Это дополнение к предыдущей публикации о VLAN. Здесь рассмотрено подключение оборудования в порты доступа непосредственно в микротике и соединение через транк-порт с другим роутером.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Согласно поставленной задаче необходимо создать 3 VLAN:
1-Видеонаблюдение +сеть управления – VLAN-10;
2-Рабочая сеть – VLAN-11;
3-Гостевая сеть – VLAN-12;
Настроить не тегированные (Untagged) VLAN порты в GW1 для подключения оконечного оборудования: компьютера, ноутбука и IP-камеры (access-порты).
Организовать тегированный (Tagged) транк-порт VLAN для связи с роутером GW2 и настроить этот роутер для подключения оконечного оборудования.
Настройка протестирована на RB3011 и RB750Gr3 с RouterOS v6.49.
Настройка роутера GW1.
Сброс конфигурации.
Настройки MikroTik выполняются через WinBox.
Подключаемся к роутеру через первый порт, сбрасываем конфигурацию на пустую (blank).
Через командную строку терминала:
1
| /system reset—configuration no—defaults=yes skip—backup=yes |
Подключаемся к роутеру по MAC-адресу.
Логин (первоначальный): admin
Пароля нет.
После подключения меняем логин и пароль.
System >> Users
Идентификатор роутера.
Обозначим название для роутера GW1, чтоб отличать от второго роутера, который назовем GW2.
Через командную строку терминала:
1
| /system identity set name=GW1 |
Настройки VLAN в роутере GW1.
Мост для VLAN.
Создаем мост.
Name: bridge-VLAN – любое понятное имя латиницей.
Переходим на вкладку VLAN.
Активируем VLAN Filtering.
После активации этой настройки мост сможет обрабатывать кадры VLAN.
Через командную строку терминала:
1
| /interface bridge add name=bridge—VLAN vlan—filtering=yes ingress—filtering=no |
Интерфейсы.
Добавляем в созданный bridge-VLAN все порты кроме ether1.
Нажимаем + и добавляем ether2.
Аналогично добавляем остальные.
Редактирование PVID порта.
Выбираем порт и на вкладке VLAN изменяем PVID в соответствии со схемой.
Для ether2 изменяем только тип пропускаемых кадров, так как это trunk-порт.
Frames Type: admit only VLAN tagged – пропускать только тэгированный трафик.
В порт 3 будет направлен VLAN-10.
Так как данный порт предназначен для подключения только оконечного оборудования, можно применить настройку:
Frames Type: admit only untagged and priority tagged – пропускать только не тэгированный трафик.
Аналогично ether3 редактируем порты ether4 и ether5 с учетом PVID 11 и 12 соответственно.
Через командную строку терминала:
1 2 3 4 5
| /interface bridge port add bridge=bridge—VLAN interface=ether2 frame—types=admit—only—vlan—tagged add bridge=bridge—VLAN interface=ether3 pvid=10 frame—types=admit—only—untagged—and—priority—tagged add bridge=bridge—VLAN interface=ether4 pvid=11 frame—types=admit—only—untagged—and—priority—tagged add bridge=bridge—VLAN interface=ether5 pvid=12 frame—types=admit—only—untagged—and—priority—tagged |
Bridge-VLAN.
На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированный интерфейс, по которому будет выполняться связь со вторым роутером (trunk-порт).
Bridge: bridge-VLAN – созданный ранее мост.
VLAN IDs: 10 идентификатор для VLAN-10.
Tagged: ether2, bridge-VLAN – тегированные порты.
Untagged: ether3 – не тегированный порт по плану.
ОК для сохранения.
Добавляем VLAN ID 11.
Bridge: bridge-VLAN – созданный мост.
VLAN IDs: 11 идентификатор для VLAN-11.
Tagged: ether2, bridge-VLAN – тегированные порты.
Untagged: ether4 – не тегированный порт.
ОК для сохранения.
Добавляем VLAN ID 12.
Через командную строку терминала:
1 2 3 4
| /interface bridge vlan add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether3 vlan—ids=10 add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether4 vlan—ids=11 add bridge=bridge—VLAN tagged=ether2,bridge—VLAN untagged=ether5 vlan—ids=12 |
VLAN интерфейсы.
Создаем интерфейсы VLAN-10, VLAN-11, VLAN-12.
Интерфейсы нужны, чтоб назначить на них IP-адреса и затем DHCP сервера.
Interfaces >> + >> VLAN
Name: VLAN-10 – любое понятное название латиницей.
VLAN ID: 10 – идентификатор VLAN.
Interface: bridge-VLAN – интерфейс для VLAN-10.
Создаем таким же способом еще 2 интерфейса для VLAN-11 и VLAN-12.
Через командную строку терминала:
1 2 3 4
| /interface vlan add name=VLAN—10 vlan—id=10 interface=bridge—VLAN add name=VLAN—11 vlan—id=11 interface=bridge—VLAN add name=VLAN—12 vlan—id=12 interface=bridge—VLAN |
IP-адреса для VLAN.
Назначаем IP-адрес для VLAN интерфейсов.
IP >> Addresses >> +
Таким же способом назначаем IP-адреса другим интерфейсам.
Через командную строку терминала:
1 2 3 4
| /ip address add address=172.16.10.1/28 interface=VLAN—10 network=172.16.10.0 add address=172.16.11.1/28 interface=VLAN—11 network=172.16.11.0 add address=172.16.12.1/28 interface=VLAN—12 network=172.16.12.0 |
DHCP-сервер для VLAN.
Назначим раздачу IP-адресов VLAN с помощью DHCP-сервера.
Пул IP-адресов для DHCP-сервера.
Создаем новый пул нажав +.
Name: VLAN-10-POOL – любое понятное имя.
Addresses: 172.16.10.2-172.16.10.14 – диапазон IP-адресов для раздачи.
ОК
Создаем аналогично три пула адресов для всех VLAN.
Через командную строку терминала:
1 2 3
| /ip pool add name=VLAN—10—POOL ranges=172.16.10.2—172.16.10.14 /ip pool add name=VLAN—11—POOL ranges=172.16.11.2—172.16.11.14 /ip pool add name=VLAN—12—POOL ranges=172.16.12.2—172.16.12.14 |
Настройка сети для DHCP-сервера.
Создаем сеть для VLAN-10.
Adress: 172.16.10.0/28 – адрес сети
Gateway: 172.16.10.1 – шлюз.
DNS Server: 172.16.10.1 – DNS сервер который будет раздаваться в сеть.
Аналогично создаем три сети для всех VLAN.
Через командную строку терминала:
1 2 3
| /ip dhcp—server network add address=172.16.10.0/28 dns—server=172.16.10.1 gateway=172.16.10.1 /ip dhcp—server network add address=172.16.11.0/28 dns—server=172.16.11.1 gateway=172.16.11.1 /ip dhcp—server network add address=172.16.12.0/28 dns—server=172.16.12.1 gateway=172.16.12.1 |
Создание DHCP-сервера.
Name: DHCP-VLAN-10 – любое понятное имя.
Interface: VLAN-10 – интерфейс на котором будет работать DHCP.
Adress Pool: VLAN-10-POOL – созданный ранее пул адресов.
Создаем три DHCP-сервера для всех VLAN.
Через командную строку терминала:
1 2 3
| /ip dhcp—server add address—pool=VLAN—10—POOL interface=VLAN—10 name=DHCP—VLAN—10 disabled=no /ip dhcp—server add address—pool=VLAN—11—POOL interface=VLAN—11 name=DHCP—VLAN—11 disabled=no /ip dhcp—server add address—pool=VLAN—12—POOL interface=VLAN—12 name=DHCP—VLAN—12 disabled=no |
Настройка роутера GW1 завершена. Выполняем промежуточную проверку. Подключаем в порты роутера ether3, ether4, ether5 видеокамеру, компьютер и гостевой ноутбук.
Все устройства получили IP-адреса из разных VLAN в соответствии с планом.
Далее следует выполнить еще некоторые настройки локальной сети, Интернета и безопасности.
Можно воспользоваться базовой настройкой на этой странице.
Настройка роутера GW2.
По смыслу роутер будет выполнять работу коммутатора. Он будет принимать все три VLAN на первый порт ether1 и раздавать нужный трафик с тэгами 10, 11 и 12 в порты ether2, ether3 и ether4 соответственно.
Подключаемся к GW2 с использованием WinBox по MAC-адресу через пятый порт, сбрасываем конфигурацию на пустую (blank).
Через командную строку терминала:
1
| /system reset—configuration no—defaults=yes skip—backup=yes |
После подключения меняем логин и пароль.
System >> Users
Идентификатор роутера.
Обозначим название для роутера GW2.
Через командную строку терминала:
1
| /system identity set name=GW2 |
Настройки VLAN.
Мост для VLAN.
Создаем мост.
Name: bridge-VLAN-GW2 – любое понятное имя латиницей.
Переходим на вкладку VLAN.
Активируем VLAN Filtering.
Через командную строку терминала:
1
| /interface bridge add name=bridge—VLAN—GW2 vlan—filtering=yes ingress—filtering=no |
Интерфейсы.
Добавляем в созданный bridge-VLAN-GW2 все порты кроме ether5.
ether5 не задействованный порт.
Редактирование PVID порта.
Выбираем порт и на вкладке VLAN изменяем PVID в соответствии со схемой.
Для ether1 изменяем только тип пропускаемых кадров, так как это trunk-порт.
Frames Type: admit only VLAN tagged – пропускать только тэгированный трафик.
В порт 2 будет направлен VLAN-10.
PVID:10
Frames Type: admit only untagged and priority tagged – пропускать только не тэгированный трафик.
Аналогично ether2 редактируем порты ether3 (PVID11) и ether4 (PVID12).
Через командную строку терминала:
1 2 3 4 5
| /interface bridge port add bridge=bridge—VLAN—GW2 interface=ether1 frame—types=admit—only—vlan—tagged add bridge=bridge—VLAN—GW2 interface=ether2 pvid=10 frame—types=admit—only—untagged—and—priority—tagged add bridge=bridge—VLAN—GW2 interface=ether3 pvid=11 frame—types=admit—only—untagged—and—priority—tagged add bridge=bridge—VLAN—GW2 interface=ether4 pvid=12 frame—types=admit—only—untagged—and—priority—tagged |
VLANs для Bridge-VLAN-GW2 (таблица виланов моста).
На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированные и не тегированные интерфейсы.
Bridge: bridge-VLAN-GW2 – созданный ранее мост.
VLAN IDs: 10 идентификатор для VLAN-10.
Tagged: ether1, bridge-VLAN – тегированные порты.
Untagged: ether2 – не тегированный порт по плану.
ОК для сохранения.
Добавляем VLAN ID 11.
Bridge: bridge-VLAN-GW2 – созданный мост.
VLAN IDs: 11 идентификатор для VLAN-11.
Tagged: bridge-VLAN-GW2, ether1 – тегированные порты.
Untagged: ether3 – не тегированный порт.
ОК для сохранения.
Добавляем VLAN ID 12.
Bridge: bridge-VLAN-GW2 – созданный мост.
VLAN IDs: 12 идентификатор для VLAN-12.
Tagged: bridge-VLAN-GW2, ether1 – тегированные порты.
Untagged: ether4 – не тегированный порт.
ОК для сохранения.
Через командную строку терминала:
1 2 3 4
| /interface bridge vlan add bridge=bridge—VLAN—GW2 tagged=ether1,bridge—VLAN—GW2 untagged=ether2 vlan—ids=10 add bridge=bridge—VLAN—GW2 tagged=bridge—VLAN—GW2,ether1 untagged=ether3 vlan—ids=11 add bridge=bridge—VLAN—GW2 tagged=bridge—VLAN—GW2,ether1 untagged=ether4 vlan—ids=12 |
После этих действий хостам в портах GW2 ether2, ether3, ether4 начнут раздаваться IP-адреса из VLAN.
IP-адрес для GW2.
Для того, чтоб GW2 получил IP-адрес из VLAN-10 который, в том числе, является сетью управления, настроим DHCP-клиент.
Назначить IP-адрес из 10 вилана напрямую на мост не получится. Создадим дополнительный виртуальный интерфейс для этого.
Name: VLAN-10-GW2 – любое понятное название латиницей.
VLAN ID: 10 – идентификатор VLAN.
Interface: bridge-VLAN-GW2 – интерфейс для VLAN-10.
OK.
Через командную строку терминала:
1
| /interface vlan add interface=bridge—VLAN—GW2 name=VLAN—10—GW2 vlan—id=10 |
DHCP-client.
Создаем новый DHCP-client на VLAN интерфейсе.
После подтверждения настройки роутеру сразу присваивается IP-адрес из VLAN-10.
Через командную строку терминала:
1
| /ip dhcp—client add interface=VLAN—10—GW2 |
В списке адресов роутера GW1 видно, что раздались следующие адреса:
1-172.16.10.2 – роутер GW2 – VLAN-10
2-172.16.10.3 – видеокамера – VLAN-10.
3-172.16.11.3 – компьютер – VLAN-11.
4-172.16.12.14 – ноутбук для гостя – VLAN-12.
Настройка VLAN завершена.
Так как использование коммутаторов/роутеров CRS326-24G-2S+ в сети с VLAN является популярным решением на сегодняшний день, в описание добавлена настройка этого коммутатора.
Конфигурация роутера GW1 такая же, как в описании выше. На Trunk-порт подключен SW2, вместо GW2.
Подключение.
Патч-корд от компьютера, с которого выполняется настройка, подключен в последний порт SW2.
Настройки выполняются через WinBox и Web-браузер.
При первоначальном включении в устройстве запускается RouterOS.
Подключаемся к SW2 и перезагружаем его в режим SwOS.
SwOS (Switch OS) — это операционная система, разработанная специально для администрирования коммутаторов MikroTik.
Первоначальный IP-адрес у всех коммутаторов MikroTik с SwOS – 192.168.88.1
Для дальнейшей работы меняем IP-адрес в сетевой карте компьютера, с которого выполняется настройка.
Нужно настроить любой адрес из сети 192.168.88.024 (кроме первого и последнего).
Входим в настройку SW2 через любой браузер, введя в адресной строке 192.168.88.1.
Если подключение выполняется через WinBox, то все равно произойдет перенаправление в браузер.
Учетная запись – admin.
Пароля нет.
Настройка VLAN.
Настройка выполняется на двух вкладках меню – VLAN и VLANs.
Настройка Trunk-порта.
По плану транк – это первый порт, по которому будут передаваться 3 разных VLAN.
VLAN Mode: enabled – активация режима VLAN порта.
VLAN Receive: only tagged – только тегированный трафик разрешается через этот порт.
Default VLAN ID:1 – дефолтный ID. Этот параметр влияет только на нетэгированный трафик. Поэтому для транка его можно не изменять.
Force VLAN ID – не изменяется.
Настройка Access-портов.
Порт 2 – VLAN10
Порт 3 – VLAN11
Порт 4 – VLAN12
VLAN Mode: enabled – активация режима VLAN порта.
VLAN Receive: only untagged – нетегированный трафик будет проходить через все эти порты т.к. в них будет подключатся оконечное оборудование.
Default VLAN ID: 10, 11, 12 – дефолтные ID у каждого порта соответственно.
Для сохранения настроек нужно нажать кнопку Apply All в нижней правой части окна браузера.
Порты участники VLAN.
Переходим на вкладку VLANs для настройки участвующих в VLAN портов.
Создаем дополнительные строки перечня, нажав кнопку «Append». В каждой новой строке указываем настройки для соответствующего VLAN (10, 11, 12).
В данном случае интересуют настройки VLAN ID и Members.
VLAN ID – идентификаторы VLAN для отмеченных портов.
Members – участники VLAN для заданных ID.
Первый порт отмечен для всех ID так как это транк.
Сохраняем настройку, нажав кнопку «Apply All».
Системные настройки.
Назначаем получение IP-адреса по DHCP на вкладке System.
Дополнительно можно изменить идентификатор коммутатора, порт DHCP и VLAN, с которых разрешено подключение.
Address Acquisition: DHCP only. Если этот параметр оставить без изменений (DHCP with fallback) то при любой потере связи с роутером, коммутатору будет присваиваться статический IP.
Identity: SW2 – любое понятное название латиницей.
Allow From Ports: отмечены 1 и 2 порты – это порты с которых можно подключатся в коммутатор для выполнения настроек.
Если отметить только первый порт, то подключится можно будет только через него, соответственно нужно подключиться в порт роутера GW1 c VLAN10 и далее соединение пойдет через транк-порт и в первый порт коммутатора.
Allow From VLAN: 10 – подключение только из VLAN-10.
Проверка.
Проверяем DHCP список в роутере GW1.
Коммутатору SW2 раздался IP-адрес из VLAN-10.
На других портах устройствам раздаются IP-адреса в соответствии с назначенными на порты VLAN.
Более детальная настройка VLAN в CRS326-24G-2S+ на официальном сайте.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.