Производитель не стоит на месте и продолжает выпускать новые актуальные устройства, вот и сейчас появилась достойная замена RB450GMikrotik RB2011-IN. У него есть так же 5 гигабитных сетевых портов, а в дополнение еще 5 портов 10/100 мегабит, которым всегда найдется применение.

 

Для чего же можно использовать этот RB2011L-IN? Сфер применения может быть много. От работы в виде обычного “тупого” коммутатора (если объединить все порты в бридж), до управляемого с ограничением скорости портов, ограничения доступа по мак адресам, фильтрацией трафика. До работы в режиме роутера с предоставлением доступа в сеть Интернет, объединения локальных сетей, работе в роли сервера доступа или центрального маршрутизатора не большой сети.

 

Поставляется Mikrotik RB2011L-IN в маленькой картонной коробке.

Внутри которой расположено устройство в комплекте с блоком питания.

Блок питания уже подключен к RB2011LS.

При чем подключен таким образом, что не открывая корпус устройства отсоединить его не получится. На плате устройства разъем питания расположен в центре и из-за этого такие сложности с подключением блока питания.

С нижней стороны корпуса приклеены резиновые ножки, так что Mikrotik RB2011L-IN будет надежно стоять на любой поверхности.

 

Теперь приступим к его настройке для работы в режиме гигабитного коммутатора на 5 портов с поддержкой vlan и маршрутизацией трафика для 5-ти групп пользователей через оставшиеся 5 портов.

 

При доступе на устройство в первый раз появляется окно с предложением установить начальную конфигурацию. Нам она совершенно ни к чему, поэтому следует нажать на кнопку Remove Configuration.

Если обратить внимание на заголовок окна, можно увидеть текущую версию программного обеспечения, установленного в системе. В данном случае она имеет версию 5.14, но уже доступна более новая – 5.16. Произведем обновление прошивки путем перетаскивания мышкой файла с прошивкой в окно винбокса. После ожидания загрузки в меню SYSTEM--+REBOOT выполним перезагрузку, во время которой программное обеспечение будет обновлено. Во время процесса обновления не следует отключать питание устройства для избежания повреждения.

После перезагрузки устройство показывает в заголовке окна уже свежую версию ПО. В разделе SYSTEM--+ROUTERBOARD можно посмотреть текущую версию загрузчика устройства. В данном случае текущая и обновленная версии одинаковые. Поэтому нажимать на кнопку Upgrade не нужно.

Если зайти в раздел INTERFACES можно увидеть список всех сетевых портов устройства. В данном случае их 10, что позволит подключить большое количество различных сетевых потребителей.

Для настройки части портов для работы в режиме коммутатора нужно создать бридж и объединить в него нужные порты. Для создания бриджа заходим в раздел BRIDGE и нажатием на + создаем новое правило, в котором ничего не меняем, разве что имя бриджа в пункте Name.

Для защиты от петель на создаваемом коммутаторе следует включить протокол RSTP в пункте Protocol Mode, что позволит автоматически отключать порты, соединенные друг с другом напрямую или через сторонние коммутаторы. Нажимаем кнопку Ok.

Теперь в созданный бридж добавляем порты Ether1, Ether2, Ether3, Ether4 и Ether5, то есть все 5 гигабитных портов устройства.

Управление будет осуществляться через управляющий влан с номером 10, для этого в разделе INTERFACES на вкладке VLAN нажатием на + создаем новый влан, в котором указываем его имя в пункте Name, задает VLAN ID, в нашем случае 10, и выбираем интерфейс в пункте Interface, на котором этот влан будет работать. Сетевые порты объединены в бридж, поэтому и влан нужно создавать на нем.

В разделе IP--+ADDRESS добавляем новый адрес на созданный влан, для этого нажимаем на + и в открывшемся окне вводим Address10.0.0.10/24 и указываем интерфейс в пункте Interfacevlan10_managed.

Для возможности доступа на устройство из других подсетей настроим маршрутизацию в разделе IP--+ROUTES. Создадим новое правило, где укажем Dst. Address10.0.0.0/16 (что означает доступ на всю подсеть 10.х.х.х) и маршрутизатор Gateway для этих адресов – 10.0.0.1.

Снова зайдем в раздел INTERFACES на вкладку VLAN и создадим новый влан для доступа в Интернет. Для этого указываем его имя в пункте Namevlan109_internet и указываем VLAN ID109. Интерфейс в пункте Interface указываем Bridge1.

В разделе IP--+ADDRESS добавим адрес на этот влан. В пункте Address укажем 172.16.10.69/24 и Interfacevlan109_internet.

Для возможности доступа в Интернет нужно создать дефолтный маршрут на все адреса Интернета. В разделе IP--+ROUTES снова нажимаем на + и создаем новое правило. Где не трогая пункт Dst. Address (там должно стоять 0.0.0.0/0), указываем Gateway172.16.10.1 – основной шлюз Интернета.

В разделе IP--+ROUTES должны появиться такие правила.

Что бы получить доступ в Интернет, кроме адреса маршрутизатора нужно указать адреса DNS серверов, что и нужно сделать в разделе IP--+DNS. Указать в пункте Servers адрес 172.16.10.1 и поставить галочку Allow Remote Requests, что бы компьютеры сети смогли использовать устройство в роли DNS сервера.

Теперь переходим к настройке адресов клиентских подсетей. Для этого в разделе IP--+ADDRESS добавляем новые IP адреса для интерфейсов Ether6, Ether7, Ether8, Ether9 и Ether10192.168.0.1/24, 192.168.1.1/24, 192.168.2.1/24, 192.168.3.1/24 и 192.168.4.1/24. По этим адресам клиенты сети смогут обращаться к устройству.

Произведем настройку DHCP сервера в разделе IP--+DHCP Server. Для создания нового сервера нужно нажать кнопку DHCP Setup и указать следующие данные в открывающихся окнах:

 

DHCP Server Interfaceether6 – имя интерфейса, на котором раздавать адреса.

DHCP Address Space192.168.0.0/24 – подсеть для выдачи адресов.

Gateway for DHCP Network192.168.0.1 – шлюз в Интернет, который получат клиенты.

Addresses to Give Out192.168.0.2-192.168.0.254 – диапазон адресов для выдачи, если в сети какие-то устройства будут иметь постоянные адреса, установленные вручную, следует изменить этот диапазон, например на 192.168.0.200-192.168.0.254, тогда выдача будет происходить только в интервале 200-254, и адреса менее 199 можно прописывать вручную, конфликтов сетевых адресов происходить не будет.

DNS Servers192.168.0.1 – DNS сервер для выдачи клиентам.

Lease Time3d 00:00:00 – время, на которые выдаются адреса.

Повторим добавление DHCP серверов для оставшихся 4-х подсетей, снова нажимаем кнопку DHCP Setup и выбираем интерфейсы Ether7, Ether8, Ether9 и Ether10 и производим для них аналогичные настройки, изменяя только одну цифру адреса подсети. В итоге получим список из 5-ти серверов.

Что бы клиенты сетей смогли попасть в Интернет, нужно настроить NAT. Делается это в разделе IP--+FIREWALL на вкладке NAT. Нажатием на + создаем новое правило, где в пункте Src. Address указываем подсеть 192.168.0.0/16 (что означает использовать правило для всех адресов вида 192.168.х.х).

На вкладке Action выбираем действие – masquerade. Нажимаем кнопку Ok.

В списке вкладки NAT должна появиться одна запись следующего вида.

Для ограничения скорости по каждым портам в разделе Queues на вкладке Simple Queues создадим новое правило, в котором укажем лимит скорости 10М в пункте Max Limit столбиков Target Upload и Target Download.

На вкладке Advanced выбираем интерфейс, на котором делать ограничение, в нашем случае это Interfaceether6. Чуть ниже в пункте Limit At аналогично предыдущему указываем ограничение скорости 10M, что означает 10 мегабит в секунду. Нажимаем кнопку Ok.

Повторяем действие еще 4 раза с выбором интерфейсов Ether7, Ether8, Ether9 и Ether10 для указания ограничения по всем сетевым портам. В итоге должна получиться следующая табличка в Simple Queues.

Для того, что бы не запутаться, и не забыть, кто и куда подключен можно вводить комментарии при нажатии кнопки Comment. Писать комментарии можно даже русскими буквами.

После указания комментарий для каждого правила табличка с ними становиться более информативной, видно кто получает и какие ограничения скорости.

Кроме задания комментарий можно изменять имя самого интерфейса в пункте Name, и вместо служебного имени Ether1 можно написать Ether1_magistral.

После задания имен сетевых портов вид таблицы интерфейсов принимает следующий вид – можно быстро определить какой интерфейс/порт куда подключен и идет.

Для предотвращения не санкционированного доступа к устройству нужно задать пароль администратора в разделе SYSTEM--+USERS, при нажатии 2 раза мышкой по имени администратора admin в открывшемся окне нажимаем кнопку Password и 2 раза вводим пароль. После нажатия кнопки Ok. Следует отключиться от винбокса и подключиться снова с указанием нового пароля.

 

На этом настройка Mikrotik RB2011-IN завершена. Можно подключать сетевые кабели и предоставлять абонентам доступ в сеть Интернет.