Архив метки: Настройка ПО

MikroTik – VLAN – сегментация сети.

Представлена настройка сегментации локальной сети в организации с использованием VLAN. Организатором VLAN выступает роутер MikroTik. В сети использованы коммутаторы ZyXEL и D-Link. Далее схема повторяется на большое число однотипных сегментов.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

VLAN использован для следующих целей:

-разделить большую сеть на сегменты, отделить разные отделы, уменьшить широковещательный трафик;

-создать изоляцию между сетями;

-подключить коммутатор в который приходит 2 и более сетей одним проводом к роутеру (не тянуть лишние провода, не покупать доп. коммутаторы);

-объединить некоторые компьютеры расположенные в разных корпусах в общую логическую сеть;

Если все сети разделены проводами каждая к своему коммутатору, то можно обойтись простой сегментацией без VLAN как у нас было первоначально (ссылка).

Согласно поставленной задаче необходимо создать 3 VLAN:

1-Видеонаблюдение +сеть управления – VLAN-10;

2-Рабочая сеть – VLAN-11;

3-Гостевая сеть – VLAN-12;

Сети разделены на такие группы для упрощения описания. В реальной ситуации у нас в ЛВС 6 сетей с количеством хостов от 50 до 150 в каждой.

Настройка организована через VLAN Bridging. Мосты используются в том случае если одна и та же сеть нужна на разных портах, так же на мост ложится задача обрабатывать модифицированные кадры VLAN. Непосредственную обработку выполняет процессор.

Настройка подходит для всех типов роутеров с RouterOS v6.49. Первоначально настройка протестировалась на RB750Gr3 и RB3011. В рабочем варианте в локальной сети использован CRS326.

Существует так же возможность настройки VLAN через Switch-чип, но в данном описании она не рассматривается.

Для примера представлено описание настройки VLAN самых распространенных в нашей сети коммутаторов GS1900 и DGS-1100.

Кратко о VLAN.

VLAN – виртуальная локальная сеть, которая логически формируется на инфраструктуре физический локальной сети. Используется для сегментации сети и изоляции различных ее сегментов друг от друга.

VLAN работает на 2 уровне модели OSI (канальный). На этом уровне информация передается в виде кадров. В кадр добавляется дополнительное поле, в которое в том числе входит номером – VLAN ID.

В микротике есть два типа портов VLAN:

1-Тегированные (Tagged) – это порты для связи с другим сетевым оборудование, например с коммутаторами (trunk-порты, uplink или магистральные).

2-Не тегированные (Untagged) – это порты для подключения оконечного оборудования, например компьютеров (access-порты).

Все коммутаторы подключены к роутеру через trunk-порты. Коммутатор считывает номер тэга и отправляют его в нужный порт к оконечному оборудованию удаляя тэг на выходе. В обратную сторону (от оконечного оборудования к роутеру) передача идет так же, но в обратном порядке.

VLAN1 – трафик считается не тегированным.

Сброс конфигурации роутера.

Настройки MikroTik выполняются через WinBox.

Чтоб самого себя не отключить от роутера будем выполнять настройки через неиспользуемый порт, например ether5.

Подключаемся к роутеру, сбрасываем конфигурацию на пустую (blank).

Через командную строку терминала:

<br />
/system reset-configuration no-defaults=yes skip-backup=yes

1	/system reset—configuration no—defaults=yes skip—backup=yes

*если роутер выполняет работу в ЛВС, сбрасывать конфигурацию не нужно

Подключаемся к роутеру по MAC-адресу.

Логин (первоначальный): admin

Пароля нет.

После подключения меняем логин и пароль. (см. базовые настройки).

Настройки VLAN в роутере.

Мост для VLAN.

Создаем мост.

Name: bridge-VLAN – любое понятное имя латиницей.

Переходим на вкладку VLAN.

Активируем VLAN Filtering.

После активации этой настройки мост сможет обрабатывать кадры VLAN.

Ether Type: 0x8100 – тэг по умолчанию считающийся VLAN (метка о том что кадр принадлежит VLAN 802.1Q).

PVID 1 – для всего моста.

Frame Types: admit all – уточнение какие типы кадров разрешены для прохождения. (все типы)

После того как все будет настроено и заработает эту настройку можно поменять на admit only VLAN tagged — пропускать только тэгированный трафик.

Через командную строку терминала:

<br />
/interface bridge add name=bridge-VLAN vlan-filtering=yes ingress-filtering=no

1	/interface bridge add name=bridge—VLAN vlan—filtering=yes ingress—filtering=no

Интерфейсы.

Добавляем в созданный bridge-VLAN порты, которые планируются для VLAN. Согласно схемы это ether2 и ether3.

Нажимаем + и добавляем ether2.

Аналогично добавляем ether3.

Через командную строку терминала:

<br />
/interface bridge port

<br />
add bridge=bridge-VLAN interface=ether2

<br />
add bridge=bridge-VLAN interface=ether3

/interface bridge port

add bridge=bridge—VLAN interface=ether2

add bridge=bridge—VLAN interface=ether3

Bridge-VLAN.

На вкладке VLANs добавляем все VLAN IDs для bridge-VLAN. Указываем тегированные интерфейсы, по которым будет выполняться связь с коммутаторами (trunk-порты).

Bridge: bridge-VLAN – созданный ранее мост.

VLAN IDs: 10 идентификатор для VLAN-10.

Tagged: ether2, ether3, bridge-VLAN – тегированные порты.

ОК для сохранения.

Особенность настройки в том, что пока не добавить bridge-VLAN в bridge-VLAN ничего не начнет работать. Т.е. мы добавляем метку VLANа для самого моста.

Можно добавить все три метки в одной настройке, нажав стрелочку вниз (возле VLAN IDs), но лучше так не делать и создать отдельные VLANs для удобства управления.

Добавляем VLAN IDs 11 и 12 аналогично.

Через командную строку терминала:

<br />
/interface bridge vlan

<br />
add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=10

<br />
add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=11

<br />
add bridge=bridge-VLAN tagged=ether2,ether3,bridge-VLAN vlan-ids=12

/interface bridge vlan

add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=10

add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=11

add bridge=bridge—VLAN tagged=ether2,ether3,bridge—VLAN vlan—ids=12

VLAN интерфейсы.

Создаем интерфейсы VLAN-10, VLAN-11, VLAN-12.

Интерфейсы нужны, чтоб назначить на них IP-адреса и затем DHCP сервера.

Interfaces >> + >> VLAN

Name: VLAN-10 – любое понятное название латиницей.

VLAN ID: 10 – идентификатор VLAN.

Interface: bridge-VLAN – интерфейс для VLAN-10.

Создаем таким же способом еще 2 интерфейса для VLAN-11 и VLAN-12.

Через командную строку терминала:

<br />
/interface vlan

<br />
add name=VLAN-10 vlan-id=10 interface=bridge-VLAN

<br />
add name=VLAN-11 vlan-id=11 interface=bridge-VLAN

<br />
add name=VLAN-12 vlan-id=12 interface=bridge-VLAN

/interface vlan

add name=VLAN—10 vlan—id=10 interface=bridge—VLAN

add name=VLAN—11 vlan—id=11 interface=bridge—VLAN

add name=VLAN—12 vlan—id=12 interface=bridge—VLAN

IP-адреса для VLAN.

Назначаем IP-адрес для VLAN интерфейсов.

IP >> Addresses >> +

Таким же способом назначаем IP-адреса другим интерфейсам.

Через командную строку терминала:

<br />
/ip address

<br />
add address=172.16.10.1/28 interface=VLAN-10 network=172.16.10.0

<br />
add address=172.16.11.1/28 interface=VLAN-11 network=172.16.11.0

<br />
add address=172.16.12.1/28 interface=VLAN-12 network=172.16.12.0

/ip address

add address=172.16.10.1/28 interface=VLAN—10 network=172.16.10.0

add address=172.16.11.1/28 interface=VLAN—11 network=172.16.11.0

add address=172.16.12.1/28 interface=VLAN—12 network=172.16.12.0

DHCP-сервер для VLAN.

Назначим раздачу IP-адресов VLAN с помощью DHCP-сервера.

Можно воспользоваться мастером настройки нажав кнопку «DHCP Setup».

Или выполнить настройку вручную. Применим второй вариант.

Пул IP-адресов для DHCP-сервера.

Создаем новый пул нажав +.

Name: VLAN-10-POOL – любое понятное имя.

Addresses: 172.16.10.2-172.16.10.14 – диапазон IP-адресов для раздачи.

ОК

Создаем аналогично три пула адресов для всех VLAN.

Через командную строку терминала:

<br />
/ip pool add name=VLAN-10-POOL ranges=172.16.10.2-172.16.10.14

<br />
/ip pool add name=VLAN-11-POOL ranges=172.16.11.2-172.16.11.14

<br />
/ip pool add name=VLAN-12-POOL ranges=172.16.12.2-172.16.12.14

/ip pool add name=VLAN—10—POOL ranges=172.16.10.2—172.16.10.14

/ip pool add name=VLAN—11—POOL ranges=172.16.11.2—172.16.11.14

/ip pool add name=VLAN—12—POOL ranges=172.16.12.2—172.16.12.14

Настройка сети для DHCP-сервера.

Создаем сеть для VLAN-10.

Adress: 172.16.10.0/28 – адрес сети

Gateway: 172.16.10.1 – шлюз.

DNS Server: 172.16.10.1 – DNS сервер который будет раздаваться в сеть.

Аналогично создаем три сети для всех VLAN.

Через командную строку терминала:

<br />
/ip dhcp-server network add address=172.16.10.0/28 dns-server=172.16.10.1 gateway=172.16.10.1

<br />
/ip dhcp-server network add address=172.16.11.0/28 dns-server=172.16.11.1 gateway=172.16.11.1

<br />
/ip dhcp-server network add address=172.16.12.0/28 dns-server=172.16.12.1 gateway=172.16.12.1

/ip dhcp—server network add address=172.16.10.0/28 dns—server=172.16.10.1 gateway=172.16.10.1

/ip dhcp—server network add address=172.16.11.0/28 dns—server=172.16.11.1 gateway=172.16.11.1

/ip dhcp—server network add address=172.16.12.0/28 dns—server=172.16.12.1 gateway=172.16.12.1

Создание DHCP-сервера.

Name: DHCP-VLAN-10 – любое понятное имя.

Interface: VLAN-10 – интерфейс на котором будет работать DHCP.

Adress Pool: VLAN-10-POOL – созданный ранее пул адресов.

Так же в настройке можно изменить время привязки (Lease Time), но лучше это делать когда все пользователи получат запланированные адреса. В нашей рабочей сети время привязки от 8 до 12 часов по продолжительности рабочего дня. Для гостевой сети время привязки 1-2 часа.

Создаем три DHCP-сервера для всех VLAN.

Через командную строку терминала:

<br />
/ip dhcp-server add address-pool=VLAN-10-POOL interface=VLAN-10 name=DHCP-VLAN-10 disabled=no

<br />
/ip dhcp-server add address-pool=VLAN-11-POOL interface=VLAN-11 name=DHCP-VLAN-11 disabled=no

<br />
/ip dhcp-server add address-pool=VLAN-12-POOL interface=VLAN-12 name=DHCP-VLAN-12 disabled=no

/ip dhcp—server add address—pool=VLAN—10—POOL interface=VLAN—10 name=DHCP—VLAN—10 disabled=no

/ip dhcp—server add address—pool=VLAN—11—POOL interface=VLAN—11 name=DHCP—VLAN—11 disabled=no

/ip dhcp—server add address—pool=VLAN—12—POOL interface=VLAN—12 name=DHCP—VLAN—12 disabled=no

Настройка VLAN завершена.

Далее следует выполнить еще некоторые настройки локальной сети, Интернета и безопасности.

Можно воспользоваться базовой настройкой на этой странице.

Настройки VLAN в коммутаторе ZyXEL GS1900.

В нашей ЛВС около 15 коммутаторов GS1900 -24 -48. Настраиваются они примерно одинаково. В меню есть некоторые различия зависящие от прошивки.

Подключаемся в коммутатор по IP-адресу напрямую от компьютера, с которого выполняются настройки. Оборудование должно быть в одной сети.

IP-адрес коммутатора (первоначальный): 192.168.1.1, по этому назначаем сетевому адаптеру ПК IP-адрес в том же диапазоне.

Если коммутатор потерялся в сети, то находим его с помощью утилиты ZON.

Если не получается найти коммутатор в сети после предыдущих настроек, то можно выполнить его сброс в заводские настройки. Для этого нужно нажать кнопку «Reset» на корпусе у включенного коммутатора и удерживать около 10-12 сек. После этого все диоды засветятся, помигают пару раз синхронно, коммутатор перезагрузится и настройки сбросятся.

Подключаемся с использованием любого браузера.

Логина: admin.

Пароль (первоначальный): 1234.

Меняем первоначальный пароль.

Устанавливаем сложный пароль не менее 8 знаков из букв разного регистра и цифр.

Для сохранения настроек нужно нажать «Save» в правом верхнем углу окна.

Если не сохранить, то после перезагрузки у настроек будет первоначальный вид.

Настройка VLAN.

Переходим в боковом меню Configuration >> VLAN >> VLAN >> VLAN.

Создаем три дополнительных VLAN ID с номерами 10, 11 и 12, нажимая кнопку «add».

Переходим на вкладку «Port», отмечаем галочкой первый порт и наживаем кнопку «Edit».

Для передачи трафика всех VLAN в роутер через этот порт, назначим его trunk-портом.

В этой настройке так же можно указать конкретно тип трафика – тэгированный или не тегированный. По умолчанию любой тип.

Далее, в соответствии с планом назначаем порты для VLAN 10, 11 и 12.

Порты 2, 3, 4 назначим VLAN-10. Для оконечного оборудования, которым будет 3 видеокамеры, нужно отметить порт как не тегированный (Untag Only). Коммутатор будет заворачивать весь трафик с меткой 10 в эти порты и обратно из портов в VLAN-10.

Выбираем порт, отмечаем настройки, нажимаем кнопку «Apply».

Порты 5-15 спланированы для рабочей сети. Можно их отредактировать все сразу.

Отмечаем нужные порты галочками. Нажимаем кнопку «Edit».

Настраиваем PVID 11, отмечаем Untag Only, нажимаем «Apply».

Порты 16-20 спланированы для гостевой сети

Выбираем порты. Указываем PVID 12, отмечаем Untag Only, нажимаем «Apply».

Переходим на вкладку VLAN Port и устанавливаем значение Tagged для всех VLAN ID (1, 10, 11, 12) на порту №1.

Для остальных портов выставляем значение Untagged и Forbidden в соответствии с планом.

Для VLAN-1:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

VLAN-1 в нашей схеме вообще не участвует и можно его не трогать, но на всякий случай пусть 1 порт будет.

После каждой настройки нужно нажимать кнопку «Apply» внизу страницы.

Для VLAN-10:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №2-4 нетэгированы (Untagged).

Подтверждаем на кнопку «Apply».

Для VLAN-11:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №5-15 нетэгированы (Untagged).

Для VLAN-12:

Все порты запрещены (Forbidden).

Порт №1 тэгирован (Tagged).

Порты №16-20 нетэгированы (Untagged).

Получение IP-адреса коммутатора по DHCP.

Чтоб коммутатор не терялся в различных сетях, подсетях нужно назначить ему получение IP-адреса по DHCP.

Так как запланированная сеть для обслуживания (Management) совмещена с VLAN-10 (видеонаблюдение), выполним настройку так, чтоб коммутатору раздался IP-адрес из VLAN-10.

Mode: DHCP.

Management VLAN: 10 – эта настройка отвечает за сеть обслуживания.

После нажатия кнопки «Apply» в порт №1 коммутатора нужно подключить патч-корд от порта роутера с настроенным VLAN – ether2 или ether3.

Если все настроено правильно через некоторое время коммутатору раздастся IP-адрес из VLAN-10.

Новый IP-адрес можно посмотреть в настройка роутера IP >> DHCP-server >> Lease. Так же в этой таблице можно проверить раздаются ли IP-адреса в соответствии с настройкой.

Подключаем оборудование в разные порты коммутатора и проверяем, какие IP-адреса раздаются.

В разных портах коммутатора сетевые устройства получают IP-адреса разных VLAN, соответствующих настройке.

Коммутатору раздался IP-адрес 172.16.10.4

Это можно так же проверить в IP >> Neighbors (соседние устройства в сети)

Заходим в коммутатор по новому IP и сохраняем конфигурацию.

Информация о настройке VLAN коммутатора GS1900 взята с офф. сайта ZyXEL.

Настройка VLAN в коммутаторе DGS-1100-08P.

Такие коммутаторы используются для подключения видеокамер в нашей ЛВС, так как в них есть порты с питание по витой паре POE.

Выполняем настройку через последний порт коммутатора, чтоб самого себя не отключить.

В первый порт коммутатора подключаем входную сеть от любого порта VLAN роутера.

IP-адрес коммутатора (первоначальный): 10.90.90.90, по этому назначаем сетевому адаптеру ПК IP-адрес в том же диапазоне.

Если не получается найти коммутатор в сети после предыдущих настроек, то можно выполнить его сброс в заводские настройки. Для этого нужно нажать кнопку «Reset» на корпусе у включенного коммутатора и удерживать около 5 сек. Коммутатор перезагрузится и настройки сбросятся.

Для поиска в сети коммутаторов D-Link используется ПО SmartConsole Utility

Подключаемся с использованием любого браузера.

Логина нет.

Пароль (первоначальный): admin.

Меняем пароль на сложный, не менее 8 знаков из букв разного регистра и цифр.

Получение IP-адреса коммутатора по DHCP.

Переходим в меню System Settings, отмечаем DHCP, нажимаем Apply для подтверждения.

Сообщение предлагает использовать новый IP-адрес для доступа к устройству.

Пока DHCP сервер не подключен, страница браузера отобразит дисконнект, но через некоторое время (1мин.) можно будет зайти в настройку коммутатора по первоначальному IP-адресу.

Настройка VLAN.

Настройка портов будет такой:

Порт 1 – входящая сеть от роутера.

Порты 2-4 – VLAN-10 – Видеокамеры +сеть управления.

Порты 5-6 – VLAN-11 – Рабочая сеть.

Порты 7-8 – VLAN-12 – Гостевая сеть.

Переходим в меню VLAN.

Редактируем VLAN-1.

Порт1 – тэгированный.

Порт8 – не тегированный.

(временно, пока с него выполняется настройка и чтоб самого себя не отключить)

Остальные порты исключены.

Создаем 3 дополнительных VLAN 10, 11, 12 нажав кнопку «Add VID».

Первым добавляем VLAN-10.

Отмечаем порт 1 – тегированный.

Порты 2-4 – не тэгированные.

Порты 5-8 – не участвуют.

Таким же способом создаем остальные VLAN с учетом их портов.

Редактируем PVID.

Помним про порт 8 и пока с него выполняется настройка не включаем его в VLAN.

Переходим в меню Management VLAN и активируем его на десятом вилане.

После этих действий коммутатору раздастся IP-адрес из VLAN-10.

Тут возникла проблема – IP-адрес не раздавался весьма долго. Перезагружать коммутатор нельзя т.к. не была нажата кнопку сохранения конфигурации.

В итоге через ПО SmartConsole Utility был обновлен IP-адрес по DHCP и все дальше пошло по плану.

В компьютере с которого выполняется настройка выставляем получение IP-адреса по DHCP и подключаем его в порт VLAN-10 коммутатора.

Подключаемся в коммутатор по новому IP-адресу.

Исправляем порт 8.

Сохраняем конфигурацию.

Если этого не сделать, то после перезагрузки конфигурация сбросится на первоначальную.

Проверяем какие раздаются IP-адреса.

На разных портах в соответствии с настройкой, хостам раздаются IP-адреса из разных VLAN. Что и требовалось.

Коммутатору раздался адрес 172.16.10.13 из VLAN-10. И только из этой сети можно подключатся в коммутатор для выполнения настроек.

Изоляция между сетями VLAN.

Изолировать сети друг от друга можно двумя способами:

— с использованием правил в маршрутизации;

— с использованием правил фаервола.

Оба решения не очень удачные, но другие варианты пока не известны.

Изоляция через маршрутизацию.

IP >> Routes >>Rules >> + (создаем новое правило).

Src.Address: 172.16.10.0/28 – сеть источника.

Dst.Address: 172.16.11.0/28 – сеть назначения.

Action: unreachable – недоступность.

Создаем аналогичным способом правила для каждой сети. Меняем источник и назначение местами.

В итоге для 3х сетей получается шесть правил.

Через командную строку терминала:

<br />
/ip route rule

<br />
add action=unreachable dst-address=172.16.10.0/28 src-address=172.16.11.0/28

<br />
add action=unreachable dst-address=172.16.10.0/28 src-address=172.16.12.0/28

<br />
add action=unreachable dst-address=172.16.11.0/28 src-address=172.16.10.0/28

<br />
add action=unreachable dst-address=172.16.11.0/28 src-address=172.16.12.0/28

<br />
add action=unreachable dst-address=172.16.12.0/28 src-address=172.16.11.0/28

<br />
add action=unreachable dst-address=172.16.12.0/28 src-address=172.16.10.0/28

/ip route rule

add action=unreachable dst—address=172.16.10.0/28 src—address=172.16.11.0/28

add action=unreachable dst—address=172.16.10.0/28 src—address=172.16.12.0/28

add action=unreachable dst—address=172.16.11.0/28 src—address=172.16.10.0/28

add action=unreachable dst—address=172.16.11.0/28 src—address=172.16.12.0/28

add action=unreachable dst—address=172.16.12.0/28 src—address=172.16.11.0/28

add action=unreachable dst—address=172.16.12.0/28 src—address=172.16.10.0/28

*в RouterOS v7 раздел /ip route rule перенесен в /routing/rule/

Проверяем пинг между сетями.

При выключенных правилах компьютеры пингуются. При включении правил пинг прекращается. Сети изолированы.

Неудачность метода в том, что если понадобится связать два каких-то конкретных хоста в разных сетях, то это сделать не получится. С увеличением количества сетей увеличивается количество правил.

Изоляция сетей с использованием фаервола.

IP >> Firewall >> Filter Rules >> + (создаем новое правило).

Chain: forward – проходной трафик

Src.Address: 172.16.10.0/28 – сеть источника.

Dst.Address: 172.16.11.0/28 – сеть назначения.

Переходим на вкладку Action.

Action: drop – действие запрета (отбросить).

Нажимаем ОК для сохранения.

Создаем аналогичным способом правила для каждой сети. Меняем источник и назначение местами.

В итоге для 3х сетей получается шесть правил. Располагаем правила вверху списка.

Через командную строку терминала:

<br />
/ip firewall filter

<br />
add action=drop chain=forward dst-address=172.16.10.0/28 src-address=172.16.11.0/28

<br />
add action=drop chain=forward dst-address=172.16.10.0/28 src-address=172.16.12.0/28

<br />
add action=drop chain=forward dst-address=172.16.11.0/28 src-address=172.16.10.0/28

<br />
add action=drop chain=forward dst-address=172.16.11.0/28 src-address=172.16.12.0/28

<br />
add action=drop chain=forward dst-address=172.16.12.0/28 src-address=172.16.10.0/28

<br />
add action=drop chain=forward dst-address=172.16.12.0/28 src-address=172.16.11.0/28

/ip firewall filter

add action=drop chain=forward dst—address=172.16.10.0/28 src—address=172.16.11.0/28

add action=drop chain=forward dst—address=172.16.10.0/28 src—address=172.16.12.0/28

add action=drop chain=forward dst—address=172.16.11.0/28 src—address=172.16.10.0/28

add action=drop chain=forward dst—address=172.16.11.0/28 src—address=172.16.12.0/28

add action=drop chain=forward dst—address=172.16.12.0/28 src—address=172.16.10.0/28

add action=drop chain=forward dst—address=172.16.12.0/28 src—address=172.16.11.0/28

Проверяем ping между сетями.

При включении правил пинг не проходит. Сети изолированы.

Связь между хостами в разных VLAN.

Допустим, понадобилось организовать соединение между хостами с IP-адресами 172.16.11.14 и 172.16.10.3. Они находятся в разных VLAN.

IP >> Firewall >> Filter Rules >> + (создаем новое правило).

Chain: forward – проходной трафик

Src.Address: 172.16.10.3 – IP-адрес источника.

Dst.Address: 172.16.11.14 – IP-адрес назначения.

Action: accept (разрешение).

Создаем аналогично второе правило в котором меняем местами источник и назначение.

Размещаем правила вверху списка.

Через командную строку терминала:

<br />
/ip firewall filter

<br />
add action=accept chain=forward dst-address=172.16.11.14 src-address=172.16.10.3

<br />
add action=accept chain=forward dst-address=172.16.10.3 src-address=172.16.11.14

/ip firewall filter

add action=accept chain=forward dst—address=172.16.11.14 src—address=172.16.10.3

add action=accept chain=forward dst—address=172.16.10.3 src—address=172.16.11.14

Проверяем связь. Пинг проходит для указанных хостов и не проходит для всего остального оборудования т.к. правила фаервола работают по принципу до первого совпадения.

Для соединения большого количества устройств в разных VLAN, чтоб не плодить много правил, добавляем IP-адреса хостов в списки и затем указываем в правилах эти списки.

Недостаток метода – затраты ресурсов процессора на обработку правил.

2022-09-11T13:33:08

Настройка ПО

MikroTik – VLAN – простейшая конфигурация.

Для проверки работы VLAN на MikroTik в условиях рабочего места собрана простейшая схема. Затем схема в более сложном виде перенесена в работу на ЛВС.

Использован роутер MikroTik RB750Gr3 с прошивкой v6.49 (проверено также v7.4). В роли коммутатора использован ZyXEL GS1200-5.

Коммутатор соединяется с маршрутизатором одним патч-кордом, по которому будет передаваться две разных сети VLAN. Такая схема подключения использует Trunk-порт. Оконечное оборудование подключается в коммутаторе в Access-порты.

Настройки MikroTik выполняются через WinBox.

Сброс конфигурации.

Подключаемся к роутеру, сбрасываем конфигурацию на пустую (blank).

Через командную строку терминала:

<br />
/system reset-configuration no-defaults=yes skip-backup=yes

1	/system reset—configuration no—defaults=yes skip—backup=yes

*если роутер выполняет работу в ЛВС, сбрасывать конфигурацию не нужно

Подключаемся к роутеру по MAC-адресу.

Настройки VLAN.

Интерфейсы.

Создаем интерфейс VLAN11. Interfaces >> + >> VLAN

Name: VLAN11 – любое понятное название латиницей.

VLAN ID: 11 – идентификатор VLAN.

Interface: ether5 – интерфейс на котором будет работать VLAN11.

Через командную строку терминала:

<br />
/interface vlan add name=VLAN11 vlan-id=11 interface=ether5

1	/interface vlan add name=VLAN11 vlan—id=11 interface=ether5

Далее создаем второй интерфейс VLAN12 на том же порту ether5.

Через командную строку терминала:

<br />
/interface vlan add name=VLAN12 vlan-id=12 interface=ether5

1	/interface vlan add name=VLAN12 vlan—id=12 interface=ether5

IP-адреса для интерфейсов.

Переходим в боковом меню IP >> Addresses >> +

Address: 172.16.11.1/28 – назначаемый интерфейсу IP-адрес.

Network: 172.16.11.0 – сеть (можно не вводить).

Interface: VLAN11 – интерфейс сети VLAN.

Через командную строку терминала:

<br />
/ip address add interface=VLAN11 address=172.16.11.1/28 network=172.16.11.0

1	/ip address add interface=VLAN11 address=172.16.11.1/28 network=172.16.11.0

Точно так же назначаем IP‑адрес VLAN12.

Через командную строку терминала:

<br />
/ip address add interface=VLAN12 address=172.16.12.1/28 network=172.16.12.0

1	/ip address add interface=VLAN12 address=172.16.12.1/28 network=172.16.12.0

DHCP-сервер для VLAN.

Воспользуемся Мастером настройки, нажав кнопку «DHCP Setup».

DHCP Server Interface: VLAN11 – выбираем из выпадающего списка. Нажимаем кнопку «Next» для продолжения.

Указываем сеть (ничего не изменяем). Next.

Указываем шлюз (ничего не изменяем). Next.

Указываем пул адресов для раздачи (ничего не изменяем). Next.

Указываем DNS-сервер (ничего не изменяем или указываем свой DNS). Next.

Отобразился автоматический DNS вышестоящего роутера. Если при дальнейших настройках будет использоваться DNS этого роутера, то указывать нужно его, а в настройках DNS отметить галочкой Allow Remote Requests.

Время привязки DHCP (ничего не изменяем или по своему усмотрению). Next.DHCP-сервер создан.

Можно отредактировать его имя и другие параметры, если войти в его настройку. Address Pool редактируется при необходимости в меню IP >> Pool

Через командную строку терминала:

<br />
/ip dhcp-server network add address=172.16.11.0/28 gateway=172.16.11.1 dns-server=172.16.11.1

<br />
/ip pool add name=VLAN11-POOL ranges=172.16.11.2-172.16.11.14

<br />
/ip dhcp-server add address-pool=VLAN11-POOL disabled=no interface=VLAN11 name=DHCP-VLAN11

/ip dhcp—server network add address=172.16.11.0/28 gateway=172.16.11.1 dns—server=172.16.11.1

/ip pool add name=VLAN11—POOL ranges=172.16.11.2—172.16.11.14

/ip dhcp—server add address—pool=VLAN11—POOL disabled=no interface=VLAN11 name=DHCP—VLAN11

Аналогично создаем DHCP-сервер для VLAN12

Через командную строку терминала:

<br />
/ip dhcp-server network add address=172.16.12.0/28 gateway=172.16.12.1 dns-server=172.16.12.1

<br />
/ip pool add name=VLAN12-POOL ranges=172.16.12.2-172.16.12.14

<br />
/ip dhcp-server add address-pool=VLAN12-POOL disabled=no interface=VLAN12 name=DHCP-VLAN12

/ip dhcp—server network add address=172.16.12.0/28 gateway=172.16.12.1 dns—server=172.16.12.1

/ip pool add name=VLAN12—POOL ranges=172.16.12.2—172.16.12.14

/ip dhcp—server add address—pool=VLAN12—POOL disabled=no interface=VLAN12 name=DHCP—VLAN12

Настройка VLAN завершена.

Далее следует выполнить базовые настройки локальной сети, Интернета, безопасности и тп.

Как это сделать можно посмотреть на этой странице.

Настройки VLAN в коммутаторе ZyXEL.

IP-адрес коммутатора (первоначальный): 192.168.1.3, по этому назначаем сетевому адаптеру ПК IP-адрес в том же диапазоне.

Подключаемся с использованием любого браузера.

Логина нет.

Пароль (первоначальный): 1234.

Сразу предлагается сменить стандартный пароль. Меняем на сложный пароль не менее 8 знаков из букв разного регистра и цифр.

Получение IP-адреса коммутатора по DHCP.

Чтоб коммутатор не терялся в различных сетях, подсетях нужно назначить ему получение IP-адреса по DHCP.

После выполнения этой настройки коммутатор можно подключить в роутер с работающим DHCP (не VLAN DHCP) и войти в меню уже по новому IP-адресу. Так было и сделано. Новый IP-адрес можно посмотреть в настройка роутера IP >> DHCP-server >> Lease.

Если коммутатор потерялся в сети, то находим его с помощью утилиты ZON.

Настройка VLAN.

Подключаемся еще раз в коммутатор по IP-адресу.

Переходим на вкладку VLAN.

Создаем два дополнительных VLAN ID с номерами 11 и 12, нажав кнопку «Create New VLAN».

Отмечаем порты оранжевым и зеленым цветом.

Tag Egress Member (оранжевый) – порт с маркированным исходящим трафиком к роутеру (тэгированный порт, trunk).

Untag Egress Member (зеленый) – порт с немаркированным трафиком для оконечного оборудования (не тэгированный).

Non-Member (серые) – не участвуют в VLAN.

VLAN ID 1 обычно сервисный, его не трогаем. Отмечаем серым цветом все порты VLAN1 кроме первого. Через первый порт при необходимости можно подключить LAN для выполнения настроек.

PVID – это Port VLAN Identifier – идентификатор VLAN порта

PVID 1 (по умолчанию) означает, что любой немаркированный входящий трафик, считается как VLAN1.

Отмечаем PVID 11 на портах 2 и 3 – на них будет VLAN11.

Отмечаем PVID 12 на портах 4 и 5 – на них будет VLAN12.

Пояснения как работает VLAN в ZyXEL можно почитать на его официальном сайте.

Настройка завершена.

Соединяем патч-кордом ether5 роутера с портом №1 коммутатора.

Подключаем компьютеры в порты и смотрим, какие IP-адреса им раздались.

Компьютерам во 2 и 3 портах присваиваются IP-адреса из VLAN11.

Компьютерам в 4 и 5 портах присваиваются IP-адреса из VLAN12.

Коммутатору присваивается один IP-адрес от DHCP-сервера, который первым пошлет предложение. Коммутатору можно раздавать VLAN сети управления. Для этого его надо создавать в роутере. Об этом в другой раз. Далее IP-адрес не влияет, потому что VLAN работает на канальном уровне, где передаются кадры. Каждый кадр приходящий и уходящий по первому порту маркируется тэгом от нужного VLAN (или тэг убирается). Так это и работает.

2022-08-05T12:06:54

Настройка ПО

MikroTik – мониторинг температуры в серверной.

В серверной нашей организации постоянно работает кондиционер. Но бывают редкие случаи, когда он отключается. Чтоб мониторить с оповещением ситуацию по температуре решено было использовать микротик, так как в нем есть встроенный датчик температуры процессора. Мониторинг и оповещение осуществляются на основе скрипта. Встроенная в прошивку возможность оповещения о повышении температуры отсутствует.

Использован MikroTik RB3011 с прошивкой 6.49. Выполнена базовая настройка . Работает доступ в Интернет. Настройки выполняются через WinBox.

Для работы мониторинга с оповещением необходимо настроить:

-скрипт;

-расписание выполнения скрипта;

-электронную почту.

Рассмотрим все три необходимые настройки.

Скрипт.

Сначала определим эталонную температуру нормально работающего оборудования.

В боковом меню переходим System >> Health.

Это температура процессора. По ней можно сориентироваться. В случае ее повышения, например, на 5 градусов становится понятно, что кондиционер перестал работать, нужно принимать меры.

Датчик температуры есть не во всех моделях MikroTik.

Создание скрипта.

В боковом меню переходим System >> Scripts. Добавляем новый скрипт, нажав +

Name: T-WARNING – любое понятное название латиницей.

Policy: read, write, policy, test –отмечаем галочкой.

Нажимаем кнопку «Apply» для сохранения настроек.

Через командную строку терминала:

<br />
/system script add dont-require-permissions=no name=T-WARNING owner=admin policy=read,write,policy,test

1	/system script add dont—require—permissions=no name=T—WARNING owner=admin policy=read,write,policy,test

Добавляем сам скрипт в нижнее поле «Source:» Через графический интерфейс работать со скриптом удобнее.

<br />
:local T1  [/system health get temperature];

<br />
:local T2 28;

<br />
:if ($T1 > $T2) do={

<br />
/tool e-mail send to=123456789@wwpager.ru subject=GW1-MAIN-OFFICE body=»WARNING T= $T1 C»

<br />
}

:local T1 [/system health get temperature];

:local T2 28;

:if ($T1 > $T2) do={

/tool e—mail send to=123456789@wwpager.ru subject=GW1—MAIN—OFFICE body=«WARNING T= $T1 C»

}

Нажимаем кнопку «ОК» для сохранения настроек.

Принцип действия такой:

Назначаем переменную T1 со значением, которое берется от датчика температуры.

Назначаем переменную T2 с ориентировочным значением на 5 градусов выше, чем T1.

Сравниваем значения. Если T1 больше T2, то выполняется отправка почты.

В качестве почты указан Вайбер-бот wwpager. Сообщение сразу приходит в Вайбер.

Логирование скрипта.

Чтоб отслеживать построчно выполнение скрипта можно после каждой строки добавить логирование, например так:

<br />
:log info «start»;

<br />
:local T1  [/system health get temperature];

<br />
:log info «line 1»;

<br />
:local T2 28;

<br />
:log info «line 2»

<br />
:if ($T1 > $T2) do={

<br />
/tool e-mail send to=123456789@wwpager.ru subject=GW1-MAIN-OFFICE body=»WARNING T= $T1 C»

<br />
}

<br />
:log info «end»;

:log info «start»;

:local T1 [/system health get temperature];

/tool e—mail send to=123456789@wwpager.ru subject=GW1—MAIN—OFFICE body=«WARNING T= $T1 C»

}

:log info «end»;

В логе это выглядит как на картинке ниже.

Если скрипт более сложный и не работает, логи помогают определить в чем проблема.

На всякий случай этот же скрипт для RouterOS v7.

<br />
:local T1  [/system health get [find name=temperature] value];

<br />
:local T2 28;

<br />
:if ($T1 > $T2) do={

<br />
/tool e-mail send to=123456789@wwpager.ru subject=GW1-MAIN-OFFICE body=»WARNING T= $T1 C»

<br />
}

:local T1 [/system health get [find name=temperature] value];

:local T2 28;

:if ($T1 > $T2) do={

/tool e—mail send to=123456789@wwpager.ru subject=GW1—MAIN—OFFICE body=«WARNING T= $T1 C»

}

Настройка расписания.

Расписание будет выполнять скрипт с заданным интервалом времени.

Создаем новое задание в расписании.

System >> Scheduler >> +

Name: T-CHECK – любое понятное имя на латинице.

Start Date – дата начала работы задания.

Start Time – время начала работы задания.

Interval – периодичность работы расписания.

Policy – необходимые политики для работы задания.

On Event — /system script run T-WARNING – текстовая команда для запуска скрипта с названием T-WARNING.

Нажимаем ОК для сохранения настроек.

Через командную строку терминала:

<br />
/system scheduler add name=T-CHECK start-date=jul/18/2022 start-time=15:00:00 policy=read,write,policy,test interval=1h on-event=»/system script run T-WARNING»

1	/system scheduler add name=T—CHECK start—date=jul/18/2022 start—time=15:00:00 policy=read,write,policy,test interval=1h on—event=«/system script run T-WARNING»

Ожидаем час или ставим время поменьше, чтоб убедиться, что расписание работает.

Настройка электронной почты.

Настройка представлена на этой странице или кратко ниже.

Tools >> Email

Для примера используется электронная почта Яндекс.

Server: smtp.yandex.ru – сервер исходящей почты.

Port: 587 – порт почтового сервера.

Start TLS: yes – шифрование.

From: pc360@yandex.ru – почта отправителя.

User: pc360@yandex.ru – имя пользователя почты.

Password: 12345Password – пароль от почты.

ОК для сохранения настроек.

Через командную строку терминала:

<br />
/tool e-mail set address=smtp.yandex.ru port=587 start-tls=yes from=pc360@yandex.ru user=pc360@yandex.ru password=12345Password

1	/tool e—mail set address=smtp.yandex.ru port=587 start—tls=yes from=pc360@yandex.ru user=pc360@yandex.ru password=12345Password

Для проверки отправки сообщения можно нажать на кнопку «Send Email».

Проверка работы всей схемы.

Отключаем кондиционер в серверной на час и ждем.

Или способ по быстрее.

Устанавливаем порог срабатывания в скрипте на 20 градусов: T2=20

Устанавливаем расписание запуска скрипта через каждые 2-3 минуты или подгоняем время его начала. Ждем.

Еще как вариант можно нажать кнопку «Run Script» в списке скриптов, но в этом случае не проверится отработка расписания.

Так как в качестве получателя настроен wwpager, на Вайбер сразу же прилетает сообщение.

В теме сообщения указано имя устройства. В содержании предупреждение и реальная температура, можно написать что угодно.

2022-07-19T17:49:14

Настройка ПО

Беспроводной мост TP-Link > MikroTik

Беспроводной мост организован между зданием главного офиса и филиалом на расстоянии 1км. Точка доступа (сервер) – TP-Link CPE510. На приемной стороне станция (клиент) – MikroTik SXTsq Lite5 и своя отдельная локальная сеть от этого же роутера.

Чтоб устройства от разных производителей установили связь между собой, нужно отключить их проприетарные (собственные) режимы работы. Для TP-Link это MAXtream, у MikroTik — Station Bridge и др. режимы и протоколы. Работа станции в данном случае возможна только в режиме «Station». Беспроводная связь получается по протоколу 800.11.

Настройки выполняются на рабочем месте, затем беспроводные точки развешиваются на их места в зоне прямой видимости друг друга.

Настройка TP—Link.

Подключаем точку в POE адаптер, из него патч-корд в ПК или в локальную сеть, провод электропитания в розетку.

У моделей TP-Link CPE510 V3 на корпусе 1 порт. У моделей v1 — 2 порта. Подключать нужно в тот, возле которого написано POE IN.

В исходной конфигурации IP-адрес точки 192.168.0.254. В ноут-буке или ПК с которого выполняется настройка в сетевом адапторе указываем IP-адрес в одной сети с точкой, например 192.168.0.10.

В нашей рабочей сети IP-адреса раздает DHCP сервер в диапазоне, совпавшем сточкой доступа — 192.168.0.0/24. Поэтому при подключении точки в роутер ЛВС ничего менять не пришлось.

Если нужно изменить IP-адрес ноутбука вручную, то это можно сделать в свойствах сетевого адаптера.

Панель управления >> Сеть и Интернет >> Сетевые подключения. Выбираем нужный сетевой адаптер и в свойствах IPv4 указываем IP-адрес.

В любом браузере набираем IP-адрес 192.168.0.254. Попадаем в меню tp-link.

При первом включении указываем имя пользователя и пароль – admin, регион, язык, соглашаемся с условиями и нажимаем кнопку Login.

Далее указываем новое имя пользователя и пароль. Имя admin оставлять не рекомендуется по причинам безопасности.

Выполним настройку через мастер.

Выбираем режим – Точка доступ (Access Point).

Указываем IP адрес и маску.

Выполняем настройки беспроводной сети.

SSID: — любое понятное имя.

Защита: WPA2-PSK

Пароль PSK: — указываем сложный пароль.

Настройка расстояния: 1км в нашей ситуации.

MAXtream – собственная разработка TP-Link для беспроводных сетей на основе TDMA для увеличения пропускной способности и стабильной передачи данных. В данном случае этот режим отключен чтоб обеспечить совместимость оборудования разных производителей.

Когда беспроводной мост настраивается между двумя одинаковыми TP-Link, MAXtream желательно активировать

На последнем шаге проверяем настройки и подтверждаем.

Перейдем на вкладку wi-fi и уменьшим мощность передатчика на время выполнения настроек.

Так же нужно убедиться, что установлен режим WPA2, а не авто, иначе могут возникнуть проблемы при подключении станции.

В дополнительных настройках отмечен галочкой Wi-Fi Multimedia (WMM) – режим дающий приоритет мультимедиа трафику.

На этой же вкладке меню можно выполнить привязку станций (S) по MAC-адресу. Это делается для повышения информационной безопасности, т.к. wi-fi очень легко взламывается.

Фильтрация MAC-адресов — Включить

Правила фильтрации — Разрешить доступ станциям, указанным во включенных правилах из списка.

Добавляем новое правило и указываем в нем MAC-адрес клиентской станции.

Сохраняем настройку.

После этих действие к точке доступа сможет подключится только указанный MAC-адрес (клиентское устройство).

Привязку по MAC-адресу нужно делать после того, как вся система заработает, чтоб избежать дополнительной вероятной проблемы при подключении станции.

DHCP—Client.

Так как все устройства в нашей сети получают IP-адреса по DHCP с привязкой MAC-адреса, сделаем то же самое для точки доступа. В данном случаем привязывается сама точка доступа (AP), подключенная витой парой к главному роутеру локальной сети.

В случае, если DHCP перестанет работать у точки будет резервный IP-адрес, по которому ее можно будет найти.

После нажатия кнопки применить или сохранить точка доступа получит IP адрес по DHCP, который можно посмотреть в настройках роутера ЛВС и привязать к MAC-адресу. В роутере MikroTik, например это делается так:

IP >> DHCP Server >> Leases

Находим новое устройство со статусом D (dynamic) и в меню жмем на строчку «Make Static».

Теперь точке будет раздаваться всегда один и тот же IP-адрес. Можно указать любое его значение в диапазоне сети.

Переходим в браузере по новому адресу для продолжения настроек.

Системные настройки.

На вкладке «Управление» выполняются расширенные настройки: Watch Dog Ping, отправка e-mail по событию, настройка через SSH, доступ извне через веб-сервер, SNMP для мониторинга и некоторые другие. Нет необходимости изменять эти настройки для нашего случая, это тема для отдельной страницы.

На вкладке «Система» указываем сетевое имя устройства.

Настраиваем время через NTP.

Сохраняем резервную конфигурацию.

Точка доступа настроена. В таком виде устройство может работать как обычная точка доступа. Для проверки к ней подключились 3 смартфона с беспроводными адаптерами 5ГГц. IP-адреса для всех пользователей раздает сетевой роутер.

По этому параметру TP-Link превосходит MikroTik. У уличных точек доступа MikroTik при покупке установлена лицензия LEVEL3. Она позволяет создавать только одно подключение.

Обновление прошивки.

Для улучшения производительности системы желательно обновить ее программное обеспечение.

Например, в описании к прошивке TP_PharOS_1.3.3_160705 отмечено среди исправлений:

Fixed compatible issue with Mikrotik AP in Access Point mode. — Исправлена проблема совместимости с Mikrotik AP в режиме точки доступа. Это как-раз наш случай. Такой пример показывает, что в обновлении прошивок есть смысл.

Обновление нельзя производить по wi-fi. Все сторонние прошивки не от производителя точки wi-fi ставятся на свой страх и риск.

Последовательность действий.

1.На корпусе девайса находим версию. Видим, что версия 3.0.

2.Переходим на сайт производителя в раздел ПО и скачиваем последнюю по дате выхода прошивку для нужной версии. В нашем случае V3.

3.Загружаем прошивку в точку доступа на вкладке «Система» внизу.

В процессе установки будет предложено сохранить или сбросить конфигурацию. Сохраняем.

После перезагрузки заходим в меню на вкладку «Состояние» и проверяем версию.

Обновление прошивки выполнено.

Если V1, то эту модель производитель вообще забросил и последнее обновление для нее было в 2017г. Для V1 подходит прошивка TP_Pharos_V2.1.6_170908, хотя по всем мануалам и здравому смыслу не должна. У нас в сети есть 4 точки TP-Link CPE510 V1, они все обновились этой прошивкой и чувствуют себя нормально.

Крепление на стене здания после настройки клиента и проверки совместной работы. Перед монтажом нужно выставить мощность передатчика на среднее значение. При смене мощности, пароля или еще каких-либо изменениях в настройках, точке нужно дать 1-2 мин времени, чтоб она начала работать с учетом изменений. Иногда требуется перезагрузка.

Настройка MikroTik.

Подключаем к точке доступа патч-корд. Подаем электропитание от адаптера через переходник. Включаем переходник в ПК или сетевой роутер.

Выполним настройки через WinBox. Конфигурация сброшена на пустую (blank). Подключаемся по MAC-адресу.

Настройка безопасности беспроводного соединения.

Создадим профиль безопасности, для указания в нем метода аутентификации и пароля подключения к точке доступа.

Wireless >> Security Profiles >> нажимаем синий плюс.

В открывшемся окне вводим настройки.

Name: TP-LINK-AP-14 – любое понятное имя латинскими буквами;

Mode: dynamic keys – режим ключей;

Authentication Type: WPA2 PSK – аутентификация с общим для всех паролем (Wi-Fi Protected Access with Pre-Shared Key)

WPA2 Pre-Shared Key: Password12345 – пароль такой же, как указывали в точке доступа.

Нажимаем кнопку «ОК» для сохранения.

Через командную строку терминала:

<br />
/interface wireless security-profiles

<br />
set [ find default=yes ] supplicant-identity=MikroTik

<br />
add authentication-types=wpa2-psk eap-methods=»» mode=dynamic-keys name=TP-LINK-AP-14 supplicant-identity=»» wpa2-pre-shared-key=Password12345

/interface wireless security—profiles

set [ find default=yes ] supplicant—identity=MikroTik

add authentication—types=wpa2—psk eap—methods=«» mode=dynamic—keys name=TP—LINK—AP—14 supplicant—identity=«» wpa2—pre—shared—key=Password12345

Настройка беспроводного интерфейса.

Интерфейс первоначально выключен. Включим его после завершения настроек, чтоб не облучал.

Wireless >> WiFi Interfaces >> wlan1.

В окне настроек интерфейса переходим на вкладку Wireless и нажимаем кнопку «Scan».

Выбираем интерфейс wlan1 и нажимаем кнопку «Start». Начнется сканирование.

Через некоторое время в списке появится нужная точка доступа. Выбираем ее и нажимаем кнопку «Connect». Таким способом не понадобится вписывать имя точки доступа вручную и выбирать частоту.

Далее выполним настройки интерфейса или проверим, чтоб они соответствовали.

Включаем расширенный режим меню интерфейса – «Advanced Mode» (кнопка в правой колонке).

Mode: Station – простой режим станции, не поддерживающий L2 и работающий со всеми беспроводными протоколами. При подключении к TP-Link нужно выбирать только этот режим.

Band: 5GHz-A/N – стандарт беспроводной передачи влияющий на скорость. Если беспроводной мост заработает в режиме A/N можно попробовать оставить только N на передатчике и приемнике.

Channel Width: 20/40MHz Ce – ширина канала. Ce означает расширение частоты в верхний диапазон на частоту следующего канала (eC – в нижний диапазон).

Frequency: 5560 – рабочая частота. Так как использовалось предварительное сканирование, частота уже определена. Возможны ручной или автоматический выборы частоты.

SSID: AP14-INF-IPVID – широковещательное имя точки доступа. Определено в результате предварительного сканирования.

Radio Name: S17-MikroTik – имя устройства в беспроводной сети.

Wireless Protocol: 802.11 – беспроводной протокол (стандарт связи). При подключении к TP-Link работает только 802.11.

Security Profile: TP-LINK-AP-14 – профиль безопасности, созданный ранее.

Frequency Mode: regulatory-domain – мощность излучения регулируется местным законодательством, для выбранного региона. Можно выбрать ручную регулировку или безлимитный вариант.

Country: Belarus – страна.

Instalation: outdoor – режим уличной точки.

WMM Support: Enabled – приоритет мультимедиа трафика над остальным (в данном случае трафик видеонаблюдения).

Если подключение будет к нескольким разным точкам доступа, то можно активировать Station Roaming. Этот режим специально предназначен для клиентских станций и работает по протоколу 800.11. Смысл его в том, что станция периодически выполняет фоновое сканирование беспроводного пространства на наличие точки доступа с более качественным сигналом и переключается на нее в случае нахождения.

Не названные настройки не изменялись и выглядят как на картинке выше.

На вкладке «Advanced» изменяем расстояние до точки доступа или вообще можно ничего не менять.

Указанное расстояние добавляется в формулу, по которой рассчитывается время подтверждения доставки кадра после прошествии которого передача считается неудачной и нужно повторять отправку.

Настройка мощности.

Мощность передатчика настраивается на вкладке «Tx Power».

Tx Power Mode: all rates fixed – все значения фиксированные

Устанавливаем значение 2 dBm для всех каналов. О том, что значение изменилось, узнается на соседней вкладке.

После того как мост заработает в реальных условиях необходимо увеличивать мощность до достижения оптимальной передачи.

Настройка интерфейса через командную строку терминала:

<br />
/interface wireless

<br />
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce country=belarus disabled=yes distance=1 radio-name=

<br />
S17-MikroTik security-profile=TP-LINK-AP ssid=AP14-INF-IPVID tx-power=2 tx-power-mode=all-rates-fixed wireless-protocol=

<br />
802.11 wmm-support=enabled

/interface wireless

set [ find default—name=wlan1 ] band=5ghz—a/n channel—width=20/40mhz—Ce country=belarus disabled=yes distance=1 radio—name=

S17—MikroTik security—profile=TP—LINK—AP ssid=AP14—INF—IPVID tx—power=2 tx—power—mode=all—rates—fixed wireless—protocol=

802.11 wmm—support=enabled

Проверка подключения.

Активируем интерфейс, нажав синюю галочку на вкладке WiFi Interfaces.

Станция подключится к точке доступа или будет находиться в статусе «Searching for network». Статус расположен в нижней части окна настроек интерфейса.

Так получилось, что в таком статусе устройство висело бесконечно долго. В результате выяснения причин оказалось, что в точке доступа был установлен режим шифрования «авто» и в первую очередь станция пыталась подключиться с шифрованием WPA. А в настройках безопасности станции WPA не активирован.

При установке в точке доступа WPA-PSK и WPA2 станция начала подключатся сразу.

После этого статус сменился.

Беспроводной мост работает.

Дополнительные настройки.

Connect List.

CL – обеспечивает подключение станции только к указанной точке доступа. Если точек доступа несколько и в случае отключения одной из них CL помогает осуществить переход к следующей доступной точке.

Для добавления правила в «Connect List» переходим на вкладку «Registration». Нажимаем правой кнопкой мыши на точку доступа из списка и выбираем строчку «Copy to Connect List».

Точка доступа появится в списке «Connect List».

Настройки локальной сети.

На клиентской стороне станция будет создавать отдельную проводную локальную сеть. Для этого нужно настроить локальный интерфейс, DHCP для пользователей, DNS, NAT и некоторые другие настройки. Все это представлено в виде текстовых команд в прикрепленном файле. Так же можно воспользоваться базовой настройкой роутера для локальной сети.

На стороне точки доступа в локальной сети в роутере настроен firewall, который контролирует трафик в Интернет. Если схема подключения другая и выход в Интернет не контролируется вышестоящим оборудованием, то нужно настроить хотя бы базовый набор правил фаервола в роутере-станции.

Так же по причинам безопасности рекомендуется сменить учетную запись админа и определить сервисы и IP-адреса, с которых разрешен вход в микротик.

Размещение в рабочее положение.

Точка доступа прикреплена к стене здания на уровне четвертого этажа.

Направление выбрано примерное. Ответную сторону не видно, она где-то в дали, в частном секторе.

Выбрано среднее значение усиления мощности передатчика – 8дБм. По результатам тестов соединения это значение можно изменять для достижения оптимального качества.

Клиентская станция смонтирована на уровне третьего этажа. Так же примерно направлена в сторону точки доступа.

На фото немного левее центра видна многоэтажная постройка. На ней висит точка доступа. Расстояние между устройствами около 1км.

В настройках интерфейса на вкладке Status отображается статус соединения.

Усиление мощности передатчика станции установлено на 8dBm.

Tx/Rx CCQ (Client Connection Quality):95% — качество клиентского соединения.

При уменьшении мощности до 5dBm CCQ снизилось на 10%.

Статус соединения так же можно смотреть в меню «Registration»

Скорость соединения.

Bandwidth Test между станцией и роутером MikroTik на стороне локальной сети точки доступа показывает скорость передачи и приема в районе 100Мбит/с. Иногда скорость снижается до 70-80Мбит/с.

Тест скорости через сервис в Интернете.

По тарифному плану 100Мбит/с.

Настройки завершены, соединение с Интернетом работает, пользователи довольны.

2022-01-03T09:23:51

Настройка ПО

MikroTik NTP-сервер для локальной сети.

В процессе обслуживания ЛВС возникла необходимость обеспечить синхронизацию времени в большом количестве камер видеонаблюдения. От серверов в Интернете синхронизация почему-то проходила плохо и не всегда. На помощь пришел микротик. В роутере был запущен NTP-сервер для локальной сети, который сам синхронизировался из внешней сети (Интернета) без проблем. Как это все настроить описано далее.

Использован роутер RB750Gr3 c прошивкой v6.49. Пакет NTP-сервера не входит в базовый состав прошивки, его нужно скачивать отдельно. В прошивках версии v7.0 и выше пакет NTP встроен в главный файл прошивки.

Настройки выполняются через WinBox.

Настройка SNTP-клиента.

Этот вариант предназначен только для синхронизации самого микротика из сервисов NTP в интернете. Он немного отходит от темы инструкции, рассмотрим его кратко. Дополнительно скачивать ничего не нужно.

Переходим через боковое меню в System >> SNTP Client.

Активируем клиента галочкой напротив Enabled.

Primary NTP Server: 88.147.254.230 – IP-адрес первичного NTP сервера.

Secondary NTP Server: 88.147.254.232 – IP-адрес резервного NTP сервера.

Адреса ближайших серверов можно найти в интернете.

Сохраняем настройки на кнопку «ОК».

Через командную строку терминала:

<br />
/system ntp client set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.232

1	/system ntp client set enabled=yes primary—ntp=88.147.254.230 secondary—ntp=88.147.254.232

Вместо IP-адресов можно указывать доменные имена серверов.

Клиент настроен, время в роутере актуальное. Проверить его можно на вкладке System >> Clock или вынести на переднюю панель в верхней правой часть окна WinBox.

Через командную строку, например при работе через SSH, можно проверить время с помощью команды:

<br />
/system clock print

1	/system clock print

Firewall

NTP работает через порт 123 UDP. Если по каким-то причинам Firewall не пропускает трафик по этому порту, то его нужно открыть правилом в IP >> Firewall >> Filter Rules.

При необходимости можно указать в правиле конкретный интерфейс. Правило размещается вверху списка.

Через командную строку терминала:

<br />
/ip firewall filter add action=accept chain=input dst-port=123 protocol=udp

1	/ip firewall filter add action=accept chain=input dst—port=123 protocol=udp

В данном случае это правило не понадобилось и NTP работает без него.

NTP Client и NTP Server.

Установка пакета NTP для прошивок ниже v7

Для настройки сервера необходимо скачать дополнительный пакет для своей версии прошивки, в данном случае v6.49.

Находим на сайте mikrotik.com в разделе software прошивку для своей архитектуры и модели роутера. Выбираем и скачиваем Extra Packages.

Находим в скаченном архиве пакет NTP и перетягиваем его в роутер.

Проверяем, чтоб файл оказался во временной памяти.

Перезагружаем роутер. System >> Reboot.

После перезагрузки пакет установится. Убедиться в этом можно в меню System >> Packages.

В меню System появится 2 новых пункта NTP Client и NTP Server, а SNTP Client пропадет.

Настройка NTP клиента.

Тут все почти так же, как с SNTP клиентом.

Переходим в меню System >> NTP Client.

Enabled – отмечаем галочкой, для активации клиента;

Mode: unicast – режим передачи пакетов от сервера клиенту;

Далее указываются IP-адреса ближайших NTP-серверов в Интернете.

Primary NTP Server: 185.65.137.155 – основной сервер;

Secondary NTP Server: 194.158.196.171 – резервный сервер.

Через командную строку терминала:

<br />
/system ntp client set enabled=yes primary-ntp=185.65.137.155 secondary-ntp=194.158.196.171

1	/system ntp client set enabled=yes primary—ntp=185.65.137.155 secondary—ntp=194.158.196.171

Можно указывать адрес сервера в виде доменного имени. При нажатии кнопки «Apply» доменное имя преобразуется в IP-адрес.

Выбрать ближайший сервер можно с помощью Интернет-сервиса pool.ntp.org

В прошивке v7.1 появились дополнительные настройки NTP-клиента.

Можно добавлять более двух серверов времени. Появилась кнопка сброса частотных погрешностей (Reset Drift). Так же можно подробно работать с серверами и посмотреть пиры. Похоже что все эти новые настройки разработчики подсмотрели у циски.

Drift

Drift (дрейф) — это сдвиг частоты между аппаратными локальными часами и временем от серверов NTP в Интернете. NTP автоматически вычисляет этот дрейф и использует полученное значение для постоянной компенсации недостатков локальных часов.

Кнопка Reset Drift позволяет роутеру сбросить значение подстройки синхронизации, вызванную частотным дрейфом и заново начать запоминать частоту тактовых импульсов сервера NTP. Дрейф частоты может возникнуть, например, если роутер переключается с синхронизации с одним сервером NTP на синхронизацию с другим сервером NTP с другой частотой.

Активация NTP-клиента через командную строку терминала для прошивки v7 и выше:

<br />
/system ntp client set enabled=yes

<br />
/system ntp client servers add address=3.by.pool.ntp.org

<br />
/system ntp client servers add address=3.europe.pool.ntp.org

<br />
/system ntp client servers  add address=0.europe.pool.ntp.org

/system ntp client set enabled=yes

/system ntp client servers add address=3.by.pool.ntp.org

/system ntp client servers add address=3.europe.pool.ntp.org

/system ntp client servers add address=0.europe.pool.ntp.org

О том, что время синхронизировалось сообщает статус — synchronized

Клиент настроен.

Настройка NTP сервера.

Активируем сервер. System >> NTP Server

Enabled – отмечаем галочкой;

«ОК» – для сохранения настройки.

Manycast – режим обмена пакетами между сервером и клиентами — оставляем без изменений.

В прошивке v7.1 так же как и в клиенте добавлено пару дополнительных кнопок – взаимодействие сервера и клиента через ключ и просмотр пиров.

Отмечаем галочками Enabled и Manycast.

Через командную строку терминала:

<br />
/system ntp server set enabled=yes manycast=yes

1	/system ntp server set enabled=yes manycast=yes

Сервер настроен.

NTP можно динамически раздавать вместе с сетевыми настройками. Для этого в DHCP сервере для локальной сети на вкладке Networks нужно добавить адрес NTP-сервера.

Настройка NTP-клиента на сетевых устройствах.

MikroTik.

Если в сети есть другие устройства MikroTik, которые получают IP-адреса по DHCP, то в них есть возможность так же получать NTP. Проверить это можно в клиенте DHCP.

За динамическое получение NTP отвечает настройка Use Peer NTP. Когда настройка активирована, в NTP Client (так же активированном) появляются динамические IP-адреса серверов синхронизации.

Других устройств с динамическим получением NTP в нашей сети обнаружено не было.

NTP в камерах видеонаблюдения.

В камерах видеонаблюдения, для которых это все делалось, нет автоматического получения NTP с сетевыми настройками. NTP сервер указывается вручную. Входим в меню настроек камеры. На вкладке «Время» активируем галочкой NTP и указываем IP-адрес настроенного ранее локального сервера.

Проверяем, нажав на кнопку тест – устанавливается актуальное время. NTP работает.

Настроенный локальный NTP-сервер можно указать во всех сетевых устройства, чтоб синхронизировать время из одного источника.

2021-12-18T18:12:33

Настройка ПО

MikroTik Simple Queues — простое ограничение скорости.

Поставлена простая задача: ограничить скорость доступа в Интернет определенному пользователю в небольшой локальной сети. На этом все. Пользователь часто смотрит видео в высоком разрешении, периодически включается торрент, который портит настроение всем остальным.

Настройки выполнялись на роутер RB750GR3 с прошивкой v6.49. Выполнена базовая настройка по этой инструкции.

Выбран тестовый ПК с произвольным IP-адресом, чтоб наблюдать результаты настроек. Затем IP-адрес заменен на требуемый.

1.Проверка скорости доступа в Интернет.

Перед началом настроек проверим реальную существующую скорость с помощью сервиса в Интернете, например speedtest.

Скорость соответствует тарифному плану 20/20 Мбит/сек.

2.Определение IP-адреса пользователя.

IP-адреса в сети раздает DHCP сервер.

Переходим по меню в: IP >> DHCP Server >> Leases

Находим в списке нужного пользователя. У него статус D – dynamic.

Нажимаем на него правой кнопкой мыши и выбираем из меню строчку «Make Static».

После этих действий указанному пользователю всегда будет раздаваться один и тот же IP-адрес. Он привязан к MAC-адресу. Статус D пропадет.

3.Ограничение скорости.

Создадим правило, ограничивающее скорость заданному пользователю на уровне 3Мбит/сек.

Queues >> Simple Queues >> +

В открывшемся окне на вкладке General вводим настройки:

Name: USER-320-1-LIMIT-3M – имя пользователя, которому ограничивается скорость. Если пользователей будет несколько, то лучше сразу задать толковое имя, чтоб понимать, где кто. В данном случае указан пользователь (USER, BUH, MARKETOLOG, ECONOM и тп.), номер кабинета, номер подключения в кабинете и лимит скорости.

Target: 192.168.15.99 – IP-адрес пользователя.

Dst: ether1-WAN – внешний интерфейс для конкретизации, если их несколько.

Target Upload Max.Limit: 3M – максимальная скорость для выгрузки в Интернет.

Target Download Max.Limit: 3M – максимальная скорость скачивания из Интернета.

M –означает мегабиты. Скорость можно выбрать из списка или написать любую.

Нажимаем кнопку «ОК» для сохранения настроек.

Через командную строку терминала:

<br />
/queue simple add dst=ether1-WAN max-limit=3M/3M name=USER-320-1-LIMIT-3M target=192.168.15.99/32

1	/queue simple add dst=ether1—WAN max—limit=3M/3M name=USER—320—1—LIMIT—3M target=192.168.15.99/32

Проверяем скорость

Скорость соответствует.

О том, что правило работает, так же сообщает значок напротив пользователя. В зависимости от загрузки он становится желтым – 50% (и выше) или красным – 75% (и выше).

Цель достигнута. Осталось только заменить в правиле IP-адрес тестового компьютера, на IP нужного пользователя.

Если скорость не ограничивается и правило не работает, то нужно проверить в IP >> Firewall >> Filter Rules наличие правила fasttrack connection (пересылка трафика без обработки). Если это правило присутствует его нужно удалить и перезагрузить роутер.

После того, как правило поработало пару дней, пользователь-качатель пришел на переговоры. Объяснил, что дома совсем плохой Интернет, сделать лучше не позволяет техническая возможность, 3G нет и тп и он хочет иногда что-то скачивать на работе. Было найдено компромиссное решение – разрешено качать с 18:00 до 7:00 в период, когда никто не работает.

Настройка время находится в нижней части окна правила.

Time: 07:00:00 – 18:00:00 – период времени в течение которого будет работать это правило.

Days: mon, tue, wed, thu, fri, — дни недели с понедельника по пятницу в течение которых будет работать правило.

Во все остальное неуказанное время (с 18 вечера до 7 утра по будням и все выходные) правило не работает, скорость не ограничена и пользователь может занимать канал в Интернет, не нарушая чью-то работу.

Через консоль с добавлением время работы:

<br />
/queue simple add dst=ether1-WAN max-limit=3M/3M name=USER-320-1-LIMIT-3M target=192.168.15.99/32 time=7h-18h,mon,tue,wed,thu,fri

1	/queue simple add dst=ether1—WAN max—limit=3M/3M name=USER—320—1—LIMIT—3M target=192.168.15.99/32 time=7h—18h,mon,tue,wed,thu,fri

Когда правило не работает, оно написано в списке красными буквами.

4.Разделение скорости пользователям и админам.

Рассмотрим еще один вариант, в котором нужно ограничить скорость всем пользователям сети кроме админов. Порядок расположения правил в Simple Queues имеет значение. Воспользуемся этой возможностью. Создадим правило, ограничивающее скорость на интерфейсе Bridge-LAN (локальная сеть). Затем создадим правило для скорости админу и поместим его выше правила для интерфейса. Проверим, как это работает.

Правило для пользователей.

Переходим в Simple Queues, создаем новое правило, нажав синий плюс.

Name: LAN-15-LIMIT-10M – имя для правила на локальную сеть с указанием лимита (любое понятное название латиницей);

Target: bridge-LAN – мост на котором локальная сеть;

Dst.: ether1-WAN (можно не указывать);

Target Upload Max Limit: 10M – максимальная скорость выгрузки;

Target Download Max Limit: 10M – максимальная скорость загрузки (скачивания);

Нажимаем кнопку «ОК».

Через командную строку терминала:

<br />
/queue simple add dst=ether1-WAN max-limit=10M/10M name=LAN-15-LIMIT-10M target=bridge-LAN

1	/queue simple add dst=ether1—WAN max—limit=10M/10M name=LAN—15—LIMIT—10M target=bridge—LAN

Правило для администратора.

В Simple Queues, создаем новое правило, нажав синий плюс.

Name: ADMIN-101-LIMIT-20M – имя для правила скорости админа;

Target: 192.168.15.101 – IP-адрес админа;

Dst.: ether1-WAN

Target Upload Max Limit: 20M – максимальная скорость выгрузки;

Target Download Max Limit: 20M – максимальная скорость загрузки (скачивания);

Нельзя оставлять значение «unlimited», нужно указать цифровое значение, иначе правило не заработает.

«ОК» для сохранения.

Чтоб правила пользователей и админа работали, их нужно расположить в определенном порядке: админ верхнее, пользователи – ниже.

Если правила не перетаскиваются нужно нажать на значок #.

По результатам проверки у пользователей в этой сети скорость 10Мбит/с, а у админа 20Мбит/с. У пользователя, который качает – 3Мбит/сек по расписанию.

Если нужно добавить еще одного админа или сервер без ограничений скорости, следует добавить требуемые IP-адреса в первое правило в поле «Target» (или создать еще одно правило).

К сожалению, в данном варианте прикрепить список пользователей в одно правило не получится и добавлять нужно по одному IP-адресу, привязанному к MAC-адресу.

Текущие скорости и график можно посмотреть на вкладке «Traffic», но для каждого правила отдельно.

Общую картину внешнего трафика в Simple Queues можно увидеть, если создавать одно родительское правило и все правила добавлять в него, но это отдельная тема. Или использовать Torch или IP Firewall Connection, но эти способы не очень удобны, потому что показан трафик на каждый IP-адрес назначения.

Burst.

В правиле «Simple Queues» на вкладке «General» кроме всего вышеперечисленного есть еще одна выпадающая вкладка с названием «Burst». Рассмотрим ее назначение.

Burst (вспышка) – функция, которая позволяет кратковременно увеличить скорость свыше установленного лимита. Например, при открытии Интернет-страниц в браузере не будет возникать задержек и тормозов, а если пользователь начнет смотреть видео или скачивать, то его скорость вернется к установленным лимитам.

Устанавливаем значения параметров «Burst». Значения в разных ситуациях будут разные и зависят от тарифного плана и настроенного ранее максимального ограничения скорости.

Burst Limit – максимальная скорость на время включения режима «Burst»;

Burst-time – время в течение которого рассчитывается средняя скорость;

Burst Threshold – значение средней скорости определяющее включение или выключение режима «Burst».

Через командную строку терминала:

<br />
/queue simple add name=LAN-15-LIMIT-10M target=bridge-LAN dst=ether1-WAN max-limit=10M/10M burst-limit=15M/15M burst-threshold=8M/8M burst-time=20s/20s

1	/queue simple add name=LAN—15—LIMIT—10M target=bridge—LAN dst=ether1—WAN max—limit=10M/10M burst—limit=15M/15M burst—threshold=8M/8M burst—time=20s/20s

Итак, мы открыли страницу и она начала загружаться с максимальной скоростью 15М. В течение 20сек (Burst Time) рассчитывается средняя скорость. Когда средняя скорость достигает 8М (Burst Threshold), режим «Burst» отключается и скорость снижается до лимита в 10М. Вот примерно так это работает. Подробности с графиком в официальной wiki.

2021-12-18T11:12:31

Настройка ПО

ReadMag.ru

рецепты по настройке программного обеспечения

Архив метки: Настройка ПО

MikroTik – VLAN – сегментация сети.

MikroTik – VLAN – простейшая конфигурация.

MikroTik – мониторинг температуры в серверной.

Беспроводной мост TP-Link > MikroTik

MikroTik NTP-сервер для локальной сети.

MikroTik Simple Queues — простое ограничение скорости.