MikroTik: Настройка VLAN на оборудовании класса SOHO. Lab #3.

Продолжаем разбираться в принципах работы с VLAN’ами на оборудовании MikroTik класса SOHO. Перед прочтением рекомендую ознакомиться с предыдущей статьей.

Вспомним, что при заводских настройках внутренняя логика работы маршрутизатора MikroTik имеет следующий вид:

На схеме:
а) логически порт Eth1 подключен непосредственно к ЦПУ оборудования и служит для соединения с провайдером;
б) порты Eth2..4 объединены в свич-группу указанием Master Port’а Eth2;
в) порт Eth2 ЦПУ маршрутизатора, он же Master Port, логически соединен с CPU-Port чипа коммутации.

IP адрес шлюза ЛВС, локальный DHCP сервер и другие внутренние IP сервисы настраиваются на Master Port Eth2. Можно для этого использовать бридж-интерфейс, но Master Port должен быть добавлен в состав этого бриджа.

Постановка задачи.

Задача данной статьи подключиться к сети Интернет, но используя VLAN теги для разграничения внешних и внутренних каналов. В некоторых сценариях это позволяет обойти лимит маршрутизатора в 1 Master Port.

В наличии у нас все тот же маршрутизатор MikroTik hap lite (RB941-2nD) с RouterOS версии 6.36.4 (bugfix). Физически мы подключены к порту ether3. Настраивать его будем через Winbox, подключаясь к MAC адресу. Подключение к провайдеру происходит через выдачу «серых» IP адресов через DHCP и NAT трансляцию.

Схема внутренней логики работы маршрутизатора для выхода в Интернет с использованием VLAN’ов на чипе коммутации будет следующая:

Настройка VLAN.

— Удаляем заводские настройки маршрутизатора:

— После перезагрузки объединим все порты маршрутизатора в свич-группу указанием Master Port’а ether4:

— Создадим интерфейсы vlan10 и vlan20 для того, чтобы RouterOS смог принять на Master Port ether 4 тэгированные кадры от чипа коммутации.

Интерфейсы:
а) vlan10 служит для терминирования на RouterOS трафика провайдера;
б) vlan20 — шлюз для оборудования локальной сети.

— Настроим принадлежность портов чипа коммутации VLAN’ам:
а) к VLAN10 у нас относятся порты ether1 и CPU-Port;
б) к VLAN20 у нас относятся порты ether2..4 и CPU-Port.

— Приступим к настройке правил обработки VLAN тегов портами чипа коммутации.

Настроим правила обработки тегов VLAN на интерфейсе ether1, который является портом доступа принадлежащий VLAN10:

secure — строгий режим обработки тегов VLAN при котором проверяется наличие VID в таблице VLAN’ов, а также проверяется соответствие VID своим портам;
always-strip — всегда удалять у исходящего кадра тэг VLAN;
10 — входящий кадр без тега VLAN будет протегирован данным номером VID, который должен присутствовать в таблице VLAN при secure режиме обработки тегов VLAN.

— Подобным образом настроим интерфейс ether2, который является портом доступа принадлежащий VLAN20:

— Настройка CPU-Port’а чипа коммутации:

secure — строгий режим обработки тегов VLAN;
leave-as-is — не производить никаких действий с тегами исходящих кадров;
0 — не модифицировать теги входящих кадров.

— Подключимся к порту ether1 маршрутизатора:

Видим что трафик управления Winbox’а тегируется VID 10 и терминируется RouterOS на интерфейсе vlan10.

Соответственно, подключившись к порту ether2 маршрутизатора наблюдаем ту же ситуацию для VID 20:

— Окончательные настройки обработки тегов VLAN на всех портах маршрутизатора:

Настройка маршрутизации.

— Зададим IP адрес интерфейса vlan20, который будет выступать шлюзом для устройств ЛВС:

— Настроим DHCP клиент на интерфейсе vlan10 для получения динамического IP адреса от провайдера:

— Настроим локальный DHCP сервер для удобства подключения устройств ЛВС:

— И последнее для подключения к сети Интернет — это настройка NAT трансляции:

Проверка.

— Подключаем провайдера к порту ether1, тестовый ПК к ether2:

— Проверяем на ПК выданную аренду IP адреса и доступность сети Интернет.

— Запустим на ПК передачу трафика из Интернет и посмотрим в Winbox статистику на интерфейсах:

Видим как наш тестовый трафик:
1) приходит на интерфейс ether 1 чипа коммутаци;
2) тегируется VID 10 и передается на Master Port RouterOS, где терминируется на интерфейсе vlan10;
3) проходит процессы маршрутизации, NAT трансляции;
4) через интерфейс RouterOS vlan20 передается обратно на чип коммутации с тегом VID 20;
5) уходит с интерфейса ether2 чипа коммутации на тестовый ПК без VLAN тега.

Обратите внимание на утилизацию ЦПУ.

Настройка выполнена, доступ к сети Интернет есть.

Расширим задачу.

Представим следующий сценарий подключения:

Требуется:
а) подключить к ether1 провайдера;
б) к ether2 — сервер, требующий прямого подключения к Интернет;
в) к ether3..4 по прежнему подключены устройства ЛВС;
г) передача трафика между ether1 и ether2, а также ether3 и ether4 должна происходить на скорости портов.

Настройка:

— Перенастроим принадлежность порта ether2 к VLAN10:

— Изменим номер тега VLAN на 10 для входящего нетегированного трафика:

— Подключим к порту ether1 провайдера, к порту ether2 — тесторый ПК и проверим аренду IP адреса с доступностью сети Интернет:

— Запустим передачу трафика от тестового ПК в сеть Интернет:

Обратите внимание на утилизацию ЦПУ.
Видим как наш трафик приходит на интерфейс ether 2 и в пределах VLAN10 чипа коммутации передается на порт ether1.