Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

  • 10 — предназначен для управления маршрутизатором;
  • 20 — трафик для 2-го LAN порта;
  • 30 — трафик для 3-го LAN порта;
  • 40 — трафик для 4-го LAN порта;
  • 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

  1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
  2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

  • vlan_10 с VLAN ID:10 на порту ether1
  • vlan_20 с VLAN ID:20 на порту ether1
  • vlan_30 с VLAN ID:30 на порту ether1
  • vlan_40 с VLAN ID:40 на порту ether1
  • vlan_50 с VLAN ID:50 на порту ether1

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

  • Откройте меню IP→Address и нажмите красный плюсик;
  • В поле Address введите IP-адрес, например 10.10.10.10/24;
  • В списке Interface выберите интерфейс vlan_10.
  • Нажмите кнопку OK.

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

  • Откройте меню IP→Route и нажмите красный плюсик;
  • В поле Dst. Address введите адрес 0.0.0.0/0;
  • В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например 10.10.10.1;
  • Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

  • Откройте меню Bridge и нажмите красный плюсик;
  • В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
  • Нажмите кнопку OK;
  • Добавьте по аналогии интерфейсы bridge_20, bridge_30 и bridge_40.

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

  • В интерфейс bridge_20 добавляем порты ether2 и vlan_20
  • В интерфейс bridge_30 добавляем порты ether3 и vlan_30
  • В интерфейс bridge_40 добавляем порты ether4 и vlan_40
  • В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

  • Перейдите на вкладку Ports и нажмите красный плюсик;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий сетевой порт ether5;
  • Нажмите OK;
  • Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
  • В списке Bridge выберите имя бридж интерфейса bridge_50;
  • В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
  • Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20, bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора.

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

  • Bridge_20 — vlan2_10
  • Bridge_30 — vlan3_10
  • Bridge_40 — vlan4_10
  • Bridge_50 — vlan5_10

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

  • Vlan_10
  • Vlan2_10
  • Vlan3_10
  • Vlan4_10
  • Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

  • Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
  • В списке Interface укажите интерфейс bridge1_10.
  • Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

 Источник http://www.technotrade.com.ua/Articles/vlan_traffic_isolation_on_mikrotik_2013-11-04.php

Запись опубликована в рубрике *Сети, MikroTik. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не спамер This plugin created by Alexei91