Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
razdelenie_lokalnoj_seti_s_pomoschju_vlan [2013/11/18 10:35]
ansealk [Включение NAT]
razdelenie_lokalnoj_seti_s_pomoschju_vlan [2013/11/18 10:41] (текущий)
Строка 1: Строка 1:
 +====== Разделение локальной сети с помощью VLAN ======
  
 +Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. ​
 +
 +**Описание задачи:​** Есть локальная сеть предприятия,​ к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.
 +
 +Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия,​ а к HotSpot — гостевые ноутбуки для выхода в интернет.
 +
 +{{:​mtk:​vlan1:​topology.png|}}
 +
 +Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.
 +
 +===== Добавление VLAN интерфейса =====
 +Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.
 +
 +{{:​mtk:​vlan1:​vlan_tab.png|}}
 +
 +  - Откройте меню Interfaces;
 +  - Перейдите на вкладку VLAN;
 +  - Нажмите "​красный плюсик";​
 +  - В появившемся окне в поле Name указываем название интерфейса vlan2;
 +  - В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID - это, по сути, имя виртуального интерфейса,​ которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется,​ поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;​
 +  - В списке Interface выбираем интерфейс bridge_main;​
 +  - Нажимаем кнопку OK для создания VLAN интерфейса.
 +
 +{{:​mtk:​vlan1:​vlan_setup.png|}}
 +
 +===== Назначение IP адресов локальным сетям =====
 +Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/​24,​ а гостевая сеть 192.168.10.1/​24. Настроим IP адреса локальных сетей.
 +
 +Настройка IP адреса сети предприятия:​
 +  - Откройте меню IP - Addresses;
 +  - Нажмите "​красный плюсик";​
 +  - В поле Address введите 192.168.88.1/​24;​
 +  - В списке Interface выберите интерфейс bridge_main;​
 +  - Нажимаем кнопку OK.
 +
 +{{:​mtk:​vlan1:​address.png|}}
 +
 +Настройка IP адреса гостевой сети:
 +  - Откройте меню IP - Addresses;
 +  - Нажмите "​красный плюсик";​
 +  - В поле Address введите 192.168.10.1/​24;​
 +  - В списке Interface выберите виртуальный интерфейс vlan2;
 +  - Нажимаем кнопку OK.
 +
 +{{:​mtk:​vlan1:​address_vlan2.png|}}
 +
 +===== Настройка пула адресов =====
 +Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254,​ а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.
 +
 +Добавляем диапазон IP адресов предприятия:​
 +
 +{{:​mtk:​vlan1:​pool_main.png|}}
 +
 +  -Откройте меню IP - Pool;
 +  -Нажмите "​красный плюсик";​
 +  -В появившемся окне в поле Name укажите название dhcp_pool_main;​
 +  -В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254;​
 +  -Нажмите кнопку OK для сохранения пула адресов.
 +
 +
 +Добавляем диапазон IP адресов гостевой сети аналогичным образом:​
 +
 +{{:​mtk:​vlan1:​pool_vlan2.png|}}
 +
 +  - Нажмите "​красный плюсик";​
 +  - В появившемся окне в поле Name указываем название dhcp_pool_vlan2;​
 +  - В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254;​
 +  - Нажимаем кнопку OK для сохранения пула адресов.
 +
 +===== Настройка DHCP серверов =====
 +Чтобы компьютеры получали сетевые настройки автоматически,​ необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
 +
 +Настраиваем DHCP сервер внутренней сети предприятия:​
 +  - Откройте меню IP - DHCP server;
 +  - Нажмите "​красный плюсик";​
 +  - В появившемся окне в поле Name укажите название dhcp_server_main;​
 +  - В списке Interface выберите интерфейс офисной сети bridge_main;​
 +  - В списке Address Pool выберите пул IP адресов dhcp_pool_main,​ которые будут присваиваться компьютерам предприятия;​
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​dhcp_server_main.png|}}
 +
 +Настраиваем DHCP сервер гостевой сети аналогичным образом:​
 +  - Нажмите "​красный плюсик";​
 +  - В появившемся окне в поле Name укажите название dhcp_server_vlan2;​
 +  - В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
 +  - В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2,​ которые будут присваиваться гостевым ноутбукам;​
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​dhcp_server_vlan2.png|}}
 +
 +Теперь переходим на вкладку Networks и добавляем наши сети:
 +
 +Добавляем сеть предприятия:​
 +  - Нажмите "​красный плюсик";​
 +  - В поле Address укажите сеть предприятия 192.168.88.0/​24;​
 +  - В поле Gateway укажите адрес шлюза 192.168.88.1;​
 +  - В поле Netmask укажите маску 24;
 +  - В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;​
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​network_office.png|}}
 +
 +Теперь переходим на вкладку Networks и добавляем наши сети:
 +
 +Добавляем сеть предприятия:​
 +  - Нажмите "​красный плюсик";​
 +  - В поле Address укажите сеть предприятия 192.168.88.0/​24;​
 +  - В поле Gateway укажите адрес шлюза 192.168.88.1;​
 +  - В поле Netmask укажите маску 24;
 +  - В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;​
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​network_hotspot.png|}}
 +
 +===== Настройка DNS сервера =====
 +  - Откройте меню IP - DNS и нажмите кнопку Settings;
 +  - Поставьте галочку Allow Remote Request;
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​dns.png|}}
 +
 +===== Включение NAT =====
 +Чтобы компьютеры имели выход в интернет,​ нужно настроить NAT для двух сетей.
 +
 +Настройка NAT для внутренней сети предприятия:​
 +
 +  - Откройте меню IP - Firewall;
 +  - Перейдите на вкладку NAT;
 +  - Нажмите "​красный плюсик";​ \\ {{:​mtk:​vlan1:​nat_tab.png|}}
 +  - В списке Chain выберите srcnat;
 +  - В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/​24;​
 +  - В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;​ \\ {{:​mtk:​vlan1:​nat_office_general.png|}}
 +  - Перейдите на вкладку Action;
 +  - В списке Action выберите masquerade;
 +  - Нажмите кнопку OK. \\ {{:​mtk:​vlan1:​nat_office_action.png|}}
 +
 +Настройка NAT для гостевой сети выполняется аналогичным образом,​ только используется другой диапазон IP адресов и порт vlan2:
 +  - Нажмите "​красный плюсик";​
 +  - В списке Chain выберите srcnat;
 +  - В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/​24;​
 +  - В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;​
 +  - Перейдите на вкладку Action;
 +  - В списке Action выберите masquerade;
 +  - Нажмите кнопку OK.
 +
 +===== Изоляция подсетей =====
 +
 +Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами:​ через Firewall или правила маршрутизации Route Rules. Мы опишем,​ как изолировать подсети в MikroTik с помощью Route Rules.
 +  - Откройте меню IP - Routes;
 +  - Перейдите на вкладку Rules;
 +  - Нажмите "​красный плюсик";​
 +  - В поле Src. Address укажите офисную подсеть 192.168.88.0/​24;​
 +  - В поле Dst. Address укажите гостевую подсеть 192.168.10.0/​24;​
 +  - В списке Action выберите unreachable;​
 +  - Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​route_rule_1.png|}}
 +
 +Добавляем второе правило аналогичным образом,​ только меняем местами подсети.
 +
 +Нажмите "​красный плюсик";​
 +В поле Src. Address укажите офисную подсеть 192.168.10.0/​24;​
 +В поле Dst. Address укажите гостевую подсеть 192.168.88.0/​24;​
 +В списке Action выберите unreachable;​
 +Нажмите кнопку OK.
 +
 +{{:​mtk:​vlan1:​route_rule_2.png|}}
 +
 +===== Заключение =====
 +Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах,​ торговых центрах и гостиницах. Надеемся,​ данная инструкция поможет вам в решении аналогичных задач.
razdelenie_lokalnoj_seti_s_pomoschju_vlan.txt · Последние изменения: 2013/11/18 10:41 (внешнее изменение)
GNU Free Documentation License 1.3
Driven by DokuWiki Recent changes RSS feed Valid CSS Valid XHTML 1.0 Яндекс.Метрика