Добрый день.
Помогите пожалуйста разобраться. Хочу разделить сеть на вланы.
Сеть сейчас 192.168.0.0/24
На микротике добавил вланы на интерфейс eth2 (основная сеть). С этого интерфейса кабель идет в dlink 3120 на порт 2. На вланах dhcp серверы настроил.
В длинке добавил вланы. Тестовый комп подключен к порту 11 длинка.
В длинке на влане 107 делаю порт 2 tagged, порт 11 untagged. Комп получает адрес с нужного dhcp (172.16.107.2), инет есть, сеть 192.168.0.0/24 пингуется и все хорошо.
А с моего компа сеть 172.16.107.0/24 не пингуется.
Как я понимаю в микротике если не запрещено правилами все вланы друг друга видят. А в длинке как надо сделать? Маршруты прописывать? Совсем запутался.
Сейчас хочу чтобы основная сеть видела все вланы, разобраться как это должно рабоатть, и потом уже разграничивать доступы, чтобы в итоге уйти с сети 192.168.0.0/24.
Контора у меня работает круглосуточно, и ложить сеть экспериментами возможности практически нет((
ПС. В сети 4 управляемых коммутатора
Заранее спасибо!
Сегментирование сети на VLAN (Mikrotik + D-Link)
-
- Модератор
- Сообщения: 3350
- Зарегистрирован: 01 окт 2012, 14:48
Не путайте понятия! На втором уровне OSI коммутируются только VLAN, речь про подсети не идёт. Поэтому на коммутаторах 2-го уровня подсети между собой никак не маршрутизируются. Это только микротик. Чтобы сети увидели друг друга, шлюзом на каждом компьютере должен быть микротик.
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Спасибо, понял. Но все равно немного не понял. А каким образом сделать, чтобы вланы видели друг друга? То есть, например, есть влан 107 и нужно, чтобы компьютеры из этого влана видели принтеры из влана 101 и серверы из влана 100, но не видели устройств из других вланов. Судя по прочитанным мануалам, понял что, трафик с интерфейса где вланы на микротике идет тегированный, на коммутаторе указываю на всех вланах порт в tagged, то есть через него идет трафик со всех вланов, а в untagged ставлю порт компьютера. Нужно еще маршрут указывать на коммутаторах?
- algerka
- Сообщения: 407
- Зарегистрирован: 14 дек 2011, 12:31
dima1208 писал(а):А каким образом сделать, чтобы вланы видели друг друга?
Если на втором уровне, то на микротике создаете бридж и туда добавляете два "распакованных" вилана которые должны друг друга видеть.
Если на третьем, то это обычная маршрутизация, шлюзом микротик и на на нем разрешаете forward между сетями.
Воспользуйтесь wiki.mikrotik.com, там много примеров работы с виланами.
Александр
-
- Модератор
- Сообщения: 3350
- Зарегистрирован: 01 окт 2012, 14:48
Я вот здесь описал общие способы работы с влан. Это конечно не ваш случай, но в целом будет понятнее, как вообще обстоят дела. viewtopic.php?f=15&t=5972#p31529
-
- Модератор
- Сообщения: 3350
- Зарегистрирован: 01 окт 2012, 14:48
dima1208 писал(а):Спасибо, понял. Но все равно немного не понял. А каким образом сделать, чтобы вланы видели друг друга? То есть, например, есть влан 107 и нужно, чтобы компьютеры из этого влана видели принтеры из влана 101 и серверы из влана 100, но не видели устройств из других вланов. Судя по прочитанным мануалам, понял что, трафик с интерфейса где вланы на микротике идет тегированный, на коммутаторе указываю на всех вланах порт в tagged, то есть через него идет трафик со всех вланов, а в untagged ставлю порт компьютера. Нужно еще маршрут указывать на коммутаторах?
Временно или навсегда отключите все правила фаерволла.
Проследите, чтобы все устройства в сети имели шлюз и этот шлюз должен быть - микротик. Естественно его IP может быть разный для разных сегментов, обязательно проследите, чтобы клиенты этот шлюз успешно пинговали.
И неожиданно все увидится...
-
- Сообщения: 41
- Зарегистрирован: 18 ноя 2016, 11:18
Всем спасибо, буду разбираться.