VLAN в Mikrotik Router

Завдання:

1. Підключити роутер до Інтернет.

2. Налаштувати ізольовані VLAN:

    ETH2-12;    ETH3-13;    ETH4,6-14;    ETH5-15

RB2011UiAS-2HnD v. 6.49.7

План

1. Первинна конфігурація з роздачею Інтернет 

2. Bridge з використанням VLAN

3. Створення VLAN інтерфейсів

4. Додавання портів в Bridge

5. Визначення тегованих (trunk) і нетегованих (access) портів

6. Налаштування локального IP для VLAN

7. Налаштування DHCP сервера для VLAN

            Підсумок

8. Ізолювання VLAN

 

   1.Первинна конфігурація через Quick Set

    Підключаємось до роутера по портам, на яких не будемо конфігурувати VLAN: Eth7-Eth10. Оскільки після налаштування VLAN ми втратимо доступ до роутера. 

2. Bridge з використанням VLAN

    Налаштування знаходиться Bridge - Bridge

   Admin MAC Address. Щоб об'єднати кілька мереж в один міст, необхідно створити інтерфейс мосту (пізніше всі потрібні інтерфейси повинні бути встановлені як його порти). Одна MAC-адреса з підлеглих (вторинних) портів буде призначена інтерфейсу мосту, MAC-адреса буде вибрана автоматично, залежно від "номера порту", і вона може змінитися після перезавантаження. Щоб уникнути небажаної зміни MAC-адреси, рекомендується вимкнути «auto-mac» і вручну вказати MAC-адресу за допомогою «admin-mac».

  В налаштуваннях Bridge потрібно активувати параметр Ether. type = 0x8100. Даний параметр вказує на те, що в даному Bridge буде використовуватись тег VLAN.

3. Створення VLAN інтерфейсів

Налаштування знаходиться - Interfaces→VLAN

    В створеному VLAN потрібно визначити VLAN ID, а також вказати інтерфейс, на якому він буде присвоюватись. В схемі, де відсутній центральний Bridge, VLAN потрібно назначити на Bridge інтерфейс. Не можна для конкретних VLAN вказувати VLAN ID - 1. 1 зарезервована для базового VLAN. З нього ж здійснюється доступ Адміністратора до налаштувань роутера.

По аналогії створюємо всі необхідні інтерфейси.

4. Додавання портів в Bridge

Налаштування знаходиться Bridge - Ports

    Для всіх портів потрібно визначити VLAN ID, позначивши ці порти як тегіровані

    PVID = 12 буде маркувати всі пакети, що поступили на порт відповідним VLAN ID.

    потри Eth4 i Eth6 додаємо у VLAN 14 (щоб було два порти у даному VLAN за умовою задачі)

5. Визначення тегованих (trunk) і нетегованих (access) портів

Налаштування знаходиться Bridge - VLANs

    Tagged=Bridge буде використовуватись як тегований (trunk) інтерфейс і буде пропускати через себе VLAN ID 12, 13, 14,15

    Untagged=ether2 визначений як нетегований порт.

    Налаштування робимо для кожного VLAN.

6. Налаштування локального IP для VLAN

    Налаштування знаходиться IP→Addresses

    Налаштування аналогічні до налаштування локальної мережі але інтерфейсом являється відповідний VLAN інтерфейс

7. Налаштування DHCP сервера для VLAN

Налаштування знаходиться   IP→IP Pool    

Спочатку потрібно налаштувати Пул адрес, які буде роздавати DHCP для кожного VLAN

   

    Налаштування знаходиться IP→DHCP Server→DHCP

    Налаштовуємо DHCP Server для кожного VLAN

    

    Для того, щоб DHCP окрім адреси видавав ще інші параметри, що налаштовуються, наприклад - DNS сервер або шлюз, потрібно налаштувати "мережі" для кожного діапазону:

    IP→DHCP Server→Networks

Підсумок

В результаті отримали:

- Eth1 - Internet вхід.

- Eth2 - VLAN12, Eth3 - VLAN13, Eth4 +  Eth6 - VLAN14, Eth5- VLAN15.

- Eth7- Eth10 - залишились в базовій конфігурації. Також через них здійснюється адміністрування роутера. Вони знаходяться у VLAN з VLAN ID - 1.

- Для кожного VLAN налаштований DHCP Server і пул адрес, які він роздає.

- Трафік вільно гуляє в межах Bridge.

    8. Ізолювання VLAN

    Завдання. 

    1. Ізолювати VLAN12, VLAN13, VLAN15 і VLAN з міткою 1 (Eth7-Eth10) один від одного.

    2. Залишити доступ всім до VLAN 14. Припустимо там будуть якісь сервера.

    Налаштування знаходиться IP - Routes - Rules

    Через кнопку "+" створюємо правила. unreachable - недоступний. Правила працюють в обох напрямках.