Сегментирование сети на VLAN (Mikrotik + D-Link)

Обсуждение ПО и его настройки
Ответить
dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Добрый день.
Помогите пожалуйста разобраться. Хочу разделить сеть на вланы.
Сеть сейчас 192.168.0.0/24
На микротике добавил вланы на интерфейс eth2 (основная сеть). С этого интерфейса кабель идет в dlink 3120 на порт 2. На вланах dhcp серверы настроил.
В длинке добавил вланы. Тестовый комп подключен к порту 11 длинка.
В длинке на влане 107 делаю порт 2 tagged, порт 11 untagged. Комп получает адрес с нужного dhcp (172.16.107.2), инет есть, сеть 192.168.0.0/24 пингуется и все хорошо.
А с моего компа сеть 172.16.107.0/24 не пингуется.
Как я понимаю в микротике если не запрещено правилами все вланы друг друга видят. А в длинке как надо сделать? Маршруты прописывать? Совсем запутался.
Сейчас хочу чтобы основная сеть видела все вланы, разобраться как это должно рабоатть, и потом уже разграничивать доступы, чтобы в итоге уйти с сети 192.168.0.0/24.
Контора у меня работает круглосуточно, и ложить сеть экспериментами возможности практически нет((

ПС. В сети 4 управляемых коммутатора

Заранее спасибо!


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Не путайте понятия! На втором уровне OSI коммутируются только VLAN, речь про подсети не идёт. Поэтому на коммутаторах 2-го уровня подсети между собой никак не маршрутизируются. Это только микротик. Чтобы сети увидели друг друга, шлюзом на каждом компьютере должен быть микротик.


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Спасибо, понял. Но все равно немного не понял. А каким образом сделать, чтобы вланы видели друг друга? То есть, например, есть влан 107 и нужно, чтобы компьютеры из этого влана видели принтеры из влана 101 и серверы из влана 100, но не видели устройств из других вланов. Судя по прочитанным мануалам, понял что, трафик с интерфейса где вланы на микротике идет тегированный, на коммутаторе указываю на всех вланах порт в tagged, то есть через него идет трафик со всех вланов, а в untagged ставлю порт компьютера. Нужно еще маршрут указывать на коммутаторах?


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

dima1208 писал(а):А каким образом сделать, чтобы вланы видели друг друга?

Если на втором уровне, то на микротике создаете бридж и туда добавляете два "распакованных" вилана которые должны друг друга видеть.
Если на третьем, то это обычная маршрутизация, шлюзом микротик и на на нем разрешаете forward между сетями.

Воспользуйтесь wiki.mikrotik.com, там много примеров работы с виланами.


Александр
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я вот здесь описал общие способы работы с влан. Это конечно не ваш случай, но в целом будет понятнее, как вообще обстоят дела. viewtopic.php?f=15&t=5972#p31529


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

dima1208 писал(а):Спасибо, понял. Но все равно немного не понял. А каким образом сделать, чтобы вланы видели друг друга? То есть, например, есть влан 107 и нужно, чтобы компьютеры из этого влана видели принтеры из влана 101 и серверы из влана 100, но не видели устройств из других вланов. Судя по прочитанным мануалам, понял что, трафик с интерфейса где вланы на микротике идет тегированный, на коммутаторе указываю на всех вланах порт в tagged, то есть через него идет трафик со всех вланов, а в untagged ставлю порт компьютера. Нужно еще маршрут указывать на коммутаторах?



Временно или навсегда отключите все правила фаерволла.
Проследите, чтобы все устройства в сети имели шлюз и этот шлюз должен быть - микротик. Естественно его IP может быть разный для разных сегментов, обязательно проследите, чтобы клиенты этот шлюз успешно пинговали.
И неожиданно все увидится...


dima1208
Сообщения: 41
Зарегистрирован: 18 ноя 2016, 11:18

Всем спасибо, буду разбираться.


Ответить