SPIS TREŚCI

Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco
Jak działa VLAN ?
Konfiguracja routera MikroTik
Konfiguracja przełącznika Cisco
Podsumowanie

Konfiguracja sieci VLAN na urządzeniach Mikrotik i Cisco

Krótki poradnik pokazujący krok po kroku jak skonfigurować sieci VLAN w oparciu o urządzenia Mikrotik oraz Cisco. Jako nasz główny router, użyjemy bardzo wydajnej jednostki Mikrotik RB4011IGS+RM, natomiast funkcję przełącznika będzie pełnił Cisco SF350-24. Zanim przystąpimy do konfiguracji urządzeń, czas na trochę teorii.

WAN | LAN | NAT

Nasze domowe sieci, najczęściej są konfigurowane w taki sposób, że mamy jedną sieć lokalną LAN oraz dostęp do sieci publicznej poprzez port WAN. Oczywistym jest, że poprzez port WAN nasz dostawca ISP, umożliwia nam dostęp do sieci Internet. Nasz domowy router wykorzystuje mechanizm translacji adresów i portów z naszej sieci LAN, do zewnętrznej sieci (Internet). I właśnie ta funkcjonalność nosi nazwę NAT (Network Address Translation). Generalnie do wykonania takiej sieci wystarczy router wyposażony w dwa porty ethernet oraz kilku portowy przełącznik.
Sytuacja diametralnie się zmienia, gdy potrzebujemy skorzystać z większej ilości sieci niż tylko LAN i WAN. Przykładowo, jeśli chcielibyśmy podzielić sieć w naszym miejscu pracy na kilka działów np. DZIAŁ_IT i KSIĘGOWOŚĆ, a dodatkowo mamy również w sieci SERWER WWW i chcielibyśmy uzyskać do niego dostęp z zewnątrz.

W niniejszym poradniku zakładamy obsługę następujących sieci:

WAN - łącze dostępowe Internet (adresacja publiczna: 10.0.0.0/29)
DZIAL_IT (adresacja: 192.168.10.0/24 VLAN tag: 10)
KSIEGOWOSC (adresacja: 192.168.20.0/24 VLAN tag: 20)
DMZ_SERWER_WWW (adresacja: 192.168.30.0/24 VLAN tag: 30)

Dla wszystkich podsieci nasz router będzie przydzielał adresy IP za pomocą DHCP_SERVER.
W tej sytuacji, może się pojawić duży problem, w przypadku, gdy nasz router posiada np. tylko dwa porty fizyczne i nie jesteśmy w stanie podzielić sieci zgodnie z naszymi założeniami. I w tej sytuacji przychodzą nam z pomocą właśnie VLAN`y (Virtual Local Area Network).

Jak działa VLAN ?

Krótko mówiąc, VLAN to mechanizm, który umożliwia logiczny podział sieci (segmentacja) oraz agregację różnych sieci (domen rozgłoszeniowych) w ramach jednego portu fizycznego. Zgodnie z tym założeniem, możemy skonfigurować połączenie pomiędzy routerem i przełącznikiem w taki sposób, aby kilka sieci (KSIĘGOWOŚĆ, DZIAŁ_IT, DMZ) było dostępnych na jednym, fizycznym porcie routera i przełącznika. Zasada działania VLANów jest również bardzo prosta. Każda ramka ethernetowa otrzymuje unikalny identyfikator tzw. VLAN TAG. Identyfikator informuje do której podsieci należy dany pakiet. VLAN TAG to po prostu numer z zakresu od 0 do 4096, który jest nadawany przez administratora sieci. Natomiast przełącznik musi zdjąć identyfikator na portach, do których podłączone są urządzenia końcowe np. drukarki, telefony, telefony IP itd. Taki port nosi nazwę ACCESS. Korzystanie z mechanizmu VLAN ma wiele zalet:

Mniej kabli! Oszczędzamy ilość fizycznych portów na routerach i przełącznikach
Podział na podsieci ułatwia późniejsze zarządzanie polityką firewall
Za pomocą VPN można łączyć wiele oddziałów firmy, która posiada wiele sieci LAN
Nie ma potrzeby stosowania osobnego przełącznika do każdej z obsługiwanych podsieci.

Konfiguracja routera MikroTik

No to zacznijmy konfigurację. W pierwszej kolejności skonfigurujemy nasz główny router Mikrotik RB4011IGS+RM.

1. Reset MikroTika do domyślnej konfiguracji

2. Adresacja portu WAN (ether1)
Adres IP: 10.0.0.2/24
Network: 10.0.0.0/24
Gateway: 10.0.0.1

3. Ustawienie domyślnej bramy - default gateway

4. Konfiguracja interface`ów VLAN na porcie ether2 (dla każdej podsieci)

5. Adresacja interface`ów VLAN (dla każdej sieci)

6. DHCP Server
Oczywiście DHCP Server konfigurujemy analogicznie do każdej sieci: DZIAŁ_IT, KSIĘGOWOŚĆ, DMZ_SERVER_WWW

7. Ustawiamy SRCNAT dla wszystkich utworzonych sieci.

8. Konfiguracja DSTNAT dla serwera WWW
Nie można również zapomnieć, że w naszej sieci posiadamy serwer WWW, do którego chcemy mieć dostęp z zewnątrz.
Dla sewera WWW ustawiliśmy adres IP 192.168.30.2

Konfiguracja przełącznika Cisco

Jak już skonfigurowaliśmy nasz router, to teraz możemy przystąpić do konfiguracji naszego switcha. Konfigurację opieramy o przełącznik Cisco SF350-24. 24 porty RJ45 o przepustowości 100Mb/s, 2 porty Gigabit Combo (RJ45/SFP) oraz 2 porty światłowodowe SFP. SF350-24 to wydajny przełącznik; 9.52 miliona pakietów na sekundę (przy pakietach 64-bajtowych) oraz wydajnością przełączania na poziomie 12.8Gb/s. W zupełności to wystarczy, aby sprawdził się w prezentowanej przez nas sieci.
Urządzenia Cisco są niezawodne bezcenne! I trzeba przyznać, że konfiguracja sieci opartej o VLANy na przełącznikach Cisco jest banalnie prosta. Poniżej w kilku krokach prezentuję konfigurację sieci VLAN.

Konfiguracja portów

Porty na naszym przełączniku skonfigurujemy w następujący sposób:

Porty 1-5 - VLAN 10 - DZIAL_IT
Porty 10-15 - VLAN 20 - KSIEGOWOSC
Porty 20-22 - VLAN 30 - DMZ_SERWER_WWW
Port 24 - TRUNK

Dostęp do CLI przez Putty

Aby dostać się do urządzenia, należy użyć do tego celu portu CONSOLE, odpowiedni kabel RS323-RJ45 (w zestawie) oraz oprogramowania Putty, które oczywiście musi być odpowiednio skonfigurowane.
UWAGA! W przypadku zarządzanych przełączników Cisco serii 300 i 500, prędkość bitrate musi być ustawiona na 115200, natomiast port COM należy wybrać odpowiednio względem swojego podłączenia do komputera.

Konfiguracja przełącznika - VLAN

Jeśli poprawnie skonfigurowaliśmy Putty, wówczas dostaniemy się do przełącznika. Login: cisco , password: cisco

A następnie konfigurujemy porty przełącznika zgodnie z poprzednimi założeniami. Zaczniemy od portu TRUNK.

I oczywiście wszystkie VLANy: DZIAL_IT (vlan 10); KSIEGOWOSC (vlan 20); DMZ_SERWER_WWW (vlan 30).

Podsumowanie

I w taki oto szybki sposób udało nam się skonfigurować naszą sieć z podziałem na VLANy. Cały proces konfiguracji jest na prawdę bardzo łatwy. Zarówno router jak i switch został prawidłowo skonfigurowany. Oczywiście konfigurując taką sieć trzeba pamiętać o kilka ważnych założeniach. Przede wszystkim używamy bardzo skomplikowanych haseł na każdym z urządzeń oraz wyłączamy te metody logowania, z których nie korzystamy np. Telnet. Warto również wprowadzić ograniczenia działania protokołu IP/Neighbors. Generalizując, sieci oparte o VLANy są bardzo bezpieczne i ułatwiają zarządzanie całą strukturą każdemu administratorowi. Do zbudowania sieci opartej o vlany wystarczy nam przełącznik warstwy 2 (Layer2). No cóż, mam nadzieję, że ten poradnik będzie przydatny przy projektowaniu sieci LAN w oparciu o wirtualne sieci LAN (VLAN). Stosując kilka podstawowych zasad przy projektowaniu sieci jesteśmy w stanie zbudować bardzo wydajną oraz bezpieczną sieć LAN.

W ramach dalszej dyskusji w temacie zapraszamy na nasze FORUM!!!

Autor:
Leszek Błaszczyk

Zadzwoń do nas pod nr (+48) 34 361 04 48 lub napisz na adres [email protected]

Produkty z artykułu

MikroTik RB4011IGS+RM | Router | 10x RJ45 1000Mb/s, 1x SFP+

824,03 zł

z VAT

Mikrotik RB4011iGS+5HacQ2HnD-IN | Router WiFi | Dual Band 1733Mb/s, 10x RJ45 1000Mb/s, 1x SFP+

1070,80 zł

z VAT

MikroTik RB4011 wall mount kit | Akcesorium montażowe | dedykowane dla RB4011

42,00 zł

z VAT

Cisco SF350-24 | Switch | 24x 100Mb/s, 2x 1Gb/s Combo(RJ45/SFP)+ 2x SFP, Zarządzalny

1140,00 zł

z VAT