Как узнать свой IP адрес (внешний и в локальной сети)?

Сегодня многие пользователи ищут в интернете такую информацию: LAN – что это такое и зачем это нужно? Конечно, во всемирной сети можно найти очень простое и короткое определение.

Звучит оно следующим образом: LAN – это локальная сеть. Вот и все.

Но эта расшифровка не дает абсолютно ничего, особенно если с этим приходится иметь дело начинающему пользователю.

По каким-то причинам многие авторы статей в интернете считают, что если бросить множество непонятных фраз, то люди сразу же будут читать всю статью и считать сайт, на котором она выложена, очень авторитетным и важным.

На самом же деле такой подход к делу только усложняет всю ситуацию. Поэтому мы попытаемся объяснить, что такое LAN, простым языком, так, чтобы это смог понять даже ребенок.

Если Вам все-таки что-то будет непонятно, пишите об этом в комментариях, мы с удовольствием ответим на все Ваши вопросы. Итак, начнем с простой теории.

Содержание:

Теоретическая страничка

Итак, LAN расшифровывается как Local Area Network. Это действительно переводится как локальная сеть.

Если сказать проще, то LAN – это несколько объединенных между собой компьютеров, роутеров и других устройств, которые могут подключаться к сети.

А объединены они между собой либо с помощью кабелей, либо с помощью Wi-Fi. На рисунке 1 Вы можете видеть довольно яркий пример локальной сети.

Рис. 1. Пример LAN

Как видим, здесь основным элементом сети является роутер, который подключен к интернету (WAN). Запомните эту аббревиатуру, о ней мы еще поговорим.

А пока что разберем показанную выше схему. На ней цифрами обозначены сегменты сети, а конкретно:

1. Коммутатор, через который подключаются другие устройства.

Как известно, коммутатор является тем устройством, которое получает сигнал по кабелю и таким же образом, по кабелю передает его другим подключенным к нему устройствам.

Фактически, коммутатор можно сравнить с советским тройником, который включался в розетку, и в него можно было включить еще 3 устройства, к примеру, утюг, телевизор и телефон.

Здесь принцип тот же, только передается не электричество, а информация. Это, опять же, если говорить рабоче-крестьянским языком.

Рис. 2. Советский тройник

2. Ноутбук, который подключается к роутеру через Wi-Fi.

3. DVD-плеер, подключенный к роутеру при помощи кабеля. Для этого на роутере есть специальные разъемы LAN, которые обычно обозначены желтым цветом. В большинстве случаев таких разъема 4.

4. Планшет, подключенный также при помощи сигнала Wi-Fi.

5. Персональный компьютер, который подключен точно так же, как DVD-плеер, при помощи кабеля.

6. Еще один ноутбук, который также подключается с помощью провода.

7. Смартфон – использует Wi-Fi сигнал.

Как мы говорили выше, для подключения к роутеру через кабель используется LAN разъем. Мы можем видеть это на рисунке 3.

Рис. 3. Роутер – вид сзади

Как видим, в этой модели все стандартно – 4 разъема LAN, но есть еще один и он уже отличается синим цветом.

Собственно, это и есть WAN (помните, мы говорили о том, что это понятие нужно запомнить?). Чтобы более точно понять, что же такое LAN, можно сравнить его с этим самым WAN.

К слову: И LAN, и WAN подключаются через самый обычный кабель с наконечником RJ45, показанным на рисунке 4. Выше мы говорили о том, что, к примеру, сегмент №3 на рисунке 1, то есть DVD-плеер, подключается к роутеру с помощью кабеля. Этот кабель представляет собой обычная витая пара с наконечниками RJ45 с обеих сторон. Вот так все просто! </em></p>

Рис. 4. Наконечник RJ45

Читайте также:

MTU в роутере — что это? Увеличиваем скорость Интернета

Какой Интернет лучше подключить для дома. Обзор всех возможных вариантов

Что такое роутер в режиме репитера. Как его настроить? Подробное руководство

Сравниваем LAN и WAN

Начнем с того, что вообще такое WAN. Опять же, если сказать просто, это интернет. То есть это та же сеть, но не локальная, как LAN, а глобальная.

В нее входят все устройства и миллионы локальных сетей. WAN расшифровывается как Wide Area Network.

По этой самой сети каждый пользователь может получать доступ к ресурсам другого компьютера или иного устройства, которое можно подключить к сети.

Кстати: Информация эта хранится на серверах. Если сказать просто, это огромное количество дисков большой вместимости, собранные в один большой аппарат, который может выдавать эту информацию. </em></p>

Рис. 5. Пример рабочего сервера

Отличия LAN и WAN:

1. Размеры. Обычно локальная сеть охватывает небольшие участки, например, квартиру или же какое-то производственное помещение. А вот глобальная сеть распространяется по всей поверхности земного шара.
2. Количество пользователей. Разумеется, к глобальной сети может подключаться гораздо больше людей, чем к локальной. Там и оборудование используется намного более мощное, и вообще обычно подключается очень много людей. На это и расчет.
3. Тип сервисов. В локальных сетях есть собственные сервисы, такие как служба доступа к файлам, служба работы с принтерами и так далее, в общем, все то, что нужно для небольшой сети. А вот в глобальной сети используется, к примеру, сервис маршрутизации (определение маршрута следования информации по узлам сети) и многое другое, что необходимо для работы в больших сетях.

Что касается расстояния или площади, которую могут охватывать эти два вида сетей, то выше мы уже говорили о том, что глобальная сеть распространяется на всей поверхности земного шара.

Соответственно, она может работать и на далеких космических кораблях, если те подключены к какому-либо устройству в рамках этой сети.

Так вот, интересно, что локальные сети тоже могут достигать достаточно больших размеров

. Самая большая на сегодняшний день такая сеть имела устройства, которые располагались на расстоянии в 14 000 км друг от друга. Это были космические станции и орбитальные центры.

Хотя обычно локальная сеть охватывает те же офисы, дома, фирмы или небольшую группу зданий.

Вам это может быть интересно:

Что это такое оптоволокно? — Как подключить оптоволоконный интернет

Как изменить ip адрес компьютера в локальной сети и в интернете?

Таинственная кнопка WPS на роутере: что это?

Задачи LAN

Теперь поговорим о том, зачем же люди вообще создают эти самые локальные сети и почему в некоторых случаях нельзя пользовать глобальной.

Итак, цели создания LAN могут быть следующими:

1. Предоставление доступа к файлам только определенным устройствам. В глобальных сетях полноценной такой возможности нет, но есть некоторые обходные пути. Если вы хотите дать возможность использовать и изменять файлы определенным людям, к примеру, сотрудникам своей компании, самый простой и надежный способ – создание локальной сети.
2. Совместное использование принтеров, сканнеров и других подобных устройств. Эти самые устройства можно просто внести в локальную сеть и подключить к ней все компьютеры в том же здании. Если не использовать LAN, нужно было бы подключать тот же принтер к каждому компьютеру по отдельности, а это весьма непрактично и дорого.
3. Таким же образом используются и ресурсы всех компьютеров, в частности, память. Все просто – если на компьютере одного сотрудника не хватает места для хранения какой-то информации, он может оставить ее на компьютере своего коллеги, который также подключен к локальной сети.

Собственно, это все цели, которые преследуют люди, когда объединяют устройства в локальные сети. Как видим, все оказалось достаточно просто и незамысловато.

Осталось рассмотреть один вопрос – как же выглядит использование LAN?

Очень просто – пользователь, который подключен к сети, переходит на своем компьютере в папку «Сеть» и видит там папку «Users».

Он заходит в нее, затем выбирает желаемого пользователя (открывает его, как обычную папку) и видит все его ярлыки, папки и другую информацию, будто она находится на его компьютере.

Рис. 6. Папка «Сеть» на подключенном к локальной сети компьютере.

Разумеется, перед этим необходимо выполнить ряд манипуляций по настройке LAN, а также убедиться в том, что все устройства подходят для использования в локальной сети.

Но это, как говорится, «уже совсем другая история».

Еще больше понять изложенную выше информацию можно, если посмотреть обучающий урок в видео ниже.

Глоссарий

Термин	Определение
Регион	Территориальное расположение дата-центров
Локация
Сетевые устройства
Хост	Выделенный сервер в сети, имеющий один или несколько IP-адресов и подключенный в сетевые устройства локации
VLAN (сеть, приватная сеть)
Публичный IP-адрес	IP-адрес, который может быть назначен хосту для доступа в интернет
Подсети (IP-адреса)
Терминация
Статический маршрут	Вид маршрутизации, при котором маршруты задаются в явном виде в настройках маршрутизатора. При задании статического маршрута указывается: — адрес сети (на которую маршрутизируется трафик);- маска сети;- адрес шлюза (узла, next-hop), который способствует дальнейшей маршрутизации
VRRP
VRRP-адрес	Виртуальный адрес на маршрутизаторах, который используется в качестве default gateway или next-hop для хостов клиентов
MC-LAG	Может использоваться при подключении хоста как для локальной, и так и интернет-сети, в зависимости от типа выделенного сервера (хоста, подробнее)Подробнее о MC-LAG
Объединение приватных сетей в нескольких локациях на базе L2-соединений точка-точка или приватной маршрутизируемой сети — L3VPN

VLAN (сеть, приватная сеть)

VLAN (сети) используются в интернет-сети и в локальной сети локации для обеспечения изолирования друг от друга сетевой активности клиентов на втором L2-уровне (L2).

Каждому клиенту в локации предоставляется VLAN (сеть) для интернет и отдельно VLAN (сеть) локальной сети, в которые включаются все сетевые интерфейсы выделенных серверов, в зависимости от их назначения, заказываемых клиентом в локации. Все выделенные серверы клиента в одной локации имеют связность в рамках одной VLAN (сеть) как для интернет, так и локальной сети.

Клиенту по желанию и в зависимости от тех. потребностей может быть предоставлено в пользование несколько VLAN (сетей) как в локальной сети, так и в интернет-сети.

Выделенный сервер (хост) может быть одновременно подключен к интернету и локальной сети только через разные сетевые интерфейсы сервера. Один интерфейс может быть подключен только в одной VLAN (сети) локальной или интернет.

Информация о VLAN (сеть) доступна для просмотра в панели управления.

Если в локации оборудования одна локальная сеть, то локальный порт добавляется в эту сеть и включается. Если локальных сетей несколько, то локальный порт остается выключенным.

IP-адреса (подсеть)

Благодаря указанию публичного адреса на хосте, он становится доступен из любой точки интернета. Все подсети делятся на публичные и приватные относительно видимости IP-адреса сервера из интернета.

Подсети выделенных серверов делятся на Публичные (используют публичные IP-адреса) и Приватные. Публичные подсети бывают Общие и Выделенные.

Публичные Общие (1)	Публичные Выделенные (2)	Приватные (3)
Имеют фиксированный префикс /24 (маска 255.255.255.0) и используются в рамках одной VLAN (сеть) для нескольких клиентов *	Имеют любой префикс (маску) и могут быть назначены любому VLAN (сеть) клиента	Пользователь имеет возможность создать сеть, серверы в которой будут иметь частные IP-адреса из стандартных диапазонов** и не будут напрямую доступны из интернета
Изменение или добавление дополнительного адреса на сервере, находящемся в публичной общей сети, невозможно	Для перехода на использование публичных выделенных сетей закажите подсеть	Для изолирования сервера произвольной конфигурации от сети интернет создайте тикет с запросом на отключение порта ***

* Внутри публичной общей сети серверы разных клиентов могут не иметь общей L2-связности (могут быть использованы private VLAN или port isolation).

** Доступные стандартные диапазоны:

• 10.0.0.0 — 10.255.255.255 (маска подсети: 255.0.0.0 или /8)
• 100.64.0.0 — 100.127.255.255 (маска подсети 255.192.0.0 или /10) — Данная подсеть рекомендована согласно RFC 6598 для использования в качестве адресов для CGN (Carrier-Grade NAT).
• 172.16.0.0 — 172.31.255.255 (маска подсети: 255.240.0.0 или /12)
• 192.168.0.0 — 192.168.255.255 (маска подсети: 255.255.0.0 или /16)

*** При отправке запроса на отключение важно помнить, что без подключения к интернету пропадет функциональность автоустановки ОС.

При заказе сервера по умолчанию бесплатно присваивается публичный IP-адрес из сети, в которой находятся также серверы других клиентов. Разные серверы одного клиента могут попасть в разные публичные общие сети.

Общий публичный IP-адрес не позволяет:

• подключать DDoS-защиту;
• настраивать статическую или динамическую маршрутизацию;
• разблокировать закрытые порты;
• настраивать подключение по протоколу BGP;
• использовать одновременно общий публичный IP-адрес и адрес из выделенной сети;
• переназначать адрес другому серверу (в том числе использовать VRRP/CARP/Keepalived/Corosync и т.п. для резервирования сервера).

Выделенные подсети позволяют:

• подключать DDoS-защиту;
• настраивать статическую или динамическую маршрутизацию;
• разблокировать закрытые порты;
• настраивать подключение по протоколу BGP и анонсировать подсети;
• переназначать адрес другому серверу.

Если обмен трафиком совершается в пределах одной подсети, то трафик внутри приватной сети не учитывается.

Закрытые порты

Актуальный список закрытых портов представлен на странице.

Примечание: для публичных общих подсетей дополнительно заблокированы порты UDP: 0, 19, 53, 123, 161, 520, 1900.

Включение и использование VRRP

VRRP можно настроить как внутри одной локации, так и между локациями.

Использовать VRRP рекомендуется между двумя рядом стоящими устройствами, имеющими общий L2-сегмент. Для дата-центров, разнесенных территориально, используются разные маршрутизаторы, а между ними организуется связность с использованием MPLS. Для настройки VRRP между двумя локациями используйте Геораспределенную подсеть.

Настройка VRRP внутри одной локации бесплатна.

Для настройки VRRP внутри одной локации:

1. Перейдите в панели управления в раздел Серверы и оборудование.
2. В карточке сервера перейдите в раздел Сеть → Подсети.

3. В поле Резервирование шлюза нажмите кнопку Подключить.

4. Выберите два свободных IP-адреса, которые не используются на ваших хостах.

5. Подтвердите, что выбранные IP-адреса свободны, установив галочку в чекбоксе.

   Обратите внимание! При выборе уже используемых IP-адресов, их работоспособность нарушится.

6. Нажмите кнопку Подключить резервирование.

7. После подключения в поле Резервирование маршрутизатора отображаются указанные IP-адреса.

Подключение дополнительных IP-адресов

Шаг 1. Покупка дополнительных IP-адресов

Для подключения дополнительных IP-адресов:

1. На вкладке Сеть в панели управления нажмите кнопку Заказать подсеть.
2. Выберите необходимую услугу.

3. Укажите локацию.

   Обратите внимание! Переместить подсеть в другую локацию нельзя.

4. Укажите цель использования.

5. Выберите период оплаты.

6. Нажмите кнопку Оплатить.

Подключение и активация услуги может занимать некоторое время. Когда услуга будет готова к работе, придет уведомление через тикет-систему.

Шаг 2. Учет публичных адресов на сервере

В системе учета вы можете фиксировать какой IP-адрес настроен на вашем сервере. Назначение IP‑адреса серверу в панели управления не влечет за собой изменений в ОС сервера. Чтобы изменения вступили в силу, назначьте соответствующий VLAN на интернет-порту и измените IP-адрес в ОС сервера.

Чтобы добавить IP-адрес в систему учета:

1. Перейдите в карточку сервера на вкладку Сеть.
2. Нажмите кнопку Добавить IP-адрес.
3. Укажите подсеть.
4. Выберите один или несколько IP-адресов.
5. Сохраните внесенные изменения.

Обратите внимание! При добавлении выделенной подсети нельзя использовать IPv4-адрес, выделяемый по умолчанию при заказе сервера.

Шаг 3. Изменение сетевых настроек сервера

При подключении дополнительного IP-адреса в ОС сервера измените сетевые настройки:

• IP-адрес;
• маску подсети;
• шлюз.

Данные параметры можно просмотреть в панели управления в подразделе Сеть на вкладке Подсеть в карточке выделенной подсети.

Примените сетевые настройки. Доступность на сервере пропадет, пока не будет изменена VLAN (сеть) на порту.

Шаг 4. Переключение VLAN (сети) порта сервера

Для переключения VLAN (сети) порта сервера:

1. Перейдите в панели управления в карточку сервера.
2. Перейдите на вкладку Порты.
3. Измените в поле Интернет значение Общая на значение выделенной VLAN (сети).
4. Сохраните внесенные изменения.

Доступ к серверу восстановится с новым IPv4.

Для возврата к бесплатному IP-адресу (из /32 подсети) в карточке сервера:

1. Перейдите в панели управления в карточку сервера.
2. Перейдите на вкладку Порты.
3. Измените в поле Интернет значение выделенной VLAN (сети) на значение Общая.
4. Сохраните внесенные изменения.

Можно докупить дополнительные IPv4 и IPv6 адреса.

Примечание: на общей (/32) сети нельзя использовать IPv6.

Создание статических маршрутов

Статическая маршрутизация — вид маршрутизации, при котором маршруты указываются в явном виде при конфигурации маршрутизатора. Наиболее часто статическая маршрутизация для клиентских подключений в Selectel используется при заказе файрвола. Файрвол позволяет пропускать интернет-трафик для маршрутизированных на него сетей через себя. При задании статического маршрута указывается:

• адрес сети (трафик на которую необходимо маршрутизировать), маска сети;
• адрес шлюза (узла), который способствует дальнейшей маршрутизации (или подключен к маршрутизируемой сети напрямую).

В рамках нашей услуги запрос из интернета обрабатывается маршрутизатором и перенаправляется на фаервол, к которому подключены серверы. Для подключения статических маршрутов создайте тикет. Любая терминированная подсеть может быть прописана в качестве статического маршрута.

Подключение сервера к сети

Выделенные серверы по умолчанию подключены к интернету через один сетевой интерфейс. По запросу подключение серверов произвольной конфигурации может быть сделано через группу агрегированных сетевых интерфейсов с помощью конфигуратора, подробнее. Серверы фиксированной конфигурации таким образом подключить нельзя.

Приватная сеть — это группа серверов клиента, подключенная к общей локальной VLAN (сеть) в рамках одной локации и/или имеющее соединение с другими серверами клиента расположенными в других локациях. В приватную сеть подключение производится через другой сетевой интерфейс (или группу агрегированных сетевых интерфейсов — MC-LAG) для выделенных серверов, кроме серверов линейки Chipcore Line.

Возможно включение дополнительных VLAN (сеть) в рамках одной локации для одного клиента, для создания нескольких приватных сетей создайте тикет.

Схема подключения к интернету и приватной сети

После назначения VLAN (сети) все IP-подсети в ней будут терминированы на маршрутизаторах Selectel.

Все выделенные серверы в одной локации могут быть объединены в приватную сеть (VLAN), кроме серверов линейки Chipcore Line.

На логическом уровне приватная сеть представляет собой отдельный выделенный VLAN (Virtual LAN).

Внутри этого VLAN все серверы взаимодействуют друг с другом аналогично тому, как если бы они были подключены к одному физическому коммутатору.

При передаче выделенного сервера в эксплуатацию клиенту по умолчанию порты локальной сети и интернет-сети включены. Просмотреть информацию о портах можно в карточке сервера на вкладке Порты.

Организация связи приватных сетей в нескольких локациях и/или с другими продуктами Selectel

Для организации сетевой связности между разными локациями и услугами используется Приватная маршрутизируемая сеть. Схема объединения выделенных серверов в разных локациях аналогична схеме объединения, применяемых для разных типов ресурсов.

Внутри локации используется L2-схема взаимодействия серверов друг с другом, а присоединение серверов в другой локации может осуществляться:

• по схеме L2 — только в случае объединения двух локаций/типов ресурсов, при наличии технической возможности;
• по схеме L3 — во всех остальных случаях.

Рекомендуется использовать соединение по схеме L3.

Подробнее о схемах подключения читайте в статье Объединение проектов в разных дата-центрах.

Для подключения создайте тикет с указанием приватных сетей, которые необходимо объединить.

Схема подключения по L2

Схема подключения по L3

Для организации L3-схемы используются несколько маршрутизаторов. На каждую локацию выделяются два маршрутизатора, для каждого клиента выделяются два адреса для назначения на маршрутизаторы Selectel и формируется Virtual IP с использованием протокола VRRP.

VLAN до стороннего оператора

В дата-центрах Selectel имеют точку присутствия многие операторы связи. При наличии технической возможности организации стыка с ними можно организовать прямое соединение через приватную сеть клиента.

При необходимости подключения VLAN до стороннего оператора создайте тикет с запросом.

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

• роутер MikroTik RB750;
• Wi-Fi точка доступа EnGenius EAP150.

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

1. Откройте в меню New Terminal;
2. Введите команду systemreset;
3. Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

1. Откройте меню IP — DHCP Client;
2. В появившемся окне нажмите красный плюсик;
3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
4. Нажимаем кнопку OK для сохранения настроек.

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Проверяем наличие соединения с интернетом:

1. Откройте New Terminal;
2. Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

1. Откройте меню Bridge;
2. Нажмите «красный плюсик»;
3. В поле Name укажите название интерфейса bridge_main;
4. Нажмите кнопку ОК.

Добавляем LAN порты в Bridge:

1. Перейдите на вкладку Ports;
2. Нажмите «красный плюсик»;
3. В списке Interface выберите второй порт роутера ether2;
4. В списке Bridge выберите интерфейс bridge_main;
5. Нажмите кнопку ОК.

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

1. Откройте меню Interfaces;
2. Перейдите на вкладку VLAN;
3. Нажмите «красный плюсик»;
4. В появившемся окне в поле Name указываем название интерфейса vlan2;
5. В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
6. В списке Interface выбираем интерфейс bridge_main;
7. Нажимаем кнопку OK для создания VLAN интерфейса.

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.88.1/24;
4. В списке Interface выберите интерфейс bridge_main;
5. Нажимаем кнопку OK.

Настройка IP адреса гостевой сети:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.10.1/24;
4. В списке Interface выберите виртуальный интерфейс vlan2;
5. Нажимаем кнопку OK.

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пуладиапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

1. Откройте меню IP — Pool;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_pool_main;
4. В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
5. Нажмите кнопку OK для сохранения пула адресов.

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
4. Нажимаем кнопку OK для сохранения пула адресов.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

1. Откройте меню IP — DHCP server;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_server_main;
4. В списке Interface выберите интерфейс офисной сети bridge_main;
5. В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
6. Нажмите кнопку OK.

Настраиваем DHCP сервер гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.88.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.88.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
6. Нажмите кнопку OK.

Добавляем гостевую сеть:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.10.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.10.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
6. Нажмите кнопку OK.

1.7 Настройка DNS сервера

1. Откройте меню IP — DNS и нажмите кнопку Settings;
2. Поставьте галочку Allow Remote Request;
3. Нажмите кнопку OK.

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

1. Откройте меню IP — Firewall;
2. Перейдите на вкладку NAT;
3. Нажмите «красный плюсик»;
   1. В списке Chain выберите srcnat;
   2. В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
   3. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
      1. Перейдите на вкладку Action;
      2. В спискеAction выберите masquerade;
      3. Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

1. Нажмите «красный плюсик»;
2. В списке Chain выберите srcnat;
3. В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
4. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;
5. Перейдите на вкладку Action;
6. В спискеAction выберите masquerade;
7. Нажмите кнопку OK.

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

1. Откройте меню IP — Routes;
2. Перейдите на вкладку Rules;
3. Нажмите «красный плюсик»;
4. В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
5. В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
6. В списке Action выберите unreachable;
7. Нажмите кнопку OK.

Добавляем второе правило аналогичным образом, только меняем местами подсети.

1. Нажмите «красный плюсик»;
2. В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
3. В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
4. В списке Action выберите unreachable;
5. Нажмите кнопку OK.

Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.

Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.

</ol></ol></ol></ol></ol></ol>

• В списке Enabled SSID выберите цифру 2, чтобы можно было ввести два названия точки доступа;
• В поле ESSID1 вводим название Wi-Fi точки Office — это будет беспроводная сеть предприятия;
• В поле ESSID2 вводим название Wi-Fi точки HotSpot — это беспроводная сеть для подключения гостей;
• AutoChannel оставьте Enable, если хотите чтобы точка сама выбирала Wi-Fi канал, на котором будет работать. У нас на других каналах есть много других Wi-Fi точек, создающих помехи. Поэтому мы выбрали AutoChannel: Disable и в списке Channel вручную указали более свободный канал 11;
• Нажмите кнопку Apply для применения настроек.

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

• Откройте меню Wireless — Security;
• В списке ESSID Selection выберите название точки Office;
• В списке Encryption выберите шифрование WPA pre-shared key;
• В WPA Type выберите тип шифрования WPA2 Mixed;
• В списке Pre-shared Key Type выберите тип ключа Passphrase;
• В поле Pre-shared Key введите пароль для подключения к Wi-Fi точке Office;
• Нажмите кнопку Apply для применения настроек.

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

• Откройте меню Wireless — VLAN;
• Выберите Virtual LAN: Enable;
• Напротив SSID 1 Tag: уберите галочку Tag, поскольку первая точка доступа Office не вынесена в отдельный VLAN;
• Напротив SSID 2 Tag: поставьте галочку Tag и укажите идентификатор 2 — это VLAN идентификатор второй точки доступа HotSpot, вынесенной в отдельный VLAN;
• Нажмите кнопку Apply для применения настроек.

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

• Откройте меню Network — LAN;
• Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
• IP Address вводим 192.168.88.100;
• IP Subnet Mask указываем маску подсети 255.255.255.0;
• Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
• First DNS Address указываем первичный DNS сервер 192.168.88.1;
• Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
• Применяем настройки кнопкой Apply.

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Источник http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php

</ul></ul></ul></ul> Запись опубликована в рубрике *Lan&Wan, *WiFi&3G, *Сети, MikroTik. Добавьте в закладки постоянную ссылку.Используемые источники:

• http://geek-nose.com/lan-chto-eto/
• https://kb.selectel.ru/docs/servers-and-infrastructure/dedicated-servers/getting-started/networks/
• https://www.skleroznik.in.ua/2014/04/24/razdelenie-lokalnoj-seti-s-pomoshhyu-vlan/