Настроить VLAN на Mikrotik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
DeN_238
- Сообщения: 255
- Зарегистрирован: 19 фев 2012, 16:42
- Откуда: Тольятти
Схему сети нарисуйте, отметьте на ней микротик, свитчи и т.п. и укажите с ЧЕМ и ЧТО вы хотите объеденить.
2011UAS-2HnD-IN | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
-
ullquiorra
- Сообщения: 9
- Зарегистрирован: 25 апр 2013, 17:26
EnZo Matrix писал(а):Но вот, например, L2-коммутатор
И вот тут самая главная ошибка: не забываем, что микротик - это маршрутизатор, а не коммутатор, и с vlan'ами работает с колокольни маршрутизатора, а не коммутатора.
Задача, конкретно, стоит какая? Изолировать несколько сетей друг от друга? Глдобальных и локальных? Решается через фаерволл, если я правильно понял ТЗ.
Конкретизируй
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
EnZo Matrix писал(а):С VLAN'ами доселе дело не имел.
Но вот, например, L2-коммутатор - как я понимаю, если пометить некоторые его порты одним VLAN'ом, то устройства, подключенные к этим портам, будут в одной изолированной сети. Затем, пометив один из портов этого свитча, как транковый, можно подцепить ещё один свитч с таким же VLAN'ом, и устройства, подключенные к портам разных свитчей, но помеченных одним VLAN'ом, будут видеть друг друга, так?
Вот надо то же самое сделать, но на вышеобозначенном микротике.
Вроде вполне простой вопрос задаю.
у вас на микротик уже тегированный трафик приходит? или вам надо на самом микротике что то изолировать?
-
userdx
- Сообщения: 7
- Зарегистрирован: 01 янв 2014, 20:27
ТС задал хороший, нужный вопрос, но не смог в своих исканиях дойти до конца.
Поэтому я конкретизирую.
Исходные данные: Микротик смотрит портом eth1 на fe1- интерфейс коммутатора циско; fe1 отдает трафик в 100,200 и 300 вланах _транком_. Все eth интерфейсы микротика независимы, и ни с чем не объединены.
Задача:
необходимо рестегировать трафик в 100 влане через порт eth2 микротика,
трафик в 200 влане необходимо растегировать через порт eth3 микротика
а вот через порт микротика eth4 необходимо отдавать трафик, тегированный 200 и 300 вланами одновременно. Потом за этим портом стоит еще один коммутатор, который смотрит на микротик транковым интерфейсом, в который прокинуты 200 и 300 вланы (повторюсь - ТРАНКОМ).
Вообщем-то как отдавать нетегированный трафик, с транкового интерфейса я примерно разобрался. Просто хочу удостовериться, что всё правильно делаю, поэтому привожу свой вариант решения задачи:
1. Создаем интерфейсы vlan100, vlan200, vlan300 и сразу привязываем их к eth1, таким образом eth1 становится какбы "транковым" портом;
/interface vlan
add interface=eth1 l2mtu=1594 name=VLAN100 vlan-id=100
add interface=eth1 l2mtu=1594 name=VLAN200 vlan-id=200
add interface=eth1 l2mtu=1594 name=VLAN300 vlan-id=300
2. Для того, чтобы растегировать трафик в 100 влане на интерфейс eth3 объединяем их в бридж:
/interface bridge port
add bridge=bridge100 interface=eth3
add bridge=bridge100 interface=vlan100
Таким образом, трафик передаваемый в 100 влане, мы растегировали и отдали через eth3;
остается вопрос:
А что если мне нужно принять транком через физический интерфейс сразу 3 влана (100,200,300), а отдать через другой физический интерфейс только 2 (200 и 300)? По идее, было бы логично создать бридж, в котором будут физический интерфейс и 2 влана... А как в таком случае будет отдаваться трафик - в тегированном или нетегированном виде?
Наверняка назревает вопрос: для чего всё это?
На этот вопрос я отвечу чуть позже, чтобы не вводить всех участников в заблуждение.
Поэтому я конкретизирую.
Исходные данные: Микротик смотрит портом eth1 на fe1- интерфейс коммутатора циско; fe1 отдает трафик в 100,200 и 300 вланах _транком_. Все eth интерфейсы микротика независимы, и ни с чем не объединены.
Задача:
необходимо рестегировать трафик в 100 влане через порт eth2 микротика,
трафик в 200 влане необходимо растегировать через порт eth3 микротика
а вот через порт микротика eth4 необходимо отдавать трафик, тегированный 200 и 300 вланами одновременно. Потом за этим портом стоит еще один коммутатор, который смотрит на микротик транковым интерфейсом, в который прокинуты 200 и 300 вланы (повторюсь - ТРАНКОМ).
Вообщем-то как отдавать нетегированный трафик, с транкового интерфейса я примерно разобрался. Просто хочу удостовериться, что всё правильно делаю, поэтому привожу свой вариант решения задачи:
1. Создаем интерфейсы vlan100, vlan200, vlan300 и сразу привязываем их к eth1, таким образом eth1 становится какбы "транковым" портом;
/interface vlan
add interface=eth1 l2mtu=1594 name=VLAN100 vlan-id=100
add interface=eth1 l2mtu=1594 name=VLAN200 vlan-id=200
add interface=eth1 l2mtu=1594 name=VLAN300 vlan-id=300
2. Для того, чтобы растегировать трафик в 100 влане на интерфейс eth3 объединяем их в бридж:
/interface bridge port
add bridge=bridge100 interface=eth3
add bridge=bridge100 interface=vlan100
Таким образом, трафик передаваемый в 100 влане, мы растегировали и отдали через eth3;
остается вопрос:
А что если мне нужно принять транком через физический интерфейс сразу 3 влана (100,200,300), а отдать через другой физический интерфейс только 2 (200 и 300)? По идее, было бы логично создать бридж, в котором будут физический интерфейс и 2 влана... А как в таком случае будет отдаваться трафик - в тегированном или нетегированном виде?
Наверняка назревает вопрос: для чего всё это?
На этот вопрос я отвечу чуть позже, чтобы не вводить всех участников в заблуждение.
-
userdx
- Сообщения: 7
- Зарегистрирован: 01 янв 2014, 20:27
Попутно вопрос:
А микротик позволяет посмотреть мак адреса за физическим портом? Т.е. не то чтобы маки самого микротика, не, это понятно. А именно какие маки прилетают на физический порт микротика. Всё облазил, но нигде не нашел такой функции.
А микротик позволяет посмотреть мак адреса за физическим портом? Т.е. не то чтобы маки самого микротика, не, это понятно. А именно какие маки прилетают на физический порт микротика. Всё облазил, но нигде не нашел такой функции.
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
userdx
- Сообщения: 7
- Зарегистрирован: 01 янв 2014, 20:27
Свитч - хост
Бридж - хост
не очень понял, по возможности дайте более развернутый ответ, пожалуйста
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
все просто, чтобы отдавать тегированый трафик, с одного физ. порта на другой, нужно на обоих физ. интрефейсах сделать два vlan с одинаковой меткой (но с разным названием) и объединить их в бридж.
ну а как передать с транка на ацес вы правильно поняли.
ну а как передать с транка на ацес вы правильно поняли.
-
userdx
- Сообщения: 7
- Зарегистрирован: 01 янв 2014, 20:27
Благодарю за помощь.
Только сейчас понял, что было к вопросу о просмотру мак адресов за портами :)
Свитч - хост
Бридж - хост
Только сейчас понял, что было к вопросу о просмотру мак адресов за портами :)