Mikrotik роутер + керований комутатор + VLAN

 В даній статті роздивимось завдання підключення  до роутера комутатора і налаштування VLAN. Роутер - RB2011, комутатор - RB260GS. Створення VLAN на роутері розглядалось в попередній статті, тому детально зупинятись на цьому не будемо.

 

Завдання:

1. Підключити роутер до Інтернет.

2. Налаштувати VLAN:

VLAN10: 10.10.10.0/24   DHCP: 10-100   IP:  10.10.10.1  isolate
VLAN20: 10.10.20.0/24   DHCP: 10-100   IP:  10.10.20.1  isolate
VLAN30: 10.10.30.0/24   DHCP: 10-100   IP:  10.10.30.1  isolate
VLAN40: 10.10.40.0/24   DHCP: 10-100   IP:  10.10.40.1  admin (для доступу до всіх VLAN

3. VLAN ізольовані, VLAN4 має доступ до кожного VLAN.

RB2011UiAS-2HnD v. 6.49.18

   1.Первинна конфігурація через Quick Set

   

2. Bridge з використанням VLAN

    Налаштування знаходиться Bridge - Bridge

   Admin MAC Address. Щоб об'єднати кілька мереж в один міст, необхідно створити інтерфейс мосту (пізніше всі потрібні інтерфейси повинні бути встановлені як його порти). Одна MAC-адреса з підлеглих (вторинних) портів буде призначена інтерфейсу мосту, MAC-адреса буде вибрана автоматично, залежно від "номера порту", і вона може змінитися після перезавантаження. Щоб уникнути небажаної зміни MAC-адреси, рекомендується вимкнути «auto-mac» і вручну вказати MAC-адресу за допомогою «admin-mac».

  В налаштуваннях Bridge потрібно активувати параметр Ether. type = 0x8100. Даний параметр вказує на те, що в даному Bridge буде використовуватись тег VLAN.

3. Перейменування інтерфейсу

 Для зручності перейменуємо інтерфейс, через який будемо під'єднувати комутатор

 

    Перейдіть в Interface.
    Знайдіть інтерфейс ether2, перейменуйте його на ether2 (trunk).

4. Створення VLAN інтерфейсів

Налаштування знаходиться - Interfaces→VLAN

   

По аналогії створюємо всі необхідні інтерфейси.

 Name: vlan10, VLAN ID: 10, Interface: ether2 (trunk)

 Name: vlan20, VLAN ID: 20, Interface: ether2 (trunk)

 Name: vlan30, VLAN ID: 30, Interface: ether2 (trunk)

 Name: vlan40, VLAN ID: 40, Interface: ether2 (trunk)

6. Додавання портів в Bridge

 Перейдіть в Bridge. Натисніть + і створіть мости:

    Name: bridge-vlan10
    Name: bridge-vlan20
    Name: bridge-vlan30
    Name: bridge-vlan40

 

7. Додавання портів в Bridge

Перейдіть на вкладку Ports у вікні Bridge. Натисніть + і додайте порти до відповідних мостів:

    Interface: vlan10, Bridge: bridge-vlan10
    Interface: vlan20, Bridge: bridge-vlan20
    Interface: vlan30, Bridge: bridge-vlan30
    Interface: vlan40, Bridge: bridge-vlan40

    Якщо потрібно підключити пристрої безпосередньо до портів маршрутизатора в певних VLAN, додайте відповідні фізичні порти (наприклад, ether3) до відповідних мостів.

8. Перейдіть в IP -> Addresses. Натисніть + і додайте IP-адреси для кожного VLAN інтерфейсу:

    Address: 10.10.10.1/24, Interface: bridge-vlan10
    Address: 10.20.10.1/24, Interface: bridge-vlan20
    Address: 10.30.10.1/24, Interface: bridge-vlan30
    Address: 10.40.10.1/24, Interface: bridge-vlan40

 

9. Налаштуйте Пул адрес, які буде роздавати DHCP для кожного VLAN

     Налаштування знаходиться   IP→IP Pool    

      

    І так для кожного VLAN

 

10. Перейдіть в IP -> DHCP Server і налаштуйте DHCP сервери для кожного bridge-інтерфейсу.

 

 

       І так для кожного bridge-інтерфейсу.

 

Перейдіть на вкладку Networks і налаштуйте параметри мереж

  Address: 10.10.10.0/24, Gateway: 10.10.10.1, Netmask: 24, DNS: 10.10.10.1 (8.8.8.8)

  Address: 10.10.20.0/24, Gateway: 10.10.20.1, Netmask: 24, DNS: 10.10.20.1 (8.8.8.8)

  Address: 10.10.30.0/24, Gateway: 10.10.30.1, Netmask: 24, DNS: 10.10.30.1 (8.8.8.8) 

  Address: 10.10.40.0/24, Gateway: 10.10.40.1, Netmask: 24, DNS: 10.10.40.1 (8.8.8.8)

 

 

10. Визначення тегованих (trunk) і нетегованих (access) портів

Налаштування знаходиться Bridge - VLANs

    Tagged=Bridge буде використовуватись як тегований (trunk) інтерфейс і буде пропускати через себе VLAN ID 12, 13, 14,15

    Untagged=ether2 визначений як нетегований порт.

    Налаштування робимо для кожного VLAN.

RB260GS v.2.16

       За замовчуванням на комутаторі адреса 192.168.88.1/24. Налаштовуємо відповідно свій комп і підключаємось до комутатора. Зручно підключатись через Winbox. Він знаходить комутатор і коли натискаємо кнопку Connect, відкривається панель керування через браузер. Логін admin без пароля. За замовчуванням комутатор налаштований так, що працює як некерований комутатор.

1. Спочатку відкриваємо вкладку System 

   Address Acquisition - залишаємо на DHCP with fallback - тобто комутатор отримує ір-адресу по dhcp, якщо це не можливо, тоді до нього можна підключитись по Static IP Address. В даному випадку я налаштую так, щоб управління комутатором було доступне тільки з 5 порту комутатора. Тому задаю ір-адресу з мережі VLAN4 але за межами діапазону DHCP сервера в цій мережі.

   Залишаю тільки 5 порт в параметрі Allow From Ports

   На цій же ж вкладці задаємо пароль

 

 

 

2. На вкладці VLANs додаємо правила розподілу портів по VLAN

 

3. На вкладці VLAN активуємо порти на роботу з VLAN

Вкладку Forwarding в даному випадку не чіпаємо всі блокування трафіку між VLAN налаштовуються на маршрутизаторі. якщо познімати галочки це може порушити роботу комутатора.

 

    

    

   

    8. Ізолювання VLAN

    Завдання. 

    1. Ізолювати VLAN12, VLAN13, VLAN15 і VLAN з міткою 1 (Eth7-Eth10) один від одного.

    2. Залишити доступ всім до VLAN 14. Припустимо там будуть якісь сервера.

    Налаштування знаходиться IP - Routes - Rules

    Через кнопку "+" створюємо правила. unreachable - недоступний. Правила працюють в обох напрямках.