Russian Users MikroTik | Форум пользователей MikroTik

Допустим vlan_100 - сеть ip видеонаблюдения, vlan_101 - локалка. Так вот идин или два хоста из локалки могли бы как минимум пропинговать, а лучьше и получить трафик с vlan_100(ip-камер).

В обще не вижу проблем. Если сети разные то без доп настроек пакеты из обоих сетей будут бегать. По крайней мере в базовой настройке именно так и будет
Обычно просят настроить изоляцию )))

А что vlan разве не изолирует? :(

смотря что вкладывать в слово изолирует )))

Если у вас в фильтрах ничего не настроено то отработает маршрутизация между сетями которые у вас в вланах и все будет видно с двух сторон

Уважаемый qwerty,

вы продумайте свою задачу заново более глубоко. Может VLAN вам вообще не нужны. Достаточно, как советует vqd, разделить задачи на подсети.

1. VLAN (2 уровень OSI) обычно используют, чтобы передать в одном канале (грубо говоря в по одному кабелю Ethernet) несколько подсетей, в том числе, например, сетей с одинаковой IP адресацией. При этом, как только VLAN достиг нужной точки, обычно тег снимается и далее уже трафик потребителям идет не тегированный. Следует иметь ввиду, что далеко не все клиенты сети вообще умеют работать с тегированным трафиком.

2. VLAN никого отношения не имеет к так называемой "видимости" устройств друг друга по специальным протоколам прикладного взаимодействия (SMB, NFS, RTSP и так далее, это вообще уже 6 и 7 уровни OSI). Такие ограничения осуществляется маршрутизаторами. Что обычно и делают с помощью микротика.

Ну не всегда так, обычно так делают у конечного юзера.
Мегафон например выдает свои улуги сразу в влане, даже если услуга одна

А так часто встречал когда юзеров от систем видеонаблюдения вланами отделяют, причем на уровне коммутаторов, а на пограничном роутере уже спокойно хождение трафика настраивают.

Вот недавно буквально инфраструктуру в конторе настраивал, там там видеонаблюдение в один ВЛАН закинули, Юзеров во второй, бухов в третий, VoIP в четвертый. Админ перся от того что он может спокойно все централизованно разграничить и все мониторить и при этом ничего лишнего не тянуть


К стати вот интересный вопрос.
Сидел тут модель выбирал для построения GPON сети, Выбирал между "Влан на абонента" и "Влан на сервис"
Влан на сервис конечно вроде как удобнее и устройства можно пачками сразу запускать без лишних телодвижений, но вот остановился на варианте "Влан на абонента"

Пока вот не придумал каким боком мне это вылезти может

Я читал про vlan-ы, что если хост не принадлежит vlan-у, то даже если продвинутый юзверь пропишет на хосте ip-шник подсети vlan-а, то не получит доступ к подсети в отличие от простого разбиениия на подсети без использования vlan-ов, где прописав нужный ip-шник получаешь доступ к нужной подсети.

Это не так? Нужны ещё настройки в фаервале?

А причем тут пропишет ИП и доступ не получит? Это ни как не связанно. VLAN - это по сути кусок виртуальной проволки который тянется от вашего юзера/коммутатора до пограничного шлюза.

Собственно все.

если у вас типовая сеть без нарезки на сегменты то как правило она замыкается на коммутаторе и особо вы с этим ничего не сделаете, ВЛАНы же позволяют ее сегментировать спокойно и затем уже например управлять хождением трафика между этими сегментами

Вот элементарный пример.
Есть сеть А и сеть Б, каждая в своем влане. Сети изолированны друг от друга, но допустим есть некий принтер в сети А на который так же надо печатать из сети б, эту задачу вы преспокойно решите одним правилом в фильтрах

Вот, вот, вот!
Приблизительно этого я и добиваюсь. :)

Что нужно для этого сделать??? (сначала изолировать и потом пустить пару машин из одной подсети в другую)