24T4 Tunelowanie sieci wirtualnych czyli Q in Q na Router OS [Konfiguracja Mikrotik]

Link do artykułu.

0:00 Wprowadzenie

1:14 Topologia

3:56 Konfiguracja

15:44 Podsumowanie

Transkrypcja

Cześć. W kilku poprzednich materiałach zapoznaliśmy się z działaniem wirtualnych sieci lokalnych tak zwanych VLANów. W dużej mierze do wykorzystania we własnym środowisku sieciowym. Jednakże pozostaje jeszcze jeden aspekt do omówienia a mianowicie co w przypadku gdybyśmy chcieli połączyć oddziały firmy w warstwie drugiej. Są trzy podstawowe rozwiązania VPN czyli wirtualne sieci prywatne lub położenie niezbędnej infrastruktury pomiędzy lokalizacjami lub dogadanie się z operatorem aby takie połączenie nam zapewnił. Zajmiemy się tym ostatnim przypadkiem ale… No właśnie. Operator może mieć więcej takich klientów, którzy nie dość, że mogą wykorzystywać te same tagi to jeszcze prowadzą komunikację przez te same Szachty. Jak zatem rozdzielić poszczególnych klientów? Do tego typu zadania idealnie pasować będzie rozwiązanie Q in Q znane również pod nazwami VLAN Stacking, Double VLAN tagging lub VLAN tunneling czyli zamykanie jednego VLANu w innym VLANie. Zabawmy się zatem w operatora.

Zaczynamy jak zwykle od naszej topologii i jak widzimy na obrazku mamy tutaj sześć urządzeń. Cztery to są routery, dwa switche. W górnej części obrazu mamy infrastrukturę klienta A, pośrodku mamy dwa Switche operatorskie i na dole mamy dwa routery klienta B. Adresujemy sobie je tak jak widać na obrazku z czego klient A będzie dostawał VLAN operatorski 100 A klient B będzie dostawał VLAN operatorski 200. Przejdźmy zatem do naszej konfiguracji. W tej chwili jesteśmy na switchu operatora pierwszym i zobaczmy jak wygląda sprawa z neighborsami czyli z urządzeniami, które są w naszym otoczeniu i widzimy wszystkie urządzenia zarówno router pierwszy klienta A, router drugi klienta A, router pierwszy klienta B i router drugi klienta oraz drugi Switch operatorski. Jak sprawa wygląda od strony jednego z routerów a mianowicie w następujący sposób:

Na każdym urządzeniu został uruchomiony RoMON. Więc przechodzimy
sobie do… dostajemy się poprzez RoMONa do każdego urządzenia. Wybierzmy sobie router klienta B i zobaczmy jak to wygląda z jego perspektywy. Na urządzeniu klienta B w sąsiadach widzimy następującą siatkę. Ponieważ nie jest włączony jeszcze na switchach ten tryb operatorski to mamy pewną sieczkę to znaczy widzimy wszystkie urządzenia w naszej sieci. Mamy VLANy obu klientów po drugiej stronie, tak. Czyli widzimy urządzenie router drugi NAS czyli jako klienta B ale widzimy też vlan10 klienta A a nie powinniśmy tego widzieć de facto i zaraz sobie dokonfigurujemy, zobaczymy jak dokonfigurować, jak skonfigurować router A żeby sobie to przetestować i wszystkie kolejne routery będą skonfigurowane w podobny sposób.

Zatem to samo: przechodzimy sobie do tak samo do routera A i już zaczynamy go konfigurować tak żeby stworzyć pełną konfigurację dla Routerów. To samo, łączymy się do RoMONa, wybieramy sobie urządzenie R1, tam jeszcze nic nie jest skonfigurowane. Więc zaczniemy od tego. Ok. Przechodzimy sobie do interfejsów, robimy sobie VLANy. Vlan10 z tagiem 10 nie ma jeszcze bridge. Dobra, to zaczniemy od bridge. Do bridge, uruchamiamy bridge, niech to będzie bridge-A-R1 Tak go nazwijmy. Dodamy do niego porty. Tutaj łączymy się jedynie do switcha za pomocą portu pierwszego czyli ethernet 1 i teraz definiujemy sobie vlany. Vlan10 oczywiście dodajemy do bridge i dodajemy vlan20. Vlan20. Też do bridge. Apply. Przypisujemy im teraz adresy. Czyli adres do vlanu będzie 192.168.10.1 z maską 24 i to przepisujemy do VLANu 10, Apply kopiujemy i przypisujemy sobie adres do vlanu20. Apply, Ok. Ok.

Mamy dwa adresy, mamy dwa VLANy, Bridge stworzyliśmy to teraz zobaczymy sobie jak wyglądają nasi sąsiedzi, sytuacja. O… i teraz sytuacja jest jeszcze bardziej skomplikowana bo… O… może tak będzie wygodniej, posortujmy sobie po adresach i teraz widzimy już wszystkie urządzenia, które są w naszej sieci. Zarówno nasze jak i te klienta B, czego widzieć nie powinniśmy. Wszystkie routery skonfigurowane są w podobny sposób czyli mają Bridge… O – tak to sobie ustawmy. Czyli mają skonfigurowanego bridge, do bridge mają dodane porty pierwsze. Mamy dodane interfejsy vlany i mamy dodane adresy do poszczególnych vlanów. Z tego robi nam się siatka powiązań gdzie widzimy wszystkie urządzenia ponieważ nie włączyliśmy jeszcze funkcjonalności Q in Q na switchu.

Przejdźmy zatem do switcha. To sobie zamkniemy. Jesteśmy na switchu numer 1. Tutaj w sąsiadach widzimy wszystkie urządzenia i teraz zaczniemy konfigurować funkcjonalność Q in Q. Zatem przechodzimy teraz do Bridge. Patrzymy czy mamy wszystkie dodane porty. Switche też są skonfigurowane identycznie czyli na pierwszym i drugim porcie mają routery klienckie a na piątym jest połączenie między switchami. Przechodzimy sobie do sekcji interfejsów i konfigurujemy sobie Vlany operatorskie. Czyli dodajemy sobie vlan100 do bridge. Konfigurujemy sobie vlan200 dla klienta B. Dodajemy go do bridge i jeszcze pozostał nam na… na konieczność dostania się do urządzenia zrobimy sobie vlan9 który będzie naszym interfejsem czy też wejściem do tych urządzeń z vlanu9. Będzie taki menagmentowy vlan.

Ok. I jak przypisaliśmy sobie właściwe vlany to teraz przechodzimy do
tabeli vlanów na bridge i dodajemy poszczególne vlany do portów. Czyli vlan100 dodajemy tagowany na piątce a nie tagowany na jedynce bo prowadzi do naszego klienta A. Dodajemy vlan200 który na spięciu z drugim switchem jest na ethernecie piątym a do klienta b prowadzi na interfejsie drugim. Ok. Nie zapominamy oczywiście o Vlanie 9 Managementowym, który musi być tagowany oczywiście na Bridge i powiedzmy, że zrobimy sobie wyjście na czwórce, która jest nieużywana i nie możemy zapominać o tym aby dodać PVID do naszych portów czyli do portu… Oj tutaj źle dodaliśmy do portu drugiego czyli pierwszego dodajemy vlan, PVID100, set do portu drugiego vlan200,
Apply, ok.

Wracamy do Bridge i włączamy vlan filtering zmieniając pole EtherType na 88a8 Apply PVID9 oczywiście. Ok i zobaczmy co w tym momencie stało się na routerze klienta A. Wchodzimy przez RoMONa. Na klienta A. Jesteśmy i widzimy, że z tej całej plątaniny po włączeniu Q in Q widzimy tylko nasz router drugi po drugiej stronie za operatorem. Taka sama sytuacja powinna być widoczna na routerze B. Sprawdźmy go. Łączymy się do RoMONa, wybieramy klienta B, router1. Patrzymy do Neighbors.

No i tu jest taka sama sytuacja, widzimy tylko klienta, router klienta b, router po drugiej stronie operatora, widzimy tylko dwa vlany i w taki sposób właśnie powinno to działać. Co więcej jeżeli dodamy sobie kolejny vlan powiedzmy do klienta B. Wejdziemy sobie w interfejsy vlany i dodamy vlan powiedzmy 30 z Tagiem 30 ale za podłączymy go pod vlan czyli zagnieździmy go w vlanie 10 i nadamy mu adres dla vlanu 30 czyli 192.168.0.1/24 na vlanie 30 i podobną operację… Oj tutaj coś zrobiliśmy źle. Powiedzmy, że to będzie 40 żeby się nie mieszało i zrobimy o nie 40 tylko miało być 50 przepraszam. Vlan 30 Miało być 50 Apply, ok i zrobimy to po drugiej stronie, to samo czyli dodamy sobie do interfejsu… To jest cały czas pierwsze. Dodamy sobie do Connect to RoMON.

Wejdziemy sobie na R2. i do interfejsów dodamy kolejny vlan30. Vlan30 i dodamy go tak samo do vlanu10 i zaadresujemy i zaadresujemy vlan 30 192.168.52 z maską 24 192.168.50.0 i zagnieździmy go w vlanie… dopiszemy do vlanu ale zagnieździliśmy go w vlanie10. W naszych neighbors powinien pojawić się kolejny adres. W vlanie 30 czyli de facto mamy teraz taką sytuację, że jest vlan w vlanie i jeszcze w vlanie. Tak więc nie taki diabeł straszny jak go malują ewentualnie nie taki straszny jak mu dasz w łapę bo zapłacić jednak komuś trzeba będzie ale nie są to gorszące koszty.

Ale z drugiej strony też możemy postawić się lub znaleźć na miejscu operatora i zaproponować komuś przesył danych przez naszą infrastrukturę. Jeżeli jeszcze nie jesteśmy na to przygotowani mentalnie to technicznie mamy opanowane podstawy w jaki sposób działa q in q. Zatem oprócz wiedzy o podstawowym dzieleniu sieci wiemy już jak bardziej zaawansowanie układać vlany w stosy co daje nam kolejną warstwę segmentacji do dyspozycji. A jeżeli chcielibyśmy kompleksowo obsłużyć segmentowanie sieci to pozostaje nam temat VX Vlanów oraz MSTP nad którym mam nadzieję niebawem się pochylmy. Cześć.