Перейти до

Налаштування доступу між vlan на MT


Рекомендованные сообщения

Всім доброго дня. Після кількох років, як продав мережу, по трохи повертаюсь до справи, але вже не як провайдер.

Є наступне завдання. Офісна мережа керується РБ1100, отримуємо інтернет від провайдера Х1. В локалці кілька підмереж(дирекція, бухгалетрія, віфі, і т.п.)

Затягнули нам оптику ще один провайдер, бо нам потрібно дивитись відео з камер, які підключені до цього провайдера Х2

Потрібно налаштувати рб1100 так, щоб певний комп, з ІР 192.168.88.30 мав доступ до підмережі провайдера Х2 з адерсами 10.255.200.0/24, який також включений в рб1100. 

Оскільки давно не працював з МТ, то прошу поради\підказки. Як це налаштувати? Буду вдячний за поради і підказки

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Поки нічого не створював, єдине, що прописав ІР на порті, до якого підключений Х2 : 10.255.200.254

Відредаговано nevidomuj
Ссылка на сообщение
Поделиться на других сайтах

1. Какой ип пробит у Вас на х2?

2. Какие правила у Вас в фаерволе?

Під катом все, що є. Налаштовувалось не мною.
 
 
/ip firewall> filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward 


 1    chain=input action=accept src-address=62.x.x.z log=no log-prefix="" 


 2    chain=input action=accept src-address=62.x.x.16/28 log=no log-prefix="" 


 3    chain=input action=accept src-address=62.x.x.48/28 log=no log-prefix="" 


 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 


 5    ;;; defconf: accept established,related
      chain=input action=accept connection-state=established,related log=no 
      log-prefix="" 


 6    ;;; defconf: drop all from WAN
      chain=input action=drop in-interface=PPPOE log=no 
      log-prefix="" 


 7    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection 
      connection-state=established,related log=no log-prefix="" 


 8    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related log=no 
      log-prefix="" 


 9    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 


10    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new 
      connection-nat-state=!dstnat in-interface=PPPOE log=no 
      log-prefix="" 








 /ip firewall> nat print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface=PPPOE log=no 
      log-prefix="" 


 1    chain=dstnat action=netmap to-addresses=192.168.88.10 to-ports=34567 
      protocol=tcp dst-address=62.x.x.x in-interface=PPPOE
      dst-port=34567 log=no log-prefix="" 


 2    chain=dstnat action=netmap to-addresses=192.168.88.10 to-ports=34567 
      protocol=udp dst-address=62.x.x.x in-interface=PPPOE 
      dst-port=34567 log=no log-prefix="" 


 3    chain=dstnat action=netmap to-addresses=192.168.88.247 to-ports=5060 
      protocol=udp src-address=62.x.x.y dst-address=62.x.x.x 
      in-interface=PPPOE dst-port=5060 log=no log-prefix="" 


 4    chain=dstnat action=netmap to-addresses=192.168.88.247 to-ports=10000-2000>
      protocol=udp src-address=62.x.x.y dst-address=62.x.x.x 
      in-interface=PPPOE dst-port=10000-20000 log=no 
      log-prefix="" 


 5    chain=dstnat action=dst-nat to-addresses=192.168.88.10 to-ports=34567 
      protocol=tcp src-address=192.168.88.0/24 dst-address=62.x.x.x 
      dst-port=34567 log=no log-prefix="" 


 6    chain=dstnat action=dst-nat to-addresses=192.168.88.10 to-ports=34567 
      protocol=tcp src-address=192.168.2.0/24 dst-address=62.x.x.x 
      dst-port=34567 log=no log-prefix="" 


 7    chain=dstnat action=dst-nat to-addresses=192.168.88.10 to-ports=34567 
      protocol=udp src-address=192.168.88.0/24 dst-address=62.x.x.x 
      dst-port=34567 log=no log-prefix="" 


 8    chain=srcnat action=src-nat to-addresses=192.168.88.1 protocol=tcp 
      src-address=192.168.88.0/24 dst-address=192.168.88.1 dst-port=34567 
      log=no log-prefix="" 


 9    chain=dstnat action=dst-nat to-addresses=192.168.88.10 to-ports=34567 
      protocol=udp src-address=192.168.2.0/24 dst-address=62.x.x.x 
      dst-port=34567 log=no log-prefix="" 


10    chain=srcnat action=src-nat to-addresses=192.168.88.1 protocol=tcp 
      src-address=192.168.2.0/24 dst-address=192.168.88.1 dst-port=34567 log=no 
      log-prefix="" 


11    chain=srcnat action=src-nat to-addresses=192.168.88.1 protocol=udp 
      src-address=192.168.88.0/24 dst-address=192.168.88.1 dst-port=34567 
      log=no log-prefix="" 


12    chain=srcnat action=src-nat to-addresses=192.168.88.1 protocol=udp 
      src-address=192.168.2.0/24 dst-address=192.168.88.1 dst-port=34567 log=no 
      log-prefix="" 


Ссылка на сообщение
Поделиться на других сайтах

Поки нічого не створював, єдине, що прописав ІР на порті, до якого підключений Х2 : 10.255.200.254

Значит есть маршрут. занатьте трафик с 192.168.88.30 на 10.255.200.0/24 и будет вам счастье.

Ссылка на сообщение
Поделиться на других сайтах

 

Поки нічого не створював, єдине, що прописав ІР на порті, до якого підключений Х2 : 10.255.200.254

Значит есть маршрут. занатьте трафик с 192.168.88.30 на 10.255.200.0/24 и будет вам счастье.

 

не правильно щось зробив, бо не працює

 

chain=dstnat action=dst-nat to-addresses=10.255.200.108 to-ports=80 
      protocol=tcp src-address=192.168.88.0/24 dst-address=10.255.200.254 
      dst-port=10880 log=no log-prefix="

10.255.200.254  - ІР, яке повішав на інтерфейс МТ, до якого підключений пров Х2

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Попереднє питання вирішив. тепер появилось наступне.

З віланами дружу, налаштовував, але зараз зтикнувся з проблемою.

Підключено до МТ DGS 1100-24/ME

Через нього мало бігати кілька віланів. Все б добре, але чомусь теговані вілани не проходять. Нетегований - все ок, літає. А от теговані не працюють. Кабель міняв, справа не в ньому. Сам світч з нетегованими віланами добре працює, але там де їх треба перекинути тегом на МТ - затик. Порадьте, куда копати?

Ссылка на сообщение
Поделиться на других сайтах

Кабель к тегам не имеет отношения.

Смотри порт свича в который включен, какой у него мод и какие вланы прописаны. И созданы ли вообще эти вланы на свитче.

Відредаговано fet4
Ссылка на сообщение
Поделиться на других сайтах

Скоре проблема в вланах на микротике. Они в асцесе на портах. Конфиг микрота давайте и конфиг свича. Ванг нет.

Ссылка на сообщение
Поделиться на других сайтах

Конфіг віланів на порту MT:

name="vid_NG" mtu=1500 l2mtu=1594 mac-address=XXX arp=enabled vlan-id=3080 interface=ether3 use-service-tag=no

name="vid_UT" mtu=1500 l2mtu=1594 mac-address=XXX arp=enabled vlan-id=3090 interface=ether3 use-service-tag=no

name="vlan-manag" mtu=1500 l2mtu=1594 mac-address=XXX arp=enabled vlan-id=8 interface=ether3 use-service-tag=no

Конфіг порта MT:

name="ether3" default-name="ether3" mtu=1500 l2mtu=1598 mac-address=6C:3B:6B:A5:7F:5C orig-mac-address=6C:3B:6B:A5:7F:5C arp=enabled auto-negotiation=yes 
      advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full full-duplex=yes tx-flow-control=off rx-flow-control=off speed=100Mbps 
      master-port=ether2-master bandwidth=unlimited/unlimited switch=switch1 poe-out=auto-on poe-priority=10
 
DGS 1100-24/ME
show switch
 
 Device Type           : DGS-1100-24/ME Gigabit Metro Access Switch
 MAC Address           : 10-be-f5-85-23-XX
 IP Address            : 192.168.8.2 (Manual)
 VLAN Name             : manag
 Subnet Mask           : 255.255.255.0
 Default Gateway       : 0.0.0.0
 Boot PROM Version     : Build 1.00.003
 Firmware Version      : Build 1.00.B025
 Hardware Version      : B2
 System Serial Number  : SG0M2GB000383
 System Name           : SWITCH
 System Location       :
 System Contact        :
 Spanning Tree         : Disabled
 IGMP Snooping         : Disabled
 MLD Snooping          : Disabled
 TELNET                : Enabled (TCP 23)
 SNMP                  : Disabled
 SNTP                  : Disabled
 
 
 
 show port_vlan
 
 Port     PVID
 ------   ----
 1        3090
 2        3080
 3        3090
 4        3080
 5        3090
 6        3080
 7        3090
 8        3080
 9        2
 10       2
 11       2
 12       2
 13       2
 14       2
 15       2
 16       2
 17       2
 18       2
 19       2
 20       2
 21       2
 22       2
 23       2
 24       8
 
 
 show vlan
 
 VID             : 1
 VLAN Name       : default
 member Ports    :
 Current Tagged Ports  :
 Current Untagged Ports:
 Static Tagged Ports   :
 Static Untagged Ports :
 
 VID             : 2
 VLAN Name       : inet
 member Ports    : 9-23
 Current Tagged Ports  :
 Current Untagged Ports: 9-23
 Static Tagged Ports   :
 Static Untagged Ports : 9-23
 
 VID             : 8
 VLAN Name       : manag
 member Ports    : 23-24
 Current Tagged Ports  : 23
 Current Untagged Ports: 24
 Static Tagged Ports   : 23
 Static Untagged Ports : 24
 
 VID             : 3080
 VLAN Name       : vid_NG
 member Ports    : 2,4,6,8,23
 Current Tagged Ports  : 23
 Current Untagged Ports: 2,4,6,8
 Static Tagged Ports   : 23
 Static Untagged Ports : 2,4,6,8
 
 VID             : 3090
 VLAN Name       : vid_UT
 member Ports    : 1,3,5,7,23
 Current Tagged Ports  : 23
 Current Untagged Ports: 1,3,5,7
 Static Tagged Ports   : 23
 Static Untagged Ports : 1,3,5,7
 
 Total Static VLAN Entries: 5
Ссылка на сообщение
Поделиться на других сайтах

Тик включен в свич через 23-й порт?

 

Теперь на тике поднимаешь на влане IP

На том же влане подымаешь IP из той же подсети на Длинке и пингуешь.

Если пинг есть, то подымаешь на ПК IP с той же подсети, втыкаешь в антег порт нужного влана и пингуешь свич и тик.

Ссылка на сообщение
Поделиться на других сайтах

так і роблю. повішав на світч 192.168.8.2\24 , а на тіку 192.168.8.1

Пінгу нема... вже починаю думати, що світч глючний

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Чучундра
      Добрий день.
       
      Буду вдячний якщо хтось поділиться робочим конфігом щоб прокинути на ЛАН порт ОНУ декілька VLAN-ів з тегами.
    • Від olapchuk
      Вечір добрий 
      потрібно підсказка чи це взагалі можливо зробити через snmp в ціско
      як влан створити, видалити і переімінувати розібрався через snmp, якщо комусь цікаво тут написано https://www.cisco.com/c/en/us/support/docs/ip/simple-network-management-protocol-snmp/45080-vlans.html, якщо треба приклади скину 
      але проблема в наступному, в ціско всі знають є таке штука яка interface vlan **id**
      тут потрібно саме це створити через snmp і задати пару параментрів, його взагалі можна створити через snmp!?
      interface Vlan3**
        no shutdown
        ip address 192.168.***.***/27
      подякував якщо хто тикне куди дивитись
    • Від Inna13
      Наша компанія має стаж роботи понад 15 років. У нас є дві форми оплати з ПДВ та ФОП, гарантія на товар. Займаємось продажем різного Wi-Fi обладнання: роутери, точки доступу, WI-FI антени. 
    • Від ibrokeit
      Вітаю!
      Зіштовхнулися з проблемою із вланами на ZTE C300 (2.1.0) GTGHK.
      Загалом все працює нормально, але в окремих вланах просто перестає бігати трафіг, на ону відстутні мак-адреси, хоча статус порта full-1000.
      Якщо із таким же конфігом перевести ону в інший влан — все починає працювати (до певного часу). Виглядає так, що спрацьовує якесь блокування по номеру влану на рівні spanning-tree або детектора кілець (перше відключено, інше, якщо відключати — ситуацію не міняє).
      Чи може хтось підказати в якому напрямі копати рішення проблеми?
      Дякую
    • Від Georgianairlink
      нужен OID, чтобы увидеть это с помощью snmp
      interface TGigaEthernet0/1 description test switchport trunk vlan-allowed 352,362,365,509,514-515,518,528,565-566,590 switchport trunk vlan-allowed add 720-723,1543-1546,2021,2201,2208,2378,2441 switchport trunk vlan-untagged 1 switchport mode trunk  
×
×
  • Створити нове...