[Damon_Nebylitsa]

Уважаемые форумчане, подскажите пожалуйста, грубо говоря, совсем новичку. 

Имеется микротик с выходом в интернет посредством PPPoE, имеются свитчи подключенные к нему. От свитчей к компьютерам. Все устройства находятся дружно в одной подсети и получают адреса по dhcp, между ними имеется шара также на камеры видеонаблюдения и другие устройства.

Вопрос в следующем: как правильно создать вторую (и в последующем 3...4...и т.д.) подсети, чтобы они имели ограниченный доступ в интернет (скорость) и были отрезаны от остальной сети, как необитаемый остров. Подсети нужны для арендаторов офисных помещений. Заранее спасибо.

[.None]

Все верно, использовать vlan если коммутаторы после микротика их умеют

 

напишите производителя/модель коммутаторов

[Damon_Nebylitsa]

5 минут назад, .None сказал:

Все верно, использовать vlan если коммутаторы после микротика их умеют

 

напишите производителя/модель коммутаторов

RouterBOARD 750G r3 - это собственно микротик. 

D-Link DES-1026G (2шт.) и HPE 1920-48g jg927a (на него подключены только видеонаблюдение и тарелки WiFi). Насколько мне известно, управляемым тут является только HPE, как поступить с длинками?

[.None]

заменить на управляемые

[maxkst]

Если трафик на стороне арендатора будет приниматься на железку, которая умеет вланы принимать, то не особо важно, что он будет идти сквозь неуправляемый свитч. 

[DRiVen]

Совсем не факт, что неуправляемый свитч прорустит фрэйм 1522 байт (хотя на DES-1026G вроде RTL8326, который VLAN таки умеет, но функционал не задействован). И даже если не будет дропать кадры выше 1518 байт - разделение будет весьма условное, да и такой финт ушами с тегированным трафиком клиенту ну совсем не нужен.

[Damon_Nebylitsa]

17 часов назад, .None сказал:

заменить на управляемые

Есть возможность на HPE поставить эти несколько подсетей. Подскажите пожалуйста, как мне действовать дальше? Создать vlan со своей подсетью (например, главная у меня 192.168.3.0/24, я хочу делать 192.168.4.0/24 и т.д.) на уровне коммутатора, а на роутере совершенно ничего не прописывать, кроме правил NAT? Я просто немного не понимаю пока всю эту штуку с vlana'ми

Изменено 8 февраля, 2018 пользователем Damon_Nebylitsa

[.None]

да, возможность есть.

 

нужно настраивать и коммутатор и микротик

в 2-х словах

под каждую сеть (которую необходимо изолировать), а так же для каждого арендатора на микротике создаете отдельный vlan, на каждом vlan настраиваете адресацию, создаете dhcp сервер, настраиваете NAT, фаервол, шейпер (если необходимо) и т.д.

дальше все vlan тегом гоните на коммутатор

 

в коммутаторе тоже необходимо настроить транковый порт, и access порты

каждый access порт или группу портов привязать к нужному vlan

[Damon_Nebylitsa]

2 часа назад, .None сказал:

нужно настраивать и коммутатор и микротик

В этом собственно и проблема. Это звучит то может и нетрудно для вас, но у меня совершенно нет опыта. Я создал для теста один влан на микротике и посадил его на интерфейс бриджа (между всеми портами кроме wan). И вроде даже сделал адресацию и dhcp, но не понимаю что за теги и как их гнать в коммутатор)) на коммутаторе тоже объединил 6 портов в влан100 (для теста) добавил седьмым портом - порт который уходит на микротик и сделал этот порт транковым. Подскажите пожалуйста, что мне исправить и как дополнить настройками микротик и hpe1920, с подробностями, очень прошу. Дополню: Под "все влан тегом на коммутатор" вы подразумевали эти самые теги?

Изменено 8 февраля, 2018 пользователем Damon_Nebylitsa
Дополнить текст рисунками

[Damon_Nebylitsa]

Разобрался, интернет на моём драгоценном Влане наконец заработал и я наплодил ещё пару штук, и, в принципе всё отлично. Больше спасибо None. Немного почитав гугл, и поэкспереминтовав - я всё-таки смог понять твою инструкцию и воспользоваться ей