Microtik как связать vlan аппаратного и программного уровня

Если вы нашли эту статью, значит вы определенно уже понимаете для чего нужен Vlan и что это такое вообще. Если вы попали сюда случайно или настройка Vlan нужна, но пока вы самостоятельно не можете или не знаете, как это сделать – то вы попали туда, куда нужно.

Что такое VLAN?

По своей сути Vlan – это некая виртуальная сеть внутри физической сети. По-простому – это ЛВС внутри ЛВС. Внутри одной физической сети можно создать до 4096 виртуальных сетей, если быть точным, то 4094. Откуда берутся эти цифры? Давайте рассмотрим чуть более детально.

Для идентификации виртуальной сети используется VLAN ID или как его сокращенно называют VID – номер Vlan`а. Это метка, присоединяемая к кусочку кадра, который передается по сети. Для этой метки отведен блок размером в 12 бит. Путем нехитрых вычислений узнаем, что можно получить номера Vlan`ов с 0 по 4095 (всего 4096) но первый и последний ID зарезервированы системой, потому их использовать запрещено.

Обычное неуправляемое сетевое оборудование (такое как коммутатор, простая сетевая карта без поддержки Vlan и т.п.) не понимает, что такое Vlan, это задача коммутаторов и прочего «умного» оборудования второго уровня. В управляемых коммутаторах можно указать каким Vlan разрешено проходить по данному порту, а каким запрещено.

Зачем это нужно? Надо ли так усложнять сеть?

• Технология Vlan позволяет объединить компьютеры в одну локальную сеть независимо от их территориального или географического расположения;
• Становится возможным разделение физической сети на несколько виртуальных, которые не будут пересекаться и доступ из одной виртуальной сети в другую будет невозможен;
• Снижается нагрузка на сеть, так как на указанные порты коммутатора попадают только те пакеты сети, которым разрешено прохождение по данному порту;

Это лишь крохотная часть возможностей, которые предоставляет Vlan.

С первого раза тяжело «переварить» информацию, но на самом деле здесь нет ничего сложного.

Перейдем к настройке VLAN на оборудовании Mikrotik

Подключаемся через WinBox к оборудованию.

• Заходим в раздел Interfaces;
• Переходим на вкладку VLAN;
• Нажимаем на значок «+»;
• В появившемся окне присваиваем имя vlan5 интерфейсу в поле Name;
• Прописываем VLAN ID, которое равно 5;
• Выбираем интерфейс, для которого создается Vlan (в нашем случае это Ether5);

Видим, что интерфейс добавился:

Также он отображается в окне Interfaces и структурно находится под интерфейсом, на который добавлен, название vlan5 смещается чуть-чуть вправо относительно основного списка интерфейсов

Аналогично добавляем vlan4 на ether4 и vlan3 на ether3

Следующее, что нам нужно сделать – это добавить IP адрес для созданных виртуальных сетей:

• Переходим в раздел IP > Addresses;
• Добавляем адрес как обычно, только в поле интерфейс выбираем наш vlan5;

Добавляем IP адреса на vlan4 и vlan3.

В результате у нас должно получиться следующее:

Доступ в интернет

Подсети созданы, IP адреса присвоенны, теперь нужно «выпустить в интернет» устройства, работающие в vlan3, vlan4, vlan5.

Переходим в раздел IP > Firewall вкладка NAT и создаем новое правило

Переходим на вкладку Action и в поле Action выбираем действие masquerade и сохраняем правило

Такие правила нужно создать для каждой из подсети, изменяя лишь адреса сети.

В результате должно получиться следующее:

Дополнительные «фишки»

Теперь каждая из виртуальных сетей имеет доступ в интернет, но при необходимости его можно ограничить, разрешая доступ только выделенным адресам.

• Переходим на вкладку Address List;
• Добавляем, для примера, IP адрес 168.5.24 в Address List под названием Net (Прописать вручную);

Теперь, если в правиле под номером 13 (вкладка NAT) перейти на вкладку Advanced и в поле Src. Address List указать список Net

то выход в интернет получат только те хосты, которые находятся в списке Net. В нашем случае – это единственный хост, который мы добавили: 192.168.5.24

Сеть разделена и настроена. Так же можно поднять DHCP сервер на каждом из созданных нами vlan – тогда не придется прописывать адрес каждому ПК в локальной сети, но это уже совсем другая тема…

Рубрики: оборудование

Опция VLAN обеспечивает быстрое и простое создание в маршрутизаторах нескольких домашних сетей в едином интерфейсе. В настоящее время многие пользователи, чтобы разделить между собой трафики базовых станций либо клиентов, применяют именно VLAN.

Метод обрел широкую популярность благодаря удобству и легкости процедуры настройки сепарации. Однако нередко появляются проблемы с вводом параметров на приборах Mikrotik.

Ниже представлено пошаговое руководство по настройке VLAN на маршрутизаторе Mikrotik, пользуясь которым даже новичкам будет доступно самостоятельно справиться с поставленной задачей, а опытным пользователям инструкцию можно использовать как «напоминалку», чтобы не пропустить ни одного из важных этапов.

Содержание

В каких микротиках поддерживаются VLAN ?

Прежде чем приступить к процедуре настройки, рекомендуется убедиться, что Ваш микротик поддерживает VLAN. Ниже приведен перечень номеров чипов моделей «Atheros», для которых доступна настройка «вланов»:

1. 7240;
2. 8316;
3. 8227;
4. 8327.

Как узнать чип, используемый в Mikrotik?

С этой целью потребуется исполнить всего несколько последовательных действий:

1. Через утилиту «winbox» войти в раздел «switch»;
2. Открыть закладку «switch;
3. В столбце «Тип» будет отображаться искомое наименование чипа.

В случае если с вышеописанным способом идентификации модели возникли проблемы, можно использовать терминал, в котором надо напечатать «interface ethernet switch print», как показано в примере на рисунке ниже.

Как можно убедиться, результат полностью идентичен первому способу, но отличается более высокой скоростью исполнения.

Настраиваем интерфейс «влан»

В приложении «Winbox» необходимо выполнить следующие последовательные шаги:

1. Войти во вкладку «Interface» и кликнуть на плюс;
2. Далее «VLAN»;
3. В отобразившемся меню найти графу «Name» и напечатать имя «vlan1»;
4. В графе «VLAN ID» установить «1»;
5. Затем в графе «Interface» прописать конкретный интерфейс, где планируется добавление сети, например, на порту под номером «5» маршрутизатора «Микротик» (его имя — «ether5»);
6. Кликнуть «Ok»;
7. Об успешности выполнения всех вышеуказанных этапов будет свидетельствовать отображение в перечне интерфейса «vlan1»;
8. Также он отобразится и в общем списке;
9. Войти в раздел IP;
10. Кликнуть «Addresses» (на скриншоте позиция отмечена единичкой);
11. Далее щелкнуть кнопку «+» (она отмечена на картинке цифрой 2);
12. Указать для него IP 192.168.0.1/24 (позиция картинки под номером 3);
13. В графе «Интерфейс» с отметкой 4 напечатать «vlan1»;
14. Кликнуть «Ok»;
15. В перечне сетей появится присвоенный «айпи».

Теперь почти все готово, но клиенты не получат доступ к сети, если правильно не настроить NAT.

Настройка NAT

Алгоритм состоит из следующих этапов:

1. В разделе «Айпи» кликнуть «Firewall»;
2. Далее открыть закладку NAT;
3. Кликнуть «+»;
4. В отобразившемся меню в верхней графе указать «srcnat»;
5. В следующей графе напечатать «192.168.0.0/24»;
6. Кликнуть «Ok»;
7. Готово. Настройка «влан» на vикротик окончена.

Несмотря на то, что вышеприведенная методика кажется простой для осуществления, иногда у некоторых пользователей возникают сложности с настройкой. Ниже описан еще один способ достижения той же цели, но только через Свитч.

Настройка «влан» через Switch

Основное отличие второго способа в том, что через программу «Winbox» уже реализовать необходимые настройки не удастся, поэтому все параметры будут вводиться с использованием терминала.

При этом, к сожалению, придется отказаться от некоторых преимуществ функциональности роутера. Например, невозможно будет вручную отрегулировать скорость интерфейса и выборочно лимитировать его для некоторых клиентов.

Всего доступно два метода исполнения задачи:

1. С применением роутера для Switch-доступа (эта методика подробно описана на официальном ресурсе Mikrotik);
2. Использование vикротика в качестве устройства для транзита.

1 метод: Свитч

С 3-го по 5-й порты применяются для доступа, то есть как «access». Второй используется в качестве Trunk-порта.

Потребуется сделать следующие шаги:

1. Сначала нужно произвести их группировку:
2. Далее настроить «vlan-mode» и «vlan-header». Для 3, 4, 5 портов установить «default-vlan-id».

Примечание 1: Для «Влан» с приставкой mode можно использовать один из нижеуказанных параметров:

• Secure – не использовать пакеты, у которые присутствуют теги, отсутствующие в перечне вланов;
• disabled – не использовать данные влан-таблицы;
• check – проверять и не пропускать пакеты с влан-тегами, не входящими в перечень;
• fallback – используются встроенные настройки.

Примечание 2: Для «Влан» с приставкой header можно использовать один из нижеуказанных параметров:

• add-if-missing – присваивается влан-заглавие пакету, в случае когда его нет.
• always-strip – стирается влан-заглавие пакета, в случае когда оно присутствует.
• leave-as-is – без каких-либо корректировок.

1. Затем в перечень надо дополнить влан-записи:
2. Готово. По методу Switch процедура настройки полностью завершена.

2 метод: Использование микротика в качестве устройства для транзита

Роутер установлен между 2-мя свитчами, то есть требуется ввести параметры лишь для 2-х Trunk-портов. Таким образом, методика немного проще предыдущей, и потребуются, например, только порты под номерами 4 и 5.

Необходимо сделать следующие шаги:

1. Сначала требуется произвести их группировку:
2. Далее настроить влан-mode и влан-header:
3. Затем в перечень надо дополнить влан-записи:
4. Готово.

Заключение

Весь процесс настройки VLAN на маршрутизаторе Mikrotik не отнимает много времени и усилий, главное, чтобы модель имела поддержку VLAN.

• 1 Настройка MikroTik VLAN
  • 1.1 Сброс настроек роутера
  • 1.2 Настройка WAN порта
  • 1.3 Объединение LAN портов в Bridge
  • 1.4 Добавление VLAN интерфейса
  • 1.5 Настройка пула адресов
  • 1.6 Настройка DHCP серверов
  • 1.7 Настройка DNS сервера
  • 1.8 Включение NAT
  • 1.9 Изоляция подсетей

• 2 Настройка EnGenius VLAN
  • 2.1 Создание двух виртуальных Wi-Fi точек
  • 2.2 Настройка безопасности
  • 2.3 Настройка VLAN виртуальной точки HotSpot
  • 2.4 Настройка LAN

Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.

В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.

Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.

Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:

• роутер MikroTik RB750;
• Wi-Fi точка доступа EnGenius EAP150.

Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.

Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.

1. Настройка MikroTik VLAN

Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.

1.1 Сброс настроек роутера

Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:

1. Откройте в меню New Terminal;
2. Введите команду systemreset;
3. Нажмите кнопку y на клавиатуре, чтобы подтвердить сброс настроек.

После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.

1.2 Настройка WAN порта

Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:

1. Откройте меню IP — DHCP Client;
2. В появившемся окне нажмите красный плюсик;
3. В новом окне в списке Interface: выбираем WAN интерфейс ether1;
4. Нажимаем кнопку OK для сохранения настроек.

После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.

Проверяем наличие соединения с интернетом:

1. Откройте New Terminal;
2. Введите команду ping ya.ru, чтобы пропинговать сайт ya.ru.

Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.

Внимание! На компьютерах, подключенных к роутеру MikroTik, интернет не будет работать, пока не будет выполнена настройка NAT.

1.3 Объединение LAN портов в Bridge

Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.

Добавляем интерфейс Bridge:

1. Откройте меню Bridge;
2. Нажмите «красный плюсик»;
3. В поле Name укажите название интерфейса bridge_main;
4. Нажмите кнопку ОК.

Добавляем LAN порты в Bridge:

1. Перейдите на вкладку Ports;
2. Нажмите «красный плюсик»;
3. В списке Interface выберите второй порт роутера ether2;
4. В списке Bridge выберите интерфейс bridge_main;
5. Нажмите кнопку ОК.

Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.

1.4 Добавление VLAN интерфейса

Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.

1. Откройте меню Interfaces;
2. Перейдите на вкладку VLAN;
3. Нажмите «красный плюсик»;
4. В появившемся окне в поле Name указываем название интерфейса vlan2;
5. В поле VLAN ID указываем идентификатор виртуальной сети, равный 2. Сетевое оборудование с поддержкой VLAN не оперирует именами виртуальных сетей, а использует цифры от 1 до 4094. VLAN ID — это, по сути, имя виртуального интерфейса, которое будет использоваться оборудованием между собой. Единицу в качестве идентификатор использовать не рекомендуется, поскольку некоторые производители используют VLAN ID 1 в качестве значения по умолчанию;
6. В списке Interface выбираем интерфейс bridge_main;
7. Нажимаем кнопку OK для создания VLAN интерфейса.

Назначение IP адресов локальным сетям

Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.

Настройка IP адреса сети предприятия:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.88.1/24;
4. В списке Interface выберите интерфейс bridge_main;
5. Нажимаем кнопку OK.

Настройка IP адреса гостевой сети:

1. Откройте меню IP — Addresses;
2. Нажмите «красный плюсик»;
3. В поле Address введите 192.168.10.1/24;
4. В списке Interface выберите виртуальный интерфейс vlan2;
5. Нажимаем кнопку OK.

1.5 Настройка пула адресов

Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.

Добавляем диапазон IP адресов предприятия:

1. Откройте меню IP — Pool;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_pool_main;
4. В поле Addresses пропишите диапазон 192.168.88.2–192.168.88.254 ;
5. Нажмите кнопку OK для сохранения пула адресов.

Добавляем диапазон IP адресов гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
3. В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
4. Нажимаем кнопку OK для сохранения пула адресов.

1.6 Настройка DHCP серверов

Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.

Настраиваем DHCP сервер внутренней сети предприятия:

1. Откройте меню IP — DHCP server;
2. Нажмите «красный плюсик»;
3. В появившемся окне в поле Name укажите название dhcp_server_main;
4. В списке Interface выберите интерфейс офисной сети bridge_main;
5. В списке Address Pool выберите пул IP адресов dhcp_pool_main, которые будут присваиваться компьютерам предприятия;
6. Нажмите кнопку OK.

Настраиваем DHCP сервер гостевой сети аналогичным образом:

1. Нажмите «красный плюсик»;
2. В появившемся окне в поле Name укажите название dhcp_server_vlan2;
3. В списке Interface выберите виртуальный интерфейс гостевой сети vlan2;
4. В списке Address Pool выберите пул IP адресов dhcp_pool_vlan2, которые будут присваиваться гостевым ноутбукам;
5. Нажмите кнопку OK.

Теперь переходим на вкладку Networks и добавляем наши сети:

Добавляем сеть предприятия:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.88.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.88.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.88.1;
6. Нажмите кнопку OK.

Добавляем гостевую сеть:

1. Нажмите «красный плюсик»;
2. В поле Address укажите сеть предприятия 192.168.10.0/24;
3. В поле Gateway укажите адрес шлюза 192.168.10.1;
4. В поле Netmask укажите маску 24;
5. В поле DNS Servers укажите адрес DNS сервера 192.168.10.1;
6. Нажмите кнопку OK.

1.7 Настройка DNS сервера

1. Откройте меню IP — DNS и нажмите кнопку Settings;
2. Поставьте галочку Allow Remote Request;
3. Нажмите кнопку OK.

1.8 Включение NAT

Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.

Настройка NAT для внутренней сети предприятия:

1. 1. Откройте меню IP — Firewall;
   2. Перейдите на вкладку NAT;
   3. Нажмите «красный плюсик»;

1. 1. В списке Chain выберите srcnat;
   2. В поле Src. Address укажите диапазон IP адресов сети предприятия 192.168.88.0/24;
   3. В списке Out Interface выберите WAN порт ether1, на который приходит интернет от провайдера;

1. Перейдите на вкладку Action;
2. В списке Action выберите masquerade;
3. Нажмите кнопку OK.

Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:

1. Нажмите «красный плюсик»;
2. В списке Chain выберите srcnat;
3. В поле Src. Address укажите диапазон IP адресов гостевой сети 192.168.10.0/24;
4. В списке Out Interface выберите WAN порт vlan2, на который приходит интернет от провайдера;
5. Перейдите на вкладку Action;
6. В списке Action выберите masquerade;
7. Нажмите кнопку OK.

1.9 Изоляция подсетей

Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.

1. Откройте меню IP — Routes;
2. Перейдите на вкладку Rules;
3. Нажмите «красный плюсик»;
4. В поле Src. Address укажите офисную подсеть 192.168.88.0/24;
5. В поле Dst. Address укажите гостевую подсеть 192.168.10.0/24;
6. В списке Action выберите unreachable;
7. Нажмите кнопку OK.

Добавляем второе правило аналогичным образом, только меняем местами подсети.

1. Нажмите «красный плюсик»;
2. В поле Src. Address укажите офисную подсеть 192.168.10.0/24;
3. В поле Dst. Address укажите гостевую подсеть 192.168.88.0/24;
4. В списке Action выберите unreachable;
5. Нажмите кнопку OK.

Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.

2 Настройка EnGenius VLAN

Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.

Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.

2.1 Создание двух виртуальных Wi-Fi точек

Чтобы устройство работало беспроводной точкой доступа, перейдите в меню System — Operation Mode и выберите режим Access Point. Нажмите кнопку Apply для применения настроек.

Переходим в меню Wireless — Basic и настраиваем две Wi-Fi точки Office и HotSpot.

• В списке Enabled SSID выберите цифру 2, чтобы можно было ввести два названия точки доступа;
• В поле ESSID1 вводим название Wi-Fi точки Office — это будет беспроводная сеть предприятия;
• В поле ESSID2 вводим название Wi-Fi точки HotSpot — это беспроводная сеть для подключения гостей;
• AutoChannel оставьте Enable, если хотите чтобы точка сама выбирала Wi-Fi канал, на котором будет работать. У нас на других каналах есть много других Wi-Fi точек, создающих помехи. Поэтому мы выбрали AutoChannel: Disable и в списке Channel вручную указали более свободный канал 11;
• Нажмите кнопку Apply для применения настроек.

2.2 Настройка безопасности

На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.

• Откройте меню Wireless — Security;
• В списке ESSID Selection выберите название точки Office;
• В списке Encryption выберите шифрование WPA pre-shared key;
• В WPA Type выберите тип шифрования WPA2 Mixed;
• В списке Pre-shared Key Type выберите тип ключа Passphrase;
• В поле Pre-shared Key введите пароль для подключения к Wi-Fi точке Office;
• Нажмите кнопку Apply для применения настроек.

Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.

Также не забудьте в меню Management — Admin изменить пароль для входа в настройки точки доступа EnGenius.

2.3 Настройка VLAN виртуальной точки HotSpot

Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.

• Откройте меню Wireless — VLAN;
• Выберите Virtual LAN: Enable;
• Напротив SSID 1 Tag: уберите галочку Tag, поскольку первая точка доступа Office не вынесена в отдельный VLAN;
• Напротив SSID 2 Tag: поставьте галочку Tag и укажите идентификатор 2 — это VLAN идентификатор второй точки доступа HotSpot, вынесенной в отдельный VLAN;
• Нажмите кнопку Apply для применения настроек.

2.4 Настройка LAN

Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.

• Откройте меню Network — LAN;
• Bridge Type выбираем Static IP — ввод сетевых настроек вручную;
• IP Address вводим 192.168.88.100;
• IP Subnet Mask указываем маску подсети 255.255.255.0;
• Default Gateway — это IP адрес шлюза. Шлюзом выступает роутер 192.168.88.1;
• First DNS Address указываем первичный DNS сервер 192.168.88.1;
• Second DNS Address вводим альтернативный DNS сервер Google 8.8.8.8;
• Применяем настройки кнопкой Apply.

Если вы настроили EnGenius на получение автоматических настроек по DHCP, то после подключения точки доступа к роутеру, нужно посмотреть в роутере, какой IP адрес присвоился точке EnGenius. Это можно сделать в меню IP — DHCP Server на вкладке Leases. Посмотрите по MAC адресу устройства, какой ей присвоен IP адрес.

Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.

Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.

Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.

Огромное спасибо: http://www.technotrade.com.ua/Articles/mikrotik_vlan_separation_2013-05-08.php#vlan_setup_hotspot

Смотрите также:

VPN: L2TP site-to-site (объединение офисов через ВПН на Mikrotik)Расчет объема дискового пространства для записи изображения c IP-видеокамерОптоволоконные кабели связи. Как это делаетсяСравнение лицензий MikroTik RouterOSИспользуемые источники:

• https://tvoi-setevichok.ru/setevoe-oborudovanie/kak-nastroit-vlan-na-mikrotik-poshagovaya-instruktsiya.html
• https://nastrojkin.ru/equip/mikrotik/nastrojka-vlan-mikrotik.html
• https://adminotes.ru/razdelenie-lokalnoj-seti-s-pomoshhyu-vlan/