Задать вопрос
@VIVerCOM

Mikrotik Как разделить сеть на два сегмента без изменения IP адресов и без VLAN?

Здравствуйте.
Подскажите, в правильном ли направлении я копаю?
Вводные:
Досталась сеть. Сервера и пользователи в одной подсети 192.168.195.0/24. Физически все сервера подключены к одному коммутатору, а пользователи (100+) к другому.
Шлюзом является Mikrotik RB3011 (192.168.195.1), который подключен к коммутатору с серверами.
Схема (изначальная)
5ab9f43e92c42894847947.jpeg

На RB3011 используются порты так:
ether1-WAN1
ether2
ether3-WAN2
ether4-LAN2
ether5-LAN1
остальные свободные

Задача:
На данном этапе стоит задача отделить сервера, запретив весь трафик между пользователями и серверами, кроме разрешённых сервисов и портов. И при этом не менять IP адреса, т.к. используется много самописного софта и скриптов с привязкой к IP серверов и пользователей. Ещё нужно учесть, что на шлюз, в скором времени, увеличится нагрузка в виде VPN подключений нескольких офисов.

Возможное решение:
Возникла идея физически разделить сеть на два сегмента, сервера в один сегмент(коммутатор), пользователей в другой. Между сегментами воткнуть Mikrotik RB750Gr3 (есть свободный hEX) который запретит лишний трафик и при этом возмёт на себя всю нагрузку связи пользователей и серверов. Соответственно шлюз RB3011 разгрузится. А так как для выхода в интернет все используют единый шлюз, то при разделении сегментов, один останется без подключения к шлюзу. Соответственно нужно этот сегмент подключить, задействовав на RB3011 свободный порт. Ещё нужно запретить прхождение трафика между сегментами сети через шлюз, чтобы избежать петли и связь сегментов была только через hEX.
Схема идеи
5ab9f451c9bb2356833979.jpeg

Верна ли идея? И как её лучше реализовать (какие правила фильтрации)?
  • Вопрос задан
  • 9280 просмотров
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 4
p00h
@p00h
Фехтовальщик-стропальщик
Если я верно понял текущую картину, то решение довольно простое: трафик между двумя сегментами сети, даже в одной логической подсети, должен проходить через устройство L3, и путь этот должен быть исключительно единственным.

Есть коммутатор, в который подключены все клиенты - Switch1.
Есть коммутатор, в который подключены все сервера - Switch2.

Есть абстрактный микротик с двумя портами: Lan1, Lan2.

Объединеяем порты Lan1 + Lan2 в Bridge1.
На Bridge1 вешаем адрес 192.168.195.1.
Switch1 => Lan1. Switch2 => Lan2.

И все. Весь трафик между клиентами и серверами проходит через Bridge1. Любые правила для фильтрации и ограничений.
Ответ написан
Комментировать
@Tabletko
никого не трогаю, починяю примус
Если вы делите физически сеть на два сегмента, то без смены ip адресации не обойтись.
Ответ написан
Комментировать
@user2k
загнать адреса пользователей в адрес лист, загнать адреса серверов в адрес лист. создать запрещающее правило в форварде, где источник пользователи, назначение - адреса серверов. а выше делать разрешающие правила конкретному пользователю(ям) до конкретного сервера и порта.
Ответ написан
Комментировать
jamakasi666
@jamakasi666
Просто IT'шник.
1) Для начала растолкать сети физически, на основном микроте оставить только серверы и линк до 2го микрота на котором будут сидеть юзвери.
2) Сети с серверами задать 192.168.195.0/26 что даст 62 адреса чего должно хватить за глаза
3) Сети с пользователями задать 192.168.195.64/26 192.168.195.128/26 и 192.168.195.192/26 естественно разбив эти сети по портам.
4) Агрегируем подсети или вяжем так внаглую.
5) На основном микроте рулим кому и куда можно.

На выходе будет сегментированная сеть в которой все будет работать также как и раньше но можно будет рулить правилами для сегментов или конкретных адресов не перегружая фаирвол лишними правилами.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы