Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
izoljacija_trafika_na_s_pomoschju_vlan [2013/11/18 10:48]
ansealk
izoljacija_trafika_na_s_pomoschju_vlan [2013/11/18 10:54] (текущий)
Строка 1: Строка 1:
 +====== Изоляция трафика на с помощью VLAN ======
 +Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.
  
 +Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример,​ как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.
 +
 +Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.
 +
 +Допустим,​ на первый порт роутера MikroTik приходит пять вланов со следующими номерами:​
 +
 +  * 10 — предназначен для управления маршрутизатором;​
 +  * 20 — трафик для 2-го LAN порта;
 +  * 30 — трафик для 3-го LAN порта;
 +  * 40 — трафик для 4-го LAN порта;
 +  * 50 — трафик для 5-го LAN порта.
 +
 +Наша задача настроить роутер и решить следующие задачи:​
 +  * Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
 +  * Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.
 + 
 +Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.
 +
 +{{:​mtk:​vlan2:​301_mikro.png|}}
 +
 +Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:​
 +  * vlan_10 с VLAN ID:10 на порту ether1
 +  * vlan_20 с VLAN ID:20 на порту ether1
 +  * vlan_30 с VLAN ID:30 на порту ether1
 +  * vlan_40 с VLAN ID:40 на порту ether1
 +  * vlan_50 с VLAN ID:50 на порту ether1
 +
 +{{:​mtk:​vlan2:​302_mikro.png|}}
 +
 +На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
 +Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:​
 +  - Откройте меню IP→Address и нажмите красный плюсик;​
 +  - В поле Address введите IP-адрес,​ например 10.10.10.10/​24;​
 +  - В списке Interface выберите интерфейс vlan_10.
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan2:​303_mikro.png|}}
 +
 +Чтобы на IP-адрес управления 10.10.10.10/​24 можно было попасть из любого места сети, настроим маршрутизацию:​
 +  - Откройте меню IP→Route и нажмите красный плюсик;​
 +  - В поле Dst. Address введите адрес 0.0.0.0/0;
 +  - В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например 10.10.10.1;
 +  - Нажмите OK.
 +
 +{{:​mtk:​vlan2:​304_mikro.png|}}
 +
 +На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.
 +
 +Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования,​ нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.
 +
 +Сначала создадим четыре бридж интерфейса:​
 +  - Откройте меню Bridge и нажмите красный плюсик;​
 +  - В поле Name укажите название бридж интерфейса,​ например bridge_50 — это бридж для влана 50;
 +  - Нажмите кнопку OK;
 +  - Добавьте по аналогии интерфейсы bridge_20, bridge_30 и bridge_40.
 +
 +{{:​mtk:​vlan2:​305_mikro.png|}}
 +
 +Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:​
 +  - В интерфейс bridge_20 добавляем порты ether2 и vlan_20
 +  - В интерфейс bridge_30 добавляем порты ether3 и vlan_30
 +  - В интерфейс bridge_40 добавляем порты ether4 и vlan_40
 +  - В интерфейс bridge_50 добавляем порты ether5 и vlan_50
 +
 +Добавление портов в бриджи выполняется следующим образом:​
 +  - Перейдите на вкладку Ports и нажмите красный плюсик;​
 +  - В списке Bridge выберите имя бридж интерфейса bridge_50;
 +  - В списке Interface выберите соответствующий сетевой порт ether5;
 +  - Нажмите OK;
 +  - Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
 +  - В списке Bridge выберите имя бридж интерфейса bridge_50;
 +  - В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
 +  - Нажмите OK.
 +
 +Добавьте по аналогии порты в бриджи bridge_20, bridge_30 и bridge_40.
 +
 +{{:​mtk:​vlan2:​306_mikro.png|}}
 +
 +На этом мы решили вторую задачу,​ и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора.
 +
 +Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:
 +  - Bridge_20 — vlan2_10
 +  - Bridge_30 — vlan3_10
 +  - Bridge_40 — vlan4_10
 +  - Bridge_50 — vlan5_10
 +
 +{{:​mtk:​vlan2:​307_mikro.png|}}
 +
 +В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.
 +
 +{{:​mtk:​vlan2:​308_mikro.png|}}
 +
 +Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:
 +  - Vlan_10
 +  - Vlan2_10
 +  - Vlan3_10
 +  - Vlan4_10
 +  - Vlan5_10
 +
 +{{:​mtk:​vlan2:​309_mikro.png|}}
 +
 +Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.
 +
 +Когда у вас есть любой интерфейс с установленным IP-адресом,​ и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/​24 нужно его перенести с интерфейса vlan_10 на bridge1_10:
 +  - Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
 +  - В списке Interface укажите интерфейс bridge1_10.
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan2:​310_mikro.png|}}
 +
 +Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/​24.
 +
 +В заключении добавим,​ что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.
 +
 +{{:​mtk:​vlan2:​311_mikro.png|}}
izoljacija_trafika_na_s_pomoschju_vlan.txt · Последние изменения: 2013/11/18 10:54 (внешнее изменение)
GNU Free Documentation License 1.3
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Яндекс.Метрика