Изоляция трафика на MikroTik с помощью VLAN | Выбор сетевого оборудования. Обзоры, настройка, сравнение характеристик. | Ofisp.org

Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

  • 10 — предназначен для управления маршрутизатором;
  • 20 — трафик для 2-го LAN порта;
  • 30 — трафик для 3-го LAN порта;
  • 40 — трафик для 4-го LAN порта;
  • 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

  1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
  2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

 

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

 

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

  • vlan_10 с VLAN ID:10 на порту ether1
  • vlan_20 с VLAN ID:20 на порту ether1
  • vlan_30 с VLAN ID:30 на порту ether1
  • vlan_40 с VLAN ID:40 на порту ether1
  • vlan_50 с VLAN ID:50 на порту ether1

 

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

  • Откройте меню IP→Address и нажмите красный плюсик;
  • В поле Address введите IP-адрес, например 10.10.10.10/24;
  • В списке Interface выберите интерфейс vlan_10.
  • Нажмите кнопку OK.

 

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

  • Откройте меню IP→Route и нажмите красный плюсик;
  • В поле Dst. Address введите адрес 0.0.0.0/0;
  • В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например10.10.10.1;
  • Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

  • Откройте меню Bridge и нажмите красный плюсик;
  • В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
  • Нажмите кнопку OK;
  • Добавьте по аналогии интерфейсы bridge_20bridge_30 и bridge_40.

 

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

  • В интерфейс bridge_20 добавляем порты ether2 и vlan_20
  • В интерфейс bridge_30 добавляем порты ether3 и vlan_30
  • В интерфейс bridge_40 добавляем порты ether4 и vlan_40
  • В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

  • Перейдите на вкладку Ports и нажмите красный плюсик;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий сетевой порт ether5;
  • Нажмите OK;
  • Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
  • Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора. 

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

  • Bridge_20 — vlan2_10
  • Bridge_30 — vlan3_10
  • Bridge_40 — vlan4_10
  • Bridge_50 — vlan5_10

 

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

 

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

  • Vlan_10
  • Vlan2_10
  • Vlan3_10
  • Vlan4_10
  • Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

  • Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
  • В списке Interface укажите интерфейс bridge1_10.
  • Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

Похожие материалы

06.01.2014
Товары Alfa Network производятся только в Тайване. На оригинальном устройстве должна присутствовать надпись«Made in Taiwan». Если вы увидите надпись «Made in Сhina», то это подделка. В Китае альфы не производятся.
25.12.2013
Если дорогой маршрутизатор высшего класса можно назвать царем зверей среди сетевых устройств, то маршрутизаторы для удаленных офисов оказываются зверем поменьше - чем-то вроде рыси. И хотя кому-то, возможно, покажется, что легче научить такие маршрутизаторы прыгать через обруч, чем правильно их сконфигурировать, но многие возможности этих маршрутизаторов не укладываются в рамки их небольших размеров и цен.
12.06.2013
Маршрутизатор или роутер, (от англ. router— сетевое устройство) пересылающее пакеты данных сетевого уровня (уровень 3 модели OSI) основываясь на информации о топологии сети и ее определённых правил, между разделенными, разными сегментами сети.О том что такое маршрутизатор, из определения, Вы, надеюсь поняли.
06.01.2014
Комплекс включает в себя Wi-Fi точки доступа UniFi и программный контроллер, который устанавливается на любой компьютер с операционной системой Windows, Mac OS или Linux.Программный контроллер является бесплатным, поэтому стоимость системы UniFi значительно ниже, чем аппаратные контроллеры других производителей. Это позволяет существенно снизить затраты на построение беспроводной сети.Системные требования контроллера:
06.01.2014
Форматирование USB накопителяMikroTik поддерживает свою файловую систему, поэтому USB флешку сначала необходимо отформатировать, чтобыроутер мог с ней работать.

Оборудование:

Общие характеристики Тип: Wi-Fi точка доступа Стандарт беспроводной связи: 802.11n, частота 2.4 ГГц...
→ Оставить отзыв
Для начала давайте определим что такое IPTV и мини-роутер. Мини-роутер (маршрутизатор) – сетевое...
→ Оставить отзыв
Подключение При подключении нового роутера к сети интернет необходимо подключить кабель провайдера...
→ Оставить отзыв
Сначала – посмотрим, что такое Wi-Fi 3G роутер вообще, и чем такие решения лучше «модемов». В...
→ Оставить отзыв