[研究所] MikroTik RouterOS 學習 (持續更新) (第337頁)

mpta
個人積分：4分
文章編號：55221246

4分

3361樓

2015-04-06 15:10

謝謝 alwayssmileruten 大的指導

現在dhcp v4 可以發ip 給VLAN 1 VLAN 2 VLAN3

差在Trunk1 接RB450 沒有上 Tag

VLAN-ID 1 = 1,3 PORT 加上TAG

VLAN-ID 100=2,4,6,8

VLAN-ID 200=10,12,14,16

VLAM-ID 300=18,20,22,24

RB-450 LAN 有設定實體LAN IP 跟VLAN100,VLNA200,VLAN300

現在VLAN PORT過 DHCP 發放對應的網段

但是 PORT =5,7,9,11,13,15,17,19,21,23 拿不到實體IP網段

目前設定如下再麻煩大大指導!

alwayssmileruten wrote:
假設以 port24...(恕刪)

alwayssmileruten

alwayssmileruten
個人積分：29分
文章編號：55222732

29分

3362樓

2015-04-06 17:32

mpta wrote:
但是 PORT =5,7,9,11,13,15,17,19,21,23 拿不到實體IP網段

這個部分指的實體 IP 是由上層發下來的?

mpta

mpta
個人積分：4分
文章編號：55223065

4分

3363樓

2015-04-06 18:01

就是在RB-450 上面設定的內部IP 非VLAN IP

alwayssmileruten wrote:
這個部分指的實體 IP...(恕刪)

alwayssmileruten

alwayssmileruten
個人積分：29分
文章編號：55223457

29分

3364樓

2015-04-06 18:44

mpta wrote:
就是在RB-450 上面設定的內部IP 非VLAN IP

那就指定RB450改發到 vlan 1，看您提供的圖片已經有建立 vlan 1 了，而switch 上的 vlan 1 也有包含您說的 port，沒意外的話應該就可以拿到ip了。

mpta

mpta
個人積分：4分
文章編號：55223688

4分

3365樓

2015-04-06 19:04

簡單說就是切了vlan 後, 在rb-450 都是設定vlan ip 在對應在交換機上所設定的vlan port 嗎?

alwayssmileruten wrote:
那就指定RB450...(恕刪)

alwayssmileruten

alwayssmileruten
個人積分：29分
文章編號：55227748

29分

3366樓

2015-04-06 23:21

mpta wrote:
簡單說就是切了vlan 後, 在rb-450 都是設定vlan ip 在對應在交換機上所設定的vlan port 嗎?

應該是 vlan id。

算是沒錯，以您的例子來看，RB450 要發幾組 dhcp ，那就設定幾組不同的 vlan id 在某個 interface 上，接著再設定 dhcp server 在對應的 vlan 上。

而 switch 只要把要連接到 RB450 的 port 設定成帶 tag，同時此 port 還要設定多組的 vlan id，其餘的 port 只要設定相對應的 vlan id 就好。

mpta

mpta
個人積分：4分
文章編號：55228617

4分

3367樓

2015-04-07 0:21

謝謝 alwayssmileruten 大的指導

目前vlan 搞定了!

新的問題是 vlan1 <---> vlan2 會通

怎麼才可以讓vlan1 <互不相通> vlan2

alwayssmileruten wrote:
應該是 vlan id...(恕刪)

alwayssmileruten

alwayssmileruten
個人積分：29分
文章編號：55229127

29分

3368樓

2015-04-07 1:11

mpta wrote:
新的問題是 vlan1 <---> vlan2 會通

怎麼才可以讓vlan1 <互不相通> vlan2

假設網段是以下
vlan1 192.168.1.x/24
vlan100 192.168.10.x/24
vlan200 192.168.20.x/24
vlan300 192.168.30.x/24

firewall filter 裡面新增以下的設定，那就會把 192.168.1.x 的網段到 192.168.10.x 的連線都丟棄，達到無法溝通的目的，其餘的部分就是看您要阻擋哪些網段的溝通，依此類推。

Chain=input
Src.Address=192.168.1.0/24
Dst.Address=192.168.10.0/24
Action=drop

jeremy9678

jeremy9678
個人積分：67分
文章編號：55236503

67分

3369樓

2015-04-07 14:56

gfx大我想請教你有關標記的問題
就是我在我辦公室有裝routeros,而想要做的是公司內網系統就走公司default gw
出去,外網port 1-1024內的就走我的4g網卡出去,不知為何我crs109無法辯示我的華為
e3276s的usb 4g網卡所以另買一個支援4g usb網卡路由器,它ip為:192.168.188.253
我目前標記如下

/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
"\A4\BA\BA\F4\B3s\BDu\B0|\A4\BA\BA\F4\B8\F4\BC\D0\B0O" dst-address-list=\
poh-Net new-routing-mark=poh-make passthrough=no src-address-list=\
LAN-User
add action=mark-routing chain=prerouting comment=\
"\A4\BA\BA\F4\B3s\A5~\BA\F44G\BA\F4\A5d\BC\D0\B0O" dst-port=1-1024 \
new-routing-mark=lte4g-make passthrough=no protocol=tcp src-address-list=\
LAN-User
add action=mark-routing chain=prerouting dst-port=1-1024 new-routing-mark=\
lte4g-make passthrough=no protocol=udp src-address-list=LAN-User
add action=mark-connection chain=prerouting comment="\\AEa\\B8\\CCVPN\\B3s\\BDu" \
dst-address-list=home-vpn dst-port=1723 new-connection-mark=lte-comm \
protocol=tcp src-address-list=LAN-User
add action=mark-routing chain=prerouting connection-mark=lte-comm \
new-routing-mark=lte4g-make passthrough=no

lte4g就是4g路由器(ip:192.168.188.253)
lan-user我的內網192.168.188.0/24
poh-make公司內網

目前我這樣標記是可達到我的需求~但我有下列問題
1.tracert網際網路ip都會跑公司gw ip出去不會從4g網卡,並且都星號無法racert
但可ping但不能tracert

2.routeros本身建立pptp clinet都無法連線成功,但內網lan-user的win7電腦可透過4g網卡
連線成功

請問是要標記comm連線才行嗎??

gfx

gfx
個人積分：1603分
文章編號：55236935

1603分

3370樓

2015-04-07 15:24

您目的應該是建立路由器區網，但不能對外。
只有您的電腦可以走4G網路對外是不是？