22T22 Virtual LAN [Konfiguracja MikroTik]

MikroTik Virtual LAN

Link do artykułu.

0:00 Wprowadzenie

0:25 Dodanie Dodatkowego Interfejsu

1:06 Dodanie Dodatkowego PC

1:27 Uruchomienie Środowiska

4:33 Konfiguracja Serwerów DHCP

7:35 Testowanie Konfiguracji

15:22 Podsumowanie

Transkrypcja

Cześć. Chcesz dowiedzieć się jak skonfigurować VLAN na routerze MikroTik?Jeśli tak, to dobrze trafiłeś. W tym odcinku pokażę, jak to zrobić wykorzystując MikroTik RouterOS w wersji CHR. Jako bonus pokażę, jak zwiększyć ilość interfejsów wirtualnej instancji MikroTika na EVE-NG. Zapraszam.

Zanim zostanie skonfigurowany VLAN na routerze MikroTik pokażę jak dodać dodatkowy interface w zwirtualizowanym routerze MikroTik na EVE-NG. W tym celu naciskamy prawym przyciskiem myszy na ikonę routera MikroTik na schemacie w EVE-NG i wybieramy Edit. W wyświetlonym formularzu edycji NODE wystarczy tylko zmienić ilość interfejsów. My potrzebujemy pięciu interfejsów w przypadku tego demo. Więc zmieniamy wartość na 5 i naciskamy Save. Teraz dodamy dodatkowy PC. Odrazu za jednym razem zmienimy jego nazwę, żeby była zgodna z poprzednim nazewnictwem i podłączamy do wolnego slotu na routerze MikroTik. Teraz możemy uruchomić całe środowisko. Wybieramy przycisk Start all nodes. W teorii to łącze powinno otworzyć wszystkie terminale ale otworzyło tylko ten o ID 1. Możliwe, że jest to związane z przeglądarką. Dlatego pozostałe urządzenia zostaną otworzone ręcznie. Dla lepszej przejrzystości urządzenia zostaną otworzone na oddzielnym wirtualnym pulpicie. Na pulpicie podstawowym zostanie tylko MikroTik. Metodą przeciągnij i upuść po kolei przeciągamy każdy pulpit.

Zrobimy tylko porządek… W odpowiedniej kolejności po kolei naciskamy PC 1,2,3 i 4. Teraz pokażę jaka jest aktualna konfiguracja tych urządzeń. Domyślnie jest pusta. Teraz zostanie odpytany serwer DHCP. Pecety 1 – 3 otrzymają konfigurację ale pecet 4 jest podłączony do interfejsu Ether5, który nie ma zdefiniowanej konfiguracji z serwera DHCP. Teraz należy się zalogować do routera MikroTik. Uruchamiamy program WinBox. Połączymy się z routerem MikroTik. Przechodzimy do opcji Interfaces, do karty VLAN. Tutaj tworzy się interfejsy dla VLAN-ów. Jednak wcześniej najlepiej utworzyć Bridge dla konkretnego VLAN-u. Chyba, że jesteśmy zdecydowani utworzyć VLAN na jednym konkretnym interfejsie. Teraz należy utworzyć Bridge. W tym celu przechodzimy do menu Bridge. Karty Bridge. Naciskamy niebieski znak +. Nadajemy nazwę dla Bridga. Nazwa powinna jednoznacznie wskazywać do czego on jest nam potrzebny. W tym przypadku on będzie nam służył dla VLAN-u 10. Dlatego aby jednoznacznie wskazać, że nadal jest to Bridge zostawimy prefiks bridge_vlan10. Naciskamy OK. To samo robimy dla VLAN-u 20. Tworzymy bridge_vlan20 i naciskamy OK. Przechodzimy do zakładki Ports.

Teraz chcemy skonfigurować serwery DHCP dla utworzonych Bridge. W tym celu najpierw przejdziemy do IP -> Adresses i utworzymy adresację. Dla VLAN-u 10 będzie to 10.10.10.1/24 i wskazujemy interfejs bridge_vlan10. Naciskamy OK. To samo analogicznie robimy dla VLAN-u 20. 10.20.20.1/24. Ale tym razem w interfejsie wskazujemy bridge_vlan20. Naciskamy OK. Schemat adresacji mamy gotowy. Przechodzimy do zakładki DHCP w DHCP Server i tworzymy dodatkowe serwery DHCP. Wykorzystując kreator DHCP Setup wybieramy bridge_vlan10 i naciskamy do końca Next. Przechodzimy do ustawień dhcp1 w celu zmiany nazwy dhcp1 na dhcp_vlan10. Naciskamy OK. Teraz naciskamy DHCP Setup i tworzymy serwer DHCP dla vlan-u 20. Tutaj analogicznie zmieniamy nazwę na dhcp_vlan20. Ponownie przechodzimy do bridge. Tym razem do zakładki Ports i modyfikujemy bridge dla interfejsu ether2, ether3 i ether4. Dla ether2 i ether3 ustawiamy bridge_vlan10 bo chcemy aby te dwa interfejsy były w vlanie 10. Dodatkowo w zakładce VLAN w polu PVID wpisujemy ID vlan-u. Będzie to vlan 10. Naciskamy OK. To samo robimy dla ether3 w PVID wpisujemy 10 a w zakładce General zmieniamy bridge na bridge_vlan10. Naciskamy OK. Interfejs ether4 zmieniamy na vlan20 i w polu PVID wpisujemy 20. Naciskamy OK. Dodatkowo musimy dodać interfejs ether5, wybrać bridge vlan20 i w polu PVID wpisać 20. Naciskamy OK. Wstępnie konfiguracja jest gotowa.

Przechodzimy Interfaces, zakładki VLAN. Dodajemy tutaj vlan-y dla bridge. Nadajemy nazwy dla vlan-u. Dla vlan-u 10 będzie to vlan10, w polu vlan ID wpisujemy ID vlan-u. Z interfejsów wybieramy bridge. Naciskamy OK. Analogicznie dodajemy vlan 20. Zmieniamy nazwę na vlan20. Dodajemy ID vlan-u 20. Wybieramy interfejs bridge_vlan20. Naciskamy OK.

Teraz przetestujemy konfigurację. Najpierw sprawdzimy jak wygląda aktualna adresacja. Narazie jest taka sama. Podajemy polecenia DHCP na każdym z urządzeń. Tutaj została pobrana nowa. Widać adresację 10.10.10.254. Tutaj wykonujemy po kolei polecenia. Analogicznie też widać, że najpierw była stara konfiguracja, teraz nowa. Tutaj otrzymaliśmy adresację z vlan-u 20 10.20.20.254 a na PC4 również z vlan-u 20 10.20.20.253. Przetestujemy jeszcze ping. Ping z PC2 do PC1 przechodzi. Z PC3 do PC1 również przechodzi. Jest to związane z tym, że następuje komunikacja między vlanami. W wielu przypadkach a w zasadzie w większości możemy tego nie chcieć. To jeszcze właśnie pokażę jak to wygląda, poleceniem trace. Właśnie z tym ustawieniem jest związana opcja filtrowania vlan-ów. Konfiguruje się ją na poziomie bridga. Jest to właśnie ta opcja. Włączenie tej opcji w niektórych przypadkach jest niebezpieczne. Może nas całkowicie odciąć od routera. Powinien zostać utworzony wcześniej vlan managementowy. Oczywiście gdy modyfikujemy ustawienia, które potencjalnie mogą nas odłączyć bezpowrotnie od routera powinniśmy korzystać z Safe Mode. W razie jakiegokolwiek problemu konfiguracje wykonane podczas działania tego trybu zostaną odrzucone. A więc utworzymy najpierw vlan menagmentowy, w naszym przypadku jest to vlan 253. Jest on podłączony do interfejsu ether1. Tutaj podajemy jeszcze ID vlan-u 253. Profilaktycznie możemy zacząć od Apply jeśli mielibyśmy wątpliwości czy to ustawienie nas nie odetnie. Tutaj wszystko działa. Jeszcze tutaj pokażę jak wygląda trace. Warto zwrócić uwagę, że właśnie widać tutaj wyraźnie komunikację między vlanami. PC1 i PC2 będąc w vlan-ie 10 mają tylko jedną trasę a PC3 komunikując się z PC1 ma dwie trasy. Najpierw przechodzi przez bramę vlanu 20 10.20.20.1 i potem odpytuje właśnie adres w vlanie 10 10.10.10.254.

Teraz pokażę jak zapobiec takiej komunikacji. W vlan-ie 10 otwieramy konfigurację bridge_vlan10, przechodzimy do zakładki VLAN, Włączamy VLAN Filtering. Tutaj nie trzeba nic modyfikować. Wystarczy nacisnąć OK. Tutaj jak widać mnie rozłączyło i pojawia się taka mała sugestia jeśli chodzi właśnie o korzystanie z trybu bezpiecznego to po skonfigurowaniu każdej rzeczy, która już działa polecam wyłączyć tryb bezpieczny i w przypadku dalszej niebezpiecznej konfiguracji z powrotem go włączyć w celu nie utracenia właśnie w takich sytuacjach konfiguracji. Tutaj utraciliśmy konfigurację vlanu 253 managementowego. Tutaj nie możemy zastosować tego gdyż jest ryzyko, że nas odetnie. Najpierw włączymy Save Mode, dodajemy interfejs vlan 253 management o ID 253 na interfejsie ether1. Teraz gdy został utworzony interfejs managementowy. Wyłączamy Save Mode. Tutaj widać, że bridge jest tożsamy na interfejsach. Teraz możemy bezpieczenie, będąc dalej w Save Mode włączyć tą opcję. Tym razem naciskamy Apply i zobaczymy jak działa to między urządzeniami. Zapingujemy z PC3, PC1. 10.10.10.254. Otrzymujemy timeout. A gdy z PC2 zapingujemy PC1, uzyskujemy normalnie odpowiedź. A gdy z PC2, który jest w vlanie 10 zapingujemy PC3, który jest w vlanie 20, Otrzymujemy informacje, że brama jest nieosiągalna. A więc włączamy filtrowanie również dla vlan-u 20 i wyłączamy tryb bezpieczny aby nie utracić konfiguracji.

Spróbujemy z PC1 zakomunikować się z PC2. Komunikacja odbywa się bez problemu. Teraz spróbujemy z PC3 skomunikować się z PC2. Otrzymujemy komunikat, że host jest nieosiągalny. Tutaj widać, że jakiekolwiek połączenia z innym vlan-em są odrzucane. To właśnie chcieliśmy osiągnąć. Tutaj mamy widoczne dzierżawy, które zostały przydzielone dla konkretnego urządzenia. Jak mogłeś zauważyć podczas konfiguracji vlanów komunikacja między vlanami jest domyślnie włączona. Jeśli chcesz odseparować sieci między sobą musisz to jawnie zadeklarować. Do następnego razu.