Может, я не очень хорошо вчитывался именно в этот метод. Присмотрюсь :)
abehterev
22.04.2016 17:30+1Не знаю какая у вас подготовка, но советую про сети почитать побольше. routing&switching много курсов. Мне кажется, вам не нужна бы была вообще документация, понимай вы сеть изнутри.
nikerossxp
22.04.2016 17:51Цели, преследуемые в сути поста и наспех нагугленый способ разнятся. Как, например, при таком раскладе, правилам nat указывать, в какой vlan лезть? Расфасовав вланы аппаратно, ось не станет их видеть как несколько интерфейсов, как в данном примере, и придётся изгаляться, скача с одного порта на другой.
abehterev
22.04.2016 17:54+1Не путайте теплое с мягким. Вы путаете коммутацию и маршрутизацию. Это разные уровни OSI. Как только внутри vlan вы создаете vlan-интерфейс ваш L2 становится L3, но не для всего трафика, а лишь того, который должен быть смаршрутизирован. Удосужтесь — почитайте матчасть.
Я просто оставлю это здесь.nikerossxp
22.04.2016 17:59Мы точно о микротике говорим? Это личный опыт с микротиком, или просто общее цитирование? И я не в плане «матчасти», а о методе реализации.
abehterev
22.04.2016 18:06+2Понимаете, что бы ни касалось сетей — вам надо о них знать, чтобы понимать почему тот или иной метод работает. На чем вы строите сети, микротик, кошка или жунипер — вообще не важно, по крайней мере для уровня сети, разобранной в вашей статье. Поверьте на слово — у всех их будет одинаково, с некоторыми тонкостями.
Вашим комментарием вы показываете, что вам не нужно понимать физику, чтобы рассчитать плавучесть, потому что есть методичка. Но вот взяв методичку и посмотрев ее, вы не можете найти расчет плавучести для южных морей — потому что составлялась она для тех, кто купил девайс в северном полушарии и плотности вводы юга просто не попали в таблицу. Зная же физику, и зная плотность, вам не нужна методичка, но вы все еще можете ее использовать.
PS раз уж вы подписываетесь системный инженер, то извольте знать матчасть. или не подписывайтесь так.nikerossxp
22.04.2016 18:18Поменял подпись, давно пора.
Настоятельно рекомендую одолжить микротик и попробовать его настроить с приходящими со стороны vlanами, не прибегая к любым документациям. Особливо, сделать, что бы хосты родной локалки (192.168.88.х) могли ходить согласно правилам файрвола.
Буду рад еще более живоспособному решению, чем в этом посте.
igorsd
22.04.2016 21:26Такая ерунда, после нескольких лет настройки всевозможного железа, настраивается практически на любой незнакомой железке за 15 минут. На особо упёртых — за час, после беглого чтения мануала.
kabachok
22.04.2016 23:18Давай еще картинок по настройке самого SG200)))
Пускай статья будет бестолковой до конца.
6piton9
23.04.2016 16:46Доброго времени суток. Ни могли бы вы снять видеоурок или помочь мне, ситуация следующая:
Недавно приобрел себе Mikrotik RB951Ui-2HnD на смену D-link DIR-300NRU и не могу настроить на нем PPPoE + IPTV, провайдер Ростелеком.
Схема моей цели такова:
1 порт — wan, в него вставлен кабель провайдера;
2,3,4 порты — локалка в которую нужно подать интернет;
5 порт — IPTV, из него идет кабель к тв приставке.
Что делал:
Создал на 1 порту PPPoE подключение, собрал в свитч 2,3,4,5 порты, поставив мастером 2, добавил мост между wi-fi и свитчем, настроил DHCP сервер.
Нужно настроить как тут nastroisam.ru/dir-300-nru-b7 (вариант где IPTV доставляется в тегированном виде — используется VLAN ID).IPTV доставляется в тегированном виде — используется VLAN ID.?nikerossxp
23.04.2016 16:50Бегло посмотрев, предложил бы выкинуть 5-й порт из свича, и сделать по аналогии с моей инструкцией, где VLAN66. Т.е. приставка идёт в 5-й голый порт, который в бридже с WAN-VLAN1601. Напоминаю, что для подобных вопросов есть тот же «тостер».
Kliba
А в чем собственно смысл статьи и причем тут связка с Cisco?
nikerossxp
Смысл статьи поделиться работоспособным решением по логике вланов у микротика, т.к. не только мне не удалось настроить их по офф.документации. Но, говорят, что по докам всё работает с d-link.
Kliba
Хм… Заработало по документации с первого раза как с Cisco(Cat. 2948 и SG200) так и с кучей другого железа. ЧЯДНТ?
nikerossxp
Какая связка заработала? Интересно посмотреть.
Kliba
Отлично заработала. Кусок конфига приведу ниже, прошу прощения что без спойлера и тегов:
/interface vrrp
add interface=ether1 interval=100ms name=VRRP_MAIN preemption-mode=no
/interface vlan
add interface=VRRP_MAIN name=SERVERS vlan-id=100
add comment=«Datagroup INET VLAN» interface=VRRP_MAIN name=DG_INET_VLAN vlan-id=77
add comment=«KS INET VLAN» interface=VRRP_MAIN name=KS_INET_VLAN vlan-id=94
add comment=«Management(172.16.0.0/24)» interface=VRRP_MAIN name=MGMT vlan-id=911
add comment=«Users(172.20.0.0/24)» interface=VRRP_MAIN name=USERS vlan-id=400
add comment=«SECURITY(192.168.3.0/24)» interface=VRRP_MAIN name=security vlan-id=300
со второй стороны именно на этом конфиге стоит Cisco 2948G с настроенным trunk для VLAN 77,94,100,300,400,911 и native VLAN 200, через который работает vrrp(без тега) на ether1. Никаких проблем не наблюдаю. Настраивал по документации mikrotik.
nikerossxp
а изнутри что смотрит и куда? И какая железка микротиковская?
Kliba
Изнутри микротика? Или за циской? Микротик в данном случае CCR 1016-12G
nikerossxp
Изнутри микротика. Т.е. как маршрутизуется, какие функции. Я же не просто так статью писал, у нас почему-то не работало изначально :)
Kliba
Интерфейсы на VLANах 77 и 94 — два интернет провайдера, туда натятся остальные VLAN(кроме 911). Интерфейсы на VLAN 100, 300,400,911 — локалки разного назначения(сервера, камеры, пользователи, Mgmt устройства). 400й влан бриджуется с Wi-Fi. На все VLAN действуют свои фильтры в файрволе + QoS и маршрутизация. Общую схему маршрутизации(без vrrp и VLAN) можете посмотреть тут — https://habrahabr.ru/sandbox/96643/ На момент написания VLANы и VRRP реализованы еще не были, да и не о них была статья.
В данный момент на всех микротиках из прошлой статьи настроены VLANы, бридж используется только внутри локации, весь обмен между локациями за счет маршрутизации.
Kliba
Прошу прощения, неверно прочитал. В данный момент работают связки Mikrotik CCR 1016-12G и Mikrotik 1100AHx2 c:
1. Cisco Catalyst 2948G
2. Cisco sg200-50
3. D-Link DES 3200-52
4. HP 1910-24g
и неизвестными мне свитчами провайдеров.
nikerossxp
Не, все верно, я имел в виду конфиг :)