Сегодня рассматриваем нетипичную ситуацию, когда на роутер нужно завести две подсети, которые предоставляет провайдер. Первая подсеть с прямым IP адресом предоставляется классическим способом. Вторую подсеть тоже с прямым адресом передают тегированным VLAN.
Имеется роутер Keenetic Lite 3, Версия ОС 2.15.C.6.0-1. На Keenetic Lite 2 тоже всё прекрасно настроилось.
Совместное использование тегированного и нетегированного трафика на порту WAN изначально предусмотрено в интернет-центрах Keenetic. Однако, подразумевается, что одна из дополнительных подсетей используется для IP-телефонии или IP-телевидения.
Усложняем задачу: в каждой подсети будет два внешних IP адреса. Всего четыре.
Совместное использование тегированного и нетегированного трафика на порту WAN интернет-центра
В этом случае настройка доступна прямо в GUI:
Это, конечно, всё прекрасно. Но как быть если вторая сеть тоже для Интернет? В GUI с такой задачей не справиться. Если бы на входе было два провода: один с нетегированным трафиком, а второй с тегированным, то мы бы просто воткнули оба провода в роутер, добавили второго провайдера и настроили их одновременную работу.
Интернет-центры Keenetic поддерживают работу с несколькими одновременными подключениями (такую схему обычно называют Multi-WAN). Можно, к примеру, использовать второе подключение в качестве резерва:
Подключение к нескольким провайдерам и резервирование интернет-канала
Или использовать два канала в режиме балансировки:
Использование нескольких WAN-подключений в режиме балансировки (настройка через CLI)
Наш случай похож на ситуацию, когда два провода от двух провайдеров и сам роутер подключены к неуправляемому коммутатору. А что, тегированный и нетегированный трафик друг другу не мешает. Но это небезопасно. В моём же случае оба источника трафика предоставляются одним провайдером.
Воспользуемся CLI.
Нетегированный трафик
Подключаем провод от провайдера в порт WAN, настраиваем Интернет с нетегированным трафиком через GUI, как обынчно. Провайдер нам даёт подсеть и два внешних IP адреса:
- IP адреса: 1.2.3.194, 1: 1.2.3.207
- Маска: 255.255.255.192
- Шлюз: 1.2.3.193
Настраиваем как обычно, второй IP адрес добавляем как алиас:
Keenetic Lite 3 — добавляем второй IP адрес на WAN интерфейс
Показать текущие настройки:
show running-config
Не буду приводить весь конфиг, основное:
interface FastEthernet0/0
rename 0
role inet for ISP
switchport mode access
switchport access vlan 2
up
!
interface FastEthernet0/Vlan2
rename ISP
description "Broadband connection"
mac address factory wan
security-level public
ip address 1.2.3.194 255.255.255.192
ip dhcp client dns-routes
ip dhcp client name-servers
ip global 700
igmp upstream
up
!
ip route default 1.2.3.193 ISP
У нас есть нулевой порт WAN, это интерфейс FastEthernet0/0. Cisco-like конфигурация говорит нам что он работает в нетегированном режиме switchport mode access, и на нём работает VLAN 2, это интегрированный стандартный VLAN для WAN.
Сразу прикрутим второй IP адрес как алиас:
interface FastEthernet0/Vlan2
ip alias 1.2.3.207 255.255.255.192
exit
system configuration save
interface FastEthernet0/0
rename 0
role inet for ISP
switchport mode access
switchport access vlan 2
up
!
interface FastEthernet0/Vlan2
rename ISP
description "Broadband connection"
mac address factory wan
security-level public
ip address 1.2.3.194 255.255.255.192
ip alias 1.2.3.207 255.255.255.192
ip dhcp client dns-routes
ip dhcp client name-servers
ip global 700
igmp upstream
up
!
ip route default 1.2.3.193 ISP
Тегированный трафик
Провайдер нам даёт вторую подсеть и два внешних IP адресов в VLAN 1212:
- IP адреса: 1.2.3.179, 1: 1.2.3.181
- Маска: 255.255.255.240
- Шлюз: 1.2.3.177
Создаём VLAN 1212. MAC адрес делаем отличным от основного интерфейса, приоритет меньше, сразу с алиасом (не обязательно).
interface FastEthernet0/Vlan1212
rename ISP_VLAN1212
description "ISP2 VLAN 1212"
mac address e4:18:6b:03:b9:dd
ip address 1.2.3.179 255.255.255.240
ip alias 1.2.3.181 255.255.255.240
ip dhcp client dns-routes
ip dhcp client name-servers
ip global 600
exit
Подключаем его к порту WAN 0:
interface FastEthernet0/0
switchport mode trunk
switchport trunk vlan 1212
exit
Добавляем маршрут по умолчанию для второй сети:
ip route default 1.2.3.177 ISP_VLAN1212
Поднимаем интерфейс:
interface FastEthernet0/Vlan1212
up
exit
Сохраняем конфигурацию:
system configuration save
interface FastEthernet0/0
rename 0
role inet for ISP
switchport mode access
switchport mode trunk
switchport access vlan 2
switchport trunk vlan 1212
up
!
interface FastEthernet0/Vlan2
rename ISP
description "Broadband connection"
mac address factory wan
security-level public
ip address 1.2.3.194 255.255.255.192
ip alias 1.2.3.207 255.255.255.192
ip dhcp client dns-routes
ip dhcp client name-servers
ip global 700
igmp upstream
up
!
interface FastEthernet0/Vlan1212
rename ISP_VLAN1212
description "ISP2 VLAN 1212"
mac address e4:18:6b:03:b9:dd
security-level public
ip address 1.2.3.179 255.255.255.240
ip alias 1.2.3.181 255.255.255.240
ip dhcp client dns-routes
ip dhcp client name-servers
ip global 600
up
!
ip route default 1.2.3.177 ISP_VLAN1212
Да вроде и всё.
Тонкие моменты
DNS для обоих сетей можно настроить через GUI.
При пробросе портов следует учитывать, что обратный трафик будет выходить через шлюз по умолчанию для локальной машины. Так что через чей шлюз выходит комп, оттуда и нужно делать проброс. Иначе следует воспользоваться разделом Приоритеты подключений и привязать локальный комп к профилю с нужным интерфейсом.
Если пробрасывать нужно на один комп с обоих сетей, то втыкаем вторую сетевуху в комп и подключаем к отдельному порту роутера, вторую домашнюю сеть с отдельным DHCP. Настроить два разных приоритета подключений на разные профили подключений к Интернет для разных MAC адресов сетевух. А дальше поднимать приложение на соответствующих локальных интерфейсах.
При включении доступа из Интернет к web-интерфейсу роутера один из алиасов работать не захотел, какая-то недоработка или багофича. Лечится настройкой переадресации на соответствующее подключение.
Две сети можно использовать для резервирования или балансировки трафика.
