Здравствуйте.
У меня немного ламерский вопрос.
Хочу заменить "входящий" роутер (в который "приходит интернет" и от него уже уходит клиентам).
Сейчас это работает на старом роутере от ASUS, хочу его поменять, приобрести роутер микротик.
Клиенты – компьютеры, подключенные по LAN, по WiFi и через свичи и старые роутеры, настроенные как свичи (даже есть один ADSL модем на 4 порта с WiFi, на котором выставлен IP, не конфликтующий с остальными в сети, и который отлично выполняет свою роль сейчас).
Есть желание разделить пользователей по правам (гости и несколько отделов), отдельно им резать скорость, доступ к определенным сайтам и друг к другу. Для этих целей хочу использовать VLAN-ы. Сделать чтобы гости не видели друг друга (изолированная сеть вроде называется) и клиентов из отделов.
Так вот вопрос в том, будет ли это возможно с обычными свичами?
Скажем, человек-гость подключен в один свич с человеком из какого-то отдела. У всех IP вида 192.168.1.x. Свич же может разрешить доступ одного клиента к другому, "не спрашивая у роутера", я правильно понимаю? Или даже обычные свичи "понимают" VLAN? Если нет, можно ли как-то устранить это? Например сделать 192.168.x.y сеть и маску 255.255.255.0 чтобы для обращения к другому x клиенты "стучались" к роутеру, но тогда получается и vlan-ы не нужны.
Спасибо
VLAN и обычные свичи
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
DmNuts
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Неуправляемые коммутаторы, конечно, VLAN не понимают, некоторые даже режут тегированный трафик.
Если хотите разграничить клиентов на L2, ставьте управляемые коммутаторы или делите физически (гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера).
Просто выдавая гостям другую подсеть, не удастся полностью их изолировать, L2 связь останется. Поменяв IP адрес вручную, пользователь получит несанкционированный доступ. Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC.
Если хотите разграничить клиентов на L2, ставьте управляемые коммутаторы или делите физически (гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера).
Просто выдавая гостям другую подсеть, не удастся полностью их изолировать, L2 связь останется. Поменяв IP адрес вручную, пользователь получит несанкционированный доступ. Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC.
-
aliksend
- Сообщения: 0
- Зарегистрирован: 14 янв 2017, 03:50
гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера
То есть для гостей придется кидать отдельные провода и ставить отдельные умные свичи, настроенные так, чтобы клиенты не видели друг друга?
Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC
Я так и планировал делать. С подменой MAC я думаю проблем не будет. В остальном же можно будет всё настроить, как я описывал?
То есть у меня есть только два варианта: физически разделять сеть (192.168.x.y/24), или делать VLAN-ами, но через "умные" коммутаторы?
Гостям думаю вполне хватит закрыть видимость устройств в локальной сети (не знаю как это объяснить, короче чтобы в винде в проводнике в разделе "Сеть" не отображались другие клиенты, на маке чтобы в Finder-е не было видно другие устройства и тд). Возможно ли это? Если можно, ссылочку
-
KARaS'b
- Сообщения: 1199
- Зарегистрирован: 29 сен 2011, 09:16
Если нарисуете полную и подробную карту сети, и выделите на ней сегменты, которые надо оградить друг от друга, то возможно что-то сможем подсказать, а пока, как вам уже сказали, на "тупых" свичах и при сложной и ветвящейся сети, у вас ничего не выйдет.
-
DmNuts
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
aliksend писал(а):То есть для гостей придется кидать отдельные провода и ставить отдельные умные свичи, настроенные так, чтобы клиенты не видели друг друга?гостям - отдельный каскад коммутаторов, который терминируется на отдельном порту роутера
В данном случае можно с тупыми коммутаторами. Но, если обычные клиенты и гости могут находиться рядом, понадобятся отдельные коммутаторы и магистральные линии для тех и других.
aliksend писал(а):Я так и планировал делать. С подменой MAC я думаю проблем не будет. В остальном же можно будет всё настроить, как я описывал?Можно через DHCP жёстко присваивать конкретный IP конкретному MAC, но это обходится подменой MAC
То есть у меня есть только два варианта: физически разделять сеть (192.168.x.y/24), или делать VLAN-ами, но через "умные" коммутаторы?
Гостям думаю вполне хватит закрыть видимость устройств в локальной сети (не знаю как это объяснить, короче чтобы в винде в проводнике в разделе "Сеть" не отображались другие клиенты, на маке чтобы в Finder-е не было видно другие устройства и тд). Возможно ли это? Если можно, ссылочку
Придётся повторить предыдущий пост другими словами :)
Физическое разделение - это значит на уровне проводов и контактов (как раз первый вариант, когда у гостей отдельные коммутаторы).
Логическое разделение - VLAN'ами.
Если не делать первое или второе, а только выделить гостям другую подсеть, у них останется возможность сменить IP адрес вручную.
-
aliksend
- Сообщения: 0
- Зарегистрирован: 14 янв 2017, 03:50
нарисуете полную и подробную карту сети, и выделите на ней сегменты, которые надо оградить друг от друга
Нарисовать могу, но разделить нужно не сегменты, а клиентов.
Гость может быть подключен к одной WiFi точке доступа, идти по зданию, подключится к другой и тд.
Отдел один может быть в разных частях здания, соответственно между компами можем быть несколько свичей. В то же время к одному свичу могут быть подключены люди из разных отделов и гости.
Физическое разделение - это значит на уровне проводов
Понял, извиняюсь (=
Если не делать первое или второе, а только выделить гостям другую подсеть, у них останется возможность сменить IP адрес вручную
А нельзя "закрепить" IP за MAC адресом (для подсети отделов) и, если IP не соответствует MAC-у, то не пускать?
Хотя, как я уже понимаю, "не пускать" получится в интернет, а вот локалка всё равно останется
-
DmNuts
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
aliksend писал(а):А нельзя "закрепить" IP за MAC адресом (для подсети отделов) и, если IP не соответствует MAC-у, то не пускать?
Хотя, как я уже понимаю, "не пускать" получится в интернет, а вот локалка всё равно останется
Примерно правильно. "Не пускать" в локалку должен умный свитч, функция называется IP-MAC-Port Binding.
-
aliksend
- Сообщения: 0
- Зарегистрирован: 14 янв 2017, 03:50
Спасибо
Для моего случая единственным решением, как я понимаю, будет разделение по подсетям. И стараться не думать что кто-то будет менять IP или MAC. И собирать деньги на умный свич (=
И ещё такой вопрос. В моём случае в качестве свичей используются роутеры, настроенные в режим свича (потому что нужны WiFi). Им нужно выставлять IP. Важно ли в какой подсети они будут находиться? Если роутер будет 192.168.0.x а клиенты будут и .1.x и .2.x и тд, будет ли всё это работать?
Как я понимаю, IP роутеру нужен чтобы иметь доступ на страничку его настроек. Если только для этого, то будет работать, а если нет, то как быть? Или решать проблемы по мере поступления?
Для моего случая единственным решением, как я понимаю, будет разделение по подсетям. И стараться не думать что кто-то будет менять IP или MAC. И собирать деньги на умный свич (=
И ещё такой вопрос. В моём случае в качестве свичей используются роутеры, настроенные в режим свича (потому что нужны WiFi). Им нужно выставлять IP. Важно ли в какой подсети они будут находиться? Если роутер будет 192.168.0.x а клиенты будут и .1.x и .2.x и тд, будет ли всё это работать?
Как я понимаю, IP роутеру нужен чтобы иметь доступ на страничку его настроек. Если только для этого, то будет работать, а если нет, то как быть? Или решать проблемы по мере поступления?
-
DmNuts
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Если в самом деле роутеры работают как прозрачные Wi-Fi мосты, то проблем быть не должно. А то попадаются роутеры, которые Wi-Fi клиентам всегда подставляются шлюзом :(