+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

RB450g + vlan-switch

RB450g + vlan-switch, RouterOS

boo9

Guest

22.12.2013 18:52:00

(ISP)====RB450g====(управляемый коммутатор с 8 VLAN) Вчера получил свой новенький RB450g для управления доступом в интернет в моей школе. Обновил ROS до 6.7 и прошивку до 3.10. Сегодня весь день читал про настройки Mikrotik, но не вижу просвета в этом RB-туннеле. Хочу управлять RB либо через порт ether3 (когда я в серверной), либо через VLAN2 в остальных случаях. Остальные порты ether4-5 оставлю пустыми. Значит, порт ether3 оставляю свободным и подключаю коммутатор к порту ether2 кабелем следующим образом: (ISP)===(ether1-gateway-порт)RB45(ether2)====(коммутатор). На коммутаторе я настроил порт как "tagged", чтобы VLAN-теги попадали в RB. Сейчас я застрял и сбился с толку, что делать дальше. По умолчанию настройка master/slave ether мне непонятна. Стоит ли отключить для этого "port switching"?

0 ether1-gateway 1500 D4:CA:6D:05:6A:65 enabled none switch1
1 R ether2-master-local 1500 D4:CA:6D:05:6A:66 enabled none switch1
2 S ether3-slave-local 1500 D4:CA:6D:05:6A:67 enabled ether2-master-local switch1
3 RS ether4-slave-local 1500 D4:CA:6D:05:6A:68 enabled ether2-master-local switch1
4 S ether5-slave-local 1500 D4:CA:6D:05:6A:69 enabled ether2-master-local switch1

Где можно найти туториал по VLAN с RB? Mikrotik wiki я уже перечитал. Не мог бы кто-нибудь подтолкнуть меня в правильном направлении или протянуть руку помощи?

Cheers

efaden Guest	#2 0 22.12.2013 19:02:00 Выложи свою полную конфигурацию. Дам советы сегодня вечером, как только вернусь к компьютеру. Отправлено с моего SCH-I545 через Tapatalk.

efaden Guest	#3 0 22.12.2013 19:13:00 Может, выложите схему вашей сети. Отправлено с моего SCH-I545 через Tapatalk.

boo9 Guest	#4 0 22.12.2013 19:16:00 Моя сеть состоит из RB и управляемого коммутатора, RB подключается к провайдеру через RJ45 кабель. Провайдер <==> RB <==> управляемый-коммутатор-с-vlans rb.rsc (2.66 KB)

efaden Guest	#5 0 22.12.2013 19:18:00 Ок. Посмотрю, как вернусь к компьютеру. Отправлено с моего SCH-I545 через Tapatalk.

efaden

Guest

22.12.2013 21:10:00

Лично я бы сделал так… Установил бы для всех master-портов значение none. Добавил бы мосты для каждого VLAN. Добавил бы VLAN для каждого из твоих VLAN-ов в ether2 (твой транк к другому коммутатору). Добавил бы все VLAN-ы к соответствующим мостам… ещё и подключил бы ether 3 к VLAN-у управления. Отключил бы административный доступ со всех сетей, кроме моста управления… Понятно, что я имею в виду? -Эрик

efaden

Guest

22.12.2013 21:17:00

/interface ethernet set [find] master-port=none /interface vlan add name=“vlanX-ether3” interface=ether2 vlan-id=X [FOR EACH VLAN] /interface bridge add name=bridge-vlanX [FOR EACH VLAN] /interface bridge port add bridge=bridge-vlan2 interface=ether3 add bridge=bridge-vlanX interface vlanX-ether2 [FOR EACH VLAN]

Затем тебе нужно настроить DHCP-сервера, правила брандмауэра, NAT и прочие необходимые настройки для каждой VLAN. Если хочешь предоставить мне удаленный доступ, я могу помочь тебе настроить это удаленно, и мы сможем пообщаться через Google Hangout, Skype или что-то подобное. Пиши мне на мой никнейм @gmail.com, если хочешь пойти этим путем.

boo9

Guest

22.12.2013 22:43:00

@efaden большое спасибо, я нашел эту страницу http://sygard.no/2011/09/vlan-access-ports-on-mikrotik-routers/ и похоже, это то же самое, что ты написал. Попробую это завтра (я в часовом поясе GMT+1), потому что сегодня у меня совсем мозг не варится. В данный момент в распоряжении только RB и 1 komp, чтобы это проверить, нужно будет достать еще один komputer и управляемый коммутатор в мою систему. Для каждого VLAN нужен только DHCP-сервер, а NAT, я так понимаю, лучше делать на порту WAN (ether1)? Cheers

efaden

Guest

22.12.2013 23:17:00

Зависит от того, какая у тебя цель с NAT… но для маскировки можно сделать всё одной строкой. Возможно, захочешь добавить правила для блокировки трафика между VLAN, но это уже на твой вкус. Вот пример того, как будет выглядеть твоя финальная конфигурация… Я не знаю всех деталей твоей сети… но это должно помочь тебе начать работу.

/interface ethernet set [ find default-name=ether1 ] master-port=none name=ether1-gateway
set [ find default-name=ether2 ] master-port=none name=ether2-trunk
set [ find default-name=ether3 ] master-port=none name=ether3-vlan2
set [ find default-name=ether4 ] master-port=none name=ether4 disabled=yes
set [ find default-name=ether5 ] master-port=none name=ether5 disabled=yes
/interface vlan add name=“vlanX-ether3” interface=ether2 vlan-id=X
[FOR EACH VLAN]
/interface bridge add name=bridge-vlanX
[FOR EACH VLAN]
/interface bridge port add bridge=bridge-vlan2 interface=ether3
add bridge=bridge-vlanX interface vlanX-ether2
[FOR EACH VLAN]
/ip pool add name=pool-vlanX ranges=192.168.X.2-192.168.X.254
[FOR EACH VLAN]
/ip dhcp-server add address-pool=vlanX disabled=no interface=bridge-vlanX name=dhcp-vlanX
[FOR EACH VLAN]
/ip address add address=192.168.X.1 interface=bridge-vlanX network=192.168.X.0
[FOR EACH VLAN]
/ip dhcp-server network add address=192.168.X.0/24 dns-server=192.168.X.1 gateway=192.168.X.1
[FOR EACH VLAN]
/ip dns set allow-remote-requests=yes
/ip firewall filter add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input in-interface=bridge-vlan2
add chain=input action=drop
add chain=forward connection-state=established
add chain=forward connection-state=related
add action=drop
add chain=forward connection-state=invalid
/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-gateway to-addresses=0.0.0.0
/tool mac-server set [ find default=yes ] disabled=yes
add interface=bridge-vlan2
/tool mac-server mac-winbox set [ find default=yes ] disabled=yes
add interface=bridge-vlan2

boo9 Guest	#10 0 25.12.2013 21:08:00 Вот перевод текста сообщения на русский язык: Это то, что я сделал для моей настройки, вдруг кому-то пригодится в будущем. RB450G, eth1=isp, wan dhcp client, eth2-4 bridged, ip 192.168.88.1 - порты используются только для диагностики и настройки. Здесь я отключил DHCP-сервер, потому что не хочу, чтобы какие-нибудь балбесы воткнули какие-нибудь роутеры в эти порты «по ошибке». eth5 802.1q trunk only, 802.1q tagged only, vlan2-id2, vlan3-id3 и т.д. Для каждого VLAN есть DHCP-сервер 10.1.x.x. Между LAN/VLAN отключено маршрутизация, только с LAN/VLAN стороны есть доступ в интернет через интерфейс WAN. Оставлен только winbox/ssh доступ (без www, ftp и т.п.). Это рабочая настройка, я протестировал ее с двумя VLAN, настроенными с использованием SRW224G4. Правила брандмауэра по умолчанию – DROP. У роутера будет публичный IP-адрес WAN. Что можно улучшить с точки зрения безопасности? dec/25/2013 19:00:13 by RouterOS 6.7 /interface ethernet set [ find default-name=ether1 ] name=eth1-wan set [ find default-name=ether2 ] name=eth2-lan set [ find default-name=ether3 ] master-port=eth2-lan name=eth3-lan set [ find default-name=ether4 ] master-port=eth2-lan name=eth4-lan set [ find default-name=ether5 ] name=eth5-vlan /interface vlan add interface=eth5-vlan l2mtu=1516 name=vlan2-test vlan-id=2 add interface=eth5-vlan l2mtu=1516 name=vlan3-test vlan-id=3 /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d /ip ipsec proposal set [ find default=yes ] enc-algorithms=3des /ip pool add name=pool-default ranges=192.168.88.10-192.168.88.254 add name=pool-vlan2-test ranges=10.1.102.10-10.1.102.240 add name=pool-vlan3-test ranges=10.1.103.10-10.1.103.240 /ip dhcp-server add address-pool=pool-default interface=eth2-lan name=default add address-pool=pool-vlan2-test disabled=no interface=vlan2-test name= vlan2-test add address-pool=pool-vlan3-test disabled=no interface=vlan3-test name= vlan3-test /port set 0 name=serial0 /system logging action set 0 memory-lines=100 set 1 disk-lines-per-file=100 /ip address add address=192.168.88.1/24 comment=“default configuration” interface= eth2-lan network=192.168.88.0 add address=10.1.102.1/24 interface=vlan2-test network=10.1.102.0 add address=10.1.103.1/24 interface=vlan3-test network=10.1.103.0 /ip dhcp-client add comment=“default configuration” dhcp-options=hostname,clientid disabled= no interface=eth1-wan use-peer-ntp=no /ip dhcp-server network add address=10.1.102.0/24 comment=vlan2-test dns-server=10.1.102.1 gateway= 10.1.102.1 add address=10.1.103.0/24 comment=vlan3-test dns-server=10.1.103.1 gateway= 10.1.103.1 add address=192.168.88.0/24 comment=“default configuration” dns-server= 192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall filter add chain=input comment=ping protocol=icmp add chain=input comment=dns dst-port=53 protocol=udp add chain=input comment=dns dst-port=53 protocol=tcp add chain=input comment=dhcp dst-port=67 protocol=udp add action=drop chain=input comment=“block vlans” src-address=10.0.0.0/8 add chain=input comment=“default configuration” connection-state=established add chain=input comment=“default configuration” connection-state=related add action=drop chain=input comment=“default configuration” in-interface= eth1-wan add chain=forward comment= “all outbound ok, default DROP will disable inter vlan traffic” out-interface=eth1-wan add chain=forward comment=“default configuration” connection-state= established add chain=forward comment=“default configuration” connection-state=related add action=drop chain=forward comment=“no inter-vlan” disabled=yes dst-address=10.0.0.0/8 out-interface=!eth1-wan add action=drop chain=forward comment=“no inter-vlan” disabled=yes dst-address=192.168.0.0/16 out-interface=!eth1-wan add action=drop chain=forward comment=“default configuration” connection-state=invalid disabled=yes add action=drop chain=forward comment=“drop anyting else” /ip firewall nat add action=masquerade chain=srcnat comment=“default configuration” out-interface=eth1-wan to-addresses=0.0.0.0 /ip proxy set parent-proxy=0.0.0.0 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Warsaw /system identity set name=router-serv1 /system ntp client set enabled=yes mode=unicast primary-ntp=212.244.36.228 secondary-ntp= 212.244.36.227 /tool mac-server set [ find default=yes ] disabled=yes add interface=eth2-lan add interface=eth3-lan add interface=eth4-lan add interface=eth5-vlan /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=eth2-lan add interface=eth3-lan add interface=eth4-lan add interface=eth5-vlan

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры