Konfiguracja VLAN

Print Friendly, PDF & Email

W przypadku prostych konfiguracji sieciowych (na przykład sieć domowa) najczęściej mamy do czynienia z jedną siecią lokalną, zwaną siecią LAN, oraz siecią publiczną – WAN
(poprzez którą łączymy się, z pomocą naszego dostawcy internetu, z siecią internet) . Nasz router realizuje funkcjonalność zwaną NAT (PAT, SRC-NAT, MASQUARADE), czyli mechanizmem
translacji adresów, portów wychodzących z naszej sieci LAN do sieci zewnętrznej. Zasadniczo aby zrealizować powyższy schemat konieczne są dwa fizyczne porty (ethernetowe) w naszym routerze
oraz przełącznik (sieć LAN). Co jednak w przypadku gdy nasza sieć wymaga podziału na więcej niż sieć WAN i LAN? Wyobrażmy sobie, iż posiadamy firmę, a w niej kilka działów, dodatkowo
mamy też kilka serwerów, które dostępne są z zewnątrz. Każdy dział (recepcja, księgowość, it, marketing). Serwery dostępne z zewnątrz, powinny być w osobnej sieci (DMZ – demilitarized
zone).
Nasza konfiguracja zakłada teraz obsługę następujących sieci:
– WAN (łącze dostępowe do zasobów sieci Internet)
– LAN_IT
– LAN_MARKETING
– LAN_RECEPCJA
– LAN_KSIEGOWOSC
– DMZ
Dodatkowo mamy do dyspozycji jeden przełącznik i jeden router. Jeżeli nasz router posiada jedynie 5 interfaców fizycznych (sieci mamy 6) to okazuje się, iż mamy za mało portów aby podłączyć
wszystkie sieci do naszego routera. Z pomocą przychodzą nam VLAN’y (Virtual Local Area Network). Ogólnie mówiąc jest to mechanizm umożliwiający logiczny podział sieci (segmentację),
agregację różnych sieci (domen rozgłoszeniowych) w ramach jednego portu fizycznego. Czyli nawiązując do naszego scenariusza możemy skonfigurować połączenie pomiędzy naszym routerem
a przełącznikiem (Mikrotik-ether2 > Switch-eth1) w taki sposób aby kilka sieci (księgowość, it, dmz) były dostępne na jednym fizycznym porcie od strony routera i przełącznika.

Jak działa VLAN

Każda ramka ethernetowa dostaje unikalny identyfikator mówiący o tym do której sieci należy (tzw. VLAN TAG). VLAN tag to numer z zakresu 0 – 4096 nadawany przez administratora. Z punktu
widzenia przełącznika konieczne jest zdjęcie tego identyfikatora na portach do których podłączone są urządzenia końcowe (ACCESS port) takie jak (laptop, drukarka, telefon IP).

Zalety VLAN

– oszczędność fizycznych portów na routerze i przełącznikach (mniej kabli)
– brak konieczności posiadania osobnych przełączników dla każdej z obsługiwanych sieci
– możliwość łączenia oddziałów firmy, posiadającej wiele sieci LAN, za pomocą VPN warstwy drugiej (np OPENVPN, EOIP)
– podział na osobne sieci ułatwia zarządzanie polityką firewall

Wymagania

– jeden router Mikrotik
– przełącznik zarządzalny z obsługą VLAN (802.1q)
– aplikacja winbox

Założenia

– sieć WAN (łącze od dostawcy, adresacja publiczna: 1.1.1.0/29)
– sieć LAN_IT / adresacja: 192.168.10.0/24 / VLAN tag: 10
– sieć LAN_MARKETING / adresacja: 192.168.20.0/24 / VLAN tag: 20
– sieć LAN_KSIEGOWOSC / adresacja: 192.168.30.0/24 / VLAN tag: 30
– sieć LAN_RECEPCJA / adresacja: 192.168.40.0/24 / VLAN tag: 40
– sieć DMZ / adresacja: 192.168.90.0/24 / VLAN tag: 90
– dla sieci IT, MARKETING, RECEPCJA, KSIEGOWOSC nasz router będzie przydzielał adresy (DHCP_SERVER)
– adres serwera www: 192.168.90.2

 

vlan konfiguracja

Konfiguracja

1. Reset konfiguracji routera
Winbox# System/Reset Configuration

Winbox# System/Reset Configuration

Konsola

Konsola

2. Adresacja interface’u ether1 (WAN)
Address IP : 1.1.1.2/29
Network: 1.1.1.0/29
Gateway: 1.1.1.1
Winbox# IP/Addresses/Add

Winbox# IP/Addresses/Add

3. Ustawienie bramy – default gateway
Winbox# IP/Routes/Add

 Winbox# IP/Routes/Add

4. Konfiguracja interface’ów vlan na ether2
Winbox# Interfaces/Vlan/Add

Winbox# Interfaces/Vlan/Add

I kolejno dla pozostałych sieci

vlan

5. Nadanie adresu dla każdego z interface’ów vlan
Winbox# IP/Addresses/Add

Winbox# IP/Addresses/Add

I kolejno dla każdej z sieci zgodnie ze schematem

address vlan

6. Uruchamiamy DHCP Server dla sieci IT, KSIEGOWOSC, RECEPCJA, MARKETING

Winbox# IP/DHCP Server/DHCP Setup

Winbox# IP/DHCP Server/DHCP Setup  Winbox# IP/DHCP Server/DHCP Setup Winbox# IP/DHCP Server/DHCP Setup vlan dhcp dns vlan

I kolejno dla pozostałych sieci

dhcp_servers

7. Ustawienie mechanizmu SRCNAT dla naszych sieci
Winbox# IP/Firewall/NAT/Add

Winbox# IP/Firewall/NAT/Add  Winbox# IP/Firewall/NAT/Add

I kolejno dla pozostałych sieci

srcnat vlan

8. Konfiguracja DSTNAT dla serwera WWW

Winbox# IP/Firewall/NAT/Add

Winbox# IP/Firewall/NAT/Add  Winbox# IP/Firewall/NAT/Add

9. Konfiguracja przełącznika
Konfiguracja przełącznika może różnić się w zależności od producenta. W poniższym przykładzie
opiszemy konfigurację przełącznika CISCO Catalyst:

Switch1>enable
Switch1#configure terminal

Switch1(config)#interface FastEthernet 0/1
Switch1(configifrange)#switchport mode trunk

Switch1(config)#interface vlan 10
Switch1(configif)#description LAN IT
Switch1(configif)#exit
Switch1(config)#interface range FastEthernet 0/2 , FastEthernet 0/6
Switch1(configifrange)#switchport mode access
Switch1(configifrange)#switchport access vlan 10

Switch1(config)#interface vlan 20
Switch1(configif)#description LAN MARKETING
Switch1(configif)#exit
Switch1(config)#interface range FastEthernet 0/7 , FastEthernet 0/12
Switch1(configifrange)#switchport mode access
Switch1(configifrange)#switchport access vlan 20

Switch1(config)#interface vlan 30
Switch1(configif)#description LAN KSIEGOWOSC
Switch1(configif)#exit
Switch1(config)#interface range FastEthernet 0/13 , FastEthernet 0/18
Switch1(configifrange)#switchport mode access
Switch1(configifrange)#switchport access vlan 30

Switch1(config)#interface vlan 40
Switch1(configif)#description LAN RECEPCJA
Switch1(configif)#exit
Switch1(config)#interface range FastEthernet 0/19 , FastEthernet 0/20
Switch1(configifrange)#switchport mode access
Switch1(configifrange)#switchport access vlan 40

Switch1(config)#interface vlan 90
Switch1(configif)#description DMZ
Switch1(configif)#exit
Switch1(config)#interface range FastEthernet 0/21 , FastEthernet 0/24
Switch1(configifrange)#switchport mode access
Switch1(configifrange)#switchport access vlan 90

 

Bezpieczeństwo:
– Używamy odpowiednio skomplikowanych haseł
– Konfiguracja firewall (z uwzględnieniem czy dane podsieci powinny mieć do siebie dostęp)
– Wprowadzamy ograniczenia logowania się do WINBOX’a (np z określonych adresów IP,
konfigurujemy mechanizm port knocking)
– Wyłączamy metody logowania z których nie korzystamy (np. Telnet, ssh, http)
– Ograniczmy działanie protokołu IP/Neighbors
– Ograniczmy działanie MAC-Server’a