Маршрутизация по VLAN

Обсуждение оборудования и его настройки
Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Доброго времени суток. Народ прошу прощения если такая тема уже есть, просто не знаю что искать. Вопрос в следующем, имеется физический кабель от провайдера. В нем 3 VLAN'а.
допустим 5,6,7.
5-это телефония, 6-сеть между филиалами, 7 - интернет. Не могу понять как на микротике реализовать маршрутизацию. В центральном офисе сеть 1.1.1.0, сеть между филиалами, 1.1.2.0, интернет 55.55.55.55/30
По сути все должно быть прозрачно изнутри, точка доступа в инет одна, в центральном. Вот что то я задумался, не могу понять как растегировать и тегировать трафик. Подмогите.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да вроде всё просто.

1) у Вас порт от провайдера (скажем что это ether1)
2) на порту ether1 делаете 3 вилана Ваши(ну или провайдерские) = итого у Вас будет порт с Интернетом + 3 вилана-интерфейса.
3) за(даёте) им адресацию (то есть явно на виланы интерфейсы ставите адресацию, если требуется по условиям/или временно на тесты/прогоны)
4) Уже на этом этапе у Вас на микротике за-терминированы 3 виланы, 3 сети, и доступы уже есть.
4.1) можете поднимать уже DHCP сервера на микротике и привязывать их к виланам и делать рабочие сети с нужными данными/адресацией.

Ну а дальше, принимаете Интернет, настраиваете файрвол, НАТите кого и кому можно, ну а на счёт сетей внутри виланов,
также описываете доступы кому куда можно/нельзя. И с удалённых офисов если Ваш провайдер также делает,
то делаете с виланами всё также и трафик (например) вилана 3 что в офисе первом, что в головном = внутри вилана будет как в обычной сети.

Ну а так как микротик является шлюзом, то маршрутизацию сделать между офисами/между виланами = тоже нет проблем.
Вилан = тот же ether1 = тот же интерфейс, с теми же правами, возможностями, и от вилана можно и НАТить также. :mi_ga_et:



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Спасибо, Так и сделал, просто в сеть пока не вводил, пока просто подготовил, показалось что всё немного "слишком просто".
Если я вас правильно понял говорить что делать с заголовками не надо он сам на входе их уберет а на выходе добавит?. Получается работать как с обычными интерфейсами в самом микротике, (так же как если бы это были физическими интерфейсами)?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Stazot писал(а):Если я вас правильно понял говорить что делать с заголовками не надо он сам на входе их уберет а на выходе добавит?. Получается работать как с обычными интерфейсами в самом микротике, (так же как если бы это были физическими интерфейсами)?

Ну к Вам заголовки уже тегированные идут, Вы создали нужный вилан, с правильным id (с таким каким и приходит трафик),
соответственно сам вилан-интерфейс будет работать, а вот если вилан дальше передавать, вот тут уже надо что-то делать.
А пока как я и писал выше, создали вилан, дали ему адрес = всё. Вы внутри вилан-сети этой.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Спасибо большое


Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Тут возник еще не большой вопрос, может кто сталкивался. Если я на внешний интерфейс фаерволом трафик закрою, на VLAN интерфейсы трафик пойдет. теоретически не должен. Не кидайте помидорами, с Vlanми раньше не сталкивался.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Stazot писал(а):Тут возник еще не большой вопрос, может кто сталкивался. Если я на внешний интерфейс фаерволом трафик закрою, на VLAN интерфейсы трафик пойдет. теоретически не должен. Не кидайте помидорами, с Vlanми раньше не сталкивался.

Теоретически пойдёт(будет) трафик, ибо вилан и вилан-интерфейс - это разное относительно Вашего WAN интерфейса.
Да и в файрволе Вы оперируете чаще и обычно уже адресацией (IP я имею ввиду), а вилан(ы) это L2-уровень и это ниже.
Поэтому смотрите, анализируйте, проверяйте...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Блин туплю как ВалИнок сиМбирский.
По одному из вланов приходит SIP мне его на прямую через бридж выводить в интерфейс или надо как то перенаправлять его через основной маршрутизатор.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Stazot писал(а):Блин туплю как ВалИнок сиМбирский.
По одному из вланов приходит SIP мне его на прямую через бридж выводить в интерфейс или надо как то перенаправлять его через основной маршрутизатор.

Ну чтобы ответить, теперь мне надо Вас понять.
1) Микротик на котором Вы принимаете и основной маршрутизатор - это одно и тоже ?
2) Приняли вилан на порту WAN, через бридж объединили с портом (скажем 4й), всё, на выходе с 4го порта у Вас трафик без тега (Ваш голосовой).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Stazot
Сообщения: 23
Зарегистрирован: 10 янв 2018, 10:10

Vlad-2 писал(а):Ну чтобы ответить, теперь мне надо Вас понять.
1) Микротик на котором Вы принимаете и основной маршрутизатор - это одно и тоже ?
--- ДА
Vlad-2 писал(а):2) Приняли вилан на порту WAN, через бридж объединили с портом (скажем 4й), всё, на выходе с 4го порта у Вас трафик без тега (Ваш голосовой).
я тоже себе так представляю.
Но вот не задача, На оборудовании которое сейчас стоит(DFL210), нет VLAN интерфейса под SIP. SIP Воткнут в LAN(это свич из 4 портов) и трафик (UDP 5060) идет череч шлюз роутера по (интернет влану)
И Интересно, я не могу подключиться по SSH на Vlan interface (IP из одной подсети в ручную ) но ping-и идут. WinBox тоже не работает.


Ответить