Mikrotik Как разделить сеть на два сегмента без изменения IP адресов и без VLAN?

Question

[VIVerCOM]

Здравствуйте.
Подскажите, в правильном ли направлении я копаю?
Вводные:
Досталась сеть. Сервера и пользователи в одной подсети 192.168.195.0/24. Физически все сервера подключены к одному коммутатору, а пользователи (100+) к другому.
Шлюзом является Mikrotik RB3011 (192.168.195.1), который подключен к коммутатору с серверами.

Схема (изначальная)

На RB3011 используются порты так:
ether1-WAN1
ether2
ether3-WAN2
ether4-LAN2
ether5-LAN1
остальные свободные

Задача:
На данном этапе стоит задача отделить сервера, запретив весь трафик между пользователями и серверами, кроме разрешённых сервисов и портов. И при этом не менять IP адреса, т.к. используется много самописного софта и скриптов с привязкой к IP серверов и пользователей. Ещё нужно учесть, что на шлюз, в скором времени, увеличится нагрузка в виде VPN подключений нескольких офисов.

Возможное решение:
Возникла идея физически разделить сеть на два сегмента, сервера в один сегмент(коммутатор), пользователей в другой. Между сегментами воткнуть Mikrotik RB750Gr3 (есть свободный hEX) который запретит лишний трафик и при этом возмёт на себя всю нагрузку связи пользователей и серверов. Соответственно шлюз RB3011 разгрузится. А так как для выхода в интернет все используют единый шлюз, то при разделении сегментов, один останется без подключения к шлюзу. Соответственно нужно этот сегмент подключить, задействовав на RB3011 свободный порт. Ещё нужно запретить прхождение трафика между сегментами сети через шлюз, чтобы избежать петли и связь сегментов была только через hEX.

Схема идеи

Верна ли идея? И как её лучше реализовать (какие правила фильтрации)?

Comments

[Dmitry Tallmange]

Есть противоречие между изображением (схема изначальная) и описанием. На изображении коммутатор "слева" не попадает в микротик, а идет напрямую в коммутатор справа. А порты ether4-LAN2, ether5-LAN1, как будто обе подсети попадают в миротик. Кому верить?

Answer 1

[Dmitry Tallmange]

Если я верно понял текущую картину, то решение довольно простое: трафик между двумя сегментами сети, даже в одной логической подсети, должен проходить через устройство L3, и путь этот должен быть исключительно единственным.

Есть коммутатор, в который подключены все клиенты - Switch1.
Есть коммутатор, в который подключены все сервера - Switch2.

Есть абстрактный микротик с двумя портами: Lan1, Lan2.

Объединеяем порты Lan1 + Lan2 в Bridge1.
На Bridge1 вешаем адрес 192.168.195.1.
Switch1 => Lan1. Switch2 => Lan2.

И все. Весь трафик между клиентами и серверами проходит через Bridge1. Любые правила для фильтрации и ограничений.

Answer 2

[Дмитрий]

Если вы делите физически сеть на два сегмента, то без смены ip адресации не обойтись.

Answer 3

[user2k]

загнать адреса пользователей в адрес лист, загнать адреса серверов в адрес лист. создать запрещающее правило в форварде, где источник пользователи, назначение - адреса серверов. а выше делать разрешающие правила конкретному пользователю(ям) до конкретного сервера и порта.

Answer 4

[Дмитрий Александров]

1) Для начала растолкать сети физически, на основном микроте оставить только серверы и линк до 2го микрота на котором будут сидеть юзвери.
2) Сети с серверами задать 192.168.195.0/26 что даст 62 адреса чего должно хватить за глаза
3) Сети с пользователями задать 192.168.195.64/26 192.168.195.128/26 и 192.168.195.192/26 естественно разбив эти сети по портам.
4) Агрегируем подсети или вяжем так внаглую.
5) На основном микроте рулим кому и куда можно.

На выходе будет сегментированная сеть в которой все будет работать также как и раньше но можно будет рулить правилами для сегментов или конкретных адресов не перегружая фаирвол лишними правилами.

Comments

[Дмитрий Александров]

Вот так примерно будет выглядить https://yadi.sk/i/I5rI6rxr3TqLLC