Сеть между офисами с VLAN'ами на базе оборудования Mikrotik

Присказка


Было счастье, производство и офис находились на одной территории (за городом). Но фирма росла и стало тесно. Решили открыть офис в городе. Так как на предприятие уже имелось большое кол-во телефонных линий и стояла мини-АТС Panasonic TDA-600 ставить новую АТС в офис не хотелось. Выбрали вариант модернизации TDA 600 до TDE 600, любит начальство железные решения. Так как я уже давно раскидываю отдельные системы (видеонаблюдение, wifi, АСУТП) по VLAN'ам, то и телефонию вынес в отдельный VLAN. Для маршрутизатора был приобретён очередной Mikrotik.

Сказка


Так как надо было прокинуть VLAN, то обычной маршрутизации мало. Выбор пал на EOIP (ethernet over IP).
Поднимаем мост между офисом и заводом (IP статичны). Пишу командами для консоли, если будут желающие выложу решение в картинках.

R1 ( Роутер на производстве). IP несколько, для моста отдельный IP, для примера пусть будет 100.100.100.1.

interface eoip add tunnel-id=0 local-address=100.100.100.1 remote-address=200.200.200.2


R2 (Роутер в офисе). IP единственный, для примера пусть будет 200.200.200.2

interface eoip add tunnel-id=0 remote-address=100.100.100.1


Так как IP единственный, то локальный IP указывать не обязательно.

Теперь создаём два VLAN'на на входном интерфейсе (EOIP) и выходном (куда вам надо этот VLAN пристроить, для примера ether2). У VLAN'ов, будут одинаковый ID (пусть будет для примера равен 100), будут отличаться только именами (name). Соединяем эти два интерфейса в мост.

R1.

interface vlan add name=vlan_out interface=eoip vlan-id=100
interface vlan add name=vlan_in interface=ether2 vlan-id=100
interface bridge add name=vlan100
interface bridge port add bridge=vlan100  interface=vlan_in
interface bridge port add bridge=vlan100  interface=vlan_out


R2.

interface vlan add name=vlan_in interface=eoip vlan-id=100
interface vlan add name=vlan_out interface=ether2 vlan-id=100
interface bridge add name=vlan100
interface bridge port add bridge=vlan100  interface=vlan_in
interface bridge port add bridge=vlan100  interface=vlan_out


Поднимаем на интерфейсах EOIP сеть (присваиваем адреса) и настраиваем маршрутизацию.

R1.

ip address add interface=eoip address=10.0.0.1/30
ip route add dst-address=192.168.10.0/24 gateway=10.0.0.2 (где 192.168.10.0/24 внутренняя сеть центрального офиса)


R2.

ip address add interface=eoip address=10.0.0.2/30
ip route add dst-address=192.168.20.0/24 gateway=10.0.0.1 (где 192.168.20.0/24 внутренняя сеть удалённого офиса)


В принципе всё. Трафик между сетями бегает, VLAN работает прозрачно поверх EOIP.

Для подключения следующего офиса придётся немного подправить конфигурацию. Пусть внешним IP будет 200.200.100.2. На R1 адрес 10.0.0.1/30 имеет 10 номер и R2 адрес 10.0.0.2/30 имеет 10 номер (можно узнать введя ip address print)
R1.

interface eoip set eoip name=eoip-office1
//Меняем имя, чтобы не путаться
interface eoip add tunnel-id=1 name=eoip-office2 local-address=100.100.100.1 remote-address=200.200.100.2
//И в том же духе, в зависимости от потребностей
interface bridge add name=bridge-office
interface bridge port add interface=eoip-office1 bridge=bridge-office
interface bridge port add interface=eoip-office2 bridge=bridge-office
//И в том же духе, в зависимости от потребностей
interface vlan set vlan100 interface=bridge-office
//Меняем интерфейс
ip adress print
ip address set number=10 interface=bridge-office address=10.0.0.1/24
//Меняем интерфейс и расширяем сеть


R2.

ip address set number=10 address=10.0.0.1/24


R3-R… Настраиваем аналогично R2
При желании, на основе этого метода можно настроить и прямую связь между удалёнными офисами (но правильнее, мне кажется, будет использовать MPLS).
Share post

Comments 23

    0
    А какие варианты есть в случае отсутствия статики на одном из узлов? PPTP?
      0
      PPTP не предоставляет транспорт для L2. В случае «клиент-сервер» подойдут L2TP, либо OVPN в режиме L2.
      0
      L2VPN должен в принципе помочь, но с ним я не разбирался

      Ну и могут помочь скрипты, на базе port knoking думаю вполне можно создавать автоматические соединения от головного офиса в сторону удалённых.
      К сожаление я ими не пользуюсь, хватает коробочного функционала
        0
        L2VPN это услуга оператора связи основанная на MPLS/VPLS. Если у вас нет «темного волокна» или уже готового l2vpn от оператора между офисами, то можете забыть. Сами не сделаете.
        Из опыта, если встает необходимость пробросить VLAN между офисами, в большинстве случаев значит что, что-то делается не так. Я бы на вашем месте пересмотрел дизайн сети.
        Опять же при увеличении количества филиалов и необходимости иметь full mesh, лучше использовать DMVPN. В противном случае погрязнете в менеджменте соединений. Три офиса это еще ни чего 3(3-1)/2 всего 3 линка. 6(6-1)/2 уже 15, 10(10-1)/2=45…
          0
          Извините не правильно написал название технологии, имел ввиду L2TP
            0
            Про необходимость VLAN ответил ниже
            Полная связность пока не требуется и есть время что бы придумать как это лучше реализовать
              0
              Была похожая ситуация. Оказалось проще поставить рядом asterisk. Заодно функционала добавилось.
                0
                Я уже давно на него кошусь, есть тестовый сервер.
                Sip от прова завёл, на софтофонах погонял, а спроса нету((
                Начальник требует железного решения
          +1
          С какой целью растягивается L2 между офисами вместо кошерного роутинга?
            +1
            А это спасибо Panasonic'у. А вернее их политики лицензирования. Они ограничили раздел настройки sip линий только для своих технарей.
              0
              Я так и не понял, зачем единый VLAN на все площадки.
                0
                Настройки на sip линии делают технари Panasonic. В частности пароль для sip подключения ставят они, если надо поменять необходимо ждать пока это чудо произойдёт. То есть доступ к АТС получить довольно не проблематично.
                Если вы про в VLAN в частности, то:
                Полная изоляция трафика
                Проще управление (единый пул адресов, нет необходимости маршрутизировать и писать правила для трафика)
                Проще диагностика и отладка
                  0
                  Если вы про в VLAN в частности, то:

                  Может, я чего не понимаю, но по-моему растянутый VLAN как раз намного сложнее роутинга с точек зрения изоляции трафика, управления и диагностики, плюс серьезный риск одной проблемой положить сразу всё. От подобных дизайнов все бегут как от огня.

                  Ну как хотите.
                    +2
                    Я не сетевой дизайнер (архитектор), так бы использовал другой подход, оборудование, бюджет и вообще не использовал такие решения))
                    Делал для себя, то что позволили мои знания и навыки. Конечно сейчас всё выглядит таким простым (глупым), но пришлось собрать несколько решений которые довольно долго искал, переваривал, додумывал. Пусть и не в таком виде, но может они кому и пригодятся.

                    PS Спасибо JDima
                    Я очень признателен за ваши комментарии. Вообще считаю диалог и обсуждение неким двигателем (особенно когда они подкреплены аргументами). Именно это позволяет развиваться. А процесс развития не когда не должен останавливаться
                      0
                      очень интересную тему Вы затронули. А скажите, как более оптимально продумать архитектуру, что, с Вашей точки зрения более отказоустойчиво и проще в маршрутизации?
                        0
                        Зависит от топологии. Если две площадки как у автора, то просто GRE туннель, а направлять трафик статикой или любым нормальным IGP. Захочется резервирования, т.е. по два провайдера на площадку — не проблема, поднимается два туннеля, трафик балансируется по ним, в случае отказа он быстро сфейловерится. С L2 инкапсуляциями проблемы возникнут уже на этапе балансировки трафика, что никогда не помешает.
                          0
                          Хороша я тема для поста, имхо. В теории звучит очень вкусно и здорово, но, конечно, было бы шикарно увидеть пошаговую реализацию на конкретном железе. На том же Микротике — самом доступном в финансовом смысле.
                            0
                            Да проблема не большая, тунели сделать и потом динамическую маршрутизацию поднять (пока не хотел трогать динамику, но потихоньку посматриваю как она работает). Вот есть интересная методичка, наверное даже ближе к рекламному проспекту)
                              0
                              Ну микротики — это никаким боком не ко мне. Да и нет смысла в написании настолько базовой статьи, ведь материалов на эту тему море. Вам нужно объяснение, как поднять GRE туннель между двумя устройствами и поднять на нем какой-нибудь роутинг?
                                0
                                Скажем так, как раз базовые step-by-step мануалы в формате микростатей — не самый плохой вариант для тех, кто вынужден этим заниматься разово (редко). Для специалиста-сетевика, конечно, они не нужны, им, скорее всего, достаточно базовых мануалов и вики. А вот тому, кому иногда по долгу совместительства или случайного стечения обстоятельств (например болезни или командировки коллеги) вынужден заниматься чем-то подобным — например нужно срочно настроить такой туннель — авария, сбой, да мало ли какая производственная нужда — вот в таком случае это крайне полезно и поверьте, очень многие люди скажут Вам за это спасибо. Лично у меня, например, давно уже в закладках статья о настройке трех провайдеров в мироктике и поверьте, я регулярно обращаюсь к ней. Я не вижу ничего плохого в том, чтобы писать базовые мануалы для, пусть и для большинства специалистов несложных, но далеко не очевидных вещах, так как в том же интерфейсе микротика далеко не все интуитивно понятно…
                                  0
                                  базовые step-by-step мануалы в формате микростатей — не самый плохой вариант для тех, кто вынужден этим заниматься разово (редко).

                                  Религия запрещает мне писать step-by-step мануалы без углубления в дебри того, как оно устроено. В GRE я не вижу никаких интересных и достойных внимания дебрей помимо аппаратных особенностей определенных железок. Неинтересно. И я уверен, что в официальной документации уже есть маны по настройке GRE.
                0
                А какие именно микротики использовались? Понимаю, что немного не в тему, просто интересно.
                  0
                  rb1200, rb2011, rb750, rb951. А вообще это не принципиально, работает на любом устройстве с routeros))

                  Only users with full accounts can post comments. Log in, please.