fbpx

Wirtualne sieci LAN (VLAN) [konfiguracja MikroTik]

Z tego artykułu dowiesz się jak stworzyć VLAN na routerze MikroTik i jak można ograniczyć komunikację między VLANami.

Czym jest VLAN?

VLAN to wirtualna sieć lokalna. Wykorzystanie VLANów pozwala stworzyć kilka odseparowanych od siebie sieci logicznych w ramach jednej sieci fizycznej. Korzystanie z VLANów pozwala na zwiększanie bezpieczeństwa sieci już na poziomie komunikacyjnym bez konieczności inwestowania w dodatkowe routery i prowadzenia dodatkowego okablowania na terenie obiektu.

Przygotowanie do konfiguracji

 1. Otwórz laboratorium w EVE-NG i upewnij się, że wszystkie urządzenia są wyłączone.
 2. Naciśnij prawym przyciskiem myszy na ikonę routera MikroTik i wybierz Edit.
 3. W wyświetlonym formularzu zwiększ ilość interfejsów sieciowych.
 4. Naciśnij przycisk Save zlokalizowany na dole formularza.
 5. Utwórz nowy węzeł VPCS i podłącz do wolnego interfejsu na routerze MikroTik. Schemat powinien wyglądać tak:
 6. Uruchom wszystkie urządzenia.

Konfiguracja routera MikroTik

 1. Zaloguj się programem WinBox do routera MikroTik.
 2. Utwórz nowy bridge w celu zmostkowania interfejsów na cele działania VLANu. Nazwij go bridge_vlan10 i naciśnij OK. Instrukcję bridgowania interfejsów znajdziesz w artykule Bridgowanie interfejsów [Konfiguracja MikroTik].
 3. Powtórz czynność i utwórz bridge dla VLANu 20 o nazwie bridge_vlan20.
 4. Skonfiguruj adresację dla utworzonych mostków przechodząc do IP > Addresses. Przypisz adresację według wzoru:
 5. Utwórz serwery DHCP, po jednym dla każdego bridga. Pamiętaj, aby po utworzeniu serwera DHCP od razu zmienić mu nazwę na bardziej przyjazną. Instrukcję stworzenia serwera DHCP znajdziesz w artykule Serwer DHCP [Konfiguracja MikroTik].
 6. Teraz należy zmienić przypisania portów na bridgu. Przejdź do konfiguracji Bridge i zakładki Ports. Jeśli posiadasz już konfigurację zgodnie z artykułem Bridgowanie interfejsów [Konfiguracja MikroTik] zmień tylko przypisany bridge na każdym interfejsie, np. ether2 i ether3 do bridge_vlan10 a ether4 do bridge_vlan20 i dodaj do powiązań ether5 do bridge_vlan20. W oknach edycji interfejsów znajduje się też zakładka VLAN, w której w polu PVID należy wpisać ID VLANu w jakim ma być dozwolony ruch.

  I naciśnij OK
 7. Kolejnym krokiem będzie dodanie VLANów na interfejsach. W tym celu przechodzimy do Interfaces i zakładki VLAN. Naciskając znak Ikona MikroTik Add dodajemy nowy interfejs VLAN.
 8. Wyświetli się formularz dodawania nowego interfejsu. Wypełnij go według wzoru podając nazwę VLANu, ID VLANu i interfejs bridge_vlanX [X-id VLANu]. Zrób to dla VLANu 10 i 20.

Testowanie konfiguracji

Zrzut ekranu przedstawia adresację przed pobraniem nowej konfiguracji z serwera DHCP
Zrzut ekranu przedstawia adresację przed pobraniem nowej konfiguracji z serwera DHCP
Zrzut ekranu przedstawia adresację po pobraniem nowej konfiguracji z serwera DHCP dedykowanego dla każdego z VLANów
Zrzut ekranu przedstawia adresację po pobraniem nowej konfiguracji z serwera DHCP dedykowanego dla każdego z VLANów
Polecenia ping i trace pokazują komunikację InterVLAN Routing. Jest on domyślnie włączony.

Ograniczanie ruchu między VLANami

Aby ograniczyć komunikację InterVLAN Routing należy włączyć VLAN Filtering na poziomie bridge lub interfejsu ether w zależności, gdzie mamy podłączony VLAN.

Okno edycji interfejsu bridge_vlan10 z opcją VLAN Filtering
Okno edycji interfejsu bridge_vlan10 z opcją VLAN Filtering

Jednak zanim to włączymy należy zapewnić sobie awaryjny dostęp poprzez VLAN Management, aby nie utracić dostępu do routera i/lub innych urządzeń podłączonych do routera. W tym celu:

 1. Przejdź do Interfaces i karty VLAN.
 2. Naciśnij przycisk Ikona MikroTik Add.
 3. W wyświetlonym oknie wypełnij formularz według wzoru i naciśnij OK. Jako interfejs wskaż ten, który łączy router z całym środowiskiem.
 4. Przejdź do ustawień Bridge.
 5. Włącz tryb Safe Mode.
 6. Na karcie Bridge wybierz interfejs bridge_vlan10.
 7. W wyświetlonym oknie przejdź do karty VLAN.
 8. Zaznacz VLAN Filtering i naciśnij OK.
 9. Punkt 6 i 7 powtórz dla interfejsu bridge_vlan20.
 10. Wyłącz tryb Safe Mode.

Test filtrowanej komunikacji

Poniższy zrzut ekranu pokazuje, że InterVLAN Routing jest niedostępny. Komunikacja została zablokowana przez filtrowanie VLANów.