Микротик CRS-125 выступает VPN-роутером для этих подсетей (IPSec) и должен связывать их с другой стороной, при этом сами подсети друг друга видеть не должны, а должны будут образовывать три разных VPN-тоннеля с аналогичными тремя подсетями на другой стороне. Не могу понять, как настраивать. Если бы приходило три разных кабеля - все предельно ясно и можно обойтись без VLAN на Микротике. На другой стороне "черный ящик" в виде свитча Brocade, то есть там ничего переконфигурить не получится пока что.
Это понятно. Я не понимаю, надо ли что-то еще делать - маркировать и размаркировать пакеты в этом случае или 3 VLAN включенных в 3 Bridge будет достаточно?
В итоге что-то сделал не так. Все должно приходить в один порт по одному кабелю. Настроил роутер, мастер-порт, к нему все остальные порты, мастер-порт в бридже (bridge-local), присвоил бриджу IP: 10.110.89.1 Создал на этом мастер-порту два VLAN, присвоил ID 2204 и 2209 Создал два бриджа (bridge2204 и bridge2209) и добавил в каждый по соответствующему VLAN Присвоил бриджам IP-адреса: 10.110.4.1 10.110.9.1 Теперь из основной подсети (89.0) пингуются IP-адреса, присвоенные бриджам, в которых VLAN, а вот если присвоить ноутбуку IP-адрес из подсети VLAN - он не видит даже сам роутер. Что я забыл? /interface ethernet set [ find default-name=ether3 ] name=ether3-MASTER set [ find default-name=ether4 ] master-port=ether3-MASTER name=ether4-slave /interface vlan add interface=ether3-MASTER name=vlan2204 vlan-id=2204 add interface=ether3-MASTER name=vlan2209 vlan-id=2209 add interface=ether3-MASTER name=vlan2289 vlan-id=2289 /interface bridge add name=bridge2204 add name=bridge2209 add name=bridge2289 add fast-forward=no name=bridge-local /interface bridge port add bridge=bridge2289 interface=ether3-MASTER add bridge=bridge2204 interface=vlan2204 add bridge=bridge2209 interface=vlan2209 /ip address add address=10.110.89.10/24 interface=bridge2289 network=10.110.89.0 add address=10.110.4.1/24 interface=bridge2204 network=10.110.4.0 add address=10.110.9.1/24 interface=bridge2209 network=10.110.9.0
зачем вы бриджам с планами адрес назначали ? Для каких целей ? виланы у вас какие приходят ? С маршрутизацией ? И зачем создавали мастер порт ?
Мастер-порт создал потому что остальные порты будут и для основной сети работать (10.110.89.0). Но при этом кусок этой же подсети будет приходить по тому же кабелю, откуда VLAN-ы придут (возможно, он тоже придёт VLAN-ом, тогда переконфигурирую третий VLAN, а роутеру дам еще один диапазон) Адрес бриджам с VLAN назначал, так как этот Микротик будет шлюзом для всего, что придет по VLAN и соответственно, там на девайсах в качестве шлюза по умолчанию прописаны эти 4.1 и 9.1. К сожалению, приходится изощряться, так как приедет уже настроенное оборудование (включая свитч, требующий тегированного трафика) , а специалиста, которые его настраивали, не пришлют. Поэтому только прислали описание, что по одному проводу со свитча придет 3 VLAN'а с указанными ID и адресацией
Вы сами не запутались ? ))) Прийдет три а разбираете только два ! Если вам приходят три не трегированных vlan-a то и разбирать надо три ! Проще всего нарисуйте схему что надо сделать ...
Да, извините, я сам уже запутался. Все, что в красном прямоугольнике - переконфигурированию не подлежит, приедет уже настроенное. Про два VLAN написал для примера, если заработают 2, то и третий заработает. Три разных подсети, каждая в отдельном тегированном VLAN придут оттуда по одному Ethernet-кабелю в Mikrotik CRS125... Далее Микротик соединит их тремя туннелями через IPSec с другой стороной через интернет. Сам Микротик должен иметь IP из той же подсети, что и свитч, с которого приходят VLANы. IPSec и пр. я настроил, а вот с VLAN запутался. С другой стороны, насколько я понимаю, ноутбук и не должен видеть сеть через VLAN, может быть когда с той стороны будет свитч с тегированными пакетами - все и взлетит?