Настройка коммутатора mikrotik crs328
Бесплатный чек-лист
по настройке RouterOS
на 28 пунктов
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
P.S.
Подсказка:
Чтобы маршрутизация работала правильно, локальные сети не должны РОУТЕРОМ Маскарайдиться,
или к таким пакетам(локальным) не должны применяться/действовать правила SRC-NAT,
поэтому если у Вас есть обобщённое правила маскарайдинга, на время трассертов, отключите его,
если трасерты (при запуске заново) пойдут - значит надо обобщённое правила удалять и делать
более точное, в частности явно описывать какие пакеты на основании каких нюансов НАТить.
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
UPD 2019.01.18: Добавлен синтаксис настройки VLAN с учетом изменений RouterOS 6.41+.
Имеется:
!interface Port-channel1
switchport trunk allowed vlan 1,10
switchport mode trunk
!
interface GigabitEthernet0/1
switchport access vlan 10
!
interface GigabitEthernet0/2
switchport access vlan 10
!
interface GigabitEthernet0/3
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
switchport trunk allowed vlan 1,10
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/8
switchport trunk allowed vlan 1,10
switchport mode trunk
channel-group 1 mode on
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
Требуется:
Настройка.
— Задействуем чип коммутации.
Для RouterOS 6.41+
Создаем бриджевый интерфейс BR_MAIN на который CPU будет принимать трафик.
Добавляем интерфейсы в данный бридж.
Проверяем, что чип коммутации задействован.
Для RouterOS pre-6.41
Для упрощения настройки выведем номера интерфейсов:
Проверяем произведенные настройки:
Далее для RouterOS ВСЕХ версий
Укажем порты принадлежащие VLAN10:
Укажем порты принадлежащие VLAN1:
Видим, что агрегируемые порты ether13 и ether15 не отображаются, вместо них указан ETHCH-PORT.
Заметим, что в этом выводе конфигурации порты ether13 и ether15 указываются вместе с транком ETHCH-PORT.
VID 10 тегируется исходящий трафик на портах ether13, ether15 в составе транка ETHCH-PORT и switch1-cpu:
VID 1 тегируется исходящий трафик на порту switch1-cpu чипа коммутации:
На портах ether13 и ether 15 в составе транка ETHCH-PORT исходящий трафик принадлежащий VLAN1 передается без тега, поэтому эти порты не указываем.
Здесь же порты ether13 и ether15 не указываются, только транк ETHCH-PORT.
Для RouterOS 6.41+
Для RouterOS pre-6.41
В процессе настройки лабораторной работы я столкнулся с фичей/особенностью/багом.
После настройки правил обработки тегов VLAN чипом коммутации терялось управление по MAC адресу, хотя подключение по IP происходило успешно. Данное поведение наблюдалось только на версиях RouterOS 6.41+. На более ранних версиях проблем с подключением не наблюдалось.
Сегодня мы поговорим о ещё об одной операционной системе от Микротик SWOS, сделаем ее настройку, создадим VLAN да и в общем покажем как что в ней устроено. SWOS разработана специально для свичей. У Mikrotik есть 2 линейки, одни с маркировкой CSS, другие с CRS. Так вот, основная разница в них, это то, что у одних на борту SWOS, у других ROS, т.е. на последних, вы можете полноценно развернуть некий «девайс все в одном», только не переборщите с нагрузкой на процессор.
Гвоздь сегодняшней программы это CRS326-24G-2S+RM – свич третьей серии, с 24 портами 1Gb/s, 2 порта SFP+ 10Gb/s, Rack Mount (установка в стойку).
Если вы хотите углубить свои знания по работе с роутерами MikroTik, то наша команда рекомендует пройти курсы которые сделаны на основе MikroTik Certified Network Associate и расширены автором на основе опыта . Подробно читайте ниже.И вы можете задаться вопросом, а почему гвоздь именно он, ведь у него в названии есть CRS?
Дело в том, что у некоторых моделей есть возможность загрузки в DualBoot. Т.е. можете переключаться между операционными системами. Для настройки VLANов с Hardware Offload на данном аппарате, вы можете воспользоваться ранее написанной статьёй, но она будет актуальна только в RouterOS.
Схема сети
Состоит она из трех устройств:
- RB951G – выступает роутером;
- CRS326 – управляемый коммутатор, ядро сети;
- hAP AC2 – клиентская точка доступа, на ней будем проверять получение IP адресов;
- VLAN 10 – сеть управления 192.168.10.0/24;
- VLAN 20 – пользовательская сеть 192.168.20.0/24;
- VLAN 30 – вторая сеть для пользователей 192.168.30.0/24;
- RouterOS 6.48.3;
- SWOS 2.13.
Настройка RB951G
После сброса в ноль, подключаемся к нему через MAC-Telnet. Далее по порядку. Создаём bridge и все порты, кроме ether1 добавляем в него.
Далее создаём виртуальные интерфейсы с соответствующими VLAN ID, навешивая их на созданный мост.
Прописываем IP адреса для созданных интерфейсов.
Настроим выдачу DHCP для каждой подсети. Сделаем через DHCP-Setup.
Теперь следует описать наши виртуальные подсети на RB951G. Логика, следующая:
Т.е. на выходе мы будем иметь по порту каждой сети для пользователей. Но не забываем, что 10 подсеть – управление, ее только для сетевого оборудования.
Заходим в Bridge – VLAN, начинаем описывать.
Рассказываю: мы говорим, что нас интересует General-Bridge (на нем будут действия), сделай нам VLAN 10, транковый порт ether2 и этот же самый бридж (да прикол, ниже расскажу), а не тегированный (тот, что для пользователей) ether3.
Зачем во вланах мы сунули бридж в бридж? Да чтобы образовалась связка, между виртуальным интерфейсом и адресом, который мы на него повесили. Если этого не сделать, то DHCP работать не будет.
Двигаемся дальше, и по аналогии делаем остальное.
Нужно изменить PVID на портах доступа в соответствии с описанием.
Теперь осталось включить обработку заголовков и применить.
Если правильно все сделали, то увидим первую лизу (это мой ПК) и она в сети управления. Так сделано, чтобы было проще управлять устройствами в дальнейшем.
В чем минус, если посмотреть на состояние интерфейсов в бридже, то не видим значка H – который означает Hardware Offload, что интерпретируется как – весь трафик идет через процессор. В моем случае это ничего страшного, но на бою, лучше ставить устройства помощнее, например RB4011.
Настройка SWOS CRS326
По умолчанию, наш свич грузится в RouterOS. Для того чтобы заставить его работать на SWOS, ему нужно об этом сказать. Переключаем кабель в него и заходим по Winbox в System – SWOS. Вайпим конфиг и применяем.
Открываем System – RouterBOARD. Открываем Settings и в Boot OS выбираем SwOS. Сохраняем и перезагружаемся (System – Reboot).
После чего задаём статический адрес на ПК из сети 192.168.88.0/24, кроме первого и заходим на WEB-интерфейс по 192.168.88.1. По умолчанию логин пароль на SWOS такой же, как и всегда, admin без пароля. Доступ разрешён отовсюду, но на это можно повлиять.
Да, все управление осуществляется через WEB.
Здесь много интересных вкладок и фич (особенно ACL), но перейдём к описанию VLANов. Первый порт у нас транковый, поэтому ставим only tagged, Default VLAN ID нам нужен для Management VLAN. Порты 2-3 сделаем в 20 влане, порты 4-5 в 30-ом. Снизу справа есть волшебная кнопка Apply All – жмем.
Само по себе описание ничего не дает. Нужно теперь сказать, что мы хотим именно включить, на вкладке VLANs.
Append – и говорим кто где. Нам остается проставить галочки согласно описанию. Если навести мышкой на квадратик, то ОС нам подскажет какой это порт.
Применяем и переходим в System.
В Address Acquisition говорим, что мы хотим всегда получать по DHCP. Если этого не сделать, то всякий раз, когда транковый линк будет падать, ОС присвоит адрес заданный в Static IP Address. Мы разрешаем подключаться со всех портов, но только с VLAN 10 (Allow From VLAN).
Сохраняем все и подключаемся к RB951 в ether3 (не забываем отключить статический IP на интерфейсе ПК). Следом подключаем с ether2 RB951 в ether1 CRS326 шнурок.
Вуаля, теперь с ПК можем подключиться по данному адресу. Согласитесь, здесь немного проще это настраивается?)))
Вы всегда можете вернуться в ROS, нажав кнопку Boot RouterOS в меню System.
Проверка настройки SWOS
Теперь возьмём hAP AC2 на Default Config или с включённым DHCP клиентом и вставим для начала в ether2 (естественно, CRS326). И смотрим на активные лизы. Как вы видите, адрес получили не из Management VLAN. Если переставим в третий порт, то аренда всего лишь продлиться.
Теперь вставим в 4-ый порт. Perfect. Соответственно вставим в 5-ый, произойдёт то же самое что и в предыдущем примере.
В приведенной выше демонстрации мы настроили VLAN на двух разных устройствах в двух разных его проявлениях (да, микротик прям балует нас реализациями). И это четвертая на сегодняшний день, которую я знаю. Конечно, использоваться 326 свич для SwOS глупая затея, т.к. на нем все можно сделать через Bridge (начиная с версии ROS 6.41). Но это всего лишь в целях демонстрации. По-хорошему сеть управления огородить фаерволами и настроить выход в интернет, но об этом я писал в других статьях.
Надеюсь, вас стало немного понятнее как производится настройка VLAN на SWOS Mikrotik.
89 вопросов по настройке MikroTik
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в курсе «Настройка оборудования MikroTik». 162 видеоурока, большая лабораторная работа и 89 вопросов, на каждый из которых вы будете знать ответ. Подробности и доступ к началу курса бесплатно тут.
Научиться настройке MikroTik можно на онлайн курсе по оборудованию этого производителя. Автор курса является сертифицированным тренером MikroTik. Подробней Вы можете прочитать в конце статьи.
Любое устройство RouterOS с трафиком, проходящим через центральный процессор, работает как маршрутизатор 3 уровня и по умолчанию пересылает пакеты между всеми подключенными сетями. Чтобы внести изменения в процесс пересылки необходимо использовать ACL или брандмауэр.
VLAN (узнать, что такое виртуальная частная сеть, вы можете перейдя по ссылке) абстрагирует идею локальной сети (LAN), предоставляя возможность для подсетей подключения к данным организации. Сетевые коммутаторы могут поддерживать несколько независимых сегментов виртуальных сетей, создавая 2 уровня 2 (канала передачи данных). VLAN связана с широковещательным доменом. Обычно он состоит из одного или нескольких коммутаторов Ethernet.
Порт доступа (access port / untagged) предназначен для приема/передачи пакетов без маркировки. Обычно это порт, к которому вы подключаете такие устройства, как серверы, клиентские компьютеры, принтеры и телефоны.
Магистральный порт (trunk port / tagged) обычно используется для подключения к L2 коммутаторам. Маршрутизатор принимает и пересылает пакеты из разных VLAN. Маркированные кадры от нескольких абонентов приходят на один порт.
Гибридный порт (hybrid port) будет разрешать как нетегированные, так и маркированные пакеты на одном и том же порту. Это может быть использовано для клиента, которому нужны как обычные нетегированные интернет-данные, так и отдельная защищенная сеть VLAN. Например, настольный телефон с подключенным компьютером через встроенный switch.
Благодаря виланам можно контролировать и сегментировать широковещательные запросы в сети. Транкинг виртуальных частных сетей позволяет передавать маркированный трафик между разными сегментами сети, сконфигурированными с помощью VLAN.
Благодаря транкам обеспечивается связь точка-точка между двумя сетевыми устройствами, к которых подключены устройства из более, чем одного VLAN сегмента. С помощью trunk соединений VLAN вы можете распространить настройки сегментации по всей сети. Большинство коммутаторов поддерживают протокол IEEE 802.1Q.
Настраиваем VLAN – пример 1 – магистральные (trunk) порты и порты доступа (access)
Настраиваем VLAN – пример 2 – магистральные (trunk) порты и гибридные порты доступа (hybrid)
Гибридные порты VLAN, которые могут пересылать как маркированный, так и немаркированный трафик поддерживаются только некоторыми гигабитными чипами коммутации (QCA8337, AR8327)
Управление IP конфигурацией
В этом примере мы разберем одну из возможных конфигураций управляющего IP-адреса. Управляющий IP будет доступен только через магистральный порт, и он будет иметь отдельный VLAN с идентификатором 99.
Протокол Spanning Tree
Начиная с RouterOS v6.38 Роутерборды поддерживают протоколы Spanning Tree, на портах сконфигурированных для коммутации с помощью аппаратной коммутации. Чтобы включить эту функцию создайте интерфейс моста и добавьте мастер-порт к нему.
- Создать группу коммутируемых портов
- Создайте интерфейс моста и добавьте мастер-порт к нему
- Ведомые порты динамически добавляются к мосту только для отображения состояния STP. Пересылка через коммутируемые порты все еще обрабатывается с помощью аппаратного коммутатора.
Видеоинструкция
MikroTik: куда нажать, чтобы заработало?
При всех своих достоинствах, есть у продукции компании MikroTik один минус – много разобщенной и далеко не всегда достоверной информации о ее настройке. Рекомендуем проверенный источник на русском языке, где все собрано, логично и структурировано – видеокурс « Настройка оборудования MikroTik ». В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект. Все материалы остаются у вас бессрочно. Начало курса можно посмотреть бесплатно, оставив заявку на странице курса. Автор курса является сертифицированным тренером MikroTik.
Читайте также: