Wirtualne sieci LAN (VLAN) bez bridge

Jak to mówią na szkoleniach, ludzie dzielą się na tych co bridge’ują wszystko i na pozostałych. Służbowo obsługiwane przeze mnie urządzenia Mikrotik wykorzystują bridge, ponieważ mają opcję Hardware Offloading czyli mają wbudowany układ potrafiący wykonywać operacje przełączania ramek. Jednak należy pamiętać, że routery służą do przekierowywania ruchu w ramach warstwy trzeciej a nie do przełączania w warstwie drugiej. Jeżeli mają odpowiednio wbudowane układy to najczęściej potrafią obsłużyć tylko jeden bridge (a można stworzyć ich kilka). I nie zapominajmy, że nie wszystkie routery to potrafią. TRZEBA ZWRÓCIĆ UWAGĘ NA TO CO SIĘ KUPUJE. Niemniej dla małych środowisk bridge będzie tym czego ominąć się nie da i dobrze się sprawdza. Jednak prywatnie i na potrzeby niniejszego wpisu przygotujemy konfigurację bez bridge na routerze.

Temat w formie video obejrzysz tutaj 🙂

Przywracamy wszystkie urządzenia do ustawień fabrycznych bez domyślnej konfiguracji

Topologia sieci

Konfiguracja R0

Zaczynamy od zdefiniowania sieci wirtualnych. W tym celu przechodzimy do zakładki „Interfaces->VLAN” i dodajemy nowy interfejs znakiem „+”.

Definiujemy nazwę sieci wirtualnej, nadajemy ID sieci wirtualnej = 10 (tzw. tag). Wskazujemy interfejs do którego ten tag będzie przypięty. Innymi słowy jaki VLAN będzie wychodzi portem trunkowym na przełącznik S0.

Teraz przypisujemy adresację do sieci wirtualnej. W tym celu przechodzimy do zakładki „IP->Addresses” i dodajemy nowy adres sieci znakiem „+”.

W polu adresu wpisujemy adres z odpowiednią maską w formacie x.x.x.1/y, w polu sieci adres który ma być bramą domyślną dla naszego VLAN w formacie x.x.x.0 . W polu interfejsu wybieramy stworzony VLAN w poprzednim kroku.

Przed zdefiniowaniem serwera DHCP przygotujemy pulę adresów jakie będą przypisywane klientom podłączającym się do naszych wirtualnych sieci. W tym celu przechodzimy do zakładki „IP->Pool” i dodajemy nową pulę znakiem „+”.

Definiujemy nazwę naszego zakresu adresów, w polu adresu wpisujemy pulę w formacie x.x.x.x – x.x.x.y .

Następnie konfigurujemy serwer DHCP, aby w ramach konkretnego VLAN dostawać automatyczną konfigurację na końcówki klienckie. W tym celu przechodzimy do zakładki „IP->DHCP  Server” i dodajemy nowy serwer znakiem „+”.

Definiujemy nazwę serwera, w polu interfejs wybieramy naszą sieć wirtualną, określamy jak długo ma obowiązywać dzierżawa adresu, i z jakiej puli mają być przypisywane adresy.

W ramach ustawień konfiguracyjnych serwera DHCP wybieramy zakładkę „Networks” i dodajemy powiązanie mówiące serwerowi jaką sieć i bramę ma obsługiwać. Nowe powiązanie dodajemy znakiem „+

W polu adresu wpisujemy adres z odpowiednią maską w formacie x.x.x.0/y, w polu sieci adres który ma być bramą domyślną dla naszego VLAN w formacie x.x.x.1. Opcjonalnie można dodać DNS Server ale jeżeli nasz provider go udostępnia to router przekaże je jako dynamiczny wpis do każdego segmentu sieci, który obsługuje.

Jeżeli źle podamy maskę sieci to serwer DHCP będzie działał ale niektórzy klienci nie będą otrzymywać konfiguracji sieciowej mimo to że znaleźli się w odpowiednim VLAN’ie.

Konfiguracja S0

Zaczynamy od konfiguracji BRIDGE!!! (a miało nie być :)). W tym celu przechodzimy do zakładki „Bridge” i dodajemy nowy bridge znakiem „+”.

Definiujemy nazwę interfejsu (tak, bridge od teraz też będzie interfejsem co równa się grupie portów bo tak należy definiować je w kontekście bridge’a ).

Następnie dodajemy wszystkie interfejsy switch’a do bridge’a. W tym celu w przechodzimy do zakładki „Ports” i dodajemy port za pomocą znaku „+”.

W polu interfejsu wybieramy „ether1”. Jeżeli jest tylko jeden bridge to każdy port zostanie dodany do tej grupy automatycznie. I tak z kolejnymi portami aż dodamy wszystkie (ether1, ether23,ether24).

Teraz przypisujemy adresację do interfejsu bridge. W tym celu przechodzimy do zakładki „IP->Addresses” i dodajemy nowy adres sieci znakiem „+”.

W polu adresu wpisujemy adres z odpowiednią maską w formacie x.x.x.x/y, w polu sieci, adres w formacie x.x.x.0 . W polu interfejsu wybieramy bridge stworzony w poprzednim kroku.

Dodajemy sieci wirtualne, które mają być obsługiwane przez przełącznik. W tym celu przechodzimy do zakładki „Interfaces->VLAN” i dodajemy nowy interfejs znakiem „+”.

Definiujemy nazwę sieci wirtualnej, nadajemy ID sieci wirtualnej (tzw. tag). Wskazujemy interfejs bridge stworzony powyżej. Oznacza to, że wszystkie VLAN’y będą obsługiwane na grupie portów jakie będą dodane do bridge’a. Natomiast szczegółowe ustawienia skonfigurujemy w następnych krokach.

Z topologii sieci wynika, że portem łączącym (w tym przenoszącym VLAN) jest port 24. Toteż musimy dodać go jako trunk na przełączniku. W tym celu przechodzimy do zakładki „Bridge->VLANs” i dodajemy sieć wirtualną znakiem „+”.

W polu ID sieci wirtualnej wpisujemy tag, który chcemy odebrać na przełączniku. W polu ruchu tagowanego (tagged) wybieramy port „ether24” a w polu ruchu nietagowanego (untagged) „ether1” dla vlan’u dziesiątego i „ether23” dla vlan’u management’owego.

Wracamy do zakładki „Bridge->Ports” i edytujemy port „ether1”. W ustawieniach portu przechodzimy na zakładkę „VLAN” i w polu PVID wprowadzamy wartość 10.

Taką samą operację musimy wykonać dla portu „ether23”, który wybraliśmy sobie do zarządzania przełącznikiem aby nie odciąć się od urządzenia. Tyle, że tym razem w polu PVID wprowadzamy wartość 9. Zapewni nam to komunikację z R0 w vlan’ie 9.

Wracamy do zakładki „Bridge” i edytujemy interfejs. W ustawieniach interfejsu, na zakładce „VLAN” zaznaczamy opcję „VLAN Filtering” oraz w polu PVID wprowadzamy wartość 9 aby zapewnić komunikację w dziewiątym vlani’ie. Od tego momentu nasze sieci wirtualne powinny działać zgodnie z planem.

Weryfikacja na kliencie

Teraz sprawdzamy czy komputer kliencki otrzyma konfigurację z serwera DHCP w odpowiedniej sieci wirtualnej. Uruchamiamy najprostsze narzędzie diagnostyczne czyli wiersz poleceń i wpisujemy komendę „ipconfig /all”. Nasz komputer otrzymał ustawienia sieciowe z vlan’u dziesiątego.

Podsumowanie

W taki oto sposób skonfigurowaliśmy wirtualne sieci LAN nie używając bridge’a wszędzie gdzie tylko można. Jakie są tego plusy? Odciążyliśmy router z przełączania pakietów, usprawniliśmy przepustowość sieci, odcięliśmy możliwość zalogowania się do kluczowych urządzeń z innych sieci niż vlan dziewiąty. Czy to dobrze czy źle, możecie ocenić sami. I to nie jest tak, że demonizuję tworzenie bridge’a na routerze ale zawsze dobrze jest mieć plan B. I ja przy tym planie B zostanę bo lubię sobie utrudniać 🙂

Instrukcja wideo