Изоляция трафика на MikroTik с помощью VLAN | Выбор сетевого оборудования. Обзоры, настройка, сравнение характеристик. | Ofisp.org

Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

  • 10 — предназначен для управления маршрутизатором;
  • 20 — трафик для 2-го LAN порта;
  • 30 — трафик для 3-го LAN порта;
  • 40 — трафик для 4-го LAN порта;
  • 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

  1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
  2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

 

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

 

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

  • vlan_10 с VLAN ID:10 на порту ether1
  • vlan_20 с VLAN ID:20 на порту ether1
  • vlan_30 с VLAN ID:30 на порту ether1
  • vlan_40 с VLAN ID:40 на порту ether1
  • vlan_50 с VLAN ID:50 на порту ether1

 

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

  • Откройте меню IP→Address и нажмите красный плюсик;
  • В поле Address введите IP-адрес, например 10.10.10.10/24;
  • В списке Interface выберите интерфейс vlan_10.
  • Нажмите кнопку OK.

 

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

  • Откройте меню IP→Route и нажмите красный плюсик;
  • В поле Dst. Address введите адрес 0.0.0.0/0;
  • В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например10.10.10.1;
  • Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

  • Откройте меню Bridge и нажмите красный плюсик;
  • В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
  • Нажмите кнопку OK;
  • Добавьте по аналогии интерфейсы bridge_20bridge_30 и bridge_40.

 

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

  • В интерфейс bridge_20 добавляем порты ether2 и vlan_20
  • В интерфейс bridge_30 добавляем порты ether3 и vlan_30
  • В интерфейс bridge_40 добавляем порты ether4 и vlan_40
  • В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

  • Перейдите на вкладку Ports и нажмите красный плюсик;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий сетевой порт ether5;
  • Нажмите OK;
  • Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
  • Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора. 

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

  • Bridge_20 — vlan2_10
  • Bridge_30 — vlan3_10
  • Bridge_40 — vlan4_10
  • Bridge_50 — vlan5_10

 

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

 

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

  • Vlan_10
  • Vlan2_10
  • Vlan3_10
  • Vlan4_10
  • Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

  • Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
  • В списке Interface укажите интерфейс bridge1_10.
  • Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

Похожие материалы

06.01.2014
Если у вас есть ADSL модем с интернетом от Укртелеком ОГО, то его можно передать на большое расстояние по Wi-Fi.Например, у вас есть друг в частном секторе на удалении 4 км, но у него нет возможности подключить интернет. Тогда вы можете передать ему интернет с помощью Wi-Fi оборудования.В этой статье я расскажу, как правильно подобрать недорогое Wi-Fi оборудование для передачи ADSL интернета Укртелеком ОГО без проводов на большое расстояние.
25.12.2013
Алгоритмы коммутации сравнительно просты и в основном одинаковы для большинства протоколов маршрутизации. В большинстве случаев главная вычислительная машина определяет необходимость отправки пакета в другую главную вычислительную машину. Получив определенным способом адрес роутера, главная вычислительная машина-источник отправляет пакет, адресованный специально в физический адрес роутера (уровень МАС), однако с адресом протокола (сетевой уровень) главной вычислительной машины пункта назначения.
24.12.2013
Производители беспроводных точек доступа хоть и пишут, что их устройства работают на скорости 300 Мбит/с, но в реальности добиться скорости более 200 Мбит/с по одному Wi-Fi каналу достаточно сложно.
06.01.2014
Форматирование USB накопителяMikroTik поддерживает свою файловую систему, поэтому USB флешку сначала необходимо отформатировать, чтобыроутер мог с ней работать.
06.01.2014
Мы решили провести тестирование мощных Wi-Fi USB адаптеров от производителей Alfa Networks и EnGenius и посмотреть, насколько они усилят Wi-Fi сигнал по сравнению с обычными беспроводными адаптерами.В ходе теста мы ответим на следующие вопросы:

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв