Z tego artykułu dowiesz się jak stworzyć VLAN na routerze MikroTik i jak można ograniczyć komunikację między VLANami.
Konfigurację w formie video obejrzysz TUTAJ 🙂
Czym jest VLAN?
VLAN to wirtualna sieć lokalna. Wykorzystanie VLANów pozwala stworzyć kilka odseparowanych od siebie sieci logicznych w ramach jednej sieci fizycznej. Korzystanie z VLANów pozwala na zwiększanie bezpieczeństwa sieci już na poziomie komunikacyjnym bez konieczności inwestowania w dodatkowe routery i prowadzenia dodatkowego okablowania na terenie obiektu.
Przygotowanie do konfiguracji
- Otwórz laboratorium w EVE-NG i upewnij się, że wszystkie urządzenia są wyłączone.
- Naciśnij prawym przyciskiem myszy na ikonę routera MikroTik i wybierz Edit.
- W wyświetlonym formularzu zwiększ ilość interfejsów sieciowych.
- Naciśnij przycisk Save zlokalizowany na dole formularza.
- Utwórz nowy węzeł VPCS i podłącz do wolnego interfejsu na routerze MikroTik. Schemat powinien wyglądać tak:
- Uruchom wszystkie urządzenia.
Konfiguracja routera MikroTik
- Zaloguj się programem WinBox do routera MikroTik.
- Utwórz nowy bridge w celu zmostkowania interfejsów na cele działania VLANu. Nazwij go bridge_vlan10 i naciśnij OK. Instrukcję bridgowania interfejsów znajdziesz w artykule Bridgowanie interfejsów [Konfiguracja MikroTik].
- Powtórz czynność i utwórz bridge dla VLANu 20 o nazwie bridge_vlan20.
- Skonfiguruj adresację dla utworzonych mostków przechodząc do IP > Addresses. Przypisz adresację według wzoru:
- Utwórz serwery DHCP, po jednym dla każdego bridga. Pamiętaj, aby po utworzeniu serwera DHCP od razu zmienić mu nazwę na bardziej przyjazną. Instrukcję stworzenia serwera DHCP znajdziesz w artykule Serwer DHCP [Konfiguracja MikroTik].
- Teraz należy zmienić przypisania portów na bridgu. Przejdź do konfiguracji Bridge i zakładki Ports. Jeśli posiadasz już konfigurację zgodnie z artykułem Bridgowanie interfejsów [Konfiguracja MikroTik] zmień tylko przypisany bridge na każdym interfejsie, np. ether2 i ether3 do bridge_vlan10 a ether4 do bridge_vlan20 i dodaj do powiązań ether5 do bridge_vlan20. W oknach edycji interfejsów znajduje się też zakładka VLAN, w której w polu PVID należy wpisać ID VLANu w jakim ma być dozwolony ruch.
I naciśnij OK - Kolejnym krokiem będzie dodanie VLANów na interfejsach. W tym celu przechodzimy do Interfaces i zakładki VLAN. Naciskając znak dodajemy nowy interfejs VLAN.
- Wyświetli się formularz dodawania nowego interfejsu. Wypełnij go według wzoru podając nazwę VLANu, ID VLANu i interfejs bridge_vlanX [X-id VLANu]. Zrób to dla VLANu 10 i 20.
Testowanie konfiguracji
Ograniczanie ruchu między VLANami
Aby ograniczyć komunikację InterVLAN Routing należy włączyć VLAN Filtering na poziomie bridge lub interfejsu ether w zależności, gdzie mamy podłączony VLAN.
Jednak zanim to włączymy należy zapewnić sobie awaryjny dostęp poprzez VLAN Management, aby nie utracić dostępu do routera i/lub innych urządzeń podłączonych do routera. W tym celu:
- Przejdź do Interfaces i karty VLAN.
- Naciśnij przycisk .
- W wyświetlonym oknie wypełnij formularz według wzoru i naciśnij OK. Jako interfejs wskaż ten, który łączy router z całym środowiskiem.
- Przejdź do ustawień Bridge.
- Włącz tryb Safe Mode.
- Na karcie Bridge wybierz interfejs bridge_vlan10.
- W wyświetlonym oknie przejdź do karty VLAN.
- Zaznacz VLAN Filtering i naciśnij OK.
- Punkt 6 i 7 powtórz dla interfejsu bridge_vlan20.
- Wyłącz tryb Safe Mode.
Test filtrowanej komunikacji
Poniższy zrzut ekranu pokazuje, że InterVLAN Routing jest niedostępny. Komunikacja została zablokowana przez filtrowanie VLANów.