Покинуть vlan из одной сети в другую
и так чтобы пользователи 192.168.0.0/24 и 192.168.2.0/24 могли заходить на сервер 192.168.2.7 а пользователи 192.168.2.0/24 не имели доступа в сеть 192.168.0.0/24
VLAN VLAN VLAN
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
Такая задача
Покинуть vlan из одной сети в другую
и так чтобы пользователи 192.168.0.0/24 и 192.168.2.0/24 могли заходить на сервер 192.168.2.7 а пользователи 192.168.2.0/24 не имели доступа в сеть 192.168.0.0/24
Покинуть vlan из одной сети в другую
и так чтобы пользователи 192.168.0.0/24 и 192.168.2.0/24 могли заходить на сервер 192.168.2.7 а пользователи 192.168.2.0/24 не имели доступа в сеть 192.168.0.0/24
Последний раз редактировалось wolf_ktl 11 мар 2015, 12:41, всего редактировалось 1 раз.
-
gmx
- Модератор
- Сообщения: 3421
- Зарегистрирован: 01 окт 2012, 14:48
Где на схеме VLAN?
Вы уверены, что нужно через VLAN?
Почитайте вот эту тему: http://www.forummikrotik.ru/viewtopic.php?f=15&t=6180
в конце очень правильные рекомендации даны.
Вы уверены, что нужно через VLAN?
Почитайте вот эту тему: http://www.forummikrotik.ru/viewtopic.php?f=15&t=6180
в конце очень правильные рекомендации даны.
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
Красной линией отмечен vlan
-
gmx
- Модератор
- Сообщения: 3421
- Зарегистрирован: 01 окт 2012, 14:48
Может я чего-то не понимаю?
Зачем VLAN?
VLAN используется не для объединения сетей, а для их полной изоляции друг от друга.
Все ваши задачи реализуются на RB1100 путем двух-трех правил фаерволла.
Если нужно все же через VLAN, то
1. Сервер 192.168.2.7 либо сам будет тегировать, либо должен иметь второй интерфейс Eth, который будет воткнут в D-link, тегировать трафик будет уже D-link.
2. Далее тегированный трафик нужно отдать на RB1100.
3. На RB1100 заводите два одинаковых VLAN на интерфейсах: VPN и на том Eth, которым он смотрит в сторону D-link.
4. Объединяете в бридж оба VLAN.
5. Создаете VLAN на RB951 на интерфейсе VPN.
6. Объединяете VLAN в бридж с нужным вам интерфейсом Eth.
7. Прописываете необходимые Routes на обеих микротиках.
На пальцах как-то так.
Зачем VLAN?
VLAN используется не для объединения сетей, а для их полной изоляции друг от друга.
Все ваши задачи реализуются на RB1100 путем двух-трех правил фаерволла.
Если нужно все же через VLAN, то
1. Сервер 192.168.2.7 либо сам будет тегировать, либо должен иметь второй интерфейс Eth, который будет воткнут в D-link, тегировать трафик будет уже D-link.
2. Далее тегированный трафик нужно отдать на RB1100.
3. На RB1100 заводите два одинаковых VLAN на интерфейсах: VPN и на том Eth, которым он смотрит в сторону D-link.
4. Объединяете в бридж оба VLAN.
5. Создаете VLAN на RB951 на интерфейсе VPN.
6. Объединяете VLAN в бридж с нужным вам интерфейсом Eth.
7. Прописываете необходимые Routes на обеих микротиках.
На пальцах как-то так.
-
Lord3D
- Сообщения: 44
- Зарегистрирован: 04 окт 2012, 12:39
wolf_ktl писал(а):
Красной линией отмечен vlan
Делаете EoIP поверх VPN и бриджуете с VLAN. Можно также поднять несколько VLAN поверх EoIP.
-
gmx
- Модератор
- Сообщения: 3421
- Зарегистрирован: 01 окт 2012, 14:48
Да, да, да...
Я немного поспешил. VLAN напрямую через VPN не пройдет....
Нужно создавать EoIP. Но в целом механизм тот же, все на бриджах.
Хотя однозначного ограничения на передачу VLAN через VPN нет...
Я немного поспешил. VLAN напрямую через VPN не пройдет....
Нужно создавать EoIP. Но в целом механизм тот же, все на бриджах.
Хотя однозначного ограничения на передачу VLAN через VPN нет...
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
gmx писал(а):Может я чего-то не понимаю?
Зачем VLAN?
Для того, чтобы сервер из одного филиала имел ip адресс сети другого..)))
Делаете EoIP поверх VPN - это понятно ...
Вопрос в другом .. когда я VLAN созданный поверх EoIP поверх VPN ...на 1100 создаю бридж VLAN и Eth ... сеть падает ))) точнее микротик не отвечает на пинги и пропадает инет
Вопрос как в микротике... создать тегрированный VLAN и не тегрированный )))
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
Немного подправил задание
-
gmx
- Модератор
- Сообщения: 3421
- Зарегистрирован: 01 окт 2012, 14:48
wolf_ktl писал(а):
Для того, чтобы сервер из одного филиала имел ip адресс сети другого..)))
Делаете EoIP поверх VPN - это понятно ...
Вопрос в другом .. когда я VLAN созданный поверх EoIP поверх VPN ...на 1100 создаю бридж VLAN и Eth ... сеть падает ))) точнее микротик не отвечает на пинги и пропадает инет
Вопрос как в микротике... создать тегрированный VLAN и не тегрированный )))
IP адрес из другой сети назначать необязательно! У вас в руках РОУТЕР микротик, он умеет объединять разные подсети без всяких специальных действий.
Чтобы создать нетегированный трафик на интерфейсе Eth, нужно объединить в бридж этот интерфейс и ИНТЕРФЕЙС VLAN, который создан на ДРУГОМ интерфейсе Eth (не обязательно Eth, но на пальцах я не знаю как описать понятнее).
-
wolf_ktl
- Сообщения: 417
- Зарегистрирован: 25 июн 2013, 18:12
gmx писал(а):wolf_ktl писал(а):
Чтобы создать нетегированный трафик на интерфейсе Eth, нужно объединить в бридж этот интерфейс и ИНТЕРФЕЙС VLAN, который создан на ДРУГОМ интерфейсе Eth (не обязательно Eth, но на пальцах я не знаю как описать понятнее).
ну я так это и понял ... но вот у меня локалка висит на 3 порту... как мне в третий порт запихнуть VLAN так чтобы устройство, свитч который работает с VLAN могло его понять ...? )))
если его объедению в бридж VLAN и Eth3 то локалка пропадает