Содержание:
Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.
В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.
Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.
Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:
Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.
Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.
Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.
Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:
После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.
Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:
После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.
Проверяем наличие соединения с интернетом:
Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.
Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.
Добавляем интерфейс Bridge:
Добавляем LAN порты в Bridge:
Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.
Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.
Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.
Настройка IP адреса сети предприятия:
Настройка IP адреса гостевой сети:
Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.
Добавляем диапазон IP адресов предприятия:
Добавляем диапазон IP адресов гостевой сети аналогичным образом:
Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
Настраиваем DHCP сервер внутренней сети предприятия:
Настраиваем DHCP сервер гостевой сети аналогичным образом:
Теперь переходим на вкладку Networks и добавляем наши сети:
Добавляем сеть предприятия:
Добавляем гостевую сеть:
Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.
Настройка NAT для внутренней сети предприятия:
Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:
Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.
Добавляем второе правило аналогичным образом, только меняем местами подсети.
Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.
Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.
Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.
Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System - Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.
Переходим в меню Wireless - Basic и настраиваем две Wi-Fi точки Office и HotSpot.
На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.
Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.
Также не забудьте в меню Management - Admin изменить пароль для входа в настройки точки доступа EnGenius.
Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.
Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.
Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP - DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.
Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.
Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.
Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.
Відгуки про статтю
CRS326-24G-2S+ 7.9.1
RBD52G-5HacD2HnD 6.49.7
Дякую.
В настройках Cisco это выглядит так -
interface GigabitEthernet7
switchport trunk native vlan 77
switchport trunk allowed vlan 10,20,77
switchport mode trunk
Спасибо!
Мы поместили VLAN2 во все порты, входящие в bridge.
Все нетегированные пакеты, попадают на все порты.
Мне принесли для теста видеорегистратор, настроенный на стандартную сеть 192.168.1.1 (имеющий свой ip 192.168.1.101, перенастроить сейчас его ip не имеется возможности, сброса тоже никакого на нем нет.) Как и что прописать в Микротик, чтобы я в своей сети мог его посетить, подскжите уже всю голову сломал
Dhcp п pppoe то что выбирать в правилах ?