Привет всем! Я настроил несколько VLAN, которые вроде бы работают нормально, за одним исключением: трафик между ними разрешен без ограничений. Вот конфигурация:
Gateway [user@MikroTik] > interface vlan print
Flags: X - отключен, R - работает, S - подчиненный
# NAME MTU ARP VLAN-ID INTERFACE
0 R vlan100 1500 enabled 100 ether6
1 R vlan200 1500 enabled 200 ether6
2 R vlan300 1500 enabled 300 ether6
[user@MikroTik] > ip address print
Flags: X - отключен, I - недействителен, D - динамический
# ADDRESS NETWORK INTERFACE
LAN
0 10.13.31.254/24 10.13.31.0 vlan100
1 10.13.32.254/24 10.13.32.0 vlan200
2 10.13.33.254/24 10.13.33.0 vlan300
DHCP-сервер настроен на выдачу соответствующих диапазонов.
AP [user@MikroTik] > /interface vlan print
Flags: X - отключен, R - работает, S - подчиненный
# NAME MTU ARP VLAN-ID INTERFACE
0 R vlan100 1500 enabled 100 lan_bridge
1 R vlan200 1500 enabled 200 lan_bridge
2 R vlan300 1500 enabled 300 lan_bridge
[user@MikroTik] > /interface bridge port print
Flags: X - отключен, I - неактивен, D - динамический
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether1 lan_bridge 0x80 10 none
1 I ether2 lan_bridge 0x80 10 none
2 I ether3 lan_bridge 0x80 10 none
3 I ether4 lan_bridge 0x80 10 none
4 I ether5 lan_bridge 0x80 10 none
5 vlan100 br-vlan1-Administ... 0x80 10 none
6 wlan1 br-vlan1-Administ... 0x80 10 none
7 vlan200 br-vlan2-Faculty 0x80 10 none
8 I wlan2 br-vlan2-Faculty 0x80 10 none
9 vlan300 br-vlan3-Guest 0x80 10 none
10 I wlan3 br-vlan3-Guest 0x80 10 none
[user@MikroTik] > interface wireless print
Flags: X - отключен, R - работает
0 R ;;;Administration
name="wlan1" mtu=1500 mac-address=D4:CA:6D:21:2F:7A arp=enabled
interface-type=Atheros 11N mode=ap-bridge ssid="Administrative Access"
frequency=2412 band=2ghz-b/g/n channel-width=20mhz scan-list=default
wireless-protocol=802.11 antenna-mode=ant-a wds-mode=disabled
wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled
default-authentication=yes default-forwarding=no default-ap-tx-limit=0
default-client-tx-limit=0 hide-ssid=yes
security-profile=Administration WPA compression=no
1 ;;;Faculty
name="wlan2" mtu=1500 mac-address=D6:CA:6D:21:2F:7B arp=enabled
interface-type=virtual-AP master-interface=wlan1 ssid="Faculty"
wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no
bridge-mode=enabled default-authentication=yes default-forwarding=no
default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no
security-profile=Faculty WPA
2 ;;;Guest
name="wlan3" mtu=1500 mac-address=D6:CA:6D:21:2F:7B arp=enabled
interface-type=virtual-AP master-interface=wlan1 ssid="Guest"
wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no
bridge-mode=enabled default-authentication=yes default-forwarding=no
default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no
Когда я подключаюсь к SSID, я получаю IP-адрес от соответствующего DHCP-сервера и могу нормально выходить в интернет из каждой сети. Проблема в том, что я могу пинговать что угодно из каждой сети в другие. ОДНАКО, когда я забираюсь в AP и использую инструмент ping, я могу пинговать только шлюзы (10.13.3x.254), только если укажу соответствующий интерфейс. Например, я могу пинговать только 10.13.31.254, если укажу использовать br-vlan1-Administration vlan. Как только я меняю его на br-vlan2-Faculty, пинги начинают пропадать. Похоже, изоляция работает до AP. Я подозреваю, что проблема связана с конфигурацией беспроводной сети или моста.
Gateway [user@MikroTik] > interface vlan print
Flags: X - отключен, R - работает, S - подчиненный
# NAME MTU ARP VLAN-ID INTERFACE
0 R vlan100 1500 enabled 100 ether6
1 R vlan200 1500 enabled 200 ether6
2 R vlan300 1500 enabled 300 ether6
[user@MikroTik] > ip address print
Flags: X - отключен, I - недействителен, D - динамический
# ADDRESS NETWORK INTERFACE
LAN
0 10.13.31.254/24 10.13.31.0 vlan100
1 10.13.32.254/24 10.13.32.0 vlan200
2 10.13.33.254/24 10.13.33.0 vlan300
DHCP-сервер настроен на выдачу соответствующих диапазонов.
AP [user@MikroTik] > /interface vlan print
Flags: X - отключен, R - работает, S - подчиненный
# NAME MTU ARP VLAN-ID INTERFACE
0 R vlan100 1500 enabled 100 lan_bridge
1 R vlan200 1500 enabled 200 lan_bridge
2 R vlan300 1500 enabled 300 lan_bridge
[user@MikroTik] > /interface bridge port print
Flags: X - отключен, I - неактивен, D - динамический
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether1 lan_bridge 0x80 10 none
1 I ether2 lan_bridge 0x80 10 none
2 I ether3 lan_bridge 0x80 10 none
3 I ether4 lan_bridge 0x80 10 none
4 I ether5 lan_bridge 0x80 10 none
5 vlan100 br-vlan1-Administ... 0x80 10 none
6 wlan1 br-vlan1-Administ... 0x80 10 none
7 vlan200 br-vlan2-Faculty 0x80 10 none
8 I wlan2 br-vlan2-Faculty 0x80 10 none
9 vlan300 br-vlan3-Guest 0x80 10 none
10 I wlan3 br-vlan3-Guest 0x80 10 none
[user@MikroTik] > interface wireless print
Flags: X - отключен, R - работает
0 R ;;;Administration
name="wlan1" mtu=1500 mac-address=D4:CA:6D:21:2F:7A arp=enabled
interface-type=Atheros 11N mode=ap-bridge ssid="Administrative Access"
frequency=2412 band=2ghz-b/g/n channel-width=20mhz scan-list=default
wireless-protocol=802.11 antenna-mode=ant-a wds-mode=disabled
wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled
default-authentication=yes default-forwarding=no default-ap-tx-limit=0
default-client-tx-limit=0 hide-ssid=yes
security-profile=Administration WPA compression=no
1 ;;;Faculty
name="wlan2" mtu=1500 mac-address=D6:CA:6D:21:2F:7B arp=enabled
interface-type=virtual-AP master-interface=wlan1 ssid="Faculty"
wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no
bridge-mode=enabled default-authentication=yes default-forwarding=no
default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no
security-profile=Faculty WPA
2 ;;;Guest
name="wlan3" mtu=1500 mac-address=D6:CA:6D:21:2F:7B arp=enabled
interface-type=virtual-AP master-interface=wlan1 ssid="Guest"
wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no
bridge-mode=enabled default-authentication=yes default-forwarding=no
default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no
Когда я подключаюсь к SSID, я получаю IP-адрес от соответствующего DHCP-сервера и могу нормально выходить в интернет из каждой сети. Проблема в том, что я могу пинговать что угодно из каждой сети в другие. ОДНАКО, когда я забираюсь в AP и использую инструмент ping, я могу пинговать только шлюзы (10.13.3x.254), только если укажу соответствующий интерфейс. Например, я могу пинговать только 10.13.31.254, если укажу использовать br-vlan1-Administration vlan. Как только я меняю его на br-vlan2-Faculty, пинги начинают пропадать. Похоже, изоляция работает до AP. Я подозреваю, что проблема связана с конфигурацией беспроводной сети или моста.
