Страница 1 из 2
VLAN VLAN VLAN
Добавлено: 10 мар 2015, 14:19
wolf_ktl
Такая задача
Покинуть vlan из одной сети в другую
и так чтобы пользователи 192.168.0.0/24 и 192.168.2.0/24 могли заходить на сервер 192.168.2.7 а пользователи 192.168.2.0/24 не имели доступа в сеть 192.168.0.0/24
Re: VLAN VLAN VLAN
Добавлено: 10 мар 2015, 14:32
gmx
Где на схеме VLAN?
Вы уверены, что нужно через VLAN?
Почитайте вот эту тему:
http://www.forummikrotik.ru/viewtopic.php?f=15&t=6180в конце очень правильные рекомендации даны.
Re: VLAN VLAN VLAN
Добавлено: 10 мар 2015, 14:37
wolf_ktl
Красной линией отмечен vlan
Re: VLAN VLAN VLAN
Добавлено: 10 мар 2015, 18:14
gmx
Может я чего-то не понимаю?
Зачем VLAN?
VLAN используется не для объединения сетей, а для их полной изоляции друг от друга.
Все ваши задачи реализуются на RB1100 путем двух-трех правил фаерволла.
Если нужно все же через VLAN, то
1. Сервер 192.168.2.7 либо сам будет тегировать, либо должен иметь второй интерфейс Eth, который будет воткнут в D-link, тегировать трафик будет уже D-link.
2. Далее тегированный трафик нужно отдать на RB1100.
3. На RB1100 заводите два одинаковых VLAN на интерфейсах: VPN и на том Eth, которым он смотрит в сторону D-link.
4. Объединяете в бридж оба VLAN.
5. Создаете VLAN на RB951 на интерфейсе VPN.
6. Объединяете VLAN в бридж с нужным вам интерфейсом Eth.
7. Прописываете необходимые Routes на обеих микротиках.
На пальцах как-то так.
Re: VLAN VLAN VLAN
Добавлено: 10 мар 2015, 21:22
Lord3D
wolf_ktl писал(а):Красной линией отмечен vlan
Делаете EoIP поверх VPN и бриджуете с VLAN. Можно также поднять несколько VLAN поверх EoIP.
Re: VLAN VLAN VLAN
Добавлено: 10 мар 2015, 21:56
gmx
Да, да, да...
Я немного поспешил. VLAN напрямую через VPN не пройдет....
Нужно создавать EoIP. Но в целом механизм тот же, все на бриджах.
Хотя однозначного ограничения на передачу VLAN через VPN нет...
Re: VLAN VLAN VLAN
Добавлено: 11 мар 2015, 09:13
wolf_ktl
gmx писал(а):Может я чего-то не понимаю?
Зачем VLAN?
Для того, чтобы сервер из одного филиала имел ip адресс сети другого..)))
Делаете EoIP поверх VPN - это понятно ...
Вопрос в другом .. когда я VLAN созданный поверх EoIP поверх VPN ...на 1100 создаю бридж VLAN и Eth ... сеть падает ))) точнее микротик не отвечает на пинги и пропадает инет
Вопрос как в микротике... создать тегрированный VLAN и не тегрированный )))
Re: VLAN VLAN VLAN
Добавлено: 11 мар 2015, 12:42
wolf_ktl
Немного подправил задание
Re: VLAN VLAN VLAN
Добавлено: 11 мар 2015, 12:50
gmx
wolf_ktl писал(а):
Для того, чтобы сервер из одного филиала имел ip адресс сети другого..)))
Делаете EoIP поверх VPN - это понятно ...
Вопрос в другом .. когда я VLAN созданный поверх EoIP поверх VPN ...на 1100 создаю бридж VLAN и Eth ... сеть падает ))) точнее микротик не отвечает на пинги и пропадает инет
Вопрос как в микротике... создать тегрированный VLAN и не тегрированный )))
IP адрес из другой сети назначать необязательно! У вас в руках РОУТЕР микротик, он умеет объединять разные подсети без всяких специальных действий.
Чтобы создать нетегированный трафик на интерфейсе Eth, нужно объединить в бридж этот интерфейс и ИНТЕРФЕЙС VLAN, который создан на ДРУГОМ интерфейсе Eth (не обязательно Eth, но на пальцах я не знаю как описать понятнее).
Re: VLAN VLAN VLAN
Добавлено: 11 мар 2015, 14:37
wolf_ktl
gmx писал(а):wolf_ktl писал(а):
Чтобы создать нетегированный трафик на интерфейсе Eth, нужно объединить в бридж этот интерфейс и ИНТЕРФЕЙС VLAN, который создан на ДРУГОМ интерфейсе Eth (не обязательно Eth, но на пальцах я не знаю как описать понятнее).
ну я так это и понял ... но вот у меня локалка висит на 3 порту... как мне в третий порт запихнуть VLAN так чтобы устройство, свитч который работает с VLAN могло его понять ...? )))
если его объедению в бридж VLAN и Eth3 то локалка пропадает