Как изолировать трафик коммутатора cisco от корневого маршрутизатора microtik?

Question

[Андрей Констрюнк]

Заранее прошу не критиковать сильно, так как новичок и прошу помощи. 

Есть корневой маршрутизатор mikrotik. От него подключен коммутатор Cisco Catalyst 3750   к которому подключены компютеры. 
Мои хотелки
1) настроить на cisco и микроте транк порт 
2) Настроить DHCP сервер на Cisco в vlan 2, чтобы все устройства получали ip автоматически 
3) Изолировать все устройства от корневого коммутатора (что б даже в логах микрота не было видно, что творится у них в сети)
4) На микроте поднят VPN с ipsec, хотелось бы иметь доступ к консоли cisco по удалённому доступу. 

Что сделано.
1)Соответсвующий порт на микроте выведен с бриджа и к нему к графе интерфейсов добавлены VLAN 2 и VLAN 100
2) на cisco порт подключения к микроту переведён в режим "транк"
3) Все остальные порты в  VLAN 2 и VLAN 100 переведены в режим access 
4) На микроте создана подсеть и добавлена на интерфейс который подключается к cisco

Дополнительные вопроси

Нужно ли прописывать маршрутизацию между микротом и cisco (их подсетей) в графе   IP-routing ?

Прошу помощи в данном вопросе, так как только начинаю познавать эти технологии. 

Comments

[MVV]

Хотите совет? Если осваиваете - осваивайте правильно, с учетом уже набитых предыдущими поколениями шишек: делите задачу на части.
1. Освойте многоуровневую сетевую модель DoD (она же - модель TCP/IP) как наиболее близкую к практике и, дополнительно, модель OSI как более фундаментальную. Осваивать можно без фанатизма, главное - общее понимание, что на каком уровне делается.
2. Распишите все ваши требования в терминах каждого из уровней. Конкретно вам нужен уровень IP (он же сетевой в OSI) - это подсети и IP-адреса устройств - и уровень доступа к сети (в OSI - канальный (вам нужен) и физический уровень(вам для начала не нужен)) - сегменты: VLANы и VPN, конкретные порты и их настройка и соединения между ними. Для наглядности можете нарисовать отдельную диаграмму для каждого уровня: ваша диаграмма из вопроса отражает только физический уровень, а потому не наглядна (кстати, сети - подсети IP и сегменты уровня доступа - рисуются обычно овалами, безотносительно физических подключений). Разнесите устройства, которые не должны иметь доступ к трафику друг друга, в разные сегменты Сопоставьте эти уровни друг с другом: каждой подсети IP должен соответствовать ровно один сегмент уровня доступа (VLAN или VPN). Определите также, как устройства получают адреса уровня IP: где - статическая настройка, где - автоматическая, т.е. DHCP, и что в таком случае будет служить сервером DHCP. Определите, что будет работать маршрутизатором для каждой конкретной связи между подсетями и сделайте соответствующу настройку устройств.
Короче: расписываете или рисуете подсети, под них расписываете или рисуете конфигурацию сегментов (VLAN и VPN), а потом уже разбираетесь с настройкой микротика и 3750.

Так у вас появятся более конкретные вопросы по деталям настройки - и на большинство из них вы окажетесь способны ответить сами. А на оставшееся меньшинство вам будет проще получить ответ со стороны других - потому что вопросы будут конкретные. А сейчас - я, к примеру, плохо понимаю, с чего начать вам отвечать: всего много, всё в слаборазделимой куче, части информации не хватает...
PS И да, если вам понадобится ответы на вопросы, как сопоставить ваши требования с многоуровневой моделью сети, их вам тоже получить будет проще, потому что вопросы будут конкретными.

Answer 1

[Virlik81]

3750 коммутатор 3 го уровня
Делай на нем vlan 2 и 100.
Отстрой на vlan 2 DHCP.
На vlan 100 другую сеть.
Между Cisco и микротом сделай отдельную сеть по vlan 101.
Подними ospf и маршрутизация будет сама ходить или маршруты по умолчанию.
Для доступа разреши telnet или ssh на cisco и будешь заходить по ip который между ними.
Надо помощь пиши

Answer 2

[Дмитрий]

В чем смысл транка между микротиком и циской? Если циска будет дхцп-сервером, не обязательно отдавать эти сети на микрот, можно сделать циску шлюзом внутренеих сетей и дать ей гейтом адрес микрота для выхода в интернеты. Внутренний трафик на микроте не будет виден, т.к. все широковещательные пакеты не выйдут из-за циски.

Comments

[Андрей Констрюнк]

То есть шлюзом в DHCP сервере указать адрес микрота? Я правильно понял?

Транк хотелось бы, для того, что бы при подключении по vpn к микроту, можно было зайти по телнету или веб интерфейсу на циску.

По этому создал отдельный VLAN100 с одним портом и на этот порт назначил адрес.

На микроте открою только этот VLAN 100

[Дмитрий]

Андрей Констрюнк, влан для связи микрот-циска понятен, непонятно зачем еще и vlan2 туда совать. Маршрутизация решает этот вопрос.
Для клиентов за циской шлюзом должен быть адрес циски. Для самой циски шлюзом должен быть микрот. На микроте должен быть маршрут до внутренней сети через адрес циски на прямом линке.
Например, адрес микрота 10.20.30.1, адрес циски 10.20.30.2, внутренняя сеть за циской 10.20.40.0/24. На клиентах гейт 10.20.40.1(циска), на циске гейт 10.20.30.1, на микроте маршрут 10.20.40.0/24 через 10.20.30.2

[Андрей Констрюнк]

Дмитрий, Спасибо большое
согласен VLAN 2 там не к чему

Ещё вопрос, (скорей всего глупый=)

Порт подключения от циско к микроту должен быть в одном VLAN с сетью или не обязательно? 

Я так понял все пакеты которые не нашли адреса в своём VLAN если нет маршрутизации, они уходят на TRUNK порт или в native VLAN и достаточно указать что через такой-то порт передавать такие то vlan (по умолчанию он вроде передает все) ?

[Дмитрий]

Андрей Констрюнк, trunk это когда в одном физическом проводе передаются пакеты разных вланов. Пакеты, адресаты которых не находятся в одной сети с отправителем (по ip и маске) отправляются на default gateway, если нет специфичесаого маршрута для сети назначения пакета. Если маршрута нет - пакет умрет.
Порт подключееия циски к микроту должен быть во влане, отличающемся от локальной сети, порт должен быть access mode.

[Андрей Констрюнк]

Дмитрий, Всё в принципе более менее понятно. В моём случае проще решить маршрутизацией я так понял. Спасибо большое за помощь, завтра буду пробовать.