изоляция подсетей и маршрутизация избранных хостов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

сначало надо проект хотя бы в голове составить что бы понимать чего дальше


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Изображение

Описание:
SWITCH 1 - неуправляемый коммутатор
SWITCH 2 - управляемый коммутатор mikrotik crs226-24g-2s+
ROUTER - маршрутизатор ccr1009-8g-1s

В SWITCH1 с 1-23 порты включены хосты из LAN 1.
SWITCH 1 и SWITCH 2 соединяются по 24 порту.
В SWITCH 2 с 11-23 включены остатки хостов из LAN 1, не поместившиеся в SWITCH 1. C 1-2 порты включены хосты из LAN 3.
Через порт 3 и 10 на SWITCH-е 2 идут линки на порты 3 и 4 ROUTER-а соответственно.
LAN 2 подключён через неуправляемый коммутатор подключён во 1-й порт роутера. Сеть IP_cameras 1 включена во 2-й порт роутера. Сеть IP_cameras 2 включена во 7-й порт роутера.
ISP1 - в 5-й порт, IPS2 - в 6-й.

Задача:
Требуется, чтобы трафик с IP_cameras 1, IP_cameras 2 и LAN 2 был полностью изолирован от LAN 1 и LAN 3.
Сегменты LAN 3 и LAN 1 тоже изолированы друг от друга.

При этом из LAN 3 1-2 хостам необходимо дать доступ к хосту из LAN 2 и LAN 3 для дистанционного управления и обмена шарами.

Ну ещё раздать интернет в сегменты LAN 1, LAN 2, LAN 3.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну так в чем проблема то?
Стройте сеть, прокидывайте например ВЛАНЫ
Убеждайтесь что трафик везде ходит нормально, далее настраивайте фильтры


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Вас не затруднит показать пример синтаксиса как, например, отделить LAN 3 от LAN 1 с помощью vlan-ов. Можно в консоли.)


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

VLAN у вас должен приходить со стороны коммутатора либо прямо от устройства


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Я не сильно шарю в этой теме.
Можно объяснить, что вы хотели этим сказать?
Если оконечные устройства не поддерживают vlan-ы, то в пределах коммутатора не реально разделить широковещательный домен vlan-ами?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Чего?

Я бы вам рекомендовал сначала стенд собрать, на потренероваться, а потом уже переносить все на конторскую сеть


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Стенд собран, конторская сеть не страдает.

Пробовал настраивать, но что-то не то, что нужно.

Вы можете направить в нужное русло, только не общими фразами типа "прикидывайте vlan-ы" и "настраивайте фильтры".

Без обид. Если можете чуточку помочь, то буду благодарен.
Если в лом, то пойду искать в другом месте и не тратить тут время.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Вот в этой теме я про шагам описал, как работают с VLAN viewtopic.php?f=15&t=5972
В конце есть ссылка на документ микротика, где это вопрос рассмотрен еще подробнее.


Хотите, могу через тимвьювер помочь, но только помочь, все за вас делать никто не будет.
Но чтобы помочь, нужны конструктивные вопросы, а не рассуждения.


Нет никаких обид. Готового решения вам все равно никто не даст, это не возможно в принципе, очень много нюансов именно вашей задачи в ваших условиях.

И еще, что в вашем понимании "раздать широковещательный домен"? Что вы вкладываете в это,на пальцах, так сказать, объясните.


Я поглядел вашу схему. Получается, что сеть камер физикой попадает только в микротик и больше ни в один коммутатор не заходит??? То есть сети фактически не пересекаются между собой в одних и тех же проводах??? Тогда зачем VLAN вообще нужны??? Все ограничения можно сделать на микротке и забивать голову VLAN.


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Если оконечные устройства не поддерживают vlan-ы, то в пределах коммутатора не реально разделить широковещательный домен vlan-ами?

Если вы это имеете в виду, то там "разделить", а не "раздать".


Ответить