Заголовок: Использование RouterOS для создания VLAN в вашей сети
Введение: Эта статья предназначена для системных интеграторов, сетевых администраторов и энтузиастов продукции, которые ищут исчерпывающее руководство по проектированию и настройке VLAN-сетей с использованием MikroTik. Следуйте за лёгким текстом и схемами, которые делают изучение VLAN интересным и понятным. Сначала разберём теорию, а затем подробно рассмотрим команды для реализации. Мы обсудим Access, Trunk и Hybrid порты, коммутацию и маршрутизацию, а также гостевой доступ в наши сети.
Зачем VLAN? Если вам нужно разделить и изолировать сети и устройства друг от друга, используя одно и то же физическое оборудование, VLAN — это то, что вам нужно. Если у вас есть устройства IoT, IP-камеры, гости, которым нужен доступ к WiFi, и необходимость контролировать качество обслуживания (QoS), VLAN позволит упростить управление сетью. В небольших сетях можно использовать и другие методы помимо VLAN, но VLAN — никогда не будет ошибочным выбором. Это даст вам уверенность изучить концепцию VLAN, зная, что она масштабируется по мере роста вашей сети и количества устройств.
Типы VLAN: Иногда вы встретите такие термины, как Port Based VLAN, MAC Based VLAN, Native VLAN и Voice VLAN. Некоторые из них — просто разные названия одного и того же. Возможно, они используют различные подходы (автоматический vs ручной), но в конце концов речь идёт о сегментации сетевых устройств. В этом документе мы сосредоточимся на ручном подходе Tag Based VLAN. Примеры динамического назначения VLAN через Radius будут добавлены, если поступит интерес и соответствующая обратная связь.
Примеры VLAN: Я сосредоточусь на наиболее часто запрашиваемых сценариях: коммутатор с отдельным роутером, комбо роутер с WiFi, гостевой WiFi, публичные VLAN и принтеры. Фактически, это оборудование и сценарии, соответствующие линейке продуктов MikroTik. Из этих примеров вы сможете создать любую кастомную конфигурацию самостоятельно. Вопросы безопасности будут рассмотрены позже в отдельном разделе.
Обзор терминологии VLAN: Прежде чем разбирать примеры, необходимо определить общую терминологию и концепции VLAN. В Tag Based VLAN вы будете работать с Access и Trunk портами, настраивать IP-адресацию и маршрутизацию, а также IP-сервисы на VLAN-интерфейсах. Все эти элементы создают управляемую VLAN-сеть. Такая виртуальная сеть может быть любого размера. Вам предстоит решить, что разрешать, а что блокировать. Прочтите определения ниже, чтобы понять, как использовать их в наших примерах команд.
Access-порты: Эти порты — вход в вашу VLAN. Они объединяют группы устройств, которые должны иметь доступ друг к другу, но не к другим сетям. Их группируют по ID. В документации для наглядности используются цвета: синий, зелёный, красный — чтобы легче запомнить номера VLAN. Access-порты настраиваются так, что входящие (ingress) пакеты не имеют тегов и им присваивается тег, а исходящие (egress) пакеты, отправляемые назад, — теги снимаются.
Trunk-порты: Эти порты несут весь трафик между VLAN. Если Access-порты — это группы устройств, то Trunk-порты позволяют этим группам связываться с другими частями коммутатора или сети. Trunk-порты настраиваются так, что входящие и исходящие пакеты обязательно имеют теги.
Hybrid-порты: Такие порты используются в спецслучаях и сочетают свойства Access и Trunk портов. По сути, они работают как Access-порт для входящего трафика без тегов, но если трафик приходит с тегами и эти теги разрешены, порт работает как Trunk. При проектировании VLAN вы сделаете первый шаг, когда сможете логично представить группировку Access-портов и взаимосвязь через Trunk-порты. Сколько VLAN и устройств вам нужно настроить? Кто к чему будет иметь доступ? Не торопитесь с этим этапом — лучше сначала нарисуйте схему VLAN.
Native, Base и MGMT (управляющая) VLAN: Когда вы создаёте VLAN и выбираете ID для каждой, учтите, что базовая сеть, которую вы использовали для первоначального подключения к роутеру или коммутатору, часто называется Native VLAN. В наших примерах эту стандартную сеть мы не используем. Вместо этого вводим Base VLAN (наш термин для управляющей VLAN) с ID 99. По этой сети будет идти обмен трафиком между устройствами (маршрутизация и т.п.). Здесь же по умолчанию доступен Winbox.
Важно помнить, если вы планируете использовать VLAN 1 в вашей сети. Большинство производителей используют VLAN 1 как native VLAN по умолчанию. MikroTik же использует VLAN 0. Если пытаться реализовать VLAN 1 в MikroTik с тегированием, это будет несовместимо с другими устройствами, где VLAN 1 считается нетегированным. Поэтому, если вы не готовы менять стандартные настройки в MikroTik или у других производителей, лучше использовать VLAN 2 и выше.
IP-адресация и маршрутизация: Каждая созданная VLAN должна иметь уникальную схему IP-адресации. Например, если Base VLAN у вас 192.168.0.x, то Blue VLAN — 10.0.10.x, Green — 10.0.20.x, Red — 10.0.30.x. Главное, чтобы адреса были уникальны для каждой VLAN. Исходя из схемы, назначайте статические IP на ключевом оборудовании: роутер — 192.168.0.1, основной коммутатор — 192.168.0.2, точка доступа WiFi — 192.168.0.3 и так далее. Роутер станет шлюзом по умолчанию, маршрутизирующим VLAN, коммутаторы и подключённые устройства.
IP-сервисы: Самый известный — DHCP. Обычно у каждой VLAN свой DHCP-сервер, который говорит устройствам, какие шлюзы и DNS использовать. Когда устройства получают IP, они начинают общаться по Ethernet-протоколу, отправлять широковещательные сообщения и другой сетевой трафик внутри VLAN. При наличии нескольких VLAN вы получаете настоящую сегментированную сеть. Если вы подключите ПК в VLAN Blue, он будет видеть и общаться только с другими устройствами Blue, но не с Green или Red. Если принтер в Green VLAN, то доступ к нему будет только у устройств из Green. При этом можно организовать шаринг ресурсов между VLAN без разрешения межVLAN-доступа — одно из преимуществ такой настройки.
Отказ от ответственности: Вся информация основана на моём личном понимании реализации описанных целей в RouterOS версии 6.43.12, исходя из доступной документации. Для создания точного руководства нужна обратная связь от MikroTik и участников форума. Пожалуйста, предлагайте изменения. Давайте сделаем этот вопрос общепринятым и понятным. Спасибо!
Введение: Эта статья предназначена для системных интеграторов, сетевых администраторов и энтузиастов продукции, которые ищут исчерпывающее руководство по проектированию и настройке VLAN-сетей с использованием MikroTik. Следуйте за лёгким текстом и схемами, которые делают изучение VLAN интересным и понятным. Сначала разберём теорию, а затем подробно рассмотрим команды для реализации. Мы обсудим Access, Trunk и Hybrid порты, коммутацию и маршрутизацию, а также гостевой доступ в наши сети.
Зачем VLAN? Если вам нужно разделить и изолировать сети и устройства друг от друга, используя одно и то же физическое оборудование, VLAN — это то, что вам нужно. Если у вас есть устройства IoT, IP-камеры, гости, которым нужен доступ к WiFi, и необходимость контролировать качество обслуживания (QoS), VLAN позволит упростить управление сетью. В небольших сетях можно использовать и другие методы помимо VLAN, но VLAN — никогда не будет ошибочным выбором. Это даст вам уверенность изучить концепцию VLAN, зная, что она масштабируется по мере роста вашей сети и количества устройств.
Типы VLAN: Иногда вы встретите такие термины, как Port Based VLAN, MAC Based VLAN, Native VLAN и Voice VLAN. Некоторые из них — просто разные названия одного и того же. Возможно, они используют различные подходы (автоматический vs ручной), но в конце концов речь идёт о сегментации сетевых устройств. В этом документе мы сосредоточимся на ручном подходе Tag Based VLAN. Примеры динамического назначения VLAN через Radius будут добавлены, если поступит интерес и соответствующая обратная связь.
Примеры VLAN: Я сосредоточусь на наиболее часто запрашиваемых сценариях: коммутатор с отдельным роутером, комбо роутер с WiFi, гостевой WiFi, публичные VLAN и принтеры. Фактически, это оборудование и сценарии, соответствующие линейке продуктов MikroTik. Из этих примеров вы сможете создать любую кастомную конфигурацию самостоятельно. Вопросы безопасности будут рассмотрены позже в отдельном разделе.
Обзор терминологии VLAN: Прежде чем разбирать примеры, необходимо определить общую терминологию и концепции VLAN. В Tag Based VLAN вы будете работать с Access и Trunk портами, настраивать IP-адресацию и маршрутизацию, а также IP-сервисы на VLAN-интерфейсах. Все эти элементы создают управляемую VLAN-сеть. Такая виртуальная сеть может быть любого размера. Вам предстоит решить, что разрешать, а что блокировать. Прочтите определения ниже, чтобы понять, как использовать их в наших примерах команд.
Access-порты: Эти порты — вход в вашу VLAN. Они объединяют группы устройств, которые должны иметь доступ друг к другу, но не к другим сетям. Их группируют по ID. В документации для наглядности используются цвета: синий, зелёный, красный — чтобы легче запомнить номера VLAN. Access-порты настраиваются так, что входящие (ingress) пакеты не имеют тегов и им присваивается тег, а исходящие (egress) пакеты, отправляемые назад, — теги снимаются.
Trunk-порты: Эти порты несут весь трафик между VLAN. Если Access-порты — это группы устройств, то Trunk-порты позволяют этим группам связываться с другими частями коммутатора или сети. Trunk-порты настраиваются так, что входящие и исходящие пакеты обязательно имеют теги.
Hybrid-порты: Такие порты используются в спецслучаях и сочетают свойства Access и Trunk портов. По сути, они работают как Access-порт для входящего трафика без тегов, но если трафик приходит с тегами и эти теги разрешены, порт работает как Trunk. При проектировании VLAN вы сделаете первый шаг, когда сможете логично представить группировку Access-портов и взаимосвязь через Trunk-порты. Сколько VLAN и устройств вам нужно настроить? Кто к чему будет иметь доступ? Не торопитесь с этим этапом — лучше сначала нарисуйте схему VLAN.
Native, Base и MGMT (управляющая) VLAN: Когда вы создаёте VLAN и выбираете ID для каждой, учтите, что базовая сеть, которую вы использовали для первоначального подключения к роутеру или коммутатору, часто называется Native VLAN. В наших примерах эту стандартную сеть мы не используем. Вместо этого вводим Base VLAN (наш термин для управляющей VLAN) с ID 99. По этой сети будет идти обмен трафиком между устройствами (маршрутизация и т.п.). Здесь же по умолчанию доступен Winbox.
Важно помнить, если вы планируете использовать VLAN 1 в вашей сети. Большинство производителей используют VLAN 1 как native VLAN по умолчанию. MikroTik же использует VLAN 0. Если пытаться реализовать VLAN 1 в MikroTik с тегированием, это будет несовместимо с другими устройствами, где VLAN 1 считается нетегированным. Поэтому, если вы не готовы менять стандартные настройки в MikroTik или у других производителей, лучше использовать VLAN 2 и выше.
IP-адресация и маршрутизация: Каждая созданная VLAN должна иметь уникальную схему IP-адресации. Например, если Base VLAN у вас 192.168.0.x, то Blue VLAN — 10.0.10.x, Green — 10.0.20.x, Red — 10.0.30.x. Главное, чтобы адреса были уникальны для каждой VLAN. Исходя из схемы, назначайте статические IP на ключевом оборудовании: роутер — 192.168.0.1, основной коммутатор — 192.168.0.2, точка доступа WiFi — 192.168.0.3 и так далее. Роутер станет шлюзом по умолчанию, маршрутизирующим VLAN, коммутаторы и подключённые устройства.
IP-сервисы: Самый известный — DHCP. Обычно у каждой VLAN свой DHCP-сервер, который говорит устройствам, какие шлюзы и DNS использовать. Когда устройства получают IP, они начинают общаться по Ethernet-протоколу, отправлять широковещательные сообщения и другой сетевой трафик внутри VLAN. При наличии нескольких VLAN вы получаете настоящую сегментированную сеть. Если вы подключите ПК в VLAN Blue, он будет видеть и общаться только с другими устройствами Blue, но не с Green или Red. Если принтер в Green VLAN, то доступ к нему будет только у устройств из Green. При этом можно организовать шаринг ресурсов между VLAN без разрешения межVLAN-доступа — одно из преимуществ такой настройки.
Отказ от ответственности: Вся информация основана на моём личном понимании реализации описанных целей в RouterOS версии 6.43.12, исходя из доступной документации. Для создания точного руководства нужна обратная связь от MikroTik и участников форума. Пожалуйста, предлагайте изменения. Давайте сделаем этот вопрос общепринятым и понятным. Спасибо!
