Изоляция трафика на MikroTik с помощью VLAN

Технологию VLAN используют для изоляции клиентского трафика или трафика разных беспроводных базовых станций. Это позволяет уменьшить широковещательный трафик в сети и увеличить пропускную способность.

Принцип настройки VLAN в роутерах MikroTik отличается от того, как это делается в управляемых коммутаторах. В данной статье рассмотрим пример, как разделить трафик клиентских устройств и трафик для управления роутером MikroTik.

Виртуальный интерфейс VLAN работает точно также как и физический интерфейс. VLAN интерфейс можно привязать к физическому Ethernet порту, Bridge интерфейсу и даже EoIP туннелю.

Допустим, на первый порт роутера MikroTik приходит пять вланов со следующими номерами:

• 10 — предназначен для управления маршрутизатором;
• 20 — трафик для 2-го LAN порта;
• 30 — трафик для 3-го LAN порта;
• 40 — трафик для 4-го LAN порта;
• 50 — трафик для 5-го LAN порта.

Наша задача настроить роутер и решить следующие задачи:

1. Чтобы повысить безопасность сети, управление маршрутизатором должно выполняться только через VLAN с номером 10.
2. Трафик из VLAN с номерами 20, 30, 40, 50 должен выдаваться без тегирования в соответствующие сетевые порты.

Приступим к выполнению поставленных задач. Зайдите в настройки MikroTik и откройте меню Interface. Здесь отображаются пять сетевых портов ether1–ether5.

Перейдите на вкладку VLAN и добавьте пять VLAN интерфейсов:

• vlan_10 с VLAN ID:10 на порту ether1
• vlan_20 с VLAN ID:20 на порту ether1
• vlan_30 с VLAN ID:30 на порту ether1
• vlan_40 с VLAN ID:40 на порту ether1
• vlan_50 с VLAN ID:50 на порту ether1

На вкладке Interface в списке появились новые вланы, которые привязаны к интерфейсу ether1.
Для управления роутером через VLAN 10, нужно присвоить влану IP-адрес:

• Откройте меню IP→Address и нажмите красный плюсик;
• В поле Address введите IP-адрес, например 10.10.10.10/24;
• В списке Interface выберите интерфейс vlan_10.
• Нажмите кнопку OK.

Чтобы на IP-адрес управления 10.10.10.10/24 можно было попасть из любого места сети, настроим маршрутизацию:

• Откройте меню IP→Route и нажмите красный плюсик;
• В поле Dst. Address введите адрес 0.0.0.0/0;
• В поле Gateway укажите IP-адрес шлюза — это адрес центрального маршрутизатора в вашей сети, например 10.10.10.1;
• Нажмите OK.

На этом первую задачу управления роутером только через VLAN с номером 10 мы решили. Приступим к решению второй задачи.

Чтобы трафик из VLAN интерфейсов с номерами 20, 30, 40, 50 выдавался в соответствующие LAN порты без тегирования, нужно создать бридж интерфейсы и объединить в них соответствующие вланы и сетевые порты.

Сначала создадим четыре бридж интерфейса:

• Откройте меню Bridge и нажмите красный плюсик;
• В поле Name укажите название бридж интерфейса, например bridge_50 — это бридж для влана 50;
• Нажмите кнопку OK;
• Добавьте по аналогии интерфейсы bridge_20, bridge_30 и bridge_40.

Теперь нужно добавить в каждый бридж, соответствующий сетевой порт и VLAN интерфейс:

• В интерфейс bridge_20 добавляем порты ether2 и vlan_20
• В интерфейс bridge_30 добавляем порты ether3 и vlan_30
• В интерфейс bridge_40 добавляем порты ether4 и vlan_40
• В интерфейс bridge_50 добавляем порты ether5 и vlan_50

Добавление портов в бриджи выполняется следующим образом:

• Перейдите на вкладку Ports и нажмите красный плюсик;
• В списке Bridge выберите имя бридж интерфейса bridge_50;
• В списке Interface выберите соответствующий сетевой порт ether5;
• Нажмите OK;
   
• Нажмите еще раз красный плюсик для добавления VLAN интерфейса в bridge_50;
• В списке Bridge выберите имя бридж интерфейса bridge_50;
• В списке Interface выберите соответствующий VLAN интерфейс vlan_50;
• Нажмите OK.

Добавьте по аналогии порты в бриджи bridge_20, bridge_30 и bridge_40.

На этом мы решили вторую задачу, и трафик из каждого VLAN интерфейса будет выдаваться без тегирования в соответствующий сетевой порт маршрутизатора.

Усложним задачу. Теперь нам нужно в каждый сетевой порт выдавать VLAN с номером 10 для управления устройством. Для этого создаем на каждом бридже VLAN с номером 10:

• Bridge_20 — vlan2_10
• Bridge_30 — vlan3_10
• Bridge_40 — vlan4_10
• Bridge_50 — vlan5_10

В разделе Bridge создадим еще один интерфейс и назовем его bridge1_10.

Перейдите на вкладку Ports и добавьте в интерфейс bridge1_10 следующие порты:

• Vlan_10
• Vlan2_10
• Vlan3_10
• Vlan4_10
• Vlan5_10

Теперь VLAN с номером 10 будет доступен на всех сетевых портах маршрутизатора MikroTik.

Когда у вас есть любой интерфейс с установленным IP-адресом, и вы добавляете этот интерфейс в бридж, то на нем перестает работать IP-адрес. Поэтому для управления микротиком через IP-адрес 10.10.10.10/24 нужно его перенести с интерфейса vlan_10 на bridge1_10:

• Перейдите в меню IP -Address и откройте настройки интерфейса vlan_10;
• В списке Interface укажите интерфейс bridge1_10.
• Нажмите кнопку OK.

Теперь со всех портов через VLAN 10 можно получить доступ к настройке маршрутизатора по IP-адресу 10.10.10.10/24.

В заключении добавим, что MikroTik поддерживает создание вложенных вланов Q-in-Q, т.е. можно создавать влан во влане. Поддерживается 10 и более вложенных VLAN, однако с каждым вложением размер MTU уменьшается на 4 байта. Поэтому не рекомендуем делать более 2-4 вложений.

Источник: www.lanmart.ru