Russian Users MikroTik | Форум пользователей MikroTik

Доброго времени суток!
Есть сеть размера /24, и в ней находятся: роутер mikrotik rb3011uias, в который приходит пара кабелей от провайдеров и несколько неуправляемых свичей, к которым подключены компьютеры, принтеры, серверы и т.д. То есть одна логическая сеть и один широковещательный домен, всем доступен интернет.
Возможно ли настроить VLAN на портах роутера, куда приходит кабель от свича так, чтобы:
1) осталась адресация исходной логической сети
2) так же корректно работал DHCP в диапазоне адресов этой сети для всех VLAN
3) все оборудование за каждым из свичей имело свой широковещательный домен, но при этом могло взаимодействовать с любым другим устройством в сети (собственно нужна какая-то маршрутизация)
Цель состоит в том, чтобы сегментировать сеть из соображений отказоустойчивости и физического расположения оборудования, при этом сохранив принцип распределения IP адресов.

Карта сети:

Не очень понятно что именно вы хотите, т.к. vlan предназначен для прямо противоположных задач - сегментировать сеть с большим количеством устройств и\или для разграничения этих сетей в том числе и по доступу. У вас же есть желание оставить все как есть но зачем-то внедрить вланы, которые тут ну никак не уместны да и не нужны при вашей-то маске 24. Так же непонятно что вы подразумеваете под "отказоустойчивостью, вланы тут тоже довольно неуместны, т.к. никак не смогут на нее повлиять, потому что как говорил выше, имеют совершенно другое предназначение.
Опишите свои реальные пожелания привязанные к каким-то реальным фактам, без обобщенных понятий как это сделали сейчас.

KARaS'b писал(а): ↑17 янв 2020, 01:25 Не очень понятно что именно вы хотите, т.к. vlan предназначен для прямо противоположных задач - сегментировать сеть с большим количеством устройств и\или для разграничения этих сетей в том числе и по доступу. У вас же есть желание оставить все как есть но зачем-то внедрить вланы, которые тут ну никак не уместны да и не нужны при вашей-то маске 24. Так же непонятно что вы подразумеваете под "отказоустойчивостью, вланы тут тоже довольно неуместны, т.к. никак не смогут на нее повлиять, потому что как говорил выше, имеют совершенно другое предназначение.
Опишите свои реальные пожелания привязанные к каким-то реальным фактам, без обобщенных понятий как это сделали сейчас.

Дело в том, что если в сети происходит некая неполадка, сетевой шторм или что-то другое, что парализует работу сети (авария какого-либо сетевого устройства) - то в таком случае приходится искать виновника везде, последовательно отключая свичи от роутера и в зависимости от результата искать дальше по каждому линку. Если же на портах роутера будет влан, то в случае подобной неполадки отвалится только тот сегмент сети, который ограничен вланом на конкретном порту, остальная же сеть будет работать как в ни в чем не бывало, и диагностика в таком случае будет более быстрой (поправьте меня, если я ошибаюсь).
Да, адресацию хотелось бы сохранить ради удобства, но если это невозможно сделать или слишком непросто, то я выделю отдельные подсети для каждого влана и настрою DHCP для каждой подсети.

Rensant писал(а): ↑17 янв 2020, 12:45 Дело в том, что если в сети происходит некая неполадка, сетевой шторм или что-то другое, что парализует работу сети (авария какого-либо сетевого устройства) - то в таком случае приходится искать виновника везде, последовательно отключая свичи от роутера и в зависимости от результата искать дальше по каждому линку. Если же на портах роутера будет влан, то в случае подобной неполадки отвалится только тот сегмент сети, который ограничен вланом на конкретном порту, остальная же сеть будет работать как в ни в чем не бывало, и диагностика в таком случае будет более быстрой (поправьте меня, если я ошибаюсь).
Да, адресацию хотелось бы сохранить ради удобства, но если это невозможно сделать или слишком непросто, то я выделю отдельные подсети для каждого влана и настрою DHCP для каждой подсети.

Странно что у вас в сети с 24 маской есть какие-то проблемы. В любом случае даже при сохранении адресации вам придется бить 24 сеть на несколько поменьше и если кол-во свичей на картинке соответствует реальности, то вам минимум нужна 27 маска, а это всего по 30 адресов в сети, т.е. прикидывайте, хватит ли вам таких кусков.
Но по хорошему это глупость, можно оставить ту сеть что есть у вас для всего аля серверного оборудования, а клиентов уже распихать по новым сетям. Если "серверное" оборудование кучкуется где-то в одном месте то вам и вланы не нужны, просто на каждый порт повесьте по отдельной сети, а микрот по умолчанию вам будет их маршрутизировать. Но если у вас есть всякие железки которым нельзя менять адреса, то малой кровью вы не отделаетесь, придется или переносить их куда-то, если это возможно, или искать "умные" свичи и вот тут да, вам понадобятся вланы, что бы отделять клиентов от всего и все от клиентов, ну или как-то иначе). В любом случае слишком мало данных вы предоставили и конкретно по ним ничего подсказать не получится.

Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.
Еще один вопрос - следует ли объединять получившиеся вланы в бридж?

Rensant писал(а): ↑19 янв 2020, 12:17 Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.

Всё таки Вы как-то не так понимаете виланы.

Важен не порт или их кол-во, важно сама гибкость вилана.
Смотрите, у Вас 5 сетей, пусть будут каждая по /24 маске, и соответственно у Вас 5-ь виланов.
Сети эти: скажем бухи, вифи(2-3 сети), видеонаблюдение, служебная.
Вот и удобство виланов в том, что любой порт на управляемом свитче Вы можете в любой момент
переключить/настроить на нужный вилан и всё, воткнули вифи точку, 2-3 вилана на порт привели,
всё заработало, воткнули камеру, прописали нужный вилан, всё, камера уже со всеми остальными
камерами в одном пространстве, при этом они разнесены относительно друг друга.

Провайдеров я тоже бы виланом пропускал, в моём случаи, когда у меня несколько адресов,
то обернув трафик провайдера виланом, я могу этот трафик направить или сразу на нужный
порт свитча и оттуда на сервер или сразу виланом (без снятия тега) отправлять на виртуальную машину.

И ответ:

Rensant писал(а): ↑19 янв 2020, 12:17 Еще один вопрос - следует ли объединять получившиеся вланы в бридж?

ОТВЕТ: НЕТ, скажите Вы будете рады объединить 220в и 12в вместе?
Думаю вряд ли , так и тут, Вы виланы сделали и бриджом их замыкаете.
Вилан это условно говоря физика (но виртуальная), это когда в одном кабеле,
не пересекаясь идут 2-5 разных вида трафика, они разделены (сущность вилана),
но если Вы на каком-то устройстве в бридже 2 вилана соедините (порой надо такое делать,
но это скорее исключение), Вы фактически замкнёте виланы.

И ещё как бы совет: вилан это всегда настройка с двух сторон, то есть если Вы делаете
виланы, то как минимум с двух сторон надо делать это или настраивать это.
То есть с одной стороны виланы породили, значит на другой стороне мы должны
иметь оборудование которое их может принять и сделать какие-то манипуляции.

P.S.
Сумбурно наверно, но как получилась и как мысль шла...
Советую почитать о виланах побольше для понимания их сущности.

Rensant писал(а): ↑19 янв 2020, 12:17 Спасибо за развернутый ответ. В таком случаем буду все же использовать вланы на каждом порту (в будущем может пригодиться, если умные свичи все же будут), кроме провайдерских и для каждого назначу отдельные подсети, размера /25, адресацию придется поменять, но это меньшее зло.
Еще один вопрос - следует ли объединять получившиеся вланы в бридж?

И еще раз повторю, при текущей конфигурации и текущем оборудовании вланы вам ненужны и вы не сможете их применять. Что бы использовать вланы вам нужно что бы оборудование на другом конце микротика точно так же понимало эти вланы, а у вас тупые свичи которые хорошо если будут пропускать тегированный трафик, а может быть такое что и пропускать его даже не будут. В данный момент вам достаточно выкинуть небобходимые порты из брижда если он есть, на каждом порту задать свою сеть с присвоением адреса из каждой сети интерфейсу микротика и настроить DHCP если оно нужно и если у вас не нагорожено в фаерволе сети начнут маршрутизироваться между собой. Вланы вам понадобятся если у вас появятся управляемые свичи и за этими свичами буду устройсва из разных подсетей, только в таком случае вам придется настраивать их.

С бриджем вопросов больше не осталось Подтвердили мои предположения, сам где-то читал, что бридж в микротике в общем случае является широковещательным доменом. Я же хочу ограничить этот самый домен ранее указанными подходами.

KARaS'b писал(а): ↑19 янв 2020, 13:00 И еще раз повторю, при текущей конфигурации и текущем оборудовании вланы вам ненужны и вы не сможете их применять. Что бы использовать вланы вам нужно что бы оборудование на другом конце микротика точно так же понимало эти вланы, а у вас тупые свичи которые хорошо если будут пропускать тегированный трафик, а может быть такое что и пропускать его даже не будут. В данный момент вам достаточно выкинуть небобходимые порты из брижда если он есть, на каждом порту задать свою сеть с присвоением адреса из каждой сети интерфейсу микротика и настроить DHCP если оно нужно и если у вас не нагорожено в фаерволе сети начнут маршрутизироваться между собой. Вланы вам понадобятся если у вас появятся управляемые свичи и за этими свичами буду устройсва из разных подсетей, только в таком случае вам придется настраивать их.

Применять не смогу, но настроить на роутере вполне.
Допустим, я выяснил, что свичи пропускают кадры с тэгами. И я все же делаю вланы с заделом на будущие свичи ( сколько их надо и что за оборудование в них может входить мне известно), каждому дам подсеть, настрою DHCP - только результат на данный момент получу такой же, как и без вланов вообще.
Здесь же нет какой-то критичной разницы в нагрузке на роутер / особенностях маршрутизации / настройках фаервола?

Rensant писал(а): ↑19 янв 2020, 15:30 И я все же делаю вланы с заделом на будущие свичи

Уделите час и почитайте в инете что-такое Vlan. Главное vlan строится не на порту, а между портами. Основная суть вланов в том что между двумя портами по каналу связи передаются данные разных сетей и при этом сети остаются изолированными. То есть виртуально несколько каналов связи, как будто вместо одного кабеля у Вас несколько и в разные свичи.

Ca6ko писал(а): ↑20 янв 2020, 11:18

Rensant писал(а): ↑19 янв 2020, 15:30 И я все же делаю вланы с заделом на будущие свичи

Уделите час и почитайте в инете что-такое Vlan. Главное vlan строится не на порту, а между портами. Основная суть вланов в том что между двумя портами по каналу связи передаются данные разных сетей и при этом сети остаются изолированными. То есть виртуально несколько каналов связи, как будто вместо одного кабеля у Вас несколько и в разные свичи.

Вас понял, что ж, пойду просвещаться.

З.Ы.: Спасибо всем откликнувшимся.