Как настроить Vlan на Mikrotik: пошаговая инструкция
Если вы нашли эту статью, значит вы определенно уже понимаете для чего нужен Vlan и что это такое вообще. Если вы попали сюда случайно или настройка Vlan нужна, но пока вы самостоятельно не можете или не знаете, как это сделать – то вы попали туда, куда нужно.
Что такое VLAN?
По своей сути Vlan – это некая виртуальная сеть внутри физической сети. По-простому – это ЛВС внутри ЛВС. Внутри одной физической сети можно создать до 4096 виртуальных сетей, если быть точным, то 4094. Откуда берутся эти цифры? Давайте рассмотрим чуть более детально.
Для идентификации виртуальной сети используется VLAN ID или как его сокращенно называют VID – номер Vlan`а. Это метка, присоединяемая к кусочку кадра, который передается по сети. Для этой метки отведен блок размером в 12 бит. Путем нехитрых вычислений узнаем, что можно получить номера Vlan`ов с 0 по 4095 (всего 4096) но первый и последний ID зарезервированы системой, потому их использовать запрещено.
Обычное неуправляемое сетевое оборудование (такое как коммутатор, простая сетевая карта без поддержки Vlan и т.п.) не понимает, что такое Vlan, это задача коммутаторов и прочего «умного» оборудования второго уровня. В управляемых коммутаторах можно указать каким Vlan разрешено проходить по данному порту, а каким запрещено.
Зачем это нужно? Надо ли так усложнять сеть?
- Технология Vlan позволяет объединить компьютеры в одну локальную сеть независимо от их территориального или географического расположения;
- Становится возможным разделение физической сети на несколько виртуальных, которые не будут пересекаться и доступ из одной виртуальной сети в другую будет невозможен;
- Снижается нагрузка на сеть, так как на указанные порты коммутатора попадают только те пакеты сети, которым разрешено прохождение по данному порту;
Это лишь крохотная часть возможностей, которые предоставляет Vlan.
С первого раза тяжело «переварить» информацию, но на самом деле здесь нет ничего сложного.
Перейдем к настройке VLAN на оборудовании Mikrotik
Предположим, что нам нужно разделить одну большую сеть на 3 виртуальных.
Для примера будем использовать RB750UP. Структура будущей сети выглядит следующим образом:
Подключаемся через WinBox к оборудованию.
- Заходим в раздел Interfaces;
- Переходим на вкладку VLAN;
- Нажимаем на значок «+»;
- В появившемся окне присваиваем имя vlan5 интерфейсу в поле Name;
- Прописываем VLAN ID, которое равно 5;
- Выбираем интерфейс, для которого создается Vlan (в нашем случае это Ether5);
Видим, что интерфейс добавился:
Также он отображается в окне Interfaces и структурно находится под интерфейсом, на который добавлен, название vlan5 смещается чуть-чуть вправо относительно основного списка интерфейсов
Аналогично добавляем vlan4 на ether4 и vlan3 на ether3
Следующее, что нам нужно сделать – это добавить IP адрес для созданных виртуальных сетей:
- Переходим в раздел IP > Addresses;
- Добавляем адрес как обычно, только в поле интерфейс выбираем наш vlan5;
Добавляем IP адреса на vlan4 и vlan3.
В результате у нас должно получиться следующее:
Доступ в интернет
Подсети созданы, IP адреса присвоенны, теперь нужно «выпустить в интернет» устройства, работающие в vlan3, vlan4, vlan5.
Переходим в раздел IP > Firewall вкладка NAT и создаем новое правило
Переходим на вкладку Action и в поле Action выбираем действие masquerade и сохраняем правило
Такие правила нужно создать для каждой из подсети, изменяя лишь адреса сети.
В результате должно получиться следующее:
Дополнительные “фишки”
Теперь каждая из виртуальных сетей имеет доступ в интернет, но при необходимости его можно ограничить, разрешая доступ только выделенным адресам.
- Переходим на вкладку Address List;
- Добавляем, для примера, IP адрес 168.5.24 в Address List под названием Net (Прописать вручную);
Теперь, если в правиле под номером 13 (вкладка NAT) перейти на вкладку Advanced и в поле Src. Address List указать список Net
то выход в интернет получат только те хосты, которые находятся в списке Net. В нашем случае – это единственный хост, который мы добавили: 192.168.5.24
Сеть разделена и настроена. Так же можно поднять DHCP сервер на каждом из созданных нами vlan – тогда не придется прописывать адрес каждому ПК в локальной сети, но это уже совсем другая тема…
Автор: YobaBoba
Добавлено 24 ноября, 2017 в 08:21
Так себе пример, не объединяй порты а бридж/свитч и получишь всё тоже самое, без всяких vlan’ов.
Автор: BBJ
Добавлено 30 марта, 2018 в 09:00
Не соглашусь…Например при использовании виртуализации(Hyper-V к примеру) без Vlan не обойтись, чтобы отделить хост машину(физическую) от гостевых ОС(еще плюс если одна физическая сетевуха на всех). Или несколько вайфай точек на одном чипе разделенных между собой и отделенных от других сетей с помощью Vlan. Так что Vlan очень мощная штука;)
Но статья действительно маленькая и обьясняет минимум по настройке, и без особых деталей. Далее, далее, сохранить, готово. Хотелось бы увидеть про trunc, access, больше по фаерволу и т.п. Но все же автору спасибо!
Автор: Evgeniy
Добавлено 9 июля, 2019 в 21:03
это вам на хабр
Автор: Александр Кирьянов
Добавлено 22 мая, 2018 в 11:48
не понял по nat где источником указано ничего, а назначением сеть из влана. Не наоборот ли? )))))) Лично у меня источником указана сеть влана.
Автор: Алекс
Добавлено 13 апреля, 2019 в 01:35
Спасибо ! Очень понятно. Для начала необходимая и достаточная информация…. С Вашей помощью перепрошил Микротик умирающий 🙂 – ожил и повеселел.
Автор: Антон
Добавлено 8 июня, 2019 в 15:26
Бот
Автор: ы
Добавлено 22 июля, 2019 в 12:59
не фурычит
Автор: f
Добавлено 3 августа, 2019 в 23:27
мож потому что дхцп не поднят? в статье же сказали “но это уже совсем другая тема…”
Автор: Вячеслав
Добавлено 20 января, 2020 в 04:57
Спасибо, все очень доступно написано.
Может еще подскажите как пробросить порты между сетями vlan?
К примеру чтобы из сети vlan1 был доступ к шаре что находится в сети vlan2.