Mikrotik несколько подсетей на одном коммутаторе на всех портах, возможно ли?

Question

[Александр]

MIKROTIK CRS125-24G-1S-2HnD-IN - коммутатора.
До недавних пор в моей организации хватало IP-адресов, но появилась необходимость добавить в сеть много мобильных устройств таких как ноутбуки, планшеты, смартфоны... В связи с этим появилось желание разделить основную сеть на несколько. Несколько раз попробовал использовать VLAN по разным инструкциям, но терял управление над коммутатором и приходилось сбрасывать настройки и откатываться к резервной копии. Полный сброс перед настройкой я увы не делал, так как на устройстве мало что было настроено до попыток с VLAN.

О текущей сети: сейчас основная сеть 192.168.1.0/24 работает на всех портах кроме 1-го (его использовал как WAN в тяжелые времена), все подключающиеся вручную заносятся через IP-DHCP Server-Leases для контроля клиентов и отсеивания непрошеных (не особо грамотных) гостей. В сети есть интернет-шлюз, через него все пользователи имеют доступ к сети Интернет.

Что хочу:
хочу создать 3 подсети 192.168.1.0/24 (останется для ПК и серверов), 192.168.10.0/24 для мобильных устройств и 192.168.100.0/24 для видеонаблюдения. Требуется чтобы был доступ из одной сети в другую (нужно для доступа к сетевым хранилищам и удаленного управления). Также требуется для них для всех доступ к сети Интернет через единственный прокси-сервер, если потребуется на прокси-сервере также можно создать VLAN. Добавлю: нужно чтобы все порты работали сразу с 3 подсетями.

Простите возможно вопрос простой, но для меня он оказался сложнее.

Comments

[AntHTML]

hint000, в принципе, в задаче топикстартера, в рамках одного vlan, ip-камеры и компы вполне реально прописать статикой, а DHCP отдать на мобильники (в таком случае туда же, по умолчанию, попадут и "неавторизованные" компы). Ну либо, если точки доступа поддерживают vlan/guest-vlan, то пробрасывать на них траффик в транках, а для компов аксессом раздавать DHCP. Видеонаблюдение, опять же статикой, а в идеале, отдельной физической сетью до порта роутера.

Answer 1

[Drno]

Создаешь 3 бриджа
Назначаешь им адрес, dhcp сервер и прочее
Добавляешь нужные порты в эти бриджи
Роутингом разрешаешь обмен трафиком

Comments

[hint000]

Добавляешь нужные порты в эти бриджи

Я так понял, у автора в каждом порту могут быть намешаны разные подсети.

[CityCat4]

hint000, Вот и будет повод в этой каше разобраться, потому что все равно рано или поздно это придется сделать

[Drno]

hint000, дополню мысль - насоздавать vlan и добавлять их в бридж…

[Александр]

hint000, Да я ищу способ чтобы все порты транслировали все подсети

[Александр]

CityCat4, увы в этой каше пока нет возможности разобраться из-за структуры сети. она очень разрознена и в разные стороны от коммутатора направлены несколько проводов за которыми находятся неуправляемые коммутаторы и на этих коммутаторах сидят разные виды устройств.

[Drno]

Александр, тогда вместо интерфейсов назначай всё на vlan интерфейсы(3шт создавай) и уже потом в общий бридж фигачь

[Александр]

Drno, а то что все изначально в VLAN1 находятся - это не считается? и плюс 2 новых

[Александр]

У меня была версия с общим бриджем и 3 настроенными VLAN - не прокатила. Отдельно пробовал добавлять все физ. порты как нетегированные и потом как тегированные (в качестве эксперимента) - тоже нет результата. Результат собственно я ожидаю увидеть такой - на устройстве ip которого назначен в сеть vlan2 должно получить адрес по DHCP.

[Drno]

Александр, всмысле не прокатило. Эта схема рабочая. Если конечное устройство поддерживает vlan

[Valentin Barbolin]

Александр,

неуправляемые коммутаторы

Как ты собираешься работать с VLAN если у тебя неуправляемые коммутаторы?
WIFI устройства еще можно засунуть в отдельный VLAN, хотя не понятно как этот WIFI работает.

Тут только разделять на уровне порта,
1 порт условно VLAN 10
2 порт VLAN 20
и т.д.

Но даже так не обязательно использовать VLAN, можно просто разобрать мост и на каждый порт назначить соответственный IP, далее в эти порты подключаем коммутаторы и в них устройства согласно подсетей.

Answer 2

[Александр]

Господа а если такой вариант: если после микротика поставить сразу неуправляемый коммутатор и 3 порта микротика с разными VLAN с ним соединить, а из него в общую сеть?

Comments

[Руслан Федосеев]

вланы и неуправляемое оборудование - не может стоять в одном предложении. Не будет работать, не пытайтесь придумать...
https://linkmeup.ru/sdsm/ до понимания

[Александр]

Руслан Федосеев, спасибо, я думал что неуправляемый сможет с этим справиться так как реализовывал соединение с несколькими роутерами в разных сетях 192... и 10... одновременно и разные типы оборудования разбирали по DHCP (с белым списком привязанных IP к MAC) с роутеров адреса.

[hint000]

Руслан Федосеев,

вланы и неуправляемое оборудование - не может стоять в одном предложении. Не будет работать, не пытайтесь придумать...

В редких случаях может быть несовместимость неуправляемых коммутаторов с VLAN.

spoiler

мне не попадались такие коммутаторы, которые вызвали бы проблему. И я не встречал никого (в том числе на форумах и т.п.), кому попадались такие коммутаторы. Хотя говорят, что это относилось только к очень старым коммутаторам, но это не точно.

А в большинстве неуправляемые коммутаторы прозрачно пропускают через себя VLAN, никак не мешая работе управляемых коммутаторов. Я в этом убедился лично на практике. А у вас есть личный опыт, подтверждающий ваше утверждение?

Если у вас в тегированный порт включен неуправляемый коммутатор - то кто будет вланы разбирать?

Так разбирать - это другое дело. А в промежутке между управляемыми может быть неуправляемый или несколько неуправляемых.

[Руслан Федосеев]

Ну пропустили вы тегированный трафик. Дальше что? На чем вы разбирать его будете? на управляемом коммутаторе, в который включен комп? с вероятностью 99% там нет управляемых коммутаторов...

На компе? На виндовом? Вланы? Не смешите....

Answer 3

[Руслан Федосеев]

Если у вас в тегированный порт включен неуправляемый коммутатор - то кто будет вланы разбирать?
Вланы - это в нормально построенной сети, без неуправляемых коммутаторов.
Вам сейчас проще всего вместо /24 сети выставить /23 или /22, в зависимости от к-ва оборудования...
Потом уже заняться приведением сети в порядок - выкинуть все неуправляемые коммутаторы, построить схему сети, все корректно спланировать, и только потом создавать вланы, назначать их на порты и т.д....

Comments

[Александр]

Вы изложили всю суть сети предприятия и сказали что нужно сделать для того чтобы получился "огурчик"! Но финансирования нет и оптимизировать сеть можно только настроив то что есть. Адреса скоро перевалят за 255, придётся делить сеть роутерами и пробрасывать порты - это гемор похлеще текущего!

[Александр]

Я как раз и надеюсь что каким-либо образом устройства смогут разобрать свои адреса из Leases проходя через неуправляемые коммутаторы.

[Руслан Федосеев]

не смогут.
смените маску сети. вместо /24 - поставьте /23 - получите 510 хостов. Или /22- получите 1022 хоста...

[Александр]

Руслан Федосеев, воспользовавшись вашим решением я поставил маску /22, сеть поставил 192.168.0.0/22, шлюз 192.168.1.1, pool 192.168.0.1-192.168.3.254 все порты на бридже,
но увы без проблем не обошлось: на точках доступа, кроме самого микротика, при подключении скорость соединения с файловым сервером и интернетом упала до невозможного около 300 кб/сек, на wlan микротика скорость отличная. подумал что адреса путаются и попробовал разделить разделил сети на 4 по типу 192.168.0.1/22, маршрутизация между ними создалась сама, но такое впечатление что маршрутизация не работает и сети изолировались.
Произвел сброс и настроил все с нуля без разделения сетей результат по скоростям такой же.

[Руслан Федосеев]

Эээ... А какая связь между скоростью и размером сети?

[Александр]

Руслан Федосеев, да вот и я пытался выяснить - не получилось, спросил тут!

Answer 4

[Rsa97]

Если вам надо, чтобы все устройства видели друг-друга, то VLAN вам не нужны. Достаточно взять больший диапазон для сети. Не меняя текущих адресов вы можете поднять маску до /16 (255.255.0.0) и тогда сеть будет 192.168.0.0-192.168.255.255.

Comments

[Руслан Федосеев]

ну вот так широко я бы не стал без нужды делать

Answer 5

[AntHTML]

1. Изучить точки доступа на предмет наличия VLAN, тогда из микротика можно попытаться отправить на точки тегированный трафик, который они и будути раздавать в эфир на мобильныки, но уже в access виде.
2. Сеть видеонаблюдения изначально смотреть как можно максимально физически разнести с сетью передачи данных
3. 3 порта объединять не нужно, достаточно навесить на один бридж 3 шлюза
4. На сколько помню, у микрота, давольно примитивный DHCP, он не умеет выдавать адреса в зависимости от префикса mac запрашивающего устройства, поэтому тут если только костылить в сеть сторонний DHCP который будет отличать компы от камер и телефонов и раздавать таким образом адреса из разных подсетей
5. ну либо, как пишет Rsa97 поднимать маску и всех временно в одну подсеть с вероятностью получить шторм из-за подвисшего айфона, который положит всю сеть, включая видеонаблюдение до одновременной перезагрузки всей активки.