23T31 VLAN bez Bridge na routerze w 24 min. [Konfiguracja Mikrotik]

Więcej miejsc do posłuchania:

Spotify

0:00 Wprowadzenie

0:26 Topologia

0:51 Konfiguracja Routera Brzegowego

5:18 Tworzenie DHCP serwerów dla każdego VLANu

19:18 Konfiguracja dwóch pozostałych routerów

23:24 Podsumowanie

Transkrypcja

Cześć. Witam Cię w kolejnym wpisie dotyczącym konfiguracji urządzeń Mikrotik. Dzisiaj zajmiemy się konfiguracją naszego testowego środowiska,
które pamiętasz z poprzedniego wpisu: Jak dostać się do urządzeń Mikrotik. Może przypomnę je na początek. Zajmiemy się dzisiaj tą gałęzią, która jest oznaczona na czerwono czyli mamy nasz router brzegowy, mamy nasz Switch, mamy nasz laptop, którym się podłączymy i sprawdzimy czy wszystko działa i dodatkowo skonfigurujemy jeszcze dwa trunki do dwóch routerów, które przydadzą nam się w dalszych wpisach.

Zacznijmy zatem od konfiguracji naszego routera brzegowego. Logujemy się do urządzenia. Wszystkie urządzenia zostały przywrócone do ustawień fabrycznych bez domyślnej konfiguracji więc nie mamy tutaj hasła. Logujemy się do urządzenia. Jedyne co udało mi się przed materiałem video skonfigurować to jest klient DHCP żebyśmy mieli wyjście na świat. Zgodnie z topologią naszej testowej sieci musimy przygotować VLANy. Aby dodać VLANy przechodzimy do opcji Interfaces, na zakładkę VLAN i wprowadzamy VLANy od 9, który będzie naszym VLANem managementowym do VLANu 13. Wpisujemy VLAN ID, który będzie naszym Tagiem i przypisujemy go do interfejsu 5 z którego będą wychodzić wszystkie VLANy. VLAN kolejny czyli VLAN 10 z tagiem 10 na Ethernet 5 i kolejny VLAN 11 z tagiem 11 na ethernet 5, VLAN 12 z tagiem 12 na interfejsie 5 i VLAN 13 z tagiem 13 również na interfejsie 5.

Teraz do każdego VLANu musimy przypisać prawidłową adresację. W tym celu przechodzimy do zakładki IP adreses i tutaj nadajemy adresy do poszczególnych VLANów. Klikamy dodaj dla VLANu 9 wpisujemy 192.168 i w 3 oktecie 9 jako wyróżnienie VLANu  9 z adresem 1 i maską podsieci 24. Tutaj dajemy adres sieci czyli 192.168.9.0 i przypisujemy ją do VLANu 9 i podobnie robimy dla pozostałych VLANów. Czyli 192.168.10.1 z maską 24 w sieci 192.168.10.0 i wskazujemy VLAN 10. Teraz żeby w każdym VLANie
otrzymać autokonfigurację dla naszych urządzeń końcowych musimy uruchomić DHCP Server ale przed zdefiniowaniem tego serwera musimy wprowadzić pulę adresowe, które będą przez ten serwer nadawane dla każdego VLANa.

W tym celu przechodzimy do zakładki IP Pool i dla każdego VLANu tworzymy pulę adresową. Pula. Żeby wszystko było spójnie napiszemy pool_vlan9 z adresami 192.168.9 i powiedzmy od 10 do 20. Mamy jedną pulę I analogicznie robimy pule dla pozostałych VLANów 168.10.10 do 192.168.10.20. Okej mamy przygotowane pule, możemy zabrać się za tworzenie DHCP serwerów dla każdego VLANu. Zróbmy sobie nieco więcej miejsca i stwórzmy
nasze DHCP serwery dla poszczególnych VLANów. W tym celu przechodzimy do zakładki IP DHCP Server, przechodzimy do zakładki DHCP. Możemy skorzystać z konfiguratora automatycznego, który przeprowadzi nas przez cały proces. Ale zróbmy to z palca i teraz robimy: DHCP dla VLANu 9 na interfejsie VLAN 9 Lease Time podwyższmy może to zamiast 10 minut zróbmy 24 godziny i wskażmy pulę adresową z VLANu 9. Resztę zostawiamy bez zmian.

Teraz dla pozostałych VLANów – dhcp_vlan10 na VLANie na interfejs vlan10, 24 godziny pula adresowa VLAN 10. Resztę pozostawiamy bez zmiany. Robimy Apply. Ostatnią rzeczą jaką nam jaką nam pozostało jest wprowadzenie w zakładce Networks informacji dla serwera DHCP, które sieci i przez jaką bramkę mają być obsługiwane. Na VLAN 9, dodajemy sieć 192.168.9.0 z maską 24 na bramie 192.168.9.1. Dla ułatwienia możemy też dodać serwer DNS i tak dla każdego VLANu czyli 192.168.10.0 z maską 24 na bramce 168.10.1. Do każdego możemy dodać serwer DNS. Przy okazji możemy jeszcze zmienić sobie identyfikację naszego urządzenia. W zakładce system, zakładce Identity wpisujemy zamiast Mikrotika R0. Zgodnie z naszą topologią sieci.

Teraz przechodzimy na Switcha. Switch został również przywrócony do ustawień fabrycznych bez domyślnej konfiguracji. Czyli widzimy, że ma adres
0.0.0.0 Natomiast widzimy jego Mac adres, możemy się do niego zalogować i w pierwszej kolejności pyta nas czy też proponuję zmianę hasła. Na razie są to sobie to odpuśćmy i widzimy, że zachował jakby listę okien otwartych na routerze. Możemy te okna na razie pozamykać i zaczniemy od zmiany nazwy może. Czyli System, Identity. Wpisujemy sobie S0 zgodnie z naszą topologią. Teraz musimy w pierwszej kolejności utworzyć bridża i dodać do niego albo wszystkie porty z automatu albo tylko porty, które będziemy wykorzystywać w naszej konfiguracji testowej.

Żeby było szybciej to na razie dodamy tylko te porty, które będziemy wykorzystywać. Czyli dodajemy bridge, znakiem plusa tworzymy bridge o nazwie Bridge wciskamy Apply, OK. Teraz do Bridge dodajemy wszystkie potrzebne porty czyli przechodzimy na zakładkę Ports i po kolei dodajemy nasze porty. Czyli tak: pierwszym portem będzie eth1, Apply, Ok, port nam wskoczył jako, że nic pod niego nie jest podłączone to na razie jest wygaszone. Port numer 2 to będzie podgałęzienie na Access pointa czyli na razie go nie potrzebujemy. Ethernet 3 gdzie podłączymy nasz router o nazwie A, port 4 gdzie podłączymy sobie nasz router o nazwie B i port trankowy 24. Widzimy, że w tym momencie jesteśmy podłączeni, jest jakieś połączenie na porcie 24 i do celów konfiguracji jeszcze dodamy sobie port 23 i klikamy OK. Jeżeli już mamy porty dodane do Bridge to musimy teraz przypisać VLANy jakie będą na naszym switchu obsługiwane i podobnie jak to było na routerze wchodzimy w zakładkę interfejs i wprowadzamy po kolei VLANy. Czyli VLAN 9 z tagiem 9 na interfejsie trankowym czyli Przepraszam tu musimy dodać wszystko do Bridge. vlan10 z tagiem 10 dodajemy sobie do Bridge.

Jak mamy już przypisane wszystkie porty do Bridge to teraz dla Bridge musimy ustawić adresację na sztywno żebyśmy wiedzieli jakie nasze urządzenie, nasz Switch ma adres IP. Naszym  managementowym VLANem jest vlan9. Czyli dajemy sobie 192.168.9.2 z maską 24 w sieci 192.168 9.0 i przepisujemy ją do Bridge. Wciskamy Apply, OK. I w tym momencie powinniśmy móc się dostać do naszego routera. Oczywiście nie dostaniemy się tam poprzez adres IP bo jeszcze nasze VLANy nie działają ale możemy wykorzystać jedną z metod o której mówiliśmy w poprzednim wpisie czyli wykorzystać MAC Telnet i zalogować się do naszego routera. Sesję Telnetową bez hasła i jesteśmy na routerze. Widzimy, że wszystkie VLANy ładnie się pokazały na routerze i teraz musimy wskazać na bridge jakie WLANy mają przychodzić na porcie 24 i jakie mają być WLANy oddawane na poszczególnych portach w naszym bridge.

Aby to zrobić musimy przejść teraz na zakładkę VLANy i do bridge dodajemy. Dodajemy do bridge’a vlan9, który ma być tagowany  na porcie 24 i nie tagowany czyli przygotowany pod urządzenie końcowe i nietagowany na porcie 1. Ok, tutaj nie widzimy przypisania. O teraz widzimy jakie były przypisane czy też jakie są przypisane. Tutaj widzimy jakie będą przypisane jak podłączymy nasze urządzenia czyli następnie do bridge dodajemy vlan10, który będzie tagowany na tym samym porcie przychodzącym trankowym czyli 24 a zróbmy na przykład – przepraszam tu miało być na pierwszym nietagowany A to miało być na 23 i następny VLAN tagowany na, czy też vlan 11 tagowany na 24.

    Na razie pozostawiamy nietagowane vlan12 tagowany na 24 Vlan13 tagowany na 24. OK. Teraz żeby nasz komputer podłączony na porcie 1 otrzymał konfigurację z 10 vlanu powinniśmy przejść do zakładki porty. W porcie jak widzimy jest PVID 1. Musimy zmienić to na PVID, w zakładce VLAN, Musimy zmienić to na PVID 10 a cały Bridge na zakładce VLAN musimy zaznaczyć VLAN Filtering i PVID 9 jako domyślny w komunikacji z naszym routerem. Po wciśnięciu przycisku Apply powinniśmy móc skomunikować się ze naszym routerem ale przed tym jak klikniemy Apply powinniśmy sprawdzić jeszcze raz czy nasze wszystkie porty mają dobrze ustawione PVID. Tutaj jest 9, tutaj jest 10.

    Czyli wszystko powinno działać. Klikamy na Apply, wychodzimy z naszego narzędzia WinBox, uruchamiamy jeszcze raz i widzimy zarówno nasz
    Switch 0 z podadresem 9.2 jak i nasz router z podadresem 1 i będąc w vlanie 9… a tutaj password niepotrzebnie, Connect tak. Tutaj możemy się dostać do jednego urządzenia i do drugiego urządzenia. Po wpisaniu hasła jesteśmy na jednym i na drugim. Sprawdzimy zatem jeszcze konfigurację komputera, który mamy wpięty do vlanu 9 i sprawdzimy czy dostaliśmy konfigurację z vlanu 9 i wszystko się zgadza – vlan 9 ponieważ w trzecim oktecie jest 9, mamy Default Gatewaya, mamy DHCP Server, mamy DNS Server a i to nam powinno wystarczyć jako klientowi żeby wyjść na zewnątrz. Na routerze nie jest dodana, de facto nie wejdziemy bo na routerze nie jest dodana Maskarada ale to szybko możemy zmienić czyli r0 bez hasła i Firewallu gdzie nie ma żadnych reguł bo przywróciliśmy urządzenie do konfiguracji, bez domyślnej konfiguracji.

    Robimy NATa, dodajemy na łańcuchu srcnat Out. Interface Ethernet 1 z którego czerpiemy sobie internet i akcja maskarady. Ok, ok, jeszcze przy okazji w DNS-ie, tak tutaj dostaliśmy dynamicznie od providera jeszcze zaznaczymy sobie Allow i w tym momencie za momencik powinniśmy już dostać możliwość wejścia na zewnątrz. I dokładnie tak jest, możemy uruchomić sobie wiersz poleceń ping na ósemki i wiemy, że mamy kontakt ze światem.

    Teraz możemy sprawdzić czy po podpięciu nowego urządzenia do portu 1 trafiło ono do VLANu 10 i czy możemy się z nim skomunikować. W tym celu chyba najszybciej będzie przejść do DHCP Serwera czyli zakładka IP, DHCP Server i tutaj adresy, które zostały nam przydzielone. Komputer z którego teraz dostaje się do WinBoxa jest w vlanie 9, dostał końcówkę 20 i nowe urządzenie, które przed chwilą podłączyłem w vlanie 10, tak jak widzimy trzeci oktet dziesiąty też numerek 20 czyli wszystko by się zgadzało na chwilę obecną. Dodatkowo możemy sprawdzić czy urządzenie pod adresem 10.20 da się pingować i tak. Pingi lecą, urządzenie nam odpowiada czyli wszystko działa tak jak ma działać.

    Pamiętajmy, że w naszej topologii pozostały nam jeszcze dwa routery do skonfigurowania. Ja zrobiłem to trochę wcześniej żeby nie tracić czasu. Jedyne co musimy teraz zrobić to wystawić vlan 12 na porcie 3 i vlan 13 na porcie 4 aby skomunikować się z tymi routerami. W tym celu musimy wrócić do naszego switcha. Logujemy się, hasło… OK. Przechodzimy do zakładki Bridge i teraz do vlanu 12 dodajemy tagowany ruch na porcie trzecim OK i na vlanie 13 tagowany ruch na porcie 4. OK i teraz próbujemy zalogować się do jednego i drugiego routera. Wybieramy nowe połączenie z WinBoxem i ponieważ vlan 9 jest rozpoznawalny to widać urządzenia. Natomiast jeżeli chcemy dostać się do vlanu 12 musimy wprowadzić to z palca. Jesteśmy na routerze

    A i teraz kolejne połączenie, do 13 jesteśmy na routerze b. W naszej topologii jednak jest to trochę inaczej skonfigurowane. To znaczy vlan12 jest tagowany natomiast vlan 13 wychodzący ze Switcha jest nietagowany. Aby to poprawnie wykonać musimy przejść z powrotem do naszego routera b i w zakładce IP addresess zmienić interfejs z vlanu 13 na Ethernet 1. Jeżeli to zrobimy za chwilę utracimy połączenie z tym routerem ponieważ ruch nie będzie przepuszczany przez vlan tylko powinien być skonfigurowany po stronie switcha jako ruch nietagowany w vlanie 13. Robimy apply, OK I za moment powinno nas wyrzucić ale żeby nie czekać to zamkniemy okno, otworzymy, spróbujemy jeszcze raz dostać się do 13 i niestety połączenie już nie będzie możliwe.

    Żeby to naprawić musimy zalogować się czy też wrócić do naszego Switcha i teraz zmienić w vlanie 13, że ruch na 4 porcie czyli wychodzącym do routera b ma nie być tagowany tylko ma być nietagowany, na porcie 4. Apply, OK. Przy okazji musimy na portach też dokonać tej zmiany czyli na ethernecie 4 w zakładce VLAN musimy ustawić PVID 13 żeby po drugiej stronie urządzenia, które nie wiedzą nic o vlanach mogły się skomunikować. Zatem próbujemy jeszcze raz, odpalamy nowe okno, komunikacja powinna być prowadzona po łączu nietagowanym. Próbujemy zalogować się do 13.2 i zgodnie z naszymi oczekiwaniami dostaliśmy się do routera, który nazywa się B. Po adresie 13.2. Wydaje mi się, że na chwilę obecną wykonaliśmy 100% planu, mamy komunikację między routerem, switchem, naszym klientem czyli osobnym laptopem w vlanie 10, mamy komunikację tagowaną do routera A i mamy komunikację nie tagowaną do routera

    W następnym wpisie pokażę jak skonfigurować vlany w połączeniach bezprzewodowych.