Elektroda.pl
Elektroda.pl
X

Search our partners

Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco

jimasek 16 Feb 2021 11:25 1197 0
  • #1
    jimasek
    Moderator of Networks, Internet
    Krótki poradnik pokazujący krok po kroku jak skonfigurować sieci VLAN w oparciu o urządzenia Mikrotik oraz Cisco. Jako nasz główny router, użyjemy bardzo wydajnej jednostki Mikrotik RB4011IGS+RM, natomiast funkcję przełącznika będzie pełnił Cisco SF350-24. Zanim przystąpimy do konfiguracji urządzeń, czas na trochę teorii.

    WAN | LAN | NAT

    Nasze domowe sieci, najczęściej są konfigurowane w taki sposób, że mamy jedną sieć lokalną LAN oraz dostęp do sieci publicznej poprzez port WAN. Oczywistym jest, że poprzez port WAN nasz dostawca ISP, umożliwia nam dostęp do sieci Internet. Nasz domowy router wykorzystuje mechanizm translacji adresów i portów z naszej sieci LAN, do zewnętrznej sieci (Internet). I właśnie ta funkcjonalność nosi nazwę NAT (Network Address Translation). Generalnie do wykonania takiej sieci wystarczy router wyposażony w dwa porty ethernet oraz kilku portowy przełącznik.
    Sytuacja diametralnie się zmienia, gdy potrzebujemy skorzystać z większej ilości sieci niż tylko LAN i WAN. Przykładowo, jeśli chcielibyśmy podzielić sieć w naszym miejscu pracy na kilka działów np. DZIAŁ_IT i KSIĘGOWOŚĆ, a dodatkowo mamy również w sieci SERWER WWW i chcielibyśmy uzyskać do niego dostęp z zewnątrz.

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    W niniejszym poradniku zakładamy obsługę następujących sieci:
    - WAN - łącze dostępowe Internet (adresacja publiczna: 10.0.0.0/29)
    - DZIAL_IT (adresacja: 192.168.10.0/24 VLAN tag: 10)
    - KSIEGOWOSC (adresacja: 192.168.20.0/24 VLAN tag: 20)
    - DMZ_SERWER_WWW (adresacja: 192.168.30.0/24 VLAN tag: 30)

    Dla wszystkich podsieci nasz router będzie przydzielał adresy IP za pomocą DHCP_SERVER.
    W tej sytuacji, może się pojawić duży problem, w przypadku, gdy nasz router posiada np. tylko dwa porty fizyczne i nie jesteśmy w stanie podzielić sieci zgodnie z naszymi założeniami. I w tej sytuacji przychodzą nam z pomocą właśnie VLAN`y (Virtual Local Area Network).

    Jak działa VLAN ?

    Krótko mówiąc, VLAN to mechanizm, który umożliwia logiczny podział sieci (segmentacja) oraz agregację różnych sieci (domen rozgłoszeniowych) w ramach jednego portu fizycznego. Zgodnie z tym założeniem, możemy skonfigurować połączenie pomiędzy routerem i przełącznikiem w taki sposób, aby kilka sieci (KSIĘGOWOŚĆ, DZIAŁ_IT, DMZ) było dostępnych na jednym, fizycznym porcie routera i przełącznika. Zasada działania VLANów jest również bardzo prosta. Każda ramka ethernetowa otrzymuje unikalny identyfikator tzw. VLAN TAG. Identyfikator informuje do której podsieci należy dany pakiet. VLAN TAG to po prostu numer z zakresu od 0 do 4096, który jest nadawany przez administratora sieci. Natomiast przełącznik musi zdjąć identyfikator na portach, do których podłączone są urządzenia końcowe np. drukarki, telefony, telefony IP itd. Taki port nosi nazwę ACCESS.

    Korzystanie z mechanizmu VLAN ma wiele zalet:
    - Mniej kabli! Oszczędzamy ilość fizycznych portów na routerach i przełącznikach
    - Podział na podsieci ułatwia późniejsze zarządzanie polityką firewall
    - Za pomocą VPN można łączyć wiele oddziałów firmy, która posiada wiele sieci LAN
    - Nie ma potrzeby stosowania osobnego przełącznika do każdej z obsługiwanych podsieci.
    - Konfiguracja routera MikroTik

    Konfiguracja routera MikroTik

    No to zacznijmy konfigurację. W pierwszej kolejności skonfigurujemy nasz główny router Mikrotik RB4011IGS+RM.

    1. Reset MikroTika do domyślnej konfiguracji

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    2. Adresacja portu WAN (ether1) - zgodnie z naszymi parametrami łącza internetowego
    Adres IP: 10.0.0.2/24
    Network: 10.0.0.0/24
    Gateway: 10.0.0.1

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    3. Ustawienie domyślnej bramy - default gateway

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    4. Konfiguracja interface`ów VLAN na porcie ether2 (dla każdej podsieci)

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco




    5. Adresacja interface`ów VLAN (dla każdej sieci)

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    6. DHCP Server
    Oczywiście DHCP Server konfigurujemy analogicznie do każdej sieci: DZIAŁ_IT, KSIĘGOWOŚĆ, DMZ_SERVER_WWW


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    7. Ustawiamy SRCNAT dla wszystkich utworzonych sieci.

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    8. Konfiguracja DSTNAT dla serwera WWW
    Nie można również zapomnieć, że w naszej sieci posiadamy serwer WWW, do którego chcemy mieć dostęp z zewnątrz.
    Dla sewera WWW ustawiliśmy adres IP 192.168.30.2

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco



    Konfiguracja przełącznika Cisco

    Jak już skonfigurowaliśmy nasz router, to teraz możemy przystąpić do konfiguracji naszego switcha. Konfigurację opieramy o przełącznik Cisco SF350-24. 24 porty RJ45 o przepustowości 100Mb/s, 2 porty Gigabit Combo (RJ45/SFP) oraz 2 porty światłowodowe SFP. SF350-24 to wydajny przełącznik; 9.52 miliona pakietów na sekundę (przy pakietach 64-bajtowych) oraz wydajnością przełączania na poziomie 12.8Gb/s. W zupełności to wystarczy, aby sprawdził się w prezentowanej przez nas sieci.
    Urządzenia Cisco są niezawodne bezcenne! I trzeba przyznać, że konfiguracja sieci opartej o VLANy na przełącznikach Cisco jest banalnie prosta. Poniżej w kilku krokach prezentuję konfigurację sieci VLAN.

    Konfiguracja portów


    Porty na naszym przełączniku skonfigurujemy w następujący sposób:
    - Porty 1-5 - VLAN 10 - DZIAL_IT
    - Porty 10-15 - VLAN 20 - KSIEGOWOSC
    - Porty 20-22 - VLAN 30 - DMZ_SERWER_WWW
    - Port 24 - TRUNK

    Dostęp do CLI przez Putty

    Aby dostać się do urządzenia, należy użyć do tego celu portu CONSOLE, odpowiedni kabel RS323-RJ45 (w zestawie) oraz oprogramowania Putty, które oczywiście musi być odpowiednio skonfigurowane.
    UWAGA! W przypadku zarządzanych przełączników Cisco serii 300 i 500, prędkość bitrate musi być ustawiona na 115200, natomiast port COM należy wybrać odpowiednio względem swojego podłączenia do komputera.

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja przełącznika - VLAN

    Jeśli poprawnie skonfigurowaliśmy Putty, wówczas dostaniemy się do przełącznika. Login: cisco , password: cisco

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    A następnie konfigurujemy porty przełącznika zgodnie z poprzednimi założeniami. Zaczniemy od portu TRUNK.

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    I oczywiście wszystkie VLANy: DZIAL_IT (vlan 10); KSIEGOWOSC (vlan 20); DMZ_SERWER_WWW (vlan 30).

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco


    Podsumowanie

    I w taki oto szybki sposób udało nam się skonfigurować naszą sieć z podziałem na VLANy. Cały proces konfiguracji jest na prawdę bardzo łatwy. Zarówno router jak i switch został prawidłowo skonfigurowany. Oczywiście konfigurując taką sieć trzeba pamiętać o kilka ważnych założeniach. Przede wszystkim używamy bardzo skomplikowanych haseł na każdym z urządzeń oraz wyłączamy te metody logowania, z których nie korzystamy np. Telnet. Warto również wprowadzić ograniczenia działania protokołu IP/Neighbors. Generalizując, sieci oparte o VLANy są bardzo bezpieczne i ułatwiają zarządzanie całą strukturą każdemu administratorowi. Do zbudowania sieci opartej o vlany wystarczy nam przełącznik warstwy 2 (Layer2). No cóż, mam nadzieję, że ten poradnik będzie przydatny przy projektowaniu sieci LAN w oparciu o wirtualne sieci LAN (VLAN). Stosując kilka podstawowych zasad przy projektowaniu sieci jesteśmy w stanie zbudować bardzo wydajną oraz bezpieczną sieć LAN.

    Źródło: BATNA24.COM
    Dzięki dla -> Leszek Błaszczyk <- za udostępnienie materiałów, na pewno się przydadzą naszym forumowiczom.

    Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco