Так получилось, что ни официальная документация, ни активное гуглирование не дали понимания и результата по настройке VLAN, и особенно в связке с Cisco SG200.
Нужно настроить:
Две отдельные подсети внутри устройства, каждая из которых смотрит в свой VLAN (51 или 66) и может выйти в интернет. Одна отдельная сеть для телефонии, где VLAN (16) уже явно задан на телефонах.
Конфигурация файрвола подробно рассматриваться не будет.
Дано:
Модель: Mikrotik 951G-2HnD
Порт1: Кабель из CiscoSG200, с 40U, 16T, 51T, 66T VLANами
Порт2: Подключен напрямую к розетке для первой подсети
Порт3: Подключен напрямую к розетке для первой подсети
Порт 4,5: Пустой
WifiAP1: Должен смотреть в первую подсеть
WifiAP2: Должен смотреть во вторую подсеть
Логика работы:
Наличие VLAN на порту определяется созданием интерфейса типа «vlan» с указанием мастер-порта. Трафик, который пойдет по основному порту, будет считаться UNTAGGED, трафик, который пойдет по «vlan» интерфейсу — TAGGED. В соответствии с этим и будут создаваться мосты (bridge).
Настройка:
1. Для Порт1 создаем 3 интерфейса типа «vlan» с VLAN ID 16, 51, 66. Называем их соответственно Порт1-VLAN16 (51,66).
2. Направляем маршрут 0.0.0.0/0 на Порт1, это будет выход в интернет.
3. Поскольку параллельно с компьютерами будут на неуправляемых свичах подключаться телефоны за Порт2,3, то для этих портов создаем интерфейсы «vlan» с VLAN ID 16. Называем их соответственно Порт2,3-VLAN16
4. Создаем мост Bridge-VLAN16. Объединяем в него интерфейсы Порт1,2,3-VLAN16. Телефония заработала.
5. Настраиваем Wifi-точку. Называем ее Wifi0. В её параметрах не указываем vlan id.
6. Добавляем новый интерфейс типа «Virtual AP». Называем его Wifi1. В параметрах не указываем vlan id.
7. Создаем мост Bridge-VLAN66. Объединяем в него интерфейсы Порт1-VLAN66, Порт2, Порт3 и Wifi0. Т.к. в этой подсети устройства не знают о vlan, то пакеты будут приходить в «голый» порт, и автоматически тегироваться в случае попадания во VLAN66 и растегироваться, приходя из него. На этот мост вешаем DCHP, NATим интернет и т.д.
8. Создаем мост Bridge-VLAN51. Объединяем в него интерфейсы Порт1-VLAN51 и Wifi1. Ситуация с пакетами будет аналогична. Приправить DHCP и правилами файрвола по вкусу.
Наслаждаемся.
ссылка на оригинал статьи https://habrahabr.ru/post/282233/
Добавить комментарий