Объединение нескольких офисов/кабинетов/интерфейсов(eoip, vlan, ether и т.д) в одну локальную сеть

Иногда так бывает, когда нам нужно объединить несколько офисов в одну локальную сеть.
Сделать это можно разными способами. Опишу несколько способов.
1. VALN
2. EOIP (поверх интернет канала или поверх VPN)

1. Рассмотрим вариант объединения сетей используя Vlan (802.1q)
Давайте рассмотрим ситуацию. ДАНО:
Локальная сеть (ether2 — master port ,ether4,5,6 — slave (номера портов)) ip — 192.168.10.0/24
VLAN — подаётся без тега, на отдельный порт (Ether3) — подсети ещё нет. Во влане находятся другие точки/кабинеты
Задача: Сделать одну подсеть.
Решение:
ВАРИАНТ VLAN 1:: Добавляем у порта ether3 мастер портом ether2

association_vlan

На удалённо точке может стоять даже обычный не управляемый свитч, или просто одиночный пк. Если конечно ваш оператор или вы подаёте влан без тега 🙂
После этого всё должно будет заработать.

ВАРИАНТ VLAN 2:
Локальная сеть (ether2 — master port ,ether4,5,6 — slave (номера портов)) ip — 192.168.10.0/24
Дано — несколько valn для каждого из кабинетов/офисов, вланы подаются в на один из портов в теге.
Решение: Создаём на основном интерфейсе valn интерфейсы с нужными id и добавляем их в bridge с портом ether2 -master. Для этого переходим на вкладку Bridge. создаём новый (если не создан), переходим на вкладку ports в разделе bridge, добавляем порты ether2 и vlan. Внимание, не добавляйте туда порт, с которого приходят влан интерфейсы, это может вызвать кольцо.
======================
Реальная ситуация.
Когда-то было подключение к оператору, который предоставлял услугу vlan (L2 сегмент по городу). На все точки приходил один и тот же vlan, от коммутатора оператора было подключение к микротик порт ether3. У ether3 был master-port — ether2, который входил в бридж. Таким образом все офисы были в одной локальной сети.
Далее потребовалось сделать на каждую точку свой vlan.
Новые вланы подавались в теге, на тот же порт, что и старый влан без тега.
Новые вланы (vlan1,vlan2) были добавлены в бридж и связь со стороны оператора пропала 🙂 т.к коммутатор посчитал, что со стороны клиента пришло кольцо. Решилось это исключением порта ether3 из бриджа, путём удаления мастер-порта. Первый влан, который изначально был без тега — так же надо подать в теге и в бридж добавлять ТОЛЬКО vlan интерфейсы
———————-

2. Объединение офисов поверх EOIP
По сути, EoIP является L2-каналом, который строится поверх L3-среды. Главное условие — адреса обеих сторон должны быть известны. Подробнее, что это и как настроить можно прочитать тут
Главное, что нужно помнить:
1. EoIP не работает через NAT. IP обеих сторон должны быть маршрутизируемы (т.е реальники или фейки, но в рамках одной сети). Иначе смотри пункт 2.
2. Если у вас есть реальный или маршрутизируемый серый (фейковый) IP только на одной точке, придётся сначала создать VPN тунель, а внутри тунеля создавать EoIP
2. EoIP использует GRE в качестве транспорта, так что нужно следить за MTU. (в моей сети это 1468)
3. Каждому l2-каналу, который вы хотите пробросить с помощью eoip, должен соответствовать свой тоннель. Один влан — один eoip-интерфейс, иначе делайте маршрутизацию через EoIP
4. Tunnel-id должен совпадать на обоих концах тоннеля и быть уникальным в рамках одного устройства (использование двух eoip-тоннелей с один tunnel—id, но разными соседними точками недопустимо).

Рассмотрим ситуацию, когда нам надо создать EoIp имея только один IP, который находится не за NAT (реальный или фейк).

1. Создаём VPN подключения между точками, например как тут. Сервером выступает точка с реальным IP, клиентом — точка с Ip за NAT.
1.1 Точка «сервер» будет иметь IP 172.16.3.1 Если у вас прямое соединение, т.е у обоих микротиков реальные IP, заменить данный адрес на реальник.
1.2 Точка «клиент» будет иметь IP 172.16.3.2. Если у вас прямое соединение, т.е у обоих микротиков реальные IP, заменить данный адрес на реальник.
2. Создаём сам EoIP тунель
2.1 На точке «клиент»

interface eoip add name="eoip100" tunnel-id=100 remote-address=172.16.3.1 disable=no

2.2 На точке «сервер»

interface eoip add name="eoip100" tunnel-id=100 remote-address=172.16.3.1 disable=no

2.3 Так же при создании в RouterOS  в версиях 6.х можно добавить необязательный параметр Ipsec Key.

Создаём бридж на первой и на второй точке. Если он уже создан и на первой и на второй точке — то просто пропускаем.

interface bridge add name="bridge100"

Добавляем на каждой точке EoIp интерфейс в бридж.

interface bridge port add interface="eoip100" bridge="bridge100"

После выполнения команды у вас будет L2 сегмент поверх L3.
Есди вы хотите сделать одну подсеть, например, то можно на роутере 2 или 1 удалить настройки IP для BRIDGE, а так же отключить DHCP сервер.
Конечно делать так не стоит 🙂 Иначе весь трафик с одной точки будет идти через лругую, даже выход пользователей в интернет.
Но мало ли какие преследуются цели.

Проверенно в целях эксперимента. Я бы не рекомендовал использовать такую конструкцию. Лучше всего разделить всё на разные сегменты, а связность сделать при помощи маршрутизации. И тут есть как минимум несколько ЗА:
1. Ограничение широковещательного домена
2. Возможность простого и понятного контроля над полосой, которую может занимать конкретный хост
3. Возможность фильтрации трафика между сетями (например запрет на доступ каких то IP к другим хостам в сети)

Запись опубликована в рубрике Mikrotik с метками , , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *