Настройка VLAN. Казалось бы всё просто, но нужна помощь.

Обсуждение ПО и его настройки
Ответить
Аватара пользователя
innarecords
Сообщения: 13
Зарегистрирован: 29 май 2011, 10:29

01 июл 2013, 13:42

Дано:
Mikrotik Routerboard 450G
Точка доступа Ubiquiti UniFi (умеет MultiSSID и понимает VLAN)
Интернет от провайдера по витой паре

Задача:
Организовать локальную сеть и доступ в интернет для сотрудников (с портов роутера и через WiFi) и гостей (через WiFi) так, чтобы гости, конечно, не имели локального доступа к основной сети.

Мысли:
Полагаю, нужно реализовать две VLAN 192.168.88... (основная) и, скажем, 10.0.0.... (гостевая), поднять 2 DHCP сервера, выпустить обе подсети в интернет, по-возможности порезать скорость гостям и ограничить по времени их сессии (но это, вроде, красиво реализуется именно на точке доступа)...

Решение:

...нужна помощь.

на 1-м порту роутера интернет от провайдера (работает)
для портов 3, 4, и 5 мастером указан порт 2
точка доступа включена в порт 5

так всё работает.


создаю две VLAN
создаю второй пул (10.0.0...)
поднимаю второй DHCP

не работает :( Адреса выдаются на 169... :?


[RouterBOARD RB493G + R2n]
gmx
Сообщения: 2041
Зарегистрирован: 01 окт 2012, 14:48

01 июл 2013, 14:41

Ну без конфига - это все разговоры в пустую.

Совет - добейтесь сначала работы двух подсетей без всяких VLAN.
Если честно, то в вашей ситауции VLAN не сильно-то и нужен.


Заблокировать доступ одной сети в другую очень просто при помощи двух правил в фаерволле. И никаких заморочек с VLAN.

У ROS с VLAN все не так очевидно, как у обычного свича.

Интефейсы VLAN и физические интерфейсы нужно объединять в бриджы.
Если действительно хочется с VALN сделать начните читать здесь http://wiki.mikrotik.com/wiki/Руководства:Интерфейс/VLAN

и здесь
http://www.lanmart.ru/blogs/how-to-become-isp-3


Аватара пользователя
innarecords
Сообщения: 13
Зарегистрирован: 29 май 2011, 10:29

02 июл 2013, 17:44

Большое спасибо за советы, я пока читаю. Но у меня вопрос - обойтись вообще без VLAN я "за", но разделить пользователей на подсети - Вы имеете ввиду как-то с помощью масок? То есть, например, 192.168.88.1 - 129.168.88.100 это сотрудники, а 192.168.88.101 - 192.168.88.255 - это гости, так? И потом прописать правила в фаервол?


[RouterBOARD RB493G + R2n]
gmx
Сообщения: 2041
Зарегистрирован: 01 окт 2012, 14:48

02 июл 2013, 20:15

Именно так!

И это самый простой и проверенный способ.


Ответить