Как изолировать трафик коммутатора cisco от корневого маршрутизатора microtik?
Заранее прошу не критиковать сильно, так как новичок и прошу помощи.
Есть корневой маршрутизатор mikrotik. От него подключен коммутатор Cisco Catalyst 3750 к которому подключены компютеры.
Мои хотелки
1) настроить на cisco и микроте транк порт
2) Настроить DHCP сервер на Cisco в vlan 2, чтобы все устройства получали ip автоматически
3) Изолировать все устройства от корневого коммутатора (что б даже в логах микрота не было видно, что творится у них в сети)
4) На микроте поднят VPN с ipsec, хотелось бы иметь доступ к консоли cisco по удалённому доступу.
Что сделано.
1)Соответсвующий порт на микроте выведен с бриджа и к нему к графе интерфейсов добавлены VLAN 2 и VLAN 100
2) на cisco порт подключения к микроту переведён в режим "транк"
3) Все остальные порты в VLAN 2 и VLAN 100 переведены в режим access
4) На микроте создана подсеть и добавлена на интерфейс который подключается к cisco
Дополнительные вопроси
Нужно ли прописывать маршрутизацию между микротом и cisco (их подсетей) в графе IP-routing ?
Прошу помощи в данном вопросе, так как только начинаю познавать эти технологии.
Дополнительно:
Хотите совет? Если осваиваете - осваивайте правильно, с учетом уже набитых предыдущими поколениями шишек: делите задачу на части.
1. Освойте многоуровневую сетевую модель DoD (она же - модель TCP/IP) как наиболее близкую к практике и, дополнительно, модель OSI как более фундаментальную. Осваивать можно без фанатизма, главное - общее понимание, что на каком уровне делается.
2. Распишите все ваши требования в терминах каждого из уровней. Конкретно вам нужен уровень IP (он же сетевой в OSI) - это подсети и IP-адреса устройств - и уровень доступа к сети (в OSI - канальный (вам нужен) и физический уровень(вам для начала не нужен)) - сегменты: VLANы и VPN, конкретные порты и их настройка и соединения между ними. Для наглядности можете нарисовать отдельную диаграмму для каждого уровня: ваша диаграмма из вопроса отражает только физический уровень, а потому не наглядна (кстати, сети - подсети IP и сегменты уровня доступа - рисуются обычно овалами, безотносительно физических подключений). Разнесите устройства, которые не должны иметь доступ к трафику друг друга, в разные сегменты Сопоставьте эти уровни друг с другом: каждой подсети IP должен соответствовать ровно один сегмент уровня доступа (VLAN или VPN). Определите также, как устройства получают адреса уровня IP: где - статическая настройка, где - автоматическая, т.е. DHCP, и что в таком случае будет служить сервером DHCP. Определите, что будет работать маршрутизатором для каждой конкретной связи между подсетями и сделайте соответствующу настройку устройств.
Короче: расписываете или рисуете подсети, под них расписываете или рисуете конфигурацию сегментов (VLAN и VPN), а потом уже разбираетесь с настройкой микротика и 3750.
Так у вас появятся более конкретные вопросы по деталям настройки - и на большинство из них вы окажетесь способны ответить сами. А на оставшееся меньшинство вам будет проще получить ответ со стороны других - потому что вопросы будут конкретные. А сейчас - я, к примеру, плохо понимаю, с чего начать вам отвечать: всего много, всё в слаборазделимой куче, части информации не хватает...
PS И да, если вам понадобится ответы на вопросы, как сопоставить ваши требования с многоуровневой моделью сети, их вам тоже получить будет проще, потому что вопросы будут конкретными.
Ответы:
В чем смысл транка между микротиком и циской? Если циска будет дхцп-сервером, не обязательно отдавать эти сети на микрот, можно сделать циску шлюзом внутренеих сетей и дать ей гейтом адрес микрота для выхода в интернеты. Внутренний трафик на микроте не будет виден, т.к. все широковещательные пакеты не выйдут из-за циски.
- То есть шлюзом в DHCP сервере указать адрес микрота? Я правильно понял?
Транк хотелось бы, для того, что бы при подключении по vpn к микроту, можно было зайти по телнету или веб интерфейсу на циску.
По этому создал отдельный VLAN100 с одним портом и на этот порт назначил адрес.
На микроте открою только этот VLAN 100
- Андрей Констрюнк, влан для связи микрот-циска понятен, непонятно зачем еще и vlan2 туда совать. Маршрутизация решает этот вопрос.
Для клиентов за циской шлюзом должен быть адрес циски. Для самой циски шлюзом должен быть микрот. На микроте должен быть маршрут до внутренней сети через адрес циски на прямом линке.
Например, адрес микрота 10.20.30.1, адрес циски 10.20.30.2, внутренняя сеть за циской 10.20.40.0/24. На клиентах гейт 10.20.40.1(циска), на циске гейт 10.20.30.1, на микроте маршрут 10.20.40.0/24 через 10.20.30.2 - Дмитрий, Спасибо большое
согласен VLAN 2 там не к чемуЕщё вопрос, (скорей всего глупый=)
Порт подключения от циско к микроту должен быть в одном VLAN с сетью или не обязательно?
Я так понял все пакеты которые не нашли адреса в своём VLAN если нет маршрутизации, они уходят на TRUNK порт или в native VLAN и достаточно указать что через такой-то порт передавать такие то vlan (по умолчанию он вроде передает все) ?
- Андрей Констрюнк, trunk это когда в одном физическом проводе передаются пакеты разных вланов. Пакеты, адресаты которых не находятся в одной сети с отправителем (по ip и маске) отправляются на default gateway, если нет специфичесаого маршрута для сети назначения пакета. Если маршрута нет - пакет умрет.
Порт подключееия циски к микроту должен быть во влане, отличающемся от локальной сети, порт должен быть access mode. - Дмитрий, Всё в принципе более менее понятно. В моём случае проще решить маршрутизацией я так понял. Спасибо большое за помощь, завтра буду пробовать.
3750 коммутатор 3 го уровня
Делай на нем vlan 2 и 100.
Отстрой на vlan 2 DHCP.
На vlan 100 другую сеть.
Между Cisco и микротом сделай отдельную сеть по vlan 101.
Подними ospf и маршрутизация будет сама ходить или маршруты по умолчанию.
Для доступа разреши telnet или ssh на cisco и будешь заходить по ip который между ними.
Надо помощь пиши
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
Для изоляции трафика коммутатора Cisco от корневого маршрутизатора MikroTik можно использовать VLAN (Virtual Local Area Network). VLAN позволяет разделять сеть на логически отдельные сегменты, что позволяет изолировать трафик между ними.
Для начала необходимо настроить VLAN на коммутаторе Cisco. Для этого вам потребуется зайти в конфигурационный режим коммутатора и создать VLAN с помощью следующих команд:
enable configure terminal vlan 10 name isolated_network exit
Где "vlan 10" - это номер VLAN, который вы создаете, а "isolated_network" - это имя VLAN.
Далее необходимо настроить порты на коммутаторе, которые будут относиться к созданному VLAN. Для этого используйте следующую команду:
interface GigabitEthernet0/1 switchport mode access switchport access vlan 10
Где "GigabitEthernet0/1" - это номер порта на коммутаторе, который вы хотите настроить.
Теперь настроим маршрутизатор MikroTik. Настройте интерфейс маршрутизатора, который подключен к коммутатору Cisco, на работу с VLAN:
/interface vlan add interface=ether1 name=vlan10 vlan-id=10
Где "ether1" - это интерфейс маршрутизатора, подключенный к коммутатору Cisco, "vlan10" - это имя виртуального интерфейса VLAN, "vlan-id=10" - это идентификатор VLAN.
Теперь настроим маршрутизацию между VLAN на маршрутизаторе MikroTik:
/ip address add address=192.168.10.1/24 interface=vlan10 /ip firewall filter add action=accept chain=forward in-interface=vlan10 out-interface=vlan10
Где "192.168.10.1/24" - это IP адрес и маска подсети для VLAN, "vlan10" - это имя виртуального интерфейса VLAN.
После выполнения этих шагов трафик между коммутатором Cisco и корневым маршрутизатором MikroTik будет изолирован благодаря использованию VLAN.