Mikrotik od zera – Konfiguracja VLAN #08
Czym są vlany?
W tej część kursu podzielimy sieć na vlany, zanim przejdziemy do konfiguracji Mikrotika, kilka słów wstępu o samych vlanach. Lepsze zrozumienie zasady działania vlanów, ułatwi Ci późniejszą konfigurację nie tylko Mikrotika ale każdego innego sprzętu sieciowego. Wirtualna sieć lokalna(VLAN) dzieli jedną fizyczną sieć w kilka logicznych sieci. Technologię vlanów opisuje standard 802.1Q. Vlany działają w drugiej warstwie modelu OSI, tak więc konfiguracją odbywa się na przełącznikach sieciowych. Każdy vlan tworzy oddzielną domenę „Broadcast”, czyli bez routera nie jest możliwych ruch między sieciami w poszczególnych vlanach. Wyróżniamy dwa typy vlanów tagowane i nietagowane. W przypadku vlanów tagowanych do ramki ethernet dodawany jest TAG, czyli numer vlanu. Vlany taggowane najczęściej nazywa są TRUNKiem i służą głównie do połączeń między switchami. W połączeniu typu trunk możemy dodać wiele vlanów. Odwrotnie działa vlan nietagowany, który potocznie nazywany jest Accessowym. Można do niego przypisać tylko jeden vlan. Nazewnictwo pochodzi od sprzętu Cisco, dlatego u innych producentów może się lekko różnić.
Dlaczego warto używać vlanów?
- Separacja portów, każdy port albo grupa portów mogą należeć do innego vlanu
- Łatwiejsze zarządzanie ACL – listy kontroli dostępu
- Podział sieci w zależności od pracujących usług. Możemy przygotować dedykowany vlan na potrzeby telefonii VOIP
- Bezpieczeństwo, użytkownicy o różnych dostępach mogą być od siebie odseparowani(inna sieć dla kadr, zarządu, wifi)
- logiczny podział sieci, możemy kilka różnych przełączników połączyć w logiczną sieć. Wykorzystując do tego tylko jeden port połączeniowy.
Założenia i schemat połączeń
Znając już teorie i różnie między vlanem tagowanym i nietagowanych przechodzimy do konfiguracji routerów Mikrotika. Naszym zadaniem jest konfiguracja 4 vlanów, z czego trzy jako access i jeden trunk służący do komunikacji między routerami. Porty i nazewnictwo jak na schemacie poniżej
Konfiguracja Mikrotika – Router 1
Zaczynamy od przygotowania konfiguracji na routerze 1, w moim przypadku Mikrotik hAP AC Lite. Z bocznego mu wybieramy Interafce i przechodzimy na zakładkę VLAN. Znakiem plusa dodajemy nowy wpis.
- Name: podajemy dowolnie
- VLAN ID: numer vlanu od 1-4095
- Interface: wskazujemy interfejs wykorzystywany jako Trunk
W analogiczny sposób tworzymy pozostałe vlany. Wszystkie muszą być przypisane do portu trunkowego, czyli ether5.
Konfiguracja Adresacji dla vlanów
W następnym kroku przygotujemy adresację IP dla poszczególnych vlanów. Z bocznego menu wybieramy IP->Addresses i znakiem plusa dodajemy nowy wpis.
- Address: podajemy bramę dla nowej adresacji. Bardzo ważne, aby wpis zakończyć użytą maską podsieci np. /24
- Network: uzupełni się automatycznie po kliknięciu w OK bądź Apply
- Interface: wskazujemy docelowy vlan
Konfiguracja serwerów DHCP
Wszystkie vlany, oprócz vlanów zarządzającego mają adresacje przypisywać automatycznie. Do tego celu stworzymy oddzielne serwery dhcp dla każdego z vlanów. Podobnie jak w poprzedniej części skorzystamy z wbudowanego kreatora. Jeżeli nie do końca rozumiesz jak działa kreator to zapraszam do wcześniejsze lekcji. Z bocznego menu wybieramy IP->DHCP Server, a następnie klikamy w DHCP Setup.
Konfiguracja Bridge
Vlany w RouterOS, możemy skonfigurować na kilka sposobów w zależności od posiadanego sprzętu. W przypadku modelu CRS, vlan pracują z wykorzystaniem switch chip’a, i tam konfigurujemy vlany. W Mikrotik od Zera wykorzystujemy Hap AC Lite bądź Hap AC2, dlatego vlany skonfigurujemy za pomocą bridge’a i vlan filtering. Zaczynamy od utworzenia nowego bridge. Następnie przechodzimy na zakładkę VLAN i tworzymy vlany jak na schemacie powyżej.
Znakiem plusa dodajemy nowy vlan.
- Bridge: wskazujemy nazwę bridge’a który będzie obsługiwał vlany
- VLAN IDs: podajemy numer vlanu. Jeżeli mam vlany, które będą przypisane do tych samych portów, możemy je wszystkie dodać w jednym wpisie
- Tagged / Untagged: w zależności od rodzaju vlanu, wskazujemy odpowiedni port. W przypadku vlanu tagowanego, zawsze musimy wskazać bridge i docelowy port.
Klikamy w zakładkę Ports i dodajemy porty do Bridge. Konfiguracja przebiega podobnie jak w przypadku zwykłej konfiguracji, z tą małą różnicą, iż musimy uzupełnić pole PVID w zakładce VLAN. Numer PVID jest numerem vlanu nietagowanego, który chcemy przypisać do portu.
Bardzo ważne jest, aby przed włączeniem opcji Bridge VLAN Filtering przygotować vlan managmentowy, czyli dedykowany do zarządzania urządzeniami.
W sposób analogiczny konfigurujemy drugi router. Pamiętając, że w przypadku drugiego routera interfejsem Trunkowym jest ether1.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): Hap AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S
Materiał Video
About Author
W jaki sposób, przy takiej konfiguracji można przekazać pakiet z jednego VLAN’a do drugiego? Na w jednym chciałbym mieć serwery a w drugim pracowników itp.
Domyślnie routing intervlanowy jest włączony, także przy poprawnej adresacji IP, powinno wszystko działać.
Robie to juz drugi raz i nie dostaje adresow na zadnym porcie MT gdzie mam vlany accessowe ani nie moge ich odebrac na switchu.
Pokaż kawałem configu, zwłaszcza z trunkiem i bridgem.
A jeżeli mam mikrotika wraz ze switchem np RB2011. I chciałbym aby porty 2-5 były odseparowane od 6-9 poprzez vlan-y. To wtedy potrzebuje „tranka” na porcie WAN aby obie podsieci miały dostęp do Internetu?
Jeżeli ma iść kilka vlanów, to musi być trunk, i wtedy port WAN będzie trunkiem.
Witam, chciałbym na swoim RB4011 skonfigurować dodawanie urządzeń do VLAN po adresie MAC. Czy jest to możliwe?
Obawiam się, że na RB4011 tego nie da się zrobić. Standardowo vlany po mac-addressie przypisujemy w opcji switch.
Witam, Mam pytanie odnośnie routera-1 dlaczego po konfiguracji na nim vlanow i przypieciu ich do bridgea’a nie włączono bridge vlan filtering?
Dlaczego Bridge vlan filtering został włączony tylko na routerze2?
VLAN Filtering najlepiej włączyć na routerze, który odbiera vlany. W tym przypadku takim routerem jest właśnie router-2
Dziękuję za odpowiedź 🙂 w końcu zaczynam rozumieć ten bridge vlan filtering i jest to super rozwiązanie jak się chce mieć router on the stick + dodatkowe porty access na mikrotiku 🙂
Czasem widzę też, że ludzie nadają adres IP na bridge’a, w którym są vlany i nie wiem czemu to ma służyć.
Teraz czekam z niecierpliwością na film z konfiguracją CAPsMAN z VLAN firmie. Fajnie jak by był podział VLANów na management, goście, firma itp. Zastanawiam się czy do takiego CAPa musi iść managament vlan tagowany czy nie.
PS
Jednak na routerze-1 bridge filter jest włączony (ale nie jest to 'powiedziane’ w filmie)
Przeklikałem taką samą konfigurację i bez włączenia brifge filterning na routerze-1 PC nie dostaje adresu IP z odpowiedniego VLANu na portach ether3, ether4
Jak chciałbym do kolejnego portu podpiąć tolinka ap 901n ze skonfigurowanymi vlanami id10 id20 id30 to jak ustawić port dla niego?
Dzień dobry.Niestety nadal coś robię źle. Mikrotik odrzuca możliwość utworzenia tych ustawień twierdząc, że interfejs jest slave, a ja nie potrafię usunąć interfejsu z bridge. Niby raz się to udało za pomocą usunięcia interfejsu na interface list, ale po kilku chwilach on tam się znowu pojawia i uniemożliwia uruchomienie DHCP dla VLANów.
Będę wdzięczny za pomoc.
Jaka wersja RouterOS’a??
Dzień dobry.
Posiadam model hAP lite (ale bez AC) i próbuję stworzyć konfiguracje z VLAN.
Interfaces -> VLAN tworzę – jest OK
IP -> Addresses osobna adresacja dla każdego VLANA – OK
IP -> DHCP Server – zawsze na czerwono z informacją I (Invalid)
Próbowałem wiele razy więc wykluczam głupi błąd. W czym rzecz? Stary RouterOS (6.48)? Zbyt prosty model routera? Bardzo proszę o podpowiedź. W razie zainteresowania przekażę dokładniejsze informacje.
Przy DHCP Server co wskazujesz jako interface?
Dziękuję za tak szybką reakcję. Jako interface wskazuję utworzone VLAN-y.
To jest tak w ogóle zadanie z egzaminu. Na routerze należy stworzyć 3 VLAN-y na porcie ether2 o ID 10, 20, 30 przypisać każdemu osobną adresację a dla VLAN-a 30 dodatkowo uruchomić DHCP Server. No i właśnie tu zaczyna się problem.
Witam… A jak zrobić, żeby router nr 2 miał sam w sobie internet??
Krótkie pytanie, jak ustawić maskaradę, żeby te VLANy miały internet?
Jeżeli w głównej regule maskarady nie wskazywałeś src. address, to każdy z vlanów będzie miał dostęp do Internetu. W innym przypadku musisz właśnie wskazać podsieci w src.address, bądź zrobić address list, i w niej dodać wszystkie podsieci, które mają mieć dostęp do Internetu.
Tego mi brakowało – dzięki żeby zrozumieć
Cześć. Mam do Ciebie pytanie czy się da, a jak się da to jak to najlepiej rozwiązać: Mam taką sytuację: w jednej lokalizacji kiedyś są switche i AP do nich podłączone i teraz tam jest modem operatora (adres otrzymywany po dhcp) z tej lokalizacji idzie niestety jeden RJ do kolejnej w której mam router i kolejną sieć. Teraz chcę aby ten router zarządzał tymi 2 sieciami ale mam tylko jeden kabel. Czy da się tak zrobić aby jednym kablem mieć internet od operatora i tym samym wrócić z siecią lan do switchy? Schemat jest taki: Modem Operatora -> switch -> jeden kabel -> router -> switch, a chcę mieć tak: Modem Operatora -> switch jeden kabel router -> switch.
Poprawiłem, bo poprzedni post miał błędy.
Cześć. Mam do Ciebie pytanie czy się da, a jak się da to jak to najlepiej rozwiązać: Mam taką sytuację: w jednej lokalizacji są switche i AP do nich podłączone i obecnie jest tam modem operatora (adres otrzymywany po dhcp) z tej lokalizacji idzie niestety jeden RJ do kolejnej w której mam router i kolejną sieć. Teraz chcę aby ten router zarządzał tymi 2 sieciami ale mam tylko jeden kabel. Czy da się tak zrobić aby jednym kablem mieć internet od operatora i tym samym wrócić z siecią lan do switchy? Schemat jest taki: Modem Operatora -> switch -> jeden kabel -> router -> switch, a chcę mieć tak: Modem Operatora -> switch jeden kabel router -> switch.
Tak, musisz tylko dobrze oznaczyć vlany i mieć dobry router. Załóżmy, że ISP to vlan10, LAN to vlan20. Ustawiasz jeden port na switchu na vlan10 jako nietagowany. Port w switchu np. numer 20, to połączeniówka między urządzeniami, dodajesz do tego portu vlan10 jako tagowany. Jeżeli masz router MT, to tworzysz vlan10 i ustawiasz na nim dhcp-clienta, powinieneś dostać adres z modemu. W podobny sposób ustawiasz vlan20. Tagujesz na routerze, a na switchu untagged.
Cześć,
mam taką samą sytuację, tylko u mnie nie jest to spowodowane jednym kablem (mam urządzenia obok siebie) tylko zasilaniem PoE dla anteny od ISP (RB1100 nie ma portów PoE). Chciałem jeszcze rozwinąć Twoją myśl, bo działa super i bardzo mi pomogło, ale zastanawiam się nad kwestią bezpieczeństwa – czy jak sygnał od ISP mam wrzucony na switchu w bridge razem z innymi pakietami z mojej sieci to nie ma ryzyka, że z WANu jest jakiś dostęp do tego co jest w pozostałych VLANach na switchu jeśli to wszystko jest w bridgu? A może powinienem sam eth1 w switchu (sygnał od ISP) wyjąć z brigda, a w VLANie jako interfejs wskazać eth1?
Bardzo mnie to zastanawia, nie rozumiem jeszcze na tyle VLANów, żeby znać szczególwe zasady działania, a to że działa to jedna sprawa, a na ile to bezpieczne to zupełnie inny wątek 🙂 Bardzo proszę w myśl orginalnego wątku na rozwinięcie jeszcze tej kwestii.
Dziękuję i pozdrawiam 🙂
Sam ISP powinien już mieć zrobią separacje, ale bezpieczniej jest oddzielić ISP od lokalnej sieci.