VLAN "через" 3 микротика, видимость IP одного VLAN на соседнем коммутаторе

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
unholyone
Сообщения: 0
Зарегистрирован: 14 авг 2017, 19:49

День добрый, господа!
Через пару дней буду видоизменять сеть. Что имеем:
Головной маршрутизатор 3011, 2 коммутатора CRS125.
План действий:
1) На маршрутизаторе (интернет приходит через SFP модуль) первые 2 порта в бридж, на него 3 влана (20, 30, 40), на вланы 3 разных dhcp-сервера с 30-ой маской. 3 и 4 порты в бридж,на него влан10, на него dhcp.

2) На левом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.0/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.0/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.0/24.

3) На правом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.101/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.101/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.101/24.

На коммутаторах прописываем правила фаервола, чтобы пользователи из разных vlan "не видели " друг-друга.

Собственно вопрос: при такой конфигурации будут ли пользователи из одного vlan, например, 20-го, на правом коммутаторе видеть пользователей того же vlan20, но на левом коммутаторе? Если нет, то что надо сделать, чтобы пользователи с разных коммутаторов, но в одном влане друг друга увидели?
 схема
Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Немного офтопа, но по делу. У вас выходит какя то каша, если ваши вланы и увидят друг друга, то зачем вам отдельные dhcp на коммутаторах, даже если у вас пулы не будут пересекаться, то в чем смысл? Не проще все это сделать на 3011 и просто разрулить логику вланов тупым бриджеванием нужных портов с нужными вланами? Пожалейте того, кто будет после вас, он в вашу кашу будет очень долго вникать... Дальше, придумка с разграничением фаерволом хороша, но только если у вас есть планы на будущее по добавлению "исключений", иначе проще это разрулить в роут - рулес, просто запретив общение между сетями всего несколькими правилами. И опять таки, с вашей текущей конфигурацией можно будет сломать голову где и что запрещено и потом это выискивать. Плюс ко всему вы собираетесь на обоих коммутаторах дублировать правила? Зачем? Не проще все таки все это сделать на "голове"?
З.Ы. все это имхо и дело конечно ваше, но пока все это выглядит очень странно, непонятно и запутано, по крайней мере на мой взгляд. :hi_hi_hi:


unholyone
Сообщения: 0
Зарегистрирован: 14 авг 2017, 19:49

KARaS'b писал(а):Немного офтопа, но по делу. У вас выходит какя то каша, если ваши вланы и увидят друг друга, то зачем вам отдельные dhcp на коммутаторах, даже если у вас пулы не будут пересекаться, то в чем смысл? Не проще все это сделать на 3011 и просто разрулить логику вланов тупым бриджеванием нужных портов с нужными вланами? Пожалейте того, кто будет после вас, он в вашу кашу будет очень долго вникать... Дальше, придумка с разграничением фаерволом хороша, но только если у вас есть планы на будущее по добавлению "исключений", иначе проще это разрулить в роут - рулес, просто запретив общение между сетями всего несколькими правилами. И опять таки, с вашей текущей конфигурацией можно будет сломать голову где и что запрещено и потом это выискивать. Плюс ко всему вы собираетесь на обоих коммутаторах дублировать правила? Зачем? Не проще все таки все это сделать на "голове"?
З.Ы. все это имхо и дело конечно ваше, но пока все это выглядит очень странно, непонятно и запутано, по крайней мере на мой взгляд. :hi_hi_hi:

Спасибо за замечание - очень даже в тему и кое-что прояснило. Если я вас правильно понял, то на 3011:
1) Бридж (назовем бридж12) портов 1 и 2
2) на бридж накидываются нужные вланы (vlan20, vlan30, vlan40)
3) Вланам прописываются разные dhcp (10.50.20.0/24, 10.50.30.0/24, 10.50.40.0/24)
4) Бридж12 бриджуется с каждым вланом (назовем: бридж12_20, бридж12_30, бридж12_40)

А какие теперь действия-то провести необходимо на коммутаторах, что провести разграничение сети на вланы? Бридж первого порта и X портов, а дальше?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На 3011, на первый и второй порты развешиваете свои вланы, т.е. на первом порту 20, 30, 40 и на втором точно так же, дальше объединяете вланы с разных портов между собой бриджами т.е. 20й с первого порта объединяете бриджом с 20м со второго, точно так же поступаете с 30 и 40 и на эти бриджи уже вешаете dhcp, таким образом мы подготовили транк в сторону коммутаторов и подняли единый dhcp на всю сеть стразу. На комутаторе, на первый порт точно так же вешаете все три влана и уже эти вланы бриджуете с необходимыми портами, все, порт который сбриждован с нужным вланом на комутаторе становится аксес портом для этого влана и хост подключенный к этому порту получит адрес из необходимой подсети.
Дальше идете обратно на 3011, в IP > Rotes > Rules и там вояете правила для разграничения доступа между сетями, по типу

Код: Выделить всё

/ip route rule
add action=unreachable dst-address=10.50.30.0/24 src-address=10.50.20.0/24
add action=unreachable dst-address=10.50.20.0/24 src-address=10.50.30.0/24

В данном случаем мы запретили общение между 20 и 30 подсетями полностью, соответственно правил у вас будет побольше. Завсегдатые говорили, что именно такой конструкции(два правила для запрета между двумя подсетями) необязательно, достаточно только первой или второй строчки, т.к. все равно общение хотя бы в одну сторону запрещено, но решать вам. Ну и на этом какбэ всё.
Только не понятно зачем вам еще 10 влан на 3 и 4 портах...


unholyone
Сообщения: 0
Зарегистрирован: 14 авг 2017, 19:49

KARaS'b писал(а):На 3011, на первый и второй порты развешиваете свои вланы, т.е. на первом порту 20, 30, 40 и на втором точно так же, дальше объединяете вланы с разных портов между собой бриджами т.е. 20й с первого порта объединяете бриджом с 20м со второго, точно так же поступаете с 30 и 40 и на эти бриджи уже вешаете dhcp, таким образом мы подготовили транк в сторону коммутаторов и подняли единый dhcp на всю сеть стразу. На комутаторе, на первый порт точно так же вешаете все три влана и уже эти вланы бриджуете с необходимыми портами, все, порт который сбриждован с нужным вланом на комутаторе становится аксес портом для этого влана и хост подключенный к этому порту получит адрес из необходимой подсети.
Дальше идете обратно на 3011, в IP > Rotes > Rules и там вояете правила для разграничения доступа между сетями, по типу

Код: Выделить всё

/ip route rule
add action=unreachable dst-address=10.50.30.0/24 src-address=10.50.20.0/24
add action=unreachable dst-address=10.50.20.0/24 src-address=10.50.30.0/24

В данном случаем мы запретили общение между 20 и 30 подсетями полностью, соответственно правил у вас будет побольше. Завсегдатые говорили, что именно такой конструкции(два правила для запрета между двумя подсетями) необязательно, достаточно только первой или второй строчки, т.к. все равно общение хотя бы в одну сторону запрещено, но решать вам. Ну и на этом какбэ всё.
Только не понятно зачем вам еще 10 влан на 3 и 4 портах...

Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Ну выше же Вам описали подробно как делать виланы и как их объединять через бриджи, и также выше, в примере приводилось, что если
надо трафику который бегает в вилане 20, раздавать адресацию по DHCP - то DHCP проще настроить на роутере, поэтому настраиваете
DHCP-сервер на нужном бридже и он начинает работать, а чтобы DHCP-сервис сам начал работать, ему нужно задать адрес (адрес задаём естественно на бридже),
а значит по этому адресу можно к роутеру из 20-го вилана обращаться напрямую.

ТО есть подытожим: если у Вас есть 20,30 и 40 виланы, то у Вас есть на роутере ТРИ бриджа, (каждый отвечает за трафик своего вилана),
и соответственно если Вы на бриджи установите адресацию (на каждом бридже свою адресацию естественно) - то Вы будете
видеть роутер из каждого вилана по его IP.

Или создавайте ещё один бридж (ни никак не связанный с виланами), задавайте этому бриджу адресацию локальной сети,
добавляйте туда порт скажем 5й, и подключайте его в обычную сеть (нативный трафик), и сможете на роутер заходить из обычной сети.

Вариаций тут разных много.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Тут все зависит от того, из какой сети вы хотите стучать.


unholyone
Сообщения: 0
Зарегистрирован: 14 авг 2017, 19:49

Vlad-2 писал(а):
unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Ну выше же Вам описали подробно как делать виланы и как их объединять через бриджи, и также выше, в примере приводилось, что если
надо трафику который бегает в вилане 20, раздавать адресацию по DHCP - то DHCP проще настроить на роутере, поэтому настраиваете
DHCP-сервер на нужном бридже и он начинает работать, а чтобы DHCP-сервис сам начал работать, ему нужно задать адрес (адрес задаём естественно на бридже),
а значит по этому адресу можно к роутеру из 20-го вилана обращаться напрямую.

ТО есть подытожим: если у Вас есть 20,30 и 40 виланы, то у Вас есть на роутере ТРИ бриджа, (каждый отвечает за трафик своего вилана),
и соответственно если Вы на бриджи установите адресацию (на каждом бридже свою адресацию естественно) - то Вы будете
видеть роутер из каждого вилана по его IP.

Или создавайте ещё один бридж (ни никак не связанный с виланами), задавайте этому бриджу адресацию локальной сети,
добавляйте туда порт скажем 5й, и подключайте его в обычную сеть (нативный трафик), и сможете на роутер заходить из обычной сети.

Вариаций тут разных много.


Вы говорите про "постучаться на роутер", у меня же как раз был интерес в "постучаться на коммутатор". С роутером вопросов по доступу на него вообще не возникло.

KARaS'b писал(а):
unholyone писал(а):Спасибо, разобрался теперь на практике. Только вопрос остался - а как при такой конфигурации назначить IP адрес коммутатору, чтобы на него можно было постучаться (winbox) из сети? Шлюз и dhcp мы же не назначаем ему

Тут все зависит от того, из какой сети вы хотите стучать.


С роутером проще - разрешаю input с, например, управленческой сети, с 10.50.20.0/24. Как выдать статический IP, относящийся, например, к той управленческой сети, чтобы на коммутатор можно было зайти по винбокс?


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Ну раз 20я подсеть у вас под управление, то на коммутаторах на бридж объединяющий 20 влан и какие-то порты, которые вы сами выбирали, повесьте или стат. адрес из 20й подсети, вручную укажите необходимый днс и в роутах пропишите маршруту где гетвэем будет 3011, или просто поднимите на нем DHCP клиента и все это случится автоматически, оба варианта рабочие, выбирать вам.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

unholyone писал(а):Головной маршрутизатор 3011, 2 коммутатора CRS125.
План действий:
1) На маршрутизаторе (интернет приходит через SFP модуль) первые 2 порта в бридж, на него 3 влана (20, 30, 40), на вланы 3 разных dhcp-сервера с 30-ой маской. 3 и 4 порты в бридж,на него влан10, на него dhcp.

Зачем бридж?
Если у вас не хватает портов на CRS и нужны порты на 3011, то поднимите аппаратную коммутацию, иначе используйте его только как маршрутизатор.
Не забывайте про особенность второго чипа коммутации при работе с sfp.


unholyone писал(а):2) На левом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.0/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.0/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.0/24.

3) На правом коммутаторе первый порт подключен к маршрутизатору.
Первый порт бриджуем с X портами, вешаем vlan20, на влан dchp-сервер с 10.50.20.101/24.
Этот же первый порт бриджуем с Y портами, вешаем vlan30, на влан - 10.50.30.101/24.
Этот же первый порт бриджуем с Z портами, вешаем vlan40, на влан - 10.50.40.101/24.

Я бы всю маршрутизацию и L3 функционал (dhcp) перенес на 3011, а на CRS оставил L2 и адрес для управления. Ну и конечно же использовал CRS только как коммутаторы!
В помощь вам статья по настройке CRS Настройка коммутатора MikroTik CRS125-24G-1S-RM

unholyone писал(а):На коммутаторах прописываем правила фаервола, чтобы пользователи из разных vlan "не видели " друг-друга.

Это вообще не надо делать, т.к. по умолчанию vlan-ы друг друга не видят, на то они и vlan-ы!
А вот на маршрутизаторе надо будет запретить.


Александр
Ответить