Вопрос по VLAN (TRUNK, taggets and untaggets - в МикроТik это настраивается чуть по другому)

Обсуждение оборудования и его настройки
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Michael писал(а):Хм, вообще у МикроТик есть и роутерные VLAN'ы, которые настраиваются на L3, а есть и коммутационный уровень L2, пройти туда можно в WinBox => Switch => VLAN

И это что-то меняет? Ваш микротик пограничная железка, ваша основная задача разграничить сети, вланы вам нужны только на свичах, а на микротике они вам не нужны, там можно все сделать без них, что упростит конфигурацию. Более того, поскольку этот микротик ваша пограничная железка, то одними вланами на микротике вы не добьетесь разграничения, именно поэтому невзирая на вланы у вас есть доступ между сетями, это микротик будучи шлюзом для всех маршрутизирует общение между сетями, а не какой-то нат, как вы писали в соседнем посте. И вот что бы ограничить общение между ними вам нужно проделать то, что я написал выше.


Michael
Сообщения: 11
Зарегистрирован: 26 ноя 2016, 22:39

KARaS'b писал(а):И это что-то меняет? Ваш микротик пограничная железка, ваша основная задача разграничить сети, вланы вам нужны только на свичах, а на микротике они вам не нужны, там можно все сделать без них, что упростит конфигурацию. Более того, поскольку этот микротик ваша пограничная железка, то одними вланами на микротике вы не добьетесь разграничения, именно поэтому невзирая на вланы у вас есть доступ между сетями, это микротик будучи шлюзом для всех маршрутизирует общение между сетями, а не какой-то нат, как вы писали в соседнем посте. И вот что бы ограничить общение между ними вам нужно проделать то, что я написал выше.


Правильно ли я Вас понимаю, не смотря даже на то, что если я настрою VLAN'ы на этой железке через уровень L2, Switch => VLAN, когда буду настраиавать NAT, DHCP Servers, сети все равно будут между собой доступны на уровне L3 по IP адресам и нужно добиваться блокирования маршрутов? :-):

Так как в микротике все посдети видят друг друга по умолчанию. Нужно специально блокировать. http://podarok66.livejournal.com/14975.html
Последний раз редактировалось Michael 09 дек 2016, 16:37, всего редактировалось 4 раза.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Michael писал(а):
KARaS'b писал(а):И это что-то меняет? Ваш микротик пограничная железка, ваша основная задача разграничить сети, вланы вам нужны только на свичах, а на микротике они вам не нужны, там можно все сделать без них, что упростит конфигурацию. Более того, поскольку этот микротик ваша пограничная железка, то одними вланами на микротике вы не добьетесь разграничения, именно поэтому невзирая на вланы у вас есть доступ между сетями, это микротик будучи шлюзом для всех маршрутизирует общение между сетями, а не какой-то нат, как вы писали в соседнем посте. И вот что бы ограничить общение между ними вам нужно проделать то, что я написал выше.


Правильно ли я Вас понимаю, не смотря даже на то, что если я настрою VLAN'ы на этой железке через уровень L2, Switch => VLAN, когда буду настраиавать NAT, DHCP Servers, сети все равно будут между собой доступны на уровне L3 по IP адресам и нужно добиваться блокирования маршрутов? :-):

Да, вам даже товарищ gmx уже успел дать на это ответ, в вашей второй теме и я повторю за ним - на микротике поумолчанию ничто не запрещено, если вы не задали какие то ограничения то микротик сделает все, что возможно в рамках маршрутизации.


Michael
Сообщения: 11
Зарегистрирован: 26 ноя 2016, 22:39

KARaS'b писал(а):Да, вам даже товарищ gmx уже успел дать на это ответ, в вашей второй теме и я повторю за ним - на микротике поумолчанию ничто не запрещено, если вы не задали какие то ограничения то микротик сделает все, что возможно в рамках маршрутизации.


Мне очень понравился Ваш ход конем :-):

KARaS'b писал(а):Вланы только разделяют ваши сети на коммутационном оборудовании, что бы сети не пересекались на физическом уровне, а разграничение между сетями осуществляет маршрутизатор.
Точно такую же задачу я решал проще, свич в серверной отдавал мне 2 разных аксес порта, оба порта были подключены в микротик, на портах микротика уже были разные адреса и дальше все зависит от того, надо ли вам полностью ограничить сети в общении, или нужны некие исключения, соответственно вы либо полностью ограничиваете все в ip -routes - rules, либо берет фаервол и делаете так, как вам надо.


Выглядит очень внушительно :) и то что доктор прописал, но в моем случае не совсем подходит, нужно реализовать через одну железку, в таком случае мне кажется что через L2 как то можно схитрить, а может и нельзя, я подумаю и пофантазирую, обязательно отпишусь если что-то придумаю. Если вдруг будет идеи, буду рад если их озвучите. Хотя бы по разграничению на уровне маршрутизатора L3. Например поделиться соображениями которые тут http://podarok66.livejournal.com/14975.html описаны не полностью.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ого Я смежную-то тему пропустил. А тут такие баталии.

По существу: не вижу никакой проблемы в микротике. Он маршрутизатор и даже есть уровень 7, так что он отличается от обычного коммутатора 2 уровня. И у него весь функционал заточен под более высокие уровни. И это хорошо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Даже не знаю куда писать в эту тему или в смежную. Я перечитал эту тему несколько раз и...
то, что вы ищите находится в разделе bridge вкладка filters.
При добавлении фильтра во вкладке Advanced есть пункт vlan. Правда, подозреваю, что все это все же не на 2 уровне работает, а выше.
Но в целом, это именно то, что нужно. Поглядите есть In и Out interface, есть vlan, есть даже бриджи...

Я через этот функционал блокирую мультикаст на другие порты микротика, оставляю его только на порту приставки. Ну а вы, подстройте все это под свои задачи.


Michael
Сообщения: 11
Зарегистрирован: 26 ноя 2016, 22:39

gmx писал(а):Ого Я смежную-то тему пропустил. А тут такие баталии.

По существу: не вижу никакой проблемы в микротике. Он маршрутизатор и даже есть уровень 7, так что он отличается от обычного коммутатора 2 уровня. И у него весь функционал заточен под более высокие уровни. И это хорошо.


Ага, главное сделать максимально безопасными и друг друга не видящими сети, а именно VLAN'ы, чтобы самый крутой хацкер открестился от гемороя :) получить доступ именно через сеть\этот роутер с помощью сетевых тематик, т.е. чтобы слабым звеном роутер себя не чувствовал.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну VLAN - это не средство от хакеров.


Michael
Сообщения: 11
Зарегистрирован: 26 ноя 2016, 22:39

gmx писал(а):Ну VLAN - это не средство от хакеров.

Да, но один из пунктов настройки безопасности.

Сюда отнесем:
1. Грамотная настройка сети, VLAN'ы, адреса, маршрутизация.
2. Настройка FireWall (закрыть не используемые порты, отключить ICMP).
3. Разрешаем подключение по SSH, Winbox только конкретным IP сетям, другие сервисы отключаем.
...
..
.
Вообще MiktoTik можно же заDDOSить, пригрузить CPU, забить ОЗУ какими ни будь хитрыми обращениями к роутеру. Хотелось бы максимально огородить роутер от ряда проблем. Но это все БЛАЖ, другая тема для обсуждения :) и тем ни менее.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

вы поглядели bridge - filters??? Я писал чуть выше.

Не подойдет???


Ответить