Изоляция трафика на MikroTik с помощью VLAN | Выбор сетевого оборудования. Обзоры, настройка, сравнение характеристик. | Ofisp.org

Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

  • 10 — предназначен для управления маршрутизатором;
  • 20 — трафик для 2-го LAN порта;
  • 30 — трафик для 3-го LAN порта;
  • 40 — трафик для 4-го LAN порта;
  • 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

  1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
  2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

 

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

 

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

  • vlan_10 с VLAN ID:10 на порту ether1
  • vlan_20 с VLAN ID:20 на порту ether1
  • vlan_30 с VLAN ID:30 на порту ether1
  • vlan_40 с VLAN ID:40 на порту ether1
  • vlan_50 с VLAN ID:50 на порту ether1

 

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

  • Откройте меню IP→Address и нажмите красный плюсик;
  • В поле Address введите IP-адрес, например 10.10.10.10/24;
  • В списке Interface выберите интерфейс vlan_10.
  • Нажмите кнопку OK.

 

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

  • Откройте меню IP→Route и нажмите красный плюсик;
  • В поле Dst. Address введите адрес 0.0.0.0/0;
  • В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например10.10.10.1;
  • Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

  • Откройте меню Bridge и нажмите красный плюсик;
  • В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
  • Нажмите кнопку OK;
  • Добавьте по аналогии интерфейсы bridge_20bridge_30 и bridge_40.

 

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

  • В интерфейс bridge_20 добавляем порты ether2 и vlan_20
  • В интерфейс bridge_30 добавляем порты ether3 и vlan_30
  • В интерфейс bridge_40 добавляем порты ether4 и vlan_40
  • В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

  • Перейдите на вкладку Ports и нажмите красный плюсик;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий сетевой порт ether5;
  • Нажмите OK;
  • Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
  • Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора. 

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

  • Bridge_20 — vlan2_10
  • Bridge_30 — vlan3_10
  • Bridge_40 — vlan4_10
  • Bridge_50 — vlan5_10

 

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

 

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

  • Vlan_10
  • Vlan2_10
  • Vlan3_10
  • Vlan4_10
  • Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

  • Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
  • В списке Interface укажите интерфейс bridge1_10.
  • Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

Похожие материалы

06.01.2014
Комплекс включает в себя Wi-Fi точки доступа UniFi и программный контроллер, который устанавливается на любой компьютер с операционной системой Windows, Mac OS или Linux.Программный контроллер является бесплатным, поэтому стоимость системы UniFi значительно ниже, чем аппаратные контроллеры других производителей. Это позволяет существенно снизить затраты на построение беспроводной сети.Системные требования контроллера:
30.12.2013
В этой статье мы расскажем, как выбрать SFP модуль MikroTik для вашего оборудования.SFP модуль (трансивер) предназначен для подключения оптического волокна к сетевому оборудованию (маршрутизатору, коммутатору, сетевой карте сервера и т.п.).Подключение выполняется следующим образом: оптическое волокно с коннектором на конце подключается в SFP модуль, а модуль в свою очередь вставляется в SFP разъем коммутатора.
06.01.2014
Мы решили провести тестирование мощных Wi-Fi USB адаптеров от производителей Alfa Networks и EnGenius и посмотреть, насколько они усилят Wi-Fi сигнал по сравнению с обычными беспроводными адаптерами.В ходе теста мы ответим на следующие вопросы:
25.12.2013
Я изобрел формулу, которая описывает время задержки при передаче информационного пакета в Internet: D=H*Q*(R+P/C). Эта формула поможет нам понять, каким образом различные способы "коммутирования" информации в Internet (мы обсуждали их на прошлой неделе) способны повысить надежность и быстродействие сети.
06.01.2014
Для работы с оптическим волокном кроме сварочного аппарата нужен набор инструментов, которым предварительно разделывается кабель. Конечно, можно резать кабель и доставать волокна подручными средствами, но такой процесс занимает много времени, поэтому может применяться только при эпизодической работе с оптоволокном. Для максимально быстрой разделки кабеля применяется специальный инструмент и средства для очистки волокна.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв