Port Access i Trunk [Konfiguracja Mikrotik]

Wstęp

Port Access i Port Trunk to pojęcia spotykane w lokalnych sieciach. Odnoszą się do sposobu przesyłania ramek przez urządzenia warstwy 2 (warstwa łącza danych).

Port Access (inaczej znany jako Access Port) jest skonfigurowany do przesyłania ramek tylko do jednej sieci VLAN. Jest to typowe ustawienie dla urządzeń końcowych, takich jak komputery lub drukarki.

Port Trunk (inaczej znany jako Trunk Port lub Link Aggregation) jest skonfigurowany do przesyłania ramek pomiędzy przełącznikami lub innymi urządzeniami sieciowymi. Porty trunk są używane do transportu ramek pomiędzy vlanami.

Plusem obu trybów jest to, że używamy jednego łącza kablowego.

Wstęp
Utworzenie vlanów na routerze 1
Nadanie adresów ip na vlany
Utworzenie serwerów dhcp na vlany
Utworzenie reguły z dostępem do internetu
Utworzenie vlanów na routerze 2
Utworzenie bridgy
Przypisanie interfejsów do bridga
Pobranie konfiguracji dhcp
Test konfiguracji
Utworzenie reguły na zablokowanie ruchu pomiędzy vlanami

Artykuł w formie video obejrzysz tutaj 🙂

Topologia jakiej użyję

Konfiguracja Access i Trunk

ROUTER 1

Najpierw skonfigurujemy łącze Trunk. Potrzebne nam są do tego vlany. Logujemy się na Router i przechodzimy do zakładki Interfaces > VLAN i znakiem „+” dodajemy nowy wpis oraz uzupełniamy pola

name: nazwa vlanu

VLAN ID: nadajemy id vlanu, do którego później będziemy się odwoływać

Interface: port na którym będzie zaimplementowany trunk – w moim przypadku ethernet2

Czynność powtarzamy dla drugiego vlana

Teraz nadamy adresy na utworzone vlany. Przechodzimy do zakładki IP > Addresses i znakiem „+” dodajemy nowy wpis, uzupełniając przy tym pola

Address: adres jaki chcemy nadać z zapisem CIDR maski (po adresie używamy „/” i długość maski)

Interface: wybieramy vlan

Teraz możemy skonfigurować serwery DHCP na vlany, aby hosty przyłączone do danego vlana otrzymywały adres, dns oraz bramę. Przechodzimy do zakładki IP > DHCP Server > DHCP Setup i uzupełniamy pola

Wybieramy vlan

Tutaj nic nie zmieniamy

Brame dajemy na adres skonfigurowany w IP > Address

Tu podajemy zakres adresów do wykorzystania

DNS zostawiamy jaki nam się wyświetli lub możemy zmienić na publiczny (np. 8.8.8.8 – Google)

Czynność powtarzamy dla drugiego vlanu

Łącze trunk po jednej stronie skonfigurowane

Teraz utworzymy regułę zezwalającą na dostęp do internetu. Przechodzimy do IP > Firewall > NAT i uzupełniamy pola

Chain: srcnat

Out Interface: port naszego routera od strony WAN – w moim przypadku ethernet1

W zakładce Action zaznaczamy masquerade

ROUTER 2

Z drugiej strony również musimy utworzyć Trunk. Czynności powtarzamy tak jak na routerze 1. Do poprawnego działania musi zgadzać się VLAN ID

Teraz skonfigurujemy Port Access. Potrzebny nam będzie do tego bridge

Przechodzimy do zakładki Bridge i znakiem „+” dodajemy nowy wpis

Polecam nazwać go adekwatnie to danego vlanu dla lepszej przejrzystości

Teraz należy dodać vlany i porty do utworzonych bridgy. Przechodzimy do zakładki Bridge > Ports i znakiem „+” dodajemy

Podajemy vlan i przypisujemy do bridga

Jako że vlan 3 jest przypisany do jednego portu w tym przypadku ethernet3 to wskazujemy właśnie ten interfejs

I dodajemy również vlan i port do drugiego bridga

Teraz vlan2 będzie przypisany do ethernetu4 więc jego podajemy

Port access skonfigurowany

Możemy teraz pobrać konfigurację dhcp z Routera1. Przechodzimy do zakładki IP > DHCP Client i znakiem „+” dodajemy nowy wpis

W Interface wskazujemy na bridge

I widzimy pobrało nam konfigurację

Test konfiguracji

Logujemy się na komputer klienta (w tym przypadku Wirtualny PC) i odpowiednią komendą pobieramy konfigurację

Konfiguracja działa. Jeśli chcemy zablokować ruch pomiędzy vlanami trzeba zastosować odpowiednią regułę na firewallu. Przechodzimy do zakładki IP > Firewall > Filter Rules i znakiem „+” dodajemy nowy wpis, uzupełniając pola

Chain: forward

In Interface: wybieramy jeden vlan

Out Interface: wybieramy drugi vlan

I w zakładce Action wybieramy opcję Drop

I teraz w odwrotną stronę

Jak widać pingi teraz nie przechodzą, czyli nie ma komunikacji pomiędzy vlanami a tym samym hostami w tych vlanach

Natomiast dostęp do internetu jest cały czas

Wszystko działa jak należy