Wirtualne sieci LAN (VLAN) [konfiguracja MikroTik]

Z tego artykułu dowiesz się jak stworzyć VLAN na routerze MikroTik i jak można ograniczyć komunikację między VLANami.

Konfigurację w formie video obejrzysz TUTAJ 🙂

Czym jest VLAN?

VLAN to wirtualna sieć lokalna. Wykorzystanie VLANów pozwala stworzyć kilka odseparowanych od siebie sieci logicznych w ramach jednej sieci fizycznej. Korzystanie z VLANów pozwala na zwiększanie bezpieczeństwa sieci już na poziomie komunikacyjnym bez konieczności inwestowania w dodatkowe routery i prowadzenia dodatkowego okablowania na terenie obiektu.

Przygotowanie do konfiguracji

  1. Otwórz laboratorium w EVE-NG i upewnij się, że wszystkie urządzenia są wyłączone.
  2. Naciśnij prawym przyciskiem myszy na ikonę routera MikroTik i wybierz Edit.
  3. W wyświetlonym formularzu zwiększ ilość interfejsów sieciowych.
  4. Naciśnij przycisk Save zlokalizowany na dole formularza.
  5. Utwórz nowy węzeł VPCS i podłącz do wolnego interfejsu na routerze MikroTik. Schemat powinien wyglądać tak:
  6. Uruchom wszystkie urządzenia.

Konfiguracja routera MikroTik

  1. Zaloguj się programem WinBox do routera MikroTik.
  2. Utwórz nowy bridge w celu zmostkowania interfejsów na cele działania VLANu. Nazwij go bridge_vlan10 i naciśnij OK. Instrukcję bridgowania interfejsów znajdziesz w artykule Bridgowanie interfejsów [Konfiguracja MikroTik].
  3. Powtórz czynność i utwórz bridge dla VLANu 20 o nazwie bridge_vlan20.
  4. Skonfiguruj adresację dla utworzonych mostków przechodząc do IP > Addresses. Przypisz adresację według wzoru:
  5. Utwórz serwery DHCP, po jednym dla każdego bridga. Pamiętaj, aby po utworzeniu serwera DHCP od razu zmienić mu nazwę na bardziej przyjazną. Instrukcję stworzenia serwera DHCP znajdziesz w artykule Serwer DHCP [Konfiguracja MikroTik].
  6. Teraz należy zmienić przypisania portów na bridgu. Przejdź do konfiguracji Bridge i zakładki Ports. Jeśli posiadasz już konfigurację zgodnie z artykułem Bridgowanie interfejsów [Konfiguracja MikroTik] zmień tylko przypisany bridge na każdym interfejsie, np. ether2 i ether3 do bridge_vlan10 a ether4 do bridge_vlan20 i dodaj do powiązań ether5 do bridge_vlan20. W oknach edycji interfejsów znajduje się też zakładka VLAN, w której w polu PVID należy wpisać ID VLANu w jakim ma być dozwolony ruch.

    I naciśnij OK
  7. Kolejnym krokiem będzie dodanie VLANów na interfejsach. W tym celu przechodzimy do Interfaces i zakładki VLAN. Naciskając znak Ikona MikroTik Add dodajemy nowy interfejs VLAN.
  8. Wyświetli się formularz dodawania nowego interfejsu. Wypełnij go według wzoru podając nazwę VLANu, ID VLANu i interfejs bridge_vlanX [X-id VLANu]. Zrób to dla VLANu 10 i 20.

Testowanie konfiguracji

Zrzut ekranu przedstawia adresację przed pobraniem nowej konfiguracji z serwera DHCP
Zrzut ekranu przedstawia adresację przed pobraniem nowej konfiguracji z serwera DHCP
Zrzut ekranu przedstawia adresację po pobraniem nowej konfiguracji z serwera DHCP dedykowanego dla każdego z VLANów
Zrzut ekranu przedstawia adresację po pobraniem nowej konfiguracji z serwera DHCP dedykowanego dla każdego z VLANów
Polecenia ping i trace pokazują komunikację InterVLAN Routing. Jest on domyślnie włączony.

Ograniczanie ruchu między VLANami

Aby ograniczyć komunikację InterVLAN Routing należy włączyć VLAN Filtering na poziomie bridge lub interfejsu ether w zależności, gdzie mamy podłączony VLAN.

Okno edycji interfejsu bridge_vlan10 z opcją VLAN Filtering
Okno edycji interfejsu bridge_vlan10 z opcją VLAN Filtering

Jednak zanim to włączymy należy zapewnić sobie awaryjny dostęp poprzez VLAN Management, aby nie utracić dostępu do routera i/lub innych urządzeń podłączonych do routera. W tym celu:

  1. Przejdź do Interfaces i karty VLAN.
  2. Naciśnij przycisk Ikona MikroTik Add.
  3. W wyświetlonym oknie wypełnij formularz według wzoru i naciśnij OK. Jako interfejs wskaż ten, który łączy router z całym środowiskiem.
  4. Przejdź do ustawień Bridge.
  5. Włącz tryb Safe Mode.
  6. Na karcie Bridge wybierz interfejs bridge_vlan10.
  7. W wyświetlonym oknie przejdź do karty VLAN.
  8. Zaznacz VLAN Filtering i naciśnij OK.
  9. Punkt 6 i 7 powtórz dla interfejsu bridge_vlan20.
  10. Wyłącz tryb Safe Mode.

Test filtrowanej komunikacji

Poniższy zrzut ekranu pokazuje, że InterVLAN Routing jest niedostępny. Komunikacja została zablokowana przez filtrowanie VLANów.