+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Защищенный VLAN trunk и WISP

Защищенный VLAN trunk и WISP, RouterOS

sorvar

Guest

18.03.2006 11:30:00

Ну, признаюсь честно, я совсем новичок в MT, немного почитал документацию, но все еще кое-что не понимаю. Несколько лет использовал Cisco Aironet серии для бриджинга, точек доступа и репитеров, и с последними версиями IOS многое можно сделать довольно легко. Если мы хотим транковать VLAN’ы, то это делается путем создания сначала нативной VLAN, где задан IP-адрес управления AP/бриджа. К этой VLAN мы создаем инфраструктурную SSID, затем шифрование для этой SSID. После этого мы должны создать VLAN, которые хотим транковать в транке. Прозрачное бриджирование, насколько я понимаю, недоступно (?) на Aironet. В основном мы настраиваем все наши устройства Cisco как RootBridge с клиентами или NonRootBridge с клиентами. Также мы можем транслировать VLAN для хот-спота с SSID. Если мы создаем SSID для VLAN в транке, то он больше не будет использовать шифрование нативной VLAN, так что если вы хотите, придется создать новое, правильное шифрование. Предполагаю, что с MT можно сделать что-то похожее, но как? Может быть, термин VirtualAP – это ответ? Наша цель – безопасно соединить наши корпоративные VLAN, но при этом позволить ISP использовать нашу инфраструктуру для частных клиентов. Они будут использовать PPPoE, и у нас уже создана VLAN для них в нашей сетевой инфраструктуре. Мы используем Witelcom Dragon II (Atheros) 5GHz оборудование с RouterOS MT. У некоторых из них два чипа радио и всенаправленная антенна для хот-спота и панель для точка-точка. Мы также предоставим клиентам использовать транковые панели, если это возможно.

mag Guest	#2 0 18.03.2006 11:54:00 Как насчет использования EoIP внутри IPSec-туннеля?

sorvar

Guest

18.03.2006 22:00:00

На самом деле, EoIP предлагалось как решение от одного источника, но поддерживают ли они MT для всего, что нам нужно, или нам придется иметь еще больше «коробочек»? Примеры настройки для транков будут очень кстати.

mag

Guest

19.03.2006 09:18:00

Я бы не стал использовать VLAN-транки, а напрямую завершал бы IPSec/EoIP-туннель у клиента, как ATM-PVC. На стороне AP должно быть возможно сгруппировать виртуальный AP и EoIP-туннель в пределах одного конкретного bridge. Но это зависит от реальных требований…

tneumann

Guest

19.03.2006 10:35:00

Согласен, что EoIP-over-IPsec был бы наиболее безопасным решением, если вы действительно хотите объединить корпоративных и внешних пользователей через одну инфраструктуру и при этом сохранить связь Layer 2 внутри площадки. Если я правильно понял описание сети sorvar’а, то на проводных (Ethernet) соединениях в его текущей конфигурации шифрования нет, используются только VLAN-тренки 802.1q. Шифрование происходит только на беспроводных участках сети, но проводные соединения, связывающие беспроводные облака друг с другом, не защищены? Если вы хотите сохранить эту архитектуру, это возможно с RouterOS. Нужно настроить виртуальные точки доступа (по одной на SSID, с шифрованием по мере необходимости) и VLAN-интерфейсы на проводных (Ethernet) соединениях, затем можно создать мосты (по одному на VLAN/SSID), чтобы связать виртуальные точки доступа с соответствующими VLAN-интерфейсами Ethernet. Вот несколько фрагментов конфигурации для настройки с использованием двух VLAN (70 и 71). Сначала VLAN-интерфейсы на Ethernet-стороне. / interface vlan
add name="ether1-vlan70" mtu=1500 arp=disabled vlan-id=70 interface=ether1 \
comment="" disabled=no
add name="ether1-vlan71" mtu=1500 arp=disabled vlan-id=71 interface=ether1 \
comment="" disabled=no (Физический интерфейс ether1 – 802.1q Trunk). Теперь виртуальные точки доступа, определенные поверх физического интерфейса wlan1 / interface wireless
add name="wlan1-vlan70" mtu=1500 mac-address=02:90:4B:DC:06:96 arp=disabled \
disable-running-check=no master-interface=wlan1 ssid="wlan1-vlan70" area="" \
max-station-count=2007 wds-mode=disabled wds-default-bridge=none \
wds-default-cost=100 wds-cost-range=50-150 wds-ignore-ssid=no \
default-authentication=yes default-forwarding=no default-ap-tx-limit=0 \
default-client-tx-limit=0 hide-ssid=no security-profile=default comment="" \
disabled=no
add name="wlan1-vlan71" mtu=1500 mac-address=02:90:4B:DC:06:97 arp=disabled \
disable-running-check=no master-interface=wlan1 ssid="wlan1-vlan71" area="" \
max-station-count=2007 wds-mode=disabled wds-default-bridge=none \
wds-default-cost=100 wds-cost-range=50-150 wds-ignore-ssid=no \
default-authentication=yes default-forwarding=no default-ap-tx-limit=0 \
default-client-tx-limit=0 hide-ssid=no security-profile=default comment="" \
disabled=no и наконец мосты / interface bridge
add name="bridge70" mtu=1500 arp=enabled stp=no priority=32768 ageing-time=5m \
forward-delay=15s garbage-collection-interval=4s hello-time=2s \
max-message-age=20s comment="" disabled=no
add name="bridge71" mtu=1500 arp=enabled stp=no priority=32768 ageing-time=5m \
forward-delay=15s garbage-collection-interval=4s hello-time=2s \
max-message-age=20s comment="" disabled=no
/ interface bridge port
add interface=ether1-vlan70 bridge=bridge70 priority=128 path-cost=10 \
comment="" disabled=no
add interface=wlan1-vlan70 bridge=bridge70 priority=128 path-cost=10 comment="" \
disabled=no
add interface=ether1-vlan71 bridge=bridge71 priority=128 path-cost=10 \
comment="" disabled=no
add interface=wlan1-vlan71 bridge=bridge71 priority=128 path-cost=10 comment="" \
disabled=no Если вам нужны IP-адреса поверх этого, назначайте их на интерфейсы мостов. –Tom

mag Guest	#6 0 19.03.2006 15:02:00 Я полностью согласен. Очень хорошее объяснение. Наша задача — обеспечить соединение между корпоративными VLAN, что приводит меня к предложению IPSec. (И я люблю туннели).

sorvar

Guest

20.03.2006 06:02:00

Большое спасибо вам, ребята. Ipsec и Eoip предпочтительнее, но, как вы упомянули, в настоящее время мы не используем шифрование на нашей проводной стороне trunk. Попробую сегодня протестировать некоторые конфигурации с виртуальными AP. На самом деле обязательно ли создавать ssid для каждого vlan, если мы просто хотим соединять с проводной стороны на проводную? Не будет ли достаточно одной ssid для мастер-интерфейса и включения шифрования на ней? В примере конфигурации вижу, что нужно делать именно так, используя виртуальный AP для каждого vlan. А что насчет создания беспроводных интерфейсов vlan и соединения eth vlan с беспроводными vlan (по-цисковски)? Единственный vlan, к которому нам нужна ssid, – это для клиентов WISP. Может, глупый вопрос, но когда я создаю vlan, как я могу получить доступ к IP на AP? Они по умолчанию на vlan 1? Мне нужно, чтобы они были на другом vlan. Допустим, я могу создать vlan trunk на проводной стороне и подключить туда свой ПК для подключения, но тогда мне придется ехать 40 км, чтобы сделать это. Есть некоторая маршрутизация к первому радиохопу.

tneumann

Guest

20.03.2006 16:42:00

Если вы хотите, чтобы ваши клиенты были членами уровня 2 в этом VLAN, то да, вам понадобится отдельный SSID / Virtual AP, сопряженный с каждым VLAN. Если некоторые из VLAN, которые вы передаете по проводным каналам, никак не связаны с беспроводными клиентами, то, конечно, вам не нужно настраивать беспроводной интерфейс / SSID / виртуальный AP для них. Просто определите их на проводных Ethernet-интерфейсах, где они нужны, и все готово. Основной интерфейс (wlan1 в моих примерах) в этом отношении не является особенным. Это просто место, где можно настроить физические 802.11 атрибуты канала, такие как частоты, мощность и т.д. В остальном виртуальные AP-интерфейсы по сути те же. Я не думаю, что существует такое понятие как "беспроводной интерфейс VLAN". Что это может быть? Я должен признать, что я никогда не пробовал что-то вроде вашей конфигурации на оборудовании Cisco, но даже на Cisco я не вижу, что такое "беспроводной интерфейс VLAN" должно быть? Возможно, Cisco может прозрачно передавать 802.1q VLAN trunk по радиоинтерфейсу, заставляя его работать так же, как проводной Ethernet-интерфейс в режиме 802.1q trunk – не знаю, но я думаю, что это не то, о чем вы спрашиваете и не то, что вы сейчас используете. Учитывая тот факт, что обычный беспроводной клиент ничего не знает о VLAN и не сможет отправлять/принимать 802.1q тегированные кадры по радио, я не вижу возможности существования "беспроводных интерфейсов VLAN". Поэтому SSID (сопоставленный с виртуальным AP-интерфейсом) является единственным дифференциатором для разделения нескольких беспроводных сетей. Смотрите выше. Если вам не нужно смешивать проводные и беспроводные клиенты в одном VLAN, то вам не потребуется никакая беспроводная настройка для этого VLAN. По умолчанию в RouterOS нет специальных адресов управления или VLAN управления. Вы можете добавить столько IP-адресов на любом интерфейсе, который вам нравится, и тогда вы сможете подключиться к вашей точке доступа по этим адресам (но используйте RouterOS firewall!). Слово предостережения: Всегда помните, что ваша точка доступа RouterOS - это полнофункциональный маршрутизатор. В настройке, подобной обсуждаемой, как только вы начнете настраивать больше, чем чистый уровень 2, и начать добавлять IP-адреса более чем на одном из ваших интерфейсов (будь то bridge-интерфейсы, VLAN-интерфейсы или беспроводные интерфейсы), вы столкнулись с риском "короткого замыкания" разделения VLAN с помощью маршрутизационной функциональности вашего AP, то есть вы можете создать настройку, в которой два VLAN, которые должны быть строго разделены, могут общаться друг с другом через маршрутизацию! Всегда будьте в курсе этого и осторожно используйте RouterOS firewall для предотвращения этого, если это необходимо (попробуйте использовать in-interface и/или out-interface в правилах фильтра в цепочке forward). –Том

sorvar

Guest

20.03.2006 22:45:00

Привет ещё раз! Сегодня не удалось ничего протестировать, так как все PoE адаптеры вышли из строя из-за выходных. Оффлайн ИБП недостаточно, чтобы защитить оборудование при продолжительных скачках напряжения, как высоких, так и низких… Когда я говорю о беспроводных VLAN на Cisco bridges, они создаются, когда вы назначаете VLAN bridge. Ниже приведена часть конфигурации Aironet BR1310: interface Dot11Radio0 no ip address no ip route-cache ! ssid ap_infrastructure vlan 999 authentication open authentication client username wb-181 password xxx infrastructure-ssid ! cca 0 concatenation speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0 rts threshold 4000 power local cck 20 power local ofdm 20 antenna receive right antenna transmit right station-role root-bridge ! interface Dot11Radio0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 3 bridge-group 3 spanning-disabled ! interface Dot11Radio0.4 encapsulation dot1Q 4 no ip route-cache bridge-group 4 bridge-group 4 spanning-disabled ! interface Dot11Radio0.999 encapsulation dot1Q 999 native no ip route-cache bridge-group 1 bridge-group 1 spanning-disabled ! interface FastEthernet0 no ip address no ip route-cache duplex auto speed auto ! interface FastEthernet0.3 encapsulation dot1Q 3 no ip route-cache bridge-group 3 ! interface FastEthernet0.4 encapsulation dot1Q 4 no ip route-cache bridge-group 4 ! interface FastEthernet0.999 encapsulation dot1Q 999 native no ip route-cache bridge-group 1 Интерфейсы 0.3, 0.4 и т.д. – это VLAN интерфейсы. В настоящее время у нас 8 VLAN bridged, но я удалил их в примере выше. Cisco называет это VLAN over Wireless. "Эта функция определяет 802.1q VLAN для беспроводных LAN, используя идентификатор VLAN в Ethernet-фрейме. Поддерживается до 16 VLAN, по одной на SSID. На самом деле вам не обязательно назначать SSID, если вы просто хотите соединить VLAN.

eflanery

Guest

#10

21.03.2006 01:08:00

В отличие от Cisco, нет необходимости (и возможности) помечать VLAN/SSID как "нативный", но в остальном всё просто. Нужно использовать карты Atheros, но это единственное "особое" требование. Просто добавляйте VLAN к вашим Ethernet-интерфейсам и VirtualAP к вашим беспроводным картам. Создайте несколько мостов и поместите в каждый VLAN и VirtualAP. Когда я настраиваю подобное, я избегаю мостинга "родительских" интерфейсов, поскольку это может быть сложным и просто запутывает техников. Каждый VirtualAP может иметь свой SSID, MAC-адрес, профиль безопасности и конфигурацию WDS. Каждый также может подчиняться отдельным правилам брандмауэра и очередям, а также всем остальным "плюшкам" от MT. Можно настроить один с WEP-шифрованием, Radius MAC-аутентификацией, очередью PCQ и скрытым SSID для постоянных клиентов. А другой с видимым SSID, без MAC-аутентификации, без шифрования и интерфейсом hotspot для мобильных клиентов. И еще один с WPA2-шифрованием, локальной MAC-аутентификацией, скрытым SSID, замаскированным MAC-адресом и фиксированным WDS для мостинга. И так далее… —Эрик

sorvar

Guest

#11

22.03.2006 18:11:00

Огромное спасибо ещё раз за полезные советы! Попробовал несколько конфигураций, но есть ещё один вопрос. У нас такая топология: LanSwitch – MT AP – MT Bridge – MT AP ---- MT Bridge – LanSwitch. Свитчи Cisco Catalyst 2950, порты в режиме trunk. В центре - башня с двумя MT AP, подключёнными к бриджу. Trunk-трафик проходит без проблем, но мне нужно получить доступ ко всем AP для управления по Vlan 40. Как это сделать? Попробовал создать интерфейс vlan 40 на ethernet1, но не могу подключиться. Ещё пробовал задать IP на этом vlan-интерфейсе и на новом созданном bridge 40, но безуспешно. На самом деле я попробовал создать vlan 40 интерфейс и на wlan1 тоже для этого bridge 40. Наверное, что-то делаю не так, но что?

peson Guest	#12 0 15.10.2006 02:17:00 Привет, Sorvar! Решил ты уже эту проблему? Если нет, напиши мне на почту: periksson[at] roamingwire.com /Paul

sorvar Guest	#13 0 17.10.2006 05:43:00 Письмо отправлено. Vlan'ы и MT кажутся чем-то сложным, если у вас есть какие-то особые потребности в Cisco-инфраструктуре. К сожалению, серия Aironet 1400 недоступна в Норвегии. Серия 1300 соответствует нашим требованиям, но поддерживает только 802.11b/g и не пригоден для использования на таких расстояниях из-за регуляторных ограничений (100 мВт eirp). На частоте 5,8 ГГц мы можем иметь 4 Вт на PtP-линках.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры