RB2011 VRRP + 3 vlan

Обсуждение ПО и его настройки
Ответить
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Добрый день!
В качестве новичка осваиваю RouterOS, ковыряя RB2011UiAS-RM.
Возможно пишу не в ту ветку форума, заранее прошу амнистию)
У меня, скорее, принципиальный вопрос, на который можно просто ответить "да" или "нет", как настроить - буду позже разбираться, читая вики

Суть вопроса:
В организации поднять 3 vlan'a и настроить маршрутизацию между vlan'ами + шлюз для выхода в интернет для всех трех vlan'ов.
Каждому vlan, соответственно, своё адресное пространство и DHCP.
Задача маршрутизации:
закрыть доступ между всеми vlan'ами, разрешив хождение трафика из одной vlan в другую только на определенный IP + порт.

И в дополнение ко всему этому бутерброду настроить VRRP при условии предоставления интернета через PPPoE с контролем кол-ва сессий на одном логине со стороны провайдера (вторую PPPoE сессию с одним логином поднять не удастся)

Мой опыт подсказывает мне, что с vlan'ами можно сделать все, что угодно. А вот получится ли подружить VRRP и PPPoE я сомневаюсь.
Поэтому хочется услышать мнение профессионалов.
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?
VRRP - это задел на будущее, пока можно и без него


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

DeLL писал(а):Суть вопроса:
В организации поднять 3 vlan'a и настроить маршрутизацию между vlan'ами + шлюз для выхода в интернет для всех трех vlan'ов.
Каждому vlan, соответственно, своё адресное пространство и DHCP.
Задача маршрутизации:
закрыть доступ между всеми vlan'ами, разрешив хождение трафика из одной vlan в другую только на определенный IP + порт.

А vlan тут зачем? И так вроде бы можно организовать... Или какие-то особые пожелания относительно построения сетей присутствуют?
DeLL писал(а):И в дополнение ко всему этому бутерброду настроить VRRP при условии предоставления интернета через PPPoE с контролем кол-ва сессий на одном логине со стороны провайдера (вторую PPPoE сессию с одним логином поднять не удастся)

Не могу ничего посоветовать, не в курсе.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
DeLL
Сообщения: 74
Зарегистрирован: 05 июн 2014, 00:24

Скорее всего особые требования к безопасности
будет 3 сети:
- административная для персонала
- гостевая для постояльцев гостиницы (при чем будет использоваться как беспроводной доступ, так и проводной)
- служебная для разного рода оборудования (что-то типа DMZ)

Много этажей = много свитчей доступа для гостевой сети. Будет кольцо, через которое будет ходить транзитный трафик разных сетей.
Очень не хотелось бы, чтобы гости занимались arp-спуфингом и сканированием всей сетки, а тем более получили доступ к административной серверной ферме и тп.
Надеюсь, объяснил причины использования vlan'ов )

Почему такие требования к маршрутизации - покажу на примере:
1. В гостиницу селят постояльца, в 1С вносят данные, плагин в 1С стучится в служебную сетку на сервер, на котором создается учетка Radius
2. Постоялец при подключении к Wi-Fi должен ввести пароль. Пароль проверяется на том же самом Radius.
Кроме этих взаимодействий между vlan не должно быть никаких других.

Вопрос остается открытым)
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?


wolf_ktl
Сообщения: 417
Зарегистрирован: 25 июн 2013, 18:12

DeLL писал(а):Скорее всего особые требования к безопасности
будет 3 сети:
- административная для персонала
- гостевая для постояльцев гостиницы (при чем будет использоваться как беспроводной доступ, так и проводной)
- служебная для разного рода оборудования (что-то типа DMZ)

Много этажей = много свитчей доступа для гостевой сети. Будет кольцо, через которое будет ходить транзитный трафик разных сетей.
Очень не хотелось бы, чтобы гости занимались arp-спуфингом и сканированием всей сетки, а тем более получили доступ к административной серверной ферме и тп.
Надеюсь, объяснил причины использования vlan'ов )

Почему такие требования к маршрутизации - покажу на примере:
1. В гостиницу селят постояльца, в 1С вносят данные, плагин в 1С стучится в служебную сетку на сервер, на котором создается учетка Radius
2. Постоялец при подключении к Wi-Fi должен ввести пароль. Пароль проверяется на том же самом Radius.
Кроме этих взаимодействий между vlan не должно быть никаких других.

Вопрос остается открытым)
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?


ДА.. как звучит правило ... если микротик не работает - значит его надо правильно настроить)))


Ответить