Добрый день!
В качестве новичка осваиваю RouterOS, ковыряя RB2011UiAS-RM.
Возможно пишу не в ту ветку форума, заранее прошу амнистию)
У меня, скорее, принципиальный вопрос, на который можно просто ответить "да" или "нет", как настроить - буду позже разбираться, читая вики
Суть вопроса:
В организации поднять 3 vlan'a и настроить маршрутизацию между vlan'ами + шлюз для выхода в интернет для всех трех vlan'ов.
Каждому vlan, соответственно, своё адресное пространство и DHCP.
Задача маршрутизации:
закрыть доступ между всеми vlan'ами, разрешив хождение трафика из одной vlan в другую только на определенный IP + порт.
И в дополнение ко всему этому бутерброду настроить VRRP при условии предоставления интернета через PPPoE с контролем кол-ва сессий на одном логине со стороны провайдера (вторую PPPoE сессию с одним логином поднять не удастся)
Мой опыт подсказывает мне, что с vlan'ами можно сделать все, что угодно. А вот получится ли подружить VRRP и PPPoE я сомневаюсь.
Поэтому хочется услышать мнение профессионалов.
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?
VRRP - это задел на будущее, пока можно и без него
RB2011 VRRP + 3 vlan
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
DeLL писал(а):Суть вопроса:
В организации поднять 3 vlan'a и настроить маршрутизацию между vlan'ами + шлюз для выхода в интернет для всех трех vlan'ов.
Каждому vlan, соответственно, своё адресное пространство и DHCP.
Задача маршрутизации:
закрыть доступ между всеми vlan'ами, разрешив хождение трафика из одной vlan в другую только на определенный IP + порт.
А vlan тут зачем? И так вроде бы можно организовать... Или какие-то особые пожелания относительно построения сетей присутствуют?
DeLL писал(а):И в дополнение ко всему этому бутерброду настроить VRRP при условии предоставления интернета через PPPoE с контролем кол-ва сессий на одном логине со стороны провайдера (вторую PPPoE сессию с одним логином поднять не удастся)
Не могу ничего посоветовать, не в курсе.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 74
- Зарегистрирован: 05 июн 2014, 00:24
Скорее всего особые требования к безопасности
будет 3 сети:
- административная для персонала
- гостевая для постояльцев гостиницы (при чем будет использоваться как беспроводной доступ, так и проводной)
- служебная для разного рода оборудования (что-то типа DMZ)
Много этажей = много свитчей доступа для гостевой сети. Будет кольцо, через которое будет ходить транзитный трафик разных сетей.
Очень не хотелось бы, чтобы гости занимались arp-спуфингом и сканированием всей сетки, а тем более получили доступ к административной серверной ферме и тп.
Надеюсь, объяснил причины использования vlan'ов )
Почему такие требования к маршрутизации - покажу на примере:
1. В гостиницу селят постояльца, в 1С вносят данные, плагин в 1С стучится в служебную сетку на сервер, на котором создается учетка Radius
2. Постоялец при подключении к Wi-Fi должен ввести пароль. Пароль проверяется на том же самом Radius.
Кроме этих взаимодействий между vlan не должно быть никаких других.
Вопрос остается открытым)
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?
будет 3 сети:
- административная для персонала
- гостевая для постояльцев гостиницы (при чем будет использоваться как беспроводной доступ, так и проводной)
- служебная для разного рода оборудования (что-то типа DMZ)
Много этажей = много свитчей доступа для гостевой сети. Будет кольцо, через которое будет ходить транзитный трафик разных сетей.
Очень не хотелось бы, чтобы гости занимались arp-спуфингом и сканированием всей сетки, а тем более получили доступ к административной серверной ферме и тп.
Надеюсь, объяснил причины использования vlan'ов )
Почему такие требования к маршрутизации - покажу на примере:
1. В гостиницу селят постояльца, в 1С вносят данные, плагин в 1С стучится в служебную сетку на сервер, на котором создается учетка Radius
2. Постоялец при подключении к Wi-Fi должен ввести пароль. Пароль проверяется на том же самом Radius.
Кроме этих взаимодействий между vlan не должно быть никаких других.
Вопрос остается открытым)
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?
-
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
DeLL писал(а):Скорее всего особые требования к безопасности
будет 3 сети:
- административная для персонала
- гостевая для постояльцев гостиницы (при чем будет использоваться как беспроводной доступ, так и проводной)
- служебная для разного рода оборудования (что-то типа DMZ)
Много этажей = много свитчей доступа для гостевой сети. Будет кольцо, через которое будет ходить транзитный трафик разных сетей.
Очень не хотелось бы, чтобы гости занимались arp-спуфингом и сканированием всей сетки, а тем более получили доступ к административной серверной ферме и тп.
Надеюсь, объяснил причины использования vlan'ов )
Почему такие требования к маршрутизации - покажу на примере:
1. В гостиницу селят постояльца, в 1С вносят данные, плагин в 1С стучится в служебную сетку на сервер, на котором создается учетка Radius
2. Постоялец при подключении к Wi-Fi должен ввести пароль. Пароль проверяется на том же самом Radius.
Кроме этих взаимодействий между vlan не должно быть никаких других.
Вопрос остается открытым)
Реально выполнить поставленную задачу с vlan'ами на RB2011UiAS-RM?
ДА.. как звучит правило ... если микротик не работает - значит его надо правильно настроить)))