Настройка VLAN с тегированным и нетегированным трафиком

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
doorsman
Сообщения: 0
Зарегистрирован: 30 ноя 2017, 21:52

Спасибо, моя ошибка я в схеме ну указал что отдел это не целый этаж, а отдельно каждый цветной квадратик это отдел.
Так что понимаю без VLANов мне не обойтись.


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Во как. Вопрос - звчем так изолировать отлелы ? всё равно доступа в компютер нет, если ничего не рассшарено.
Позже появится какая нибудь общая файло-помойка и надо будет дать доступ всем.
Ну можно каждый CRS125 своим кабелем к CCR1036.
С нaчала соберите без vlan. Возножно даже не понадобится vlan.
Это просто мои мысли на тему :-):


doorsman
Сообщения: 0
Зарегистрирован: 30 ноя 2017, 21:52

По Вашему предложению я сделаю обязательно сохраню конфиги и буду играться с VLANами. Если не получиться восстановлю сохраненные конфиги и поставлю, а пока есть время на столе собрать схему без ущерба для работы сети предприятия буду пробовать все что можно(когда еще такой шанс выпадет :-) ) .
Может оно и в действительности не нужно разбивать на каждый отдел достаточно 3 штуки (1С сервер, Wi-Fi, и все остальные).


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

WiFi подять на CAPsMAN , если и все точки Mikrotik. Там уже и отделяная подсеть и блокировка трафика между клиентами при надобности.
Этаж - своя подсеть. Для начала.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Виланы нужны, во-первых, разделяя сеть виланами, мы уменьшаем домен коллизий,
а это и лучше и уменьшает в будущем бродкаст-штормов в сети, ибо они будут
ограничены отдельным виланом.

Второе, естественно, каждый важный сервис требует и полного управления и удобства,
поэтому ВиФи тоже обязательно нужно выделять в отдельный вилан, это требуется
даже для норм безопасности, как ни как по ВиФи может подключиться не доброжелатель,
поэтому тут нужен наверно два вилана, ВиФИ-сеть обычная и ВиФИ сеть гостевая.
Ну и опять же, смотря на чём ВиФи сеть делается, может быть потребуется сеть
отдельная для управления точками (точки Убикью требуют L2-сеть для администрирования).

В-третьих, явно утверждать что пользователям тем только потребуется Интернет и всё,
опрометчиво, всё меняется разом, бац, отдел съехал, на его место другой отдел заселился,
вот будет головняка потом что-то коммутировать, поэтому виланы должны быть как бы
сказать в комплексе, и должна быть возможность тут или иной порт, или группу портов
пару кликами засунуть/высунуть из одного вилана и засунуть в другой. Вот она
сущность и гибкость виланов.
(то есть у Вас в локальной сети скажем 7-10 виланов, 3 это вифи, 2 видеонаблюдение,
ну и один для 1С и так далее).

Пример:
Бац, надо подключить ещё одного 1С-клиента (аудитор на 5 дней приехал),
посадить его к бухам невозможно или нельзя, садят в другой кабинет, скажем
в приёмную или в конференц-зал, а там у Вас обычный свитч без вилана и доступов,
и что делать? А так, когда виланы "нарезаны", вы берёте, заходите
на этот свитч, порт Вы уже знаете куда Вы подключили этого аудитора, и порт19
(как пример) засовываете в вилан 11 (это сеть 1С и сервера там). Всё, после применения,
комп попадает в сеть 11 вилана, там может работать уже свой DHCP,
комп аудитора получит адрес, и может работать уже с 1С. Надо доступ в Интернет,
вот тут и вступает уже маршрутизатор, который позволяет или не позволяет
таким то сетям работать или не работать в Интернете.

Виланы хорошо, но и скорость Важна, где сможете, предусмотрите возможность
свитчи соединить их по 2гигабитным каналам, и как я говорил выше, не надо
делать коммутацию на роутере, он как бы сбоку должен быть, решать вопросы
иные, но коммутация должна быть со свитчей на свитч(узловой).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
doorsman
Сообщения: 0
Зарегистрирован: 30 ноя 2017, 21:52

Спасибо огромное за столь исчерпывающие ответы теперь я на 100% убедился в необходимости виланов.
Еще вопрос можно ли использовать RB951G-2HnD в качестве точки доступа Wi-Fi?
mafijs писал(а):WiFi подять на CAPsMAN , если и все точки Mikrotik. Там уже и отделяная подсеть и блокировка трафика между клиентами при надобности.
Этаж - своя подсеть. Для начала.

обязательно изучу эту технологию не пригодиться здесь на будущее очень актуально.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

doorsman писал(а):Спасибо огромное за столь исчерпывающие ответы теперь я на 100% убедился в необходимости виланов.

Не за что! Главное помните и я говорил, с виланами в будущем будет просто,
но чтобы было просто,гибко и удобно, эту работу по созданию виланов,
их описанию на каждом свитче и роутере - это тот процесс который надо пройти.
Опять же, сразу в документацию надо вписывать, какие виланы (названия и id),
за что отвечает, какие порты будут тегированнными, а какие нетегированными.
Поэтому внедрение виланов не сложное, особенно когда есть оборудование,
главное педантично подойти ко всему.
doorsman писал(а):Еще вопрос можно ли использовать RB951G-2HnD в качестве точки доступа Wi-Fi?

Вопрос слишком какой-то такой общий: если просто для себя в кабинете, то конечно.
А если делать правильную большую сеть вифи по организации то тут уже надо более
детально подходить, да и в качестве вифи-точки использовать роутер, зачем
покупать дороже, когда используешь всего на треть.
У Микротика есть отдельные устройства, чисто Точки Доступа, и есть разных форм,
видов,мощностей и каналов. Если уж делать ВИФИ сеть, то делать надо
приближённо правильно: то есть ставит 10-20-30 точек, правильно их расставить
по организации, то есть сделать расчёт где мёртвые зоны, где много пользователей
чаще всего и ряд других критерий есть. Вообще ВиФи сеть это отдельный комплекс.
Поэтому и подходить надо правильно-основательно.
Если сделаете сеть проводную на виланах, то ВиФи в будущем делать будет проще,
через виланы можно точек навесить много и подключив их к ближайшим свитчам,
за счёт виланов всё это сделать как единую сеть L2-уровня.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
doorsman
Сообщения: 0
Зарегистрирован: 30 ноя 2017, 21:52

Wi-Fi как основная задача пока не висит так что да RB951G-2HnD Mikrotik временное решении для себя :-): ну и в пару отделов для вайбера :-): .
А про виланы Вы мне очень доходчево объяснили очень благодарен, если во время настройки возникнут вопросы хотел бы рассчитывать на Ваши советы.


PapaTramp
Сообщения: 1
Зарегистрирован: 14 дек 2017, 02:10

Настраивал нечто подобное у себя.
Роутер: CCR1009-7G-1C-1S, два свича CSS326-24G-2S-1, свитч Ubiquiti EdgeSwitch 24 и свитч Ubiquiti EdgeSwitch 48.
Компьютеры и принтеры в сети 192.168.160.0/24.
WiFi устройства в сети .180.0/24
IP камеры в сети .150.0/24
SIP телефоны в сети .170.0/24
на рутере:

Код: Выделить всё

/interface vlan
add interface=ether6 name=TEST-VLAN vlan-id=190
add interface=ether7 name=VLAN-CAMERA-150 vlan-id=150
add interface=ether7 name=VLAN-VOIP-170 vlan-id=170
add disabled=yes interface=ether7 name=VLAN-WIFI vlan-id=180

Код: Выделить всё

/interface bridge port
add bridge=Bridge_WiFi interface=ether7

Честно говоря, я не помню, для чего запихивал ether7 в бридж.

Код: Выделить всё

/ip dhcp-server
add address-pool=LAN-POOL disabled=no interface=ether6 name=DHCP_LAN
add address-pool=WIFI-POOL authoritative=after-2sec-delay disabled=no interface=Bridge_WiFi name=DHCP_WIFI
add address-pool=CAMERA-POOL disabled=no interface=VLAN-CAMERA-150 name=DHCP-CAMERA
add address-pool=VOIP-POOL disabled=no interface=VLAN-VOIP-170 name=DHCP-VOIP
add address-pool=TEST-POOL-190 disabled=no interface=TEST-VLAN name=DHCP-TEST


На первом свиче микротика указал, что порт 23 и порт SFP используют VLAN 190, на втором свиче указал что порт 10 и SFP так же в VLAN 190.
EdgeSwitch 48:
 
(UBNT EdgeSwitch) #show vlan port all

Port Port Ingress Ingress
VLAN ID VLAN ID Acceptable Filtering Filtering Default
Interface Configured Current Frame Types Configured Current GVRP Priority
--------- ---------- -------- ------------ ---------- --------- ------- --------
0/1 1 1 Admit All Disable Disable Disable 0
0/2 1 1 Admit All Disable Disable Disable 0
0/3 1 1 Admit All Disable Disable Disable 0
0/4 1 1 Admit All Disable Disable Disable 0
0/5 1 1 Admit All Disable Disable Disable 0
0/6 1 1 Admit All Disable Disable Disable 0
0/7 1 1 Admit All Disable Disable Disable 0
0/8 1 1 Admit All Disable Disable Disable 0
0/9 170 170 Admit All Enable Enable Disable 0
0/10 170 170 Admit All Enable Enable Disable 0
0/11 170 170 Admit All Enable Enable Disable 0
0/12 170 170 Admit All Enable Enable Disable 0
0/13 1 1 Admit All Disable Disable Disable 0
0/14 170 170 Admit All Enable Enable Disable 0
0/15 170 170 Admit All Enable Enable Disable 0
0/16 170 170 Admit All Enable Enable Disable 0
0/17 1 1 Admit All Disable Disable Disable 0
0/18 170 170 Admit All Enable Enable Disable 0
0/19 1 1 Admit All Disable Disable Disable 0
0/20 170 170 Admit All Enable Enable Disable 0
0/21 170 170 Admit All Enable Enable Disable 0
0/22 170 170 Admit All Enable Enable Disable 0
0/23 170 170 Admit All Enable Enable Disable 0
0/24 1 1 Admit All Disable Disable Disable 0
0/25 1 1 Admit All Disable Disable Disable 0
0/26 1 1 Admit All Disable Disable Disable 0
0/27 1 1 Admit All Disable Disable Disable 0
0/28 170 170 Admit All Enable Enable Disable 0
0/29 170 170 Admit All Enable Enable Disable 0
0/30 170 170 Admit All Enable Enable Disable 0
0/31 170 170 Admit All Enable Enable Disable 0
0/32 170 170 Admit All Enable Enable Disable 0
0/33 170 170 Admit All Enable Enable Disable 0
0/34 150 150 Admit All Enable Enable Disable 0
0/35 170 170 Admit All Enable Enable Disable 0
0/36 1 1 Admit All Disable Disable Disable 0
0/37 1 1 Admit All Disable Disable Disable 0
0/38 170 170 Admit All Enable Enable Disable 0
0/39 1 1 Admit All Disable Disable Disable 0
0/40 1 1 Admit All Disable Disable Disable 0
0/41 1 1 Admit All Disable Disable Disable 0
0/42 1 1 Admit All Disable Disable Disable 0
0/43 1 1 Admit All Disable Disable Disable 0
0/44 1 1 Admit All Disable Disable Disable 0
0/45 1 1 Admit All Disable Disable Disable 0
0/46 1 1 Admit All Disable Disable Disable 0
0/47 1 1 Admit All Enable Enable Disable 0
0/48 1 1 Admit All Enable Enable Disable 0
0/49 1 1 Admit All Disable Disable Disable 0
0/50 1 1 Admit All Disable Disable Disable 0
0/51 1 1 Admit All Disable Disable Disable 0
0/52 1 1 Admit All Disable Disable Disable 0
3/1 1 1 Admit All Disable Disable Disable 0
3/2 1 1 Admit All Disable Disable Disable 0
3/3 1 1 Admit All Disable Disable Disable 0
3/4 1 1 Admit All Disable Disable Disable 0
3/5 1 1 Admit All Disable Disable Disable 0
3/6 1 1 Admit All Disable Disable Disable 0

EdgeSwitch 24:
 
(UBNT EdgeSwitch) #show vlan port all

Port Port Ingress Ingress
VLAN ID VLAN ID Acceptable Filtering Filtering Default
Interface Configured Current Frame Types Configured Current GVRP Priority
--------- ---------- -------- ------------ ---------- --------- ------- --------
0/1 150 150 Admit All Enable Enable Disable 0
0/2 150 150 Admit All Enable Enable Disable 0
0/3 150 150 Admit All Enable Enable Disable 0
0/4 150 150 Admit All Enable Enable Disable 0
0/5 150 150 Admit All Enable Enable Disable 0
0/6 150 150 Admit All Enable Enable Disable 0
0/7 150 150 Admit All Enable Enable Disable 0
0/8 150 150 Admit All Enable Enable Disable 0
0/9 150 150 Admit All Enable Enable Disable 0
0/10 150 150 Admit All Enable Enable Disable 0
0/11 1 1 Admit All Disable Disable Disable 0
0/12 1 1 Admit All Disable Disable Disable 0
0/13 1 1 Admit All Disable Disable Disable 0
0/14 1 1 Admit All Disable Disable Disable 0
0/15 1 1 Admit All Disable Disable Disable 0
0/16 1 1 Admit All Disable Disable Disable 0
0/17 1 1 Admit All Disable Disable Disable 0
0/18 1 1 Admit All Disable Disable Disable 0
0/19 1 1 Admit All Disable Disable Disable 0
0/20 1 1 Admit All Disable Disable Disable 0
0/21 170 170 Admit All Enable Enable Disable 0
0/22 1 1 Admit All Disable Disable Disable 0
0/23 1 1 Admit All Disable Disable Disable 0
0/24 1 1 Admit All Enable Enable Disable 0
0/25 1 1 Admit All Disable Disable Disable 0
0/26 1 1 Admit All Disable Disable Disable 0
3/1 1 1 Admit All Disable Disable Disable 0
3/2 1 1 Admit All Disable Disable Disable 0
3/3 1 1 Admit All Disable Disable Disable 0
3/4 1 1 Admit All Disable Disable Disable 0
3/5 1 1 Admit All Disable Disable Disable 0
3/6 1 1 Admit All Disable Disable Disable 0

Т.е. у меня часть устройств в VLAN, часть - в дефолтном VLAN. У нас еще не до конца определились в сетками, рабочими местами и тд, потому и такая половинчатость. Хотя нет ничего более постоянного, чем временное :)


kowalsky
Сообщения: 16
Зарегистрирован: 24 июл 2016, 11:29
Откуда: Москва

Подскажите как нетегированный трафик сделать тегированным. Предположим на ether24 пришел трафик как мне на него повесить метку и далее уже транком отправить с остальными вланами.


Ответить