VLAN на портах роутера и маршрутизация между ними

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Rensant
Сообщения: 6
Зарегистрирован: 16 сен 2019, 17:18

Доброго времени суток!
Есть сеть размера /24, и в ней находятся: роутер mikrotik rb3011uias, в который приходит пара кабелей от провайдеров и несколько неуправляемых свичей, к которым подключены компьютеры, принтеры, серверы и т.д. То есть одна логическая сеть и один широковещательный домен, всем доступен интернет.
Возможно ли настроить VLAN на портах роутера, куда приходит кабель от свича так, чтобы:
1) осталась адресация исходной логической сети
2) так же корректно работал DHCP в диапазоне адресов этой сети для всех VLAN
3) все оборудование за каждым из свичей имело свой широковещательный домен, но при этом могло взаимодействовать с любым другим устройством в сети (собственно нужна какая-то маршрутизация)
Цель состоит в том, чтобы сегментировать сеть из соображений отказоустойчивости и физического расположения оборудования, при этом сохранив принцип распределения IP адресов.

Карта сети:
Изображение


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Не очень понятно что именно вы хотите, т.к. vlan предназначен для прямо противоположных задач - сегментировать сеть с большим количеством устройств и\или для разграничения этих сетей в том числе и по доступу. У вас же есть желание оставить все как есть но зачем-то внедрить вланы, которые тут ну никак не уместны да и не нужны при вашей-то маске 24. Так же непонятно что вы подразумеваете под "отказоустойчивостью, вланы тут тоже довольно неуместны, т.к. никак не смогут на нее повлиять, потому что как говорил выше, имеют совершенно другое предназначение.
Опишите свои реальные пожелания привязанные к каким-то реальным фактам, без обобщенных понятий как это сделали сейчас.


Rensant
Сообщения: 6
Зарегистрирован: 16 сен 2019, 17:18

KARaS'b писал(а): 17 янв 2020, 01:25 Не очень понятно что именно вы хотите, т.к. vlan предназначен для прямо противоположных задач - сегментировать сеть с большим количеством устройств и\или для разграничения этих сетей в том числе и по доступу. У вас же есть желание оставить все как есть но зачем-то внедрить вланы, которые тут ну никак не уместны да и не нужны при вашей-то маске 24. Так же непонятно что вы подразумеваете под "отказоустойчивостью, вланы тут тоже довольно неуместны, т.к. никак не смогут на нее повлиять, потому что как говорил выше, имеют совершенно другое предназначение.
Опишите свои реальные пожелания привязанные к каким-то реальным фактам, без обобщенных понятий как это сделали сейчас.
Дело в том, что если в сети происходит некая неполадка, сетевой шторм или что-то другое, что парализует работу сети (авария какого-либо сетевого устройства) - то в таком случае приходится искать виновника везде, последовательно отключая свичи от роутера и в зависимости от результата искать дальше по каждому линку. Если же на портах роутера будет влан, то в случае подобной неполадки отвалится только тот сегмент сети, который ограничен вланом на конкретном порту, остальная же сеть будет работать как в ни в чем не бывало, и диагностика в таком случае будет более быстрой (поправьте меня, если я ошибаюсь).
Да, адресацию хотелось бы сохранить ради удобства, но если это невозможно сделать или слишком непросто, то я выделю отдельные подсети для каждого влана и настрою DHCP для каждой подсети.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Rensant писал(а): 17 янв 2020, 12:45 Дело в том, что если в сети происходит некая неполадка, сетевой шторм или что-то другое, что парализует работу сети (авария какого-либо сетевого устройства) - то в таком случае приходится искать виновника везде, последовательно отключая свичи от роутера и в зависимости от результата искать дальше по каждому линку. Если же на портах роутера будет влан, то в случае подобной неполадки отвалится только тот сегмент сети, который ограничен вланом на конкретном порту, остальная же сеть будет работать как в ни в чем не бывало, и диагностика в таком случае будет более быстрой (поправьте меня, если я ошибаюсь).
Да, адресацию хотелось бы сохранить ради удобства, но если это невозможно сделать или слишком непросто, то я выделю отдельные подсети для каждого влана и настрою DHCP для каждой подсети.
Странно что у вас в сети с 24 маской есть какие-то проблемы. В любом случае даже при сохранении адресации вам придется бить 24 сеть на несколько поменьше и если кол-во свичей на картинке соответствует реальности, то вам минимум нужна 27 маска, а это всего по 30 адресов в сети, т.е. прикидывайте, хватит ли вам таких кусков.
Но по хорошему это глупость, можно оставить ту сеть что есть у вас для всего аля серверного оборудования, а клиентов уже распихать по новым сетям. Если "серверное" оборудование кучкуется где-то в одном месте то вам и вланы не нужны, просто на каждый порт повесьте по отдельной сети, а микрот по умолчанию вам будет их маршрутизировать. Но если у вас есть всякие железки которым нельзя менять адреса, то малой кровью вы не отделаетесь, придется или переносить их куда-то, если это возможно, или искать "умные" свичи и вот тут да, вам понадобятся вланы, что бы отделять клиентов от всего и все от клиентов, ну или как-то иначе). В любом случае слишком мало данных вы предоставили и конкретно по ним ничего подсказать не получится.


Rensant
Сообщения: 6
Зарегистрирован: 16 сен 2019, 17:18

Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.
Еще один вопрос - следует ли объединять получившиеся вланы в бридж?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Rensant писал(а): 19 янв 2020, 12:17 Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.
Всё таки Вы как-то не так понимаете виланы.

Важен не порт или их кол-во, важно сама гибкость вилана.
Смотрите, у Вас 5 сетей, пусть будут каждая по /24 маске, и соответственно у Вас 5-ь виланов.
Сети эти: скажем бухи, вифи(2-3 сети), видеонаблюдение, служебная.
Вот и удобство виланов в том, что любой порт на управляемом свитче Вы можете в любой момент
переключить/настроить на нужный вилан и всё, воткнули вифи точку, 2-3 вилана на порт привели,
всё заработало, воткнули камеру, прописали нужный вилан, всё, камера уже со всеми остальными
камерами в одном пространстве, при этом они разнесены относительно друг друга.

Провайдеров я тоже бы виланом пропускал, в моём случаи, когда у меня несколько адресов,
то обернув трафик провайдера виланом, я могу этот трафик направить или сразу на нужный
порт свитча и оттуда на сервер или сразу виланом (без снятия тега) отправлять на виртуальную машину.

И ответ:
Rensant писал(а): 19 янв 2020, 12:17 Еще один вопрос - следует ли объединять получившиеся вланы в бридж?
ОТВЕТ: НЕТ, скажите Вы будете рады объединить 220в и 12в вместе?
Думаю вряд ли :-) , так и тут, Вы виланы сделали и бриджом их замыкаете.
Вилан это условно говоря физика (но виртуальная), это когда в одном кабеле,
не пересекаясь идут 2-5 разных вида трафика, они разделены (сущность вилана),
но если Вы на каком-то устройстве в бридже 2 вилана соедините (порой надо такое делать,
но это скорее исключение), Вы фактически замкнёте виланы.

И ещё как бы совет: вилан это всегда настройка с двух сторон, то есть если Вы делаете
виланы, то как минимум с двух сторон надо делать это или настраивать это.
То есть с одной стороны виланы породили, значит на другой стороне мы должны
иметь оборудование которое их может принять и сделать какие-то манипуляции.

P.S.
Сумбурно наверно, но как получилась и как мысль шла...
Советую почитать о виланах побольше для понимания их сущности.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Rensant писал(а): 19 янв 2020, 12:17 Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.
Еще один вопрос - следует ли объединять получившиеся вланы в бридж?
И еще раз повторю, при текущей конфигурации и текущем оборудовании вланы вам ненужны и вы не сможете их применять. Что бы использовать вланы вам нужно что бы оборудование на другом конце микротика точно так же понимало эти вланы, а у вас тупые свичи которые хорошо если будут пропускать тегированный трафик, а может быть такое что и пропускать его даже не будут. В данный момент вам достаточно выкинуть небобходимые порты из брижда если он есть, на каждом порту задать свою сеть с присвоением адреса из каждой сети интерфейсу микротика и настроить DHCP если оно нужно и если у вас не нагорожено в фаерволе сети начнут маршрутизироваться между собой. Вланы вам понадобятся если у вас появятся управляемые свичи и за этими свичами буду устройсва из разных подсетей, только в таком случае вам придется настраивать их.


Rensant
Сообщения: 6
Зарегистрирован: 16 сен 2019, 17:18

С бриджем вопросов больше не осталось :a_g_a: Подтвердили мои предположения, сам где-то читал, что бридж в микротике в общем случае является широковещательным доменом. Я же хочу ограничить этот самый домен ранее указанными подходами.
KARaS'b писал(а): 19 янв 2020, 13:00 И еще раз повторю, при текущей конфигурации и текущем оборудовании вланы вам ненужны и вы не сможете их применять. Что бы использовать вланы вам нужно что бы оборудование на другом конце микротика точно так же понимало эти вланы, а у вас тупые свичи которые хорошо если будут пропускать тегированный трафик, а может быть такое что и пропускать его даже не будут. В данный момент вам достаточно выкинуть небобходимые порты из брижда если он есть, на каждом порту задать свою сеть с присвоением адреса из каждой сети интерфейсу микротика и настроить DHCP если оно нужно и если у вас не нагорожено в фаерволе сети начнут маршрутизироваться между собой. Вланы вам понадобятся если у вас появятся управляемые свичи и за этими свичами буду устройсва из разных подсетей, только в таком случае вам придется настраивать их.
Применять не смогу, но настроить на роутере вполне.
Допустим, я выяснил, что свичи пропускают кадры с тэгами. И я все же делаю вланы с заделом на будущие свичи ( сколько их надо и что за оборудование в них может входить мне известно), каждому дам подсеть, настрою DHCP - только результат на данный момент получу такой же, как и без вланов вообще.
Здесь же нет какой-то критичной разницы в нагрузке на роутер / особенностях маршрутизации / настройках фаервола?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Rensant писал(а): 19 янв 2020, 15:30 И я все же делаю вланы с заделом на будущие свичи
Уделите час и почитайте в инете что-такое Vlan. Главное vlan строится не на порту, а между портами. Основная суть вланов в том что между двумя портами по каналу связи передаются данные разных сетей и при этом сети остаются изолированными. То есть виртуально несколько каналов связи, как будто вместо одного кабеля у Вас несколько и в разные свичи.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Rensant
Сообщения: 6
Зарегистрирован: 16 сен 2019, 17:18

Ca6ko писал(а): 20 янв 2020, 11:18
Rensant писал(а): 19 янв 2020, 15:30 И я все же делаю вланы с заделом на будущие свичи
Уделите час и почитайте в инете что-такое Vlan. Главное vlan строится не на порту, а между портами. Основная суть вланов в том что между двумя портами по каналу связи передаются данные разных сетей и при этом сети остаются изолированными. То есть виртуально несколько каналов связи, как будто вместо одного кабеля у Вас несколько и в разные свичи.
Вас понял, что ж, пойду просвещаться.

З.Ы.: Спасибо всем откликнувшимся.


Ответить