Так получилось, что ни официальная документация, ни активное гуглирование не дали понимания и результата по настройке VLAN, и особенно в связке с Cisco SG200.

Нужно настроить:

Две отдельные подсети внутри устройства, каждая из которых смотрит в свой VLAN (51 или 66) и может выйти в интернет. Одна отдельная сеть для телефонии, где VLAN (16) уже явно задан на телефонах.

Конфигурация файрвола подробно рассматриваться не будет.

Дано:

Модель: Mikrotik 951G-2HnD

Порт1: Кабель из CiscoSG200, с 40U, 16T, 51T, 66T VLANами

Порт2: Подключен напрямую к розетке для первой подсети

Порт3: Подключен напрямую к розетке для первой подсети

Порт 4,5: Пустой

WifiAP1: Должен смотреть в первую подсеть

WifiAP2: Должен смотреть во вторую подсеть

Логика работы:

Наличие VLAN на порту определяется созданием интерфейса типа «vlan» с указанием мастер-порта. Трафик, который пойдет по основному порту, будет считаться UNTAGGED, трафик, который пойдет по «vlan» интерфейсу – TAGGED. В соответствии с этим и будут создаваться мосты (bridge).

Настройка:

1. Для Порт1 создаем 3 интерфейса типа «vlan» с VLAN ID 16, 51, 66. Называем их соответственно Порт1-VLAN16 (51,66).

2. Направляем маршрут 0.0.0.0/0 на Порт1, это будет выход в интернет.

3. Поскольку параллельно с компьютерами будут на неуправляемых свичах подключаться телефоны за Порт2,3, то для этих портов создаем интерфейсы «vlan» с VLAN ID 16. Называем их соответственно Порт2,3-VLAN16

4. Создаем мост Bridge-VLAN16. Объединяем в него интерфейсы Порт1,2,3-VLAN16. Телефония заработала.

5. Настраиваем Wifi-точку. Называем ее Wifi0. В её параметрах не указываем vlan id.

6. Добавляем новый интерфейс типа «Virtual AP». Называем его Wifi1. В параметрах не указываем vlan id.

7. Создаем мост Bridge-VLAN66. Объединяем в него интерфейсы Порт1-VLAN66, Порт2, Порт3 и Wifi0. Т.к. в этой подсети устройства не знают о vlan, то пакеты будут приходить в «голый» порт, и автоматически тегироваться в случае попадания во VLAN66 и растегироваться, приходя из него. На этот мост вешаем DCHP, NATим интернет и т.д.

8. Создаем мост Bridge-VLAN51. Объединяем в него интерфейсы Порт1-VLAN51 и Wifi1. Ситуация с пакетами будет аналогична. Приправить DHCP и правилами файрвола по вкусу.

Наслаждаемся.

mikrotik-vlan

Добавить комментарий