Вопрос, почему: Локальные сети в разных VLAN доступны по ICMP.
Добавлено: 09 дек 2016, 16:03
Добрый день.
Имею железку: MikroTik Routerboard RB3011UiAS-RM на чипе QCA-8337, версия прошивки 6.37.3
Вопрос, почему: Локальные сети в разных VLAN доступны по ICMP?
Введение:
На данном роутере настроил
1. NAT - с помощью перегруженного NAT -> через srcnat и маскарадинг
2. WAN - кабель от провайдера, Switch1 порт 5, засунул в VLAN111 и получаю интернетовски IP через DHCP Client.
3. Настроил порты Switch1 с 1-го по 4-ый порт VLAN333
4. Настроил порты Switch2 с 6-го по 9-ый порт VLAN444
5. На каждый VLAN id333 и id444 настроил адресацию (IP->Addresses)
* VLAN333 10.1.1.1/24
* VLAN444 10.55.55.1/24
и DHCP сервер с соответствующими адресами.
И так, дело подошло к кульминации:
1. Подключаю кабель в Switch1, по факту нахожусь в VLAN333 и получаю IP 10.1.1.5 шлюз 10.1.1.1
2. Подключаю кабель в Switch2, по факту нахожусь в VLAN444 и получаю IP 10.55.55.4 шлюз 10.55.55.1
Пингую адреса компьютеров с одного и другого ПК, которые находятся в разных VLAN'ах и вижу что пинг идет
ведь они не должны друг друга видеть.
Пингую из сети с VLAN333 c ПК с адресом 10.1.1.5
C:\Users\Administrator>ping 10.55.55.4
Pinging 10.55.55.4 with 32 bytes of data:
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63
Ping statistics for 10.55.55.4:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Подскажите пожалуйста в чем ошибка? Мне так кажется что как-то через NAT они доступны, поправьте меня пожалуйста.
Мне нужно чтобы локальные сети не видели друг друга, но ходили в интернет через 1 интернетовский IP, полученный на интерфейсе WAN с VLAN 111.
Тема обсуждения настройки VLAN мигрировала с темы viewtopic.php?f=3&t=7179 из-за некоторых технических особенностей и постановки вопроса.
Имею железку: MikroTik Routerboard RB3011UiAS-RM на чипе QCA-8337, версия прошивки 6.37.3
Вопрос, почему: Локальные сети в разных VLAN доступны по ICMP?
Введение:
На данном роутере настроил
1. NAT - с помощью перегруженного NAT -> через srcnat и маскарадинг
2. WAN - кабель от провайдера, Switch1 порт 5, засунул в VLAN111 и получаю интернетовски IP через DHCP Client.
3. Настроил порты Switch1 с 1-го по 4-ый порт VLAN333
4. Настроил порты Switch2 с 6-го по 9-ый порт VLAN444
5. На каждый VLAN id333 и id444 настроил адресацию (IP->Addresses)
* VLAN333 10.1.1.1/24
* VLAN444 10.55.55.1/24
и DHCP сервер с соответствующими адресами.
И так, дело подошло к кульминации:
1. Подключаю кабель в Switch1, по факту нахожусь в VLAN333 и получаю IP 10.1.1.5 шлюз 10.1.1.1
2. Подключаю кабель в Switch2, по факту нахожусь в VLAN444 и получаю IP 10.55.55.4 шлюз 10.55.55.1
Пингую адреса компьютеров с одного и другого ПК, которые находятся в разных VLAN'ах и вижу что пинг идет
ведь они не должны друг друга видеть.Пингую из сети с VLAN333 c ПК с адресом 10.1.1.5
C:\Users\Administrator>ping 10.55.55.4
Pinging 10.55.55.4 with 32 bytes of data:
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63
Reply from 10.55.55.4: bytes=32 time<1ms TTL=63
Ping statistics for 10.55.55.4:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Подскажите пожалуйста в чем ошибка? Мне так кажется что как-то через NAT они доступны, поправьте меня пожалуйста.
Мне нужно чтобы локальные сети не видели друг друга, но ходили в интернет через 1 интернетовский IP, полученный на интерфейсе WAN с VLAN 111.
Тема обсуждения настройки VLAN мигрировала с темы viewtopic.php?f=3&t=7179 из-за некоторых технических особенностей и постановки вопроса.