[es] - Mikrotik + VLAN konfiguracija

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
*.as58.ob.bih.net.ba.

ICQ: 166070540

+8 Profil

Mikrotik + VLAN konfiguracija

^{06.08.2007. u 14:21 - pre 203 meseci}

Ovako, odrzavam mrezu u jednoj skoli, gdje sam instalirao Mikrotik. On mi vrsi funkciju DHCP-a, PPPOE servera, PPTP servera, ogranicavam saobracaj korisnicima... U njemu su dvije ethernet karte, jedna vezana za AP preko koje dobijam net od providera, a druga vezana za switch na kojem su korisnici dalje. Posto imam dva kaabineta informatike po nekih 15 compova, i administraciju sa nekih 10 compova + mrezni stampaci, htio sam to podijeliti u VLAN-ove, jer kad sam na pocetku konfigurisao mrezu, trazio sam pomoc na forumu, i tako su mi predlozili, ali to nisam znao realizovati, niti sam imao smart switcheve,pa sam instalirao Mikrotik. Da li mogu sa mikrotikom da to odradim, npr, da je VLAN1 grupa compova u kabinetu1, VLAN2 grupa compova u kabinetu2, i VLAN3 grupa compova iz administracije? Koliko sam skontao, takav tip konfiguracije je pouzdaniji, i manja je vjerovatnoca da ce ucenici nesto pobrkati na mrezi? Trenutno su mi svi compovi na istom subnetu 10.10.0.x/24,i to radi bez problema. Citao sam uputstvo, ali u njemu nema mnogo korisnog :( znam kreirati VLAN interface i to je to. Kako se compovi "pridruze" nekom VLAN-u?Na osnovu MAC adrese? IP adrese? hosta? Da li svi VLAN-ovi mogu biti na jednom interfejsu,ili moram ubaciti pored ove jedne ethernet karte, jos dvije?Da li compovi u razlicitim VLAN-ovima trebaju biti na istom opsegu,ili moze sve u jednom, ali podjeljenom na subnete?Molio bih nekoga da mi pomogne. HVALA unaprijed!

MyCoNfa:
CPU: AMD Phenom II X4 965 3,4GHz BOX
Maticna:Asus M4A89GTD PRO
RAM: Corsair 4x2GB 1600MHz, 9-9-9-24
Grafa: Diamond ATI 5870 1GB
HDD:3xWD 320GB AAKS, stripe raid
DVD/RW:LG,SATA
SilverStone SST-ST50F 500W
CoolerMaster CM690
LG 24" 2453TQ-PF
Tastatura A4Tech X7 G800
Stakor: A4Tech X7-755FS

Odgovor na temu

broker

Član broj: 2415
Poruke: 8514
91.150.127.*

+11 Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 15:53 - pre 203 meseci}

Bilo bi sjajno ako bi neko hteo da malo objasni celu tu stvar sa VLAN. Koliko sam ja uspeo da uklavirim, VLAN radi samo ako imas upravljivi switch u mrezi.

Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
*.as58.ob.bih.net.ba.

ICQ: 166070540

+8 Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 16:11 - pre 203 meseci}

ja se slomi trazeci po netu jucer i danas skoro citav dan, ali nista nisam uspio naci. koliko sam shvatio, moram imati 3 switcha koja podrzavaju VLAN, sa svakim od njih kreirati po jedan VLAN, i onda to sve vezati na mikrotik :( sad me zanima, da li jedna mikrotik masina moze glumiti BAR JEDAN takav switch? Za sto ustvari sluzi VLAN interface na Mikrotiku?

Odgovor na temu

AdiX
Bosnia

Član broj: 61909
Poruke: 219
217.199.130.*

Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 17:44 - pre 203 meseci}

VLAN se kreira na aktivnim layer 2 uredjajima, sto znaci aktivnim switchevima. U tom slucaju se odredjeni broj portova pridruzuje svakom VLAN-u cime se mogu kreirati grupe korisnika kao sto je to potrebno kolinsu. Na switch se kreira trunk port koji kompletan saobracaj vodi do routera, u ovom slucaju mikrotika. Na ethernet interfesu se kreiraju podinterfejsi koji su gateway zasebno za svaki VLAN. IP adresiranje u VLANu zavisi od zelje administratora i racunari u razlicitim vlanovima ne moraju biti u istom subnetu.

Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
*.as58.ob.bih.net.ba.

ICQ: 166070540

+8 Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 18:18 - pre 203 meseci}

malo mi je cudno, da mikrotik nema podrsku za tako nesto, jer koliko mi se cini, taj sav posao u tim switchevima odraduje SOWTRARE. Jedino je mozda problem, sto switch ima vise portova, za svaki comp.

Odgovor na temu

broker

Član broj: 2415
Poruke: 8514
91.150.127.*

+11 Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 19:52 - pre 203 meseci}

Adixe jden pitanejza tebe.

Kad ana MT ukljucim VLAn i na njega direktno ukrstenimkablom povezem neki obican racunar sa LAN karitcom (dakel bez ikakvog switcha izmedju) moze li to da radi?

Colinse, ako zelis daiams razlicite subnete za svaku ucionicu onda mozes prosto da LAN adapteru koji je u MT-u dodalis vise IP adresa iz razlicitih opsega. Na DHCP regulsies da racunari, dobijaju odgovarajuce IP adrese i tako ces, virtuelno, imati odvojene mreze, jer ce svaka ucionica biti na svom IP opsegu. Problem je da neko moze da racunaru dodeli staticnu adresu iz drugog opsega i videti rauner iz tog drugog opsega.

Ako ti nije problem kabliranje, to jest iz svake podmreze mozes da dovuces poseban UTP kabal do Mikrotika onda jednostavno u Mikrotik stavi vise LAN kartica, svakoj dodeli posebnu podmrezu i resio si problem, jer ce tada podmreze i fizicki biti odvojene.

Znaj samo da kada urais subnetting, bice ti komplikovanije da administriras windows merzu s ajednog mesta, jer ces racunarima morati da pristupas po ip adresi, Network Neighbourhood vise nece raditi (post sumnjam da imaju WINS server).

Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
*.as58.ob.bih.net.ba.

ICQ: 166070540

+8 Profil

Re: Mikrotik + VLAN konfiguracija

^{06.08.2007. u 20:05 - pre 203 meseci}

to znam brokeru, ali nije mi cilj da samo odvojim compove jedni od drugih, da se ne vide na mrezi, npr. compovi iz kabineta1, da ne vide compove iz kabineta 2 i obrnuto. htio sam samo da na naki nacin zastitim mrezu. znas kako je u skoli, uvijek ima nekih hackercica koji cackaju svasta, uvujek ce nesto pokvariti. mislio sam da, ako bi compovi bili u VLAN-ovima, da bi na neki nacin virtuelno svakom compu bili dodjeljeni parametri, neovisno sta ucenik upise za ip adresu, gateway i sl.npr. da se gleda mac adresa. znam da je i nju moguce promjeniti, ali racunam da ce im to malo kasnije pasti napamet. da li je moguce nekako sakriti mrezne parametre od klijenta? npr. da se onemoguci komanda /ipconfig ili tako nesto? na masinama mi je windowsxp, i ucenici ce pristupati sistemu preko limited accaunta, pa parametre nece moci previse dirati, ali uvijek postoji neki lijevi nacin.to sa subnettingom nisam htio raditi, bas iz razloga sto bih jos vise zakomplikovao situaciju, ali je skola i ogranicena sa budzetom,i nema bas previse para ni za kablove, ni za switchve :( a bojim se, da ce ucenici unistiti i ove kablove. vecina je u kanalicama, ali uvijek ima onih koji ne dodju da uce, nego da se igraju i gledaju sta ce pokvariti. ipak mi je lakse jedan kabal zamjeniti, nego tri.

Odgovor na temu

Sasha_bn
Aleksandar Kamenjasevic
Bijeljina

Član broj: 144252
Poruke: 224
*.telrad.net.

Sajt: www.scwlan.com

Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 02:32 - pre 203 meseci}

ako oces da disablujes odredjene komande windows-a pogledaj start>run>gpedit.msc.
A mozes posebno i svaki program tj komandu iz dosa da zabranis ex:
cacls c:\windows\system32\ipconfig.exe /p administrator:f

sto znaci da ce samo user administrator imati full privilegije nad tim programu (u nasem slucaju ipconfig) na tom racunaru.
Ako u pravilu navedes samo jednog usera automatski za sve ostale je deny

Procackaj malo videces

Jos nesto u gpeditu zabranjujes ctrl+alt+del ustwari svaki deo windows-a u najmanje detalje

btw meni nisu dali da udjem u kabinet racunarstwa

tako su se zastitili :P

_{[Ovu poruku je menjao Sasha_bn dana 07.08.2007. u 03:52 GMT+1]}

Odgovor na temu

AdiX
Bosnia

Član broj: 61909
Poruke: 219
217.199.130.*

Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 10:33 - pre 203 meseci}

Do sada nisam imao potrebe da gledam manual na mikrotikovoj stranici za VLAN. ALi ovo sto oni kazu ovdje

Citat:

VLAN is an implementation of the 802.1Q VLAN protocol for MikroTik RouterOS. It allows you to have multiple Virtual LANs on a single ethernet or wireless interface, giving the ability to segregate LANs efficiently. It supports up to 4095 vlan interfaces, each with a unique VLAN ID, per ethernet device. Many routers, including Cisco and Linux based, and many Layer 2 switches also support it.

VLAN port na ethernet interfejsu je ustvari TRUNK port koji omogucava da vise VLAN.ova komunicira medjusobno. Znaci kupite aktivni switch koji podrzava VLAN-ove odredite broj portova za svaki vlan, podesite trunk na switchu i taj trunk port switcha spojite na MT. To je svrha VLAN-a na MT-u.

_{[Ovu poruku je menjao AdiX dana 07.08.2007. u 11:48 GMT+1]}

Odgovor na temu

AdiX
Bosnia

Član broj: 61909
Poruke: 219
217.199.130.*

Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 10:52 - pre 203 meseci}

@Broker:
Spajanje PC-a crossover kablom sa Mt-om na LAN port nisam testirao, ali sigurno je da ta komunikacija ne bi radila ako bi se PC spajao sa Cisco routerom jer se adresa na routeru ne postavlja na fizicki nego na logicki interface koji je gateway za jedan od VLAN-ova a na kojem je konfigurisan Trunk protokol.

Odgovor na temu

broker

Član broj: 2415
Poruke: 8514
77.46.252.*

+11 Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 11:06 - pre 203 meseci}

Citat:

Kolins Balaban: to znam brokeru, ali nije mi cilj da samo odvojim compove jedni od drugih, da se ne vide na mrezi, npr. compovi iz kabineta1, da ne vide compove iz kabineta 2 i obrnuto. htio sam samo da na naki nacin zastitim mrezu. znas kako je u skoli, uvijek ima nekih hackercica koji cackaju svasta, uvujek ce nesto pokvariti. mislio sam da, ako bi compovi bili u VLAN-ovima, da bi na neki nacin virtuelno svakom compu bili dodjeljeni parametri, neovisno sta ucenik upise za ip adresu, gateway i sl.npr. da se gleda mac adresa.

Kada ukljucis VLAN dobijes slicna oganicenja kao i da si uradio subnetting, mozda cak i veca jer time ogranicavas mejusobnu komunikaciju racunara u LAN-u. Ako ti smeta subneting, smetace ti i VLAN.

Ako ti je samo cilj da onemogucis korisnke da menjaju parametre, onda to mora da radi sistem privilegija u lokalnoj mrezi.

Adix, hvala na pojasnjenju, to jest potvrdi.

Odgovor na temu

acatheking
Aleksandar Ristić
Beograd/Mirijevo

Član broj: 6769
Poruke: 1133
*.absolutok.com.

+28 Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 14:52 - pre 203 meseci}

Citat:

Kad ana MT ukljucim VLAn i na njega direktno ukrstenimkablom povezem neki obican racunar sa LAN karitcom (dakel bez ikakvog switcha izmedju) moze li to da radi?

Ovo nece raditi jer MT ocekuje tagovani paket koji nosi informaciju o broju vlan-a (vlan id)

@Kolins Balaban
Pominjao si tri vlana ili da ih nazovemo 3 mreze (kabinet1, kabinet2 i administracija). Odredis da ti je kabinet1 npr VLAN1, kabinet2 VLAN2 i administracija VLAN3. Ako trebas 3 switcha, medjusobno povezivanje moras odraditi preko TRUNK portova, tj, na svakom sw treba podesiti takav tip porta. Takodje, iz jednog sw treba povezati MT takodje preko trunk porta. Ostale portove na switchevima stavljas u odgovarajuci vlan (1,2 ili 3). Na MT kreiras 3 vlan interfejsa sa vlan id 1,2 i 3. Vlan interfejsima na MT dodelis adrese i dalje adresiras i racunare iz odgovarajucih opsega. Malo grubo objasnjeno ali nadam se da se razume :).

Volim da se vozim grackim autobusom.
Gracki autobus jede sitne pare,
gracki autobus zna kad treba stane.

Odgovor na temu

Kolins Balaban
Kolins Balaban
Srednja bosna

Član broj: 4847
Poruke: 1318
*.as58.ob.bih.net.ba.

ICQ: 166070540

+8 Profil

Re: Mikrotik + VLAN konfiguracija

^{07.08.2007. u 15:19 - pre 203 meseci}

razumio sam sve ;) ali sam mislio, da mi jedan mikrotik moze da "glumi" smart switch, jer je skola kupila odreden dio novijih, ali polovnih compova, i sad je ostalo dosta viska PI i PII koje mogu iskoristiti za kojekakve servere, pa sam mislio, da se od mikrotika moze "napraviti" smart switch (naravno, tu mislim na mikrotik kao softverski dio + obicni switch kao hardverski dio), jer skola nema love da kupi 3 takva switcha (a trebali bi da budu minimalno 16-portni). znam da se cesto od NICEG ne moze napraviti nesto, ali sam se htio uvjeriti da je to u ovom slucaju, sa ovom opremom kojom ja raspoazem, zaista nemoguce. zapeo sam jos na jednoj stvari, ali cu otvoriti novu temu, jer nije vezana za ovu. veliko hvala na svakoj pomoci.
PS:odlucio sam se za ovu varijantu koju mi je predlozio Sasa_bn. Kreirao sam jedan .bat fajl u koji sam upisao sljedece:

cacls c:/windows/system32/ipconfig.exe /p kabinet24:f
cacls c:/windows/system32/cmd.exe /p kabinet24:f
cacls c:/windows/system32/services.msc /p kabinet24:f
cacls c:/windows/system32/ping.exe /p kabinet24:f

pokrecem ga na svakom compu,i samo mijenjam naziv compa. u gpedit.msc sam zabranio pristup control panelu, Ctrl + Alt + Del, sakrio Display Properties.nadam se, da je to dovoljna zastita za sada.

_{[Ovu poruku je menjao Kolins Balaban dana 07.08.2007. u 16:53 GMT+1]}

Odgovor na temu

lena
Zivko Kosteski
servis za dreambox
Kicevo

Član broj: 8751
Poruke: 4
85.30.120.*

Profil

Re: Mikrotik + VLAN konfiguracija

^{31.08.2007. u 20:53 - pre 202 meseci}

8 PORT NWAY FAST ETHERNET SWITCH
with
ADVANCED CONFIGURATION FUNCTIONS
and
REMOTE MANAGEMENT ABILITY VIA TinyIP
MODULE
(RTL8309SB chipset based)
User’s Manual
rev. 1.20
www.neomontana-bg.com
D i g i t a l S o l u t i o n s
y o u r p o w e r t o g e t t h i n g s d o n e
http://www.digitalsol.net [email protected]
Advanced design features
The smallest power consumption per port from all the switch
devices; makes it best choice for PoE solutions
Integrated EEPROM memory for storing custom device
configuration;
Integrated connector for easy external reprogramming of
configuration without the need of re-soldering any
components;
Easy connection to external TinyIP module for remote control
of the switch via Ethernet link
Management ability (statically or dynamically) via
TinyIP module)
• Port-based VLAN Grouping of ports – 8 VLAN Groups
• QoS function:
• QoS based on: (1) Port-based priority (2) 802.1p VLAN
tag (3) DiffServ/TOS field in TCP/IP header (4) IP
address
• Supports two-level priority queues with various
weighting ratios
• Queue service rate based on weighted round robin
algorithm
• Optional auto turn off Flow Control for 1~2 sec to avoid
head-of-line blocking
• Flexible 802.1Q port/tag-based VLAN:
• Optional 802.1Q tag-VID aware function
• Optional VLAN Ingress Tag Admit
• Optional VLAN Ingress Member set
• Optional ARP VLAN for broadcast packet
• Optional Leaky VLAN for unicast packet
• IEEE 802.1P/Q tag insertion or removal on per-port basis
(egress):
• Do not change packets (Default)
• Insert input port’s PVID for non-tagged packets. Do not
change packets if they are already tagged
• Remove VLAN tags from tagged packets. Do not
change packets if they are not tagged
• Remove VLAN tags from tagged packets then insert
the input port’s PVID. For non-tagged packets, insert
the input port’s PVID
• Selectable “Fast aging” (800uS) or “Normal aging” (300s) of
MAC table entries
• Detailed UTP Port Status and Control (Link, Speed, Duplex,
Remote fault, Jabber, AutoNeg.On, AutoNeg. Complete,
TX/RX Enable/Disable, Link quality, Loop)
• Per port TX/RX Enable/Disable (the easiest way to
disconnect port from switching)
• … and all other functions embedded in RTL8309SB chipset
(see datasheet for more info)
Key features (standard):
• 8 Port 10/100Base T/TX Nway (Auto-negotiation) Switch
with shielded RJ-45 connectors.
• Very Low Power consumption
• Auto-learning of networking configurations
• Auto-detect of Full/Half-duplex modes in all ports
• Dedicated full-duplex 200Mbps bandwidth on each port
• Store & Forward switching methods
• IEEE 802.3x flow control for Full-duplex
• Zero-Packet Loss Back-pressure flow control for Halfduplex
• Non-blocking & Non-head-of-line blocking full wire speed
forwarding
• Status LEDs: Power, 10/100M, Link/Activity And Full/Halfduplex
• Supports Auto MDIX function on each port
• Smart plug & play
TECHNICAL SPECIFICATIONS
1. Standards Compliance
- IEEE 802.3 10BASE-T
- IEEE 802.3u 100BASE-TX
2. Number Of Ports
- 8 integrated ports (10/100Mbps Nway port)
3. Fully Flow Control Supported
- Half-duplex mode: Backpressure
- Full-duplex mode: IEEE 802.3x.
4. Network Transmission Media
- 10Base–T Cat. 3, 4, 5 UTP/STP
- 100Base–TX Cat. 5 UTP/STP
5. Network Status Monitoring LEDs
- Per port: LINK/ACT (low power SMD LED’s)
- System: POWER
6. Buffer Memory
- 80KByte per device
7. Filter/Forward Rate
- Packet Filtering/ Forwarding Rates
- 100Mbps port - 148,800pps
- 10Mbps port - 148,80pps
8. MAC Address
- Up to 2K per device
9. Power
- Absolute maximum power voltage value – 15VDC !!!
- External DC power requirements: 7.5VDC – 15VDC;
- Power connector: Power Jack (2.1mm)
10. Power Consumption (@12VDC)
- Standby (no UTP connected): 0.45W
- UTP connected: 0.25W / per 100Mbs port
- Total: 3W (max)
11. Operating Temperature
- 0°~ 55°
12. Store Temperature
- -20°~ 90°
13. Humidity
- 10% ~90% RH (Non-condensing)
14. Safety & EMI Certificates
- CE & FCC-B

lena

Odgovor na temu