изоляция подсетей и маршрутизация избранных хостов

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Цель вопроса - систематизировать знания о настройке миктротика. Перечитал кучу инфы, поэтому в голове каша и, по-моему, я так до конца и не понят эту "тёмную лошадку"(я имею в виду принцип этого зверя).
Есть два девайса: crs226-24g-2s+(smart switch), ccr1009-86-1s(cloud router).

Есть широковещательный домен на неуправляемом коммутаторе. Цель покупки вышеперечисленных устройств, чтобы разделить ШД на изолированные подсети(я так себе понимаю, что с помощью vlan-ов), а потом дать доступ избранным хостам из одного vlan-а в другой. Только я не понял какие vlan-ы эти устройства поддерживают(port based или на основе id) и какие лучше использовать для моей задачи?
Можно ли настроить маршрутизацию сугубо на свиче(он же по идее управляемый смарт) или нужно пускать через роутер?

Короче, если систематизировать задачу, то так:
1. разделить на vlan-ы
2. смаршрутизировать vlan-ы, но запретить доступ для всех кроме некоторых хостов.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Так в чем вопрос???

Обе задачи на микротиках решить можно. На всех микротиках одна ОС со всеми ее возможностями (исключая аппаратную разницу в устройствах). Есть правда еще лицензионные ограничения, но они VLAN никак не ограничивают.

Далее, маршрутизация бывает разная, если только второго уровня, то достаточно для реализации задачи обычного коммутатора, а если вам понадобится седьмой уровень, то без микротиков не обойтись.

Ограничения по вашему пункту 2 - это уже минимум 3 уровень, а может быть и 4-5 (в зависимости от сложности условий) уровни OSI и опять без микротика не обойтись.


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

ОК.
По первому пункту. Как мне лучше разделить широковешательный домен?
Достаточно будет разделить на свиче в свич-группы (мастер+слейв-порты). Это что-то типа port-based vlan-ы. Или нужно создавать vlan-ы с id-ми?

Почему хочу с vlan-ми, чтобы изолировать трафики и никто не мог путём подмены ip подключиться с другой подсети.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я не использую master/slave возможности чипа коммутации, в се делаю на бриджах.
Конфиг легко читать и легко вносить изменения.



У микротика все это немного отличается от обычных коммутаторов.
Почитайте в этой теме, я все описал по шагам viewtopic.php?f=15&t=5972


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Так на чипе комутации(мастер/слейв) скорость не теряется же. Или на бриджах тоже? Может я чего-то не понял. Но по-моему принцип в этом.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Принцип конечно в этом, но лучший принцип в том, чтобы покупать железо с запасом.
Ни разу у меня не было, чтобы бриджи не справились с нагрузкой.


qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Я, извиняюсь, а зачем тогда режим свитча(мастер/слейв)? Не забывайте, что я новичок. Просто, чтобы прояснить ситуацию.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

гайки можно крутить ключем, а можно пассатижами. В том и другом варианте результат одинаковый.

У роутеров коммутатор не шибко богатый на функционал, а вот у коммутаторов чипы уже по серьезнее и функционал там поболее.

У себя к стати глянул сейчас ради интереса, коммутатор не задействован, бриджи есть но в бриджах всего 2 физ интерфейса, под клиента с особыми требованиями и мой для подключения чего-нибуть для настройки)))


Есть интересная задача и бюджет? http://mikrotik.site
qwerty
Сообщения: 0
Зарегистрирован: 12 фев 2016, 10:15

Ок.
Допустим есть два vlan-а. Хосты с одного не видят хосты с другого. Как сделать так, чтобы пару хостов могли быть доступны в двух vlan-ах?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

))) что значит доступны?


Есть интересная задача и бюджет? http://mikrotik.site
Ответить