+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

VLANs

VLANs, RouterOS

Matter

Guest

26.07.2004 22:12:00

Я пытаюсь организовать сеть для жилого дома с 90 квартирами (кондоминиумы). У меня есть коммутатор Extreme Networks Summit на 48 портов и роутер MicroTik IDE/router V2.8.10. Мне нужно разделить весь трафик из квартир, чтобы никто не мог делиться файлами (или красть их) или распространять вирусы. Я настроил Extreme с VLAN для каждого номера квартиры, со схемой IP-адресов следующая: 10.этаж#.квартира#.1. Таким образом, квартира 804 находится на 8-м этаже и имеет IP-адрес 10.8.84.1. VLAN по умолчанию — 10.1.0.2 255.255.255.0, роутер Microtik настроен на 10.1.0.1 255.255.255.0. Моя проблема в том, что как только я подключаю компьютер к VLAN и даю ему соответствующий IP-адрес, я не вижу интернет и не могу пропинговать VLAN по умолчанию. Я могу подключить компьютеры к VLAN по умолчанию и без проблем видеть интернет-трафик. Я слышал, что для работы этой системы нужно настроить NAT. Мой вопрос в том, как мне настроить NAT для этого на Microtik? И если это возможно, останутся ли у меня очереди для ограничения пропускной способности? Спасибо за любую помощь!

Boris_Bakchiev Guest	#2 0 03.08.2004 02:38:00 У нас успешно работает такая же схема (54 юнита). Не уверен, хотите ли вы делать так же, но вот как мы это делаем. Мы используем следующую схему для клиентов: 192.168.xxx.1 IP Mikrotik, 192.168.xxx.50-100. Пулы DHCP меняются для каждого клиента (002 для первого, 003 для второго и так далее). Не используйте VLAN ID 1 для ваших клиентов. 1. Создайте отдельные VLAN-интерфейсы для каждого клиента (/interface vlan add interface=YourISLInterface vlan-id=XXX name=CustomerXXX). 2. Назначьте 192.168.XXX.1/24 к каждому созданому VLAN-интерфейсу (/ip address add address=192.168.XXX.1/24 interface=CustomerXXX). 3. Создайте пулы IP для каждого клиента (/ip pool add name=CustomerXXX ranges=192.168.xxx.50-192.168.XXX.100). 4. Создайте отдельные DHCP-сети для каждого клиента (/ip dhcp-server address=192.168.XXX.0/24 gateway=192.168.XXX.1 netmask=24 dns-server=YourISPDns1,YourISPDns2). 5. Создайте отдельные DHCP-серверы для каждого клиента (/ip dhcp-server add name=CustomerXXX interface=CustomerXXX lease-time=20d address-pool=CustomerXXX add-arp=yes authoritative=yes). Теперь вам нужно создать несколько правил брандмауэра для каждого клиента: /ip firewall src-nat add src-address=192.168.XXX.0/24 action=masquerade /ip firewall rule forward in-interface=CustomerXXX out-interface=InternetInterface action=accept Конечно, наши правила брандмауэра немного сложнее, чем те, что указаны выше, но вы понимаете суть. Убедитесь, что ваши цепочки по умолчанию forward и input настроены на DROP. Но прежде чем это сделать, предоставьте доступ вашему ADMIN-ПК к роутеру, иначе вы потеряете доступ. Теперь для очередей, чтобы клиенты не загружали ваше соединение: /queue simple add name=CustomerXXX interface=CustomerXXX queue=sfq limit-at=64000/256000 max-limit=128000/512000 Это даст каждому 512/128 кбит соединения с гарантированным минимумом 256/64, когда канал загружен. Хотя это выглядит сложно, это на самом деле хорошая настройка. (Если кто-то сможет насчет этого улучшить). Поскольку мы выбрали отдельные сети для каждого клиента, у всех наших клиентов есть доступ к их офисам через VPN. Когда они входят в VPN Mikrotik со своим именем пользователя/паролем, они получают IP-адрес из своего собственного пула и не могут получить доступ к другим VLAN. Работает довольно хорошо. Единственная проблема возникла с веб-прокси при использовании в прозрачном режиме. Как только мы достигали 100 активных компьютеров, брандмауэр отключался через 1-2 дня работы.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры