Одни и те же объяснения во всех видео про вланы. Хоть бы кто пояснил, например, если и бухам и манагерам , к примеру , нужен доступ к базам на одном сервере в сети. Две сетевухи настраивать в сервере под разные порты для вланов бухов и манагеров? И много всяких подобных нюансов. В каком влане должен сидеть сисадмин, чтобы иметь доступ ко всему и вся?
VLAN - хоть и виртуальная (из названия следует), но все же отдельная сеть. Бухи (vlan 101, сеть 192.168.101.0.24), манагеры (vlan 102, сеть 192.168.1020/24), админ (vlan 10, сеть 192.168.10.0/24). Серверы (например, файловый, AD и другие) находятся вообще в другой сети, например, 10.0.10.0/24. У вас должен быть центральный (главный) маршрутизатор, который будет раздавать маршруты - бухам можно только к сети серверов, манагерам - только к сети серверов, а админам - к любым сетям. Можно бухам дать доступ только к серверу 10.0.10.15, а манагерам - к 10.0.10.10 и заодно еще и интернет им разрешить, а бухам - без инета. То есть как именно вы распорядитесь вашими сетями - ваше дело.
Крайне рекомендуется сначала настраивать все вланы, а только в самом конце включать на бридже птичку Vlan filtering, предварительно перед ней нажав Safe Mode. Особенно если вы работаете удаленно. Иначе вам выпадет сектор "дальняя дорога" на барабане с высокой степенью вероятности. Ну либо вызванивать поблизости с оборудованием дежурного сотрудника с зубочисткой, который ресетнёт для вас девайс. Кстати, сложность ресета может возрасти кратно, если вы счастливый обладатель, например, RB1100AH2, уже установленного в стойку, у которого кнопка Reset расположена на плате, но в корпусе нет отверстия под нее. Ну и не забывайте, что вам не удастся исправить потерю управления из-за косяков с вланами путем другого подключения, как, например, косяки с фаерволлом можно исправить, зайдя на маршрутизатор по L2 (MAC) ниже фаерволла. Вланы работают на L2, поэтому зайти по МАС также не получится.
По этой причине, когда я настраиваю vlan, всегда тот интерфейс/порт, к которому подключен лично, исключаю из бриджа, в котором настраиваю vlan. Когда все настроено и проверено, можно просто добавить этот "порт последней надежды" в бридж. Но сначала все проверить!
Видео полезное, но в терминологии плаваешь. Путаешь интерфейсы и порты. Я тебе спокойно езернет1 на 5 порт настрою. И влан это тоже интерфейс, только виртуальный)
Для интереса - где я перепутал интерфейс и порт? Это не очень принципиально, если честно, но для саморазвития. И второе - зачем ethernet1 настраивать на 5 порт?! И не стоит с ходу на «ты», это невежливо.
@@bozza8654 Это не принципиально? После подобных роликов на собесы приходят Джуны, которые на простейшие вопросы несут лютую ересь. Сорян, я уже не буду больше пересматривать твоё видео. Тем более, раз это не принципиально.
1. Странная привычка называть виртуальный интерфейс (SVI) VLAN бриджом. Дикость какая-то. Как после этого кто-то будет документы разбирать или настройки. Рука-лицо.жпг 2. Ни слова про настройку портов PVID. А без указания PVID работать вообще не будет.
А по поводу бриджа - это с какой стороны смотреть, мне, например, виртуальный интерфейс при коммутации пакетов так же не ложится, как и вам - бридж. Берется офиц. документация, пара мануалов в сети и формулировки уже не имеют большого значения.
Спасибо за видео, очень толковое. Но можете ли снять (или дать ссыль на) видео по настройке именно аппаратных vlan на встроенном switch chip'е микротика. При этом интересует способ повесить на эти аппаратные vlan отдельные wlan. Чисто логически я вижу, что нужно организовать как бы два слоя настроек. Первый - это собственно настройки аппаратных влан на портах (включая trunk-порт). Второй слой- создание софтовых бриджей для каждого аппаратного vlan для того, чтобы объединить их с собственными wlan. Но как это сделать практически, ничего не нашёл. Гуглится инфа только по софтовым vlan...
Для лучшего понимания процесса, рекомендую после просмотра видео ознакомится с коротким текстом на странице bozza.ru/art-349.html, где подводится итог. Это может снять часть вопросов.
Пробегитесь взглядом по тексту статьи bozza.ru/art-349.html Она короткая, суть изложена. Лучше, чем там написал, не отвечу :) Цитата с сайта: 1-й вариант (описан в видео, Bridge VLAN Filtering). Для лучшего понимания процесса кратко суть: сделать общий бридж (например, bridge1), на него "повесить" vlan-ы, добавлять в бридж bridge1 порты доступа (access ports или другими словами, untagged) или trunk-порты (или другими словами, tagged порты). Этот способ хорош тем, что он един по своей логике с настройкой bridge и vlan не только на роутере с одним trunk-портом, но также подходит к настройке коммутаторов mikrotik. Я очень рекомендовал бы вникнуть в суть этого подхода. На мой взгляд он логичен. Vlan здесь - сущность "над портами". Создали vlan и постепенно наполняете его нужными портами. А не отталкиваетесь от т.н. trunk-порта, куда подключен нижестоящий коммутатор (см. ниже;). Другими словами - есть bridge (коммутатор, короче), по нему бегает трафик. Трафик может приходить с любого порта и уходить на какой-то другой порт или порты. Это так и для роутера, и для коммутатора. Ок. Добавили какой-то vlan (например, 10-й). Ок. А потом спокойно думаем, какой порт должен принимать входящий из-вне трафик с этим "10-ым" номером vlan (trunk aka tagged порт), а какой порт будет помечать входящий трафик этим "10-м" vlan (access port aka untagged). И соответственно нашим мыслям будем добавлять порты. После этого трафик будет по-прежнему гулять по bridge, но трафик для 10 vlan попадет он только на те порты, которые имеют отношение к соотв. номеру vlan.
Изучите свой девайс, в частности, его switch-chip. На сайте микрота есть все характеристики всех применяемых ими в маршрутизаторах свитч-чипов. Если вы задействуете функцию не поддерживаемую свитч-чипом, хардварь отключится вне зависимости от того какой механизм влана вы используете и весь трафик попрет через проц. В винбоксе в настройке Bridge - Ports напротив каждого порта показывается режим его работы. Если там не стоит буква H (Hardware Offload), то трафик этого порта идет через проц. Чип не работает.
Вы знаете, до того, как сам попробовал делать видосы по теме, которая требует некоторых размышлений, думал, что вообще влет все выйдет. Оказалось - показалось :) Буду совершенствоваться.
Спасибо за мануал. Смотрел и читал других, но по вашему мануалу получилось. Вариантов настройки Вланов на микротике определенно поражает. В циске все намного проще.
Я не помню, сейчас негде это проверить. Я бы сделал так: не заработает, поставьте :) Главное - не потерять линк со своего компа к миротику. Один порт по возможности всегда держите как management, не включайте его в фильтрующие схемы.
Очень интересно было бы посмотреть связку виртуализации Proxmox и Mikrotik как шлюз в Hetzner. Особенно размышления как бы Вы спроектировали сеть , чтобы сделать это безопасно и правильно.
Много лет администрирую микротики, сколько не пытался разобрать тему вланов, это просто дремучий лес. В Интерфейсах вланы, на вкладке Интерфейсов отдельно вкладка вланов, в бридже вланы, в разделе свитч - вланы, в этих разделах еще есть позиции....В голове каша, сейчас попытался понять, опять каша в голове, опять закину на неопределенный срок это дело...
Спасибо за видео . Не понятно как из разных вланов происходит обращение к роутеру, хотелось бы услышать. На каком оборудовании (роутер +коммутатор) сделать простейшую недорогую сеть с вланами, например для видеонаблюдения? На tp-link archer c6 + sg105e возможно ?
Роутер является приёмником всех пакетов, в том числе тегированных. Поэтому роутер ничего не пропускает. Роутер может ничего не делать с пакетом, тегированным, например, 100-м вланом (если на 100 влан не настроено реакции). Но увидеть - роутер увидит.
Важно понимать, что сетевое оборудование, которое имеет доступ к вланам, является частью системы безопасности, поэтому доступ к такому оборудованию должен быть ограничен только для админов. К клиентам идёт нетегированный трафик, без пометок с номером vlan. Клиенты (ноутбуки, принтеры и прочее) вланов не видят. Номера вланов видит только сетевое оборудование (роутер, управляемые коммутаторы, которые вы настроили на обработку вланов).
Если tplink поддерживает настройку вланов, то почему нет? Но я не припомню, чтобы видел в подобных роутерах такое. Правда, и не искал специально. Тплинк- хорошие роутеры для дома. Но что там с вланами- не знаю.
@@bozza8654 Спасибо за ответы. Так вот и хотелось бы узнать в общих чертах как проходит выход наружу обращений от клиентов в интерент за разными вланами. Возможен ли проброс обращений снаружи на устройства в разных вланах, например файлсерверы, видеорегистраторы.
топчик, за 5 минут наглядно понял аксес и тагед, интерестно было бы рассмотреть вариант с приходом n каналов белых адресов через аксес и транк их на crs по разным портам и бриджам...
Видео очень полезное - из их вики я понял только то, что документацию они писать не умеют. Но в начале видео сказано, что есть несколько способов настроить vlan Из вики следует, что некоторые варианты подходят только для тех устройств, в которых есть switch chip Есть ли принципиальная разница между этими способами? Влияет ли выбор варианта настройки на производительность или ещё на что-то?
Ну есть вариант, когда VLAN навешивают на один интерфейс, чаще всего это используют в схеме "роутер на палке", когда есть роутер и к нему подключен коммутатор. Это софтовый вариант. Есть описанный в видео вариант. Тоже софтовый. Есть разновидность, когда за коммутацию отвечает не основной процессор, а выделенный чип. Но для того, чтобы реализовать вариант с чипами, нужно конкретную железку брать и смотреть, что там за чипы. В простых моделях этого нет. Поэтому универсальный вариант - программный, который и представлен в видео. Что касается нагрузки и пропускной способности - тут лучше смотреть по факту. Если хватает простого варианта, то зачем усложнять?
@@bozza8654 Да уж, смысла хайпить на техническом контенте никакого нету, это мы все прекрасно понимаем как айтишники. Посматриваю Павленко и бороду, но павленыч совсем погнал: все через шуточки стал делать, терминологию полностью опустил, что совсем в технической теме не уместно.
А можно ли утверждать, что очередь Simple отличается от очереди Tree, тем что в Tree можно делить на входящий и исходящий трафик? И по крупному счету больше нет ни каких различий ...
Вы, похоже, ни разу не сталкивались с сетью больше одного устройства, когда приходилось бы хоть как-то ограничивать или разделять трафик. Бридж - в рамках одного устройства, а на VLAN можно сеть от двух устройств домашнего уровня до крупной сети расширять. И транк - не ручательство или выпендрёж. Просто кабель между двумя коммутаторами на разных этажах или комнатах одного офиса. И все, приехали, ваши бриджи вам уже не помогут. Представьте, вы строите поселок заранее ограниченный только одной поселковой площадью. Или строите с возможностью связать этот посёлок с другим, а потом ещё с одним, но при этом четко устанавливая правила, кто и куда может ездить по дорогам. Есть разница?
Чтец был точно трезв :) Я раньше был уверен, что качественная речь в видео - не так и сложно. Оказалось, что показалось. Чем больше материал сидит в голове, тем свободнее речь, но это прямо пропорционально затраченному времени на подготовку к созданию видео. В общем, с тех пор, как стал делать контент сам, по другому смотрю, как кто-то что-то объясняет, неважно, на какую тему. Спасибо за отзыв!
На самом деле - это единственный ролик в русско язычном ютубе, который хоть как-то и главное коротко объясняет подход с очередями. В основном на руЮтубе шлак по 1.5 часа всякой дичи.
А как правильно пропустить Voice VLAN если в сети в отдельном VLAN-е находится IP-телефон? Т.е., схема такая - ПК соединен через второй порт на телефоне, а первый порт телефона соединен сразу в Mikrotik (без свитча). При этом подсеть телефона в одном VLAN-е, а подсеть ПК в другом VLAN-е. Соот-но, чтобы можно было говорить по телефону и одновременно выходить в Интернет через ПК.
То есть: ПК в одном влане, а телефон - в другом, но они физически подключены к одному порту микротика? Если порт микротика - untagged (то есть не trunk, а access), то при выходе с порта микротик удалит информацию о vlan, и что дальше будет? IP-телефон получит нетегированный трафик для себя или для компьютера. Но если порт микротика будет в т.н. hybrid режиме (например, tagged для vlan 100, но untagged для vlan 200), то может получиться. Например, если IP-телефонный адаптер позволяет разделять трафик - например, трафик с тегом 200 адаптер отправит на порт, к которому подключен компьютер, а трафик без тега будет считать своим трафиком (т.е. ip-телефонии). Вы это имели в виду?
@@bozza8654 "Вы это имели в виду?" - да, именно этот вариант. Микротик в гибридном режиме. VLAN 100 с адресацией 192.168.100.x для SIP-телефона, VLAN 200 с адресацией 192.168.200.x для ПК. Я правильно понимаю, что кроме настройки в гибридном режиме в микротике , нужно подбирать какую-то специфическую модель SIP-телефона ? У меня модель такая www.fanvil-russia.ru/fanvil_x1sp Я настроил в гибридном режиме, но проходит просто интернет-трафик для ПК, но телефон не работает. Он не может зарегиться на SIp-сервере. Если же подключить телефон и ПК через отдельные патч-корды на выделенные два порта с каждым своим VLAN-ом, то оба девайса работают нормально.
@@osada96 Решил дополнить теории. В cisco свичах существует понятие смарт порт. Где как раз есть правило указывающее, что порт свича смотрит на конечный хост (телефона) и есть возможность выбрать влан для пк. По микроту нужно почитать.... интересная задачка.
Ну а как еще красивее назвать сисадмина?! :) Предлагайте варианты ;) Но если серьезно - даже на относительно простом уровне можно нагородить ошибок типа узких или уязвимых мест ну и в таком роде. Так что почему не архитектор?
Добрый день! Вопрос: при аналогичной ситуации необходимо к отдельному порту (допустим Ether6) подключить управляющий ПК (админа), который должен видеть все ПК во всех вланах (в Вашем случае - во VLAN1 и Vlan10 ), но остальные сегменты сети к нему доступа иметь не должны. Для этого на отдельном порту (Ether6) создал новый VLAN, присвоил ему свою сетку, DHCP и DNS. Но всех сегментов сети ПК на Ether6 не видит. Думаю, у его VLAN должны быть другие настройки (tagget - бридж1 untagget - все порты)? Спасибо за ответ
VLAN что админа, что буха - это отдельная сеть. Но можно на роутере, куда приходят vlan-ы, настроить правила firewall в forward, по которым new из vlan админа могут ходить куда угодно, а для остальных vlan forward new в vlan админа можно даже явно запретить. Established, related понятно, разрешены. Ещё вроде можно в маршрутах сделать, что для сети vlan-a "простых смертных" нет маршрута в сеть админа. На ходу пишу, сори, что сбивчиво. Суть такая.
@@bozza8654 спасибо за ответ. просто я думал, что доступ в остальные вланы настраивается в наборе портов влана админа. пока с настройками правил в firewall туговато...
Да не факт, что это не избыточно. Что-то автоматом пишу, что-то на всякий случай. Прямо правил нет, главное, чтобы работало и было верно логически. В микротике полно мест, когда и так можно, и вот так работает.
после объединения портов в бридж, правила firewall, примененные непосредственно к портам распространяются на траффик по ним? что я не понял - объединение портов в бридж как-то влияет непосредственно на сами порты или это тоже "сущность" над портами как vlan, но с другими свойствами?
Я бы сказал, не очень академично, если порт не назначен ни в какой бридж, то firewall правила применяются к порту (дальше порта - только процессор микротика, роутинг), если порты в бридже - к бриджу. Выше бриджа - процессор. ЗЫ: bridge -> firewall посмотрите, там можно. Но там свои приколы.
@@overburndz В такой постановке вопроса нет правильного ответа. Если у вас один интрефейс внешний, то он сам по себе, а остальные интерфейсы можно в бридж. Но это не обязательно! Может, у вас роутер соединяет 4 разные сети - внешний, локалка1, dmz (почта), тестовый nextcloud. И вы просто настраиваете маршрутизацию между интерфейсами? Кто знает, как вам надо. А может быть так, что все порты в бридже, но на один порт надо ограничить какую-то железку, например, по mac-адресу. Когда порт в бридже, filter может сказать, что фильтровать по отдельному интерфейсу он не будет. И тогда уже останется фильтровать в bridge. Или перестроить схему подключения. Или.... "Или" тут миллион, и каждый раз индивидуально.
так и что, несколько сетей от одного интернета для mikrotik (типа 941или 951) как по ресурсозатратам выгоднее, изолировать по vlan или просто на каждый порт свой DHCP сервер? а хождение траффика между сетями правилами Firewall закрывается в любом случае?
До тех пор, пока изоляция возможна на уровне отдельных портов, делайте как вам удобнее. Vlan сделан для повышения гибкости и безопасности, а не просто для увеличения гемора сетевым админам.