Как разделить сеть на подсети при помощи VLAN в Mikrotik?

Question

[Михаил Воробьев]

Добрый день! Появилась задача разделения сети, отделение видеонаблюдения. Имеется Mikrotik RB2011 и два коммутатора JG538A - для пользователей (192.168.24.0) и JG539A -для камер (192.168.25.0). Разделил следующим образом:
Порт-5 отключил от мастер порта, создал новый Bridge, завел туда 5 порт, присвоил ip адрес для Bridge и поднял на нем DHCP (192.168.25.0). В Routes Rules ограничил хождение между этими сетями.
Вопрос, в чем принципиальное отличие от разделения vlan ами, какие замечания в моем примере? Просьба показать пример с vlan под мою задачу, желательно с двумя примерами (access и trunk доступом) для пользователей.

Answer 1

[Ильяс]

а как понял я, то это коммутаторы hp и они управляемые.
А я бы сделал так:
создал бы 3 влана:
- один управление оборудованием, тогда эти 2 свитча будут по управлению в одной сети;
- второй - это сеть для пользователей;
- третий - это для видео.

Вланами ты разделяешь свою сеть на логические, то есть из одного влана ты не будешь иметь доступ в другой, настроя соответствующие правила в firewall.
Соответственно на микротике давай trunk на порты, которые подключены к коммутаторам, а на клиентских портах на коммутаторах надо прописать порты в access, т.к. клиенты и камеры не в курсе про вланы.
В итоге получаем, что весь трафик приходящий на конечные порты автоматически заворачивается во влан, который ты укажешь в access.

Comments

[Михаил Воробьев]

Если не затруднит, можно конкретный пример? Смутное понимание vlan ов на микроте, особенно vlan для управления.

[Михаил Воробьев]

/interface vlan
add name=VLAN10 vlan-id=10 interface=ether1 disabled=no
add name=VLAN20 vlan-id=20 interface=ether2 disabled=no
add name=VLAN30 vlan-id=30 interface=ether3 disabled=no

/ip address
add address=10.10.10.1/24 interface=VLAN10
add address=10.10.20.1/24 interface=VLAN20
add address=10.10.30.1/24 interface=VLAN30

Как-то так?

[Ильяс]

Михаил Воробьев: vlanом ты грубо говоря создаёшь один виртуальный коммутатор, и на этот влан вешаешь какую-то одну сеть.
соответственно на микторике создаёшь 3 влана и привязываешь их на нужные интерфейсы, можно как как бридж, так и на физический интерфейс, всё зависит от того как настроено:
к примеру 10 будет управлением, 20 пользовательским, 30 видео.
создаёшь 3 сети и каждую сеть вешаешь на соответствующий влан
на коммутаторах можно настроить интерфейс управления в определенном влане, соответственно создаём интерфейс vlan 10 и прописываем там ip адрес коммутатора, так же не забываем прописать влан 10 транком на тот порт, который смотрит в сторону микторика, так же на этот порт транком добавляем остальные вланы 20 и 30, а на остальные порты можно добавить 20 и 30 влан в access.

[Ильяс]

Михаил Воробьев: нет, не так, влан управления вешается на те порты, куда будут подключены коммутаторы

Answer 2

[Клёвый Админ]

Если я правильно смог в модели вашего железа (речь про свичи), то они у вас не управляемые, а значит не поддерживают нормальное разграничение по портам\vlan'ам.
В этом случае никакие vlan вам не нужны, делаете просто две отдельные l2 сети и отдельную адресацию для них, запрещаете трафик между ними либо роутами (как у вас), либо (что надёжнее) на уровне файрвола двумя drop правилами.

Бридж в данной конструкции не требуется, с тем же успехом адреса и правила firewall можно применять напрямую к пятому порту.

Алсо, отмечу, что в принципе возможна ситуация когда камеры умеют VLAN, тогда можно было бы на каждой камере настроить native vlan, затем добавить на master port виртуальный интерфейс с таким же vlan id и уже на этот VLAN интерфейс создать адресацию, роутинг и правила файрвола. Но опять же замечу, что в вашем случае (при наличии двух отдельных свичей, каждый для своей l2 сети) это излишне и тем более не безопасно, т.к. любой сможет принять трафик, прописав на интерфейса vlan id.

Comments

[Михаил Воробьев]

Cвичи с поддержкой L2,L3. Без наличия отдельного бриджа, разве можно на порт повесить DHCP?

[Клёвый Админ]

Михаил Воробьев: эмм, вопрос не в том умеют ли они l3, вопрос в том умеют ли они делать порты trunk\access\hybrid. DHCP вешается куда угодно =)

[Михаил Воробьев]

Евгений Быченко: у меня без создания бриджа микрот очень возмутился

[Клёвый Админ]

Михаил Воробьев: вероятнее всего в этот момент порт был ещё в свиче (свойство master-port было заполено, а должно быть none)

Answer 3

[Obsession]

А проще повесить на мастер-порт сеть для абонов(Y.Y.Y.Y/24) и на негоже сеть для камер(Х.Х.Х.Х/24), микротику это не помешает работать, в фаирволе дать правила обшения между сетями и нарисовать маршруты. единственное! не будут раздаваться адреса по DHCP на оба диапазона, 2 "сервера" на один интерфейс вроде не запилить, но можно назначать статику отлавливая сессии на микротике.