4 maja 2020

Mikrotik od zera – Konfiguracja VLAN #08

By  mikrotik, mikrotik od zera, video  18 komentarzy

Czym są vlany?

W tej część kursu podzielimy sieć na vlany, zanim przejdziemy do konfiguracji Mikrotika, kilka słów wstępu o samych vlanach. Lepsze zrozumienie zasady działania vlanów, ułatwi Ci późniejszą konfigurację nie tylko Mikrotika ale każdego innego sprzętu sieciowego. Wirtualna sieć lokalna(VLAN) dzieli jedną fizyczną sieć w kilka logicznych sieci. Technologię vlanów opisuje standard 802.1Q. Vlany działają w drugiej warstwie modelu OSI, tak więc konfiguracją odbywa się na przełącznikach sieciowych. Każdy vlan tworzy oddzielną domenę „Broadcast”, czyli bez routera nie jest możliwych ruch między sieciami w poszczególnych vlanach. Wyróżniamy dwa typy vlanów tagowane i nietagowane. W przypadku vlanów tagowanych do ramki ethernet dodawany jest TAG, czyli numer vlanu. Vlany taggowane najczęściej nazywa są TRUNKiem i służą głównie do połączeń między switchami. W połączeniu typu trunk możemy dodać wiele vlanów. Odwrotnie działa vlan nietagowany, który potocznie nazywany jest Accessowym. Można do niego przypisać tylko jeden vlan. Nazewnictwo pochodzi od sprzętu Cisco, dlatego u innych producentów może się lekko różnić.

Dlaczego warto używać vlanów?

  • Separacja portów, każdy port albo grupa portów mogą należeć do innego vlanu
  • Łatwiejsze zarządzanie ACL – listy kontroli dostępu
  • Podział sieci w zależności od pracujących usług. Możemy przygotować dedykowany vlan na potrzeby telefonii VOIP
  • Bezpieczeństwo, użytkownicy o różnych dostępach mogą być od siebie odseparowani(inna sieć dla kadr, zarządu, wifi)
  • logiczny podział sieci, możemy kilka różnych przełączników połączyć w logiczną sieć. Wykorzystując do tego tylko jeden port połączeniowy.

Założenia i schemat połączeń

Znając już teorie i różnie między vlanem tagowanym i nietagowanych przechodzimy do konfiguracji routerów Mikrotika. Naszym zadaniem jest konfiguracja 4 vlanów, z czego trzy jako access i jeden trunk służący do komunikacji między routerami. Porty i nazewnictwo jak na schemacie poniżej

Mikrotik schemat połączeń VLAN

Konfiguracja Mikrotika – Router 1

Zaczynamy od przygotowania konfiguracji na routerze 1, w moim przypadku Mikrotik hAP AC Lite. Z bocznego mu wybieramy Interafce i przechodzimy na zakładkę VLAN. Znakiem plusa dodajemy nowy wpis.

  • Name: podajemy dowolnie
  • VLAN ID: numer vlanu od 1-4095
  • Interface: wskazujemy interfejs wykorzystywany jako Trunk
Mikrotik dodanie nowego interfejsu VLAN

W analogiczny sposób tworzymy pozostałe vlany. Wszystkie muszą być przypisane do portu trunkowego, czyli ether5.

Mikrotik lista interfejsów vlan

Konfiguracja Adresacji dla vlanów

W następnym kroku przygotujemy adresację IP dla poszczególnych vlanów. Z bocznego menu wybieramy IP->Addresses i znakiem plusa dodajemy nowy wpis.

  • Address: podajemy bramę dla nowej adresacji. Bardzo ważne, aby wpis zakończyć użytą maską podsieci np. /24
  • Network: uzupełni się automatycznie po kliknięciu w OK bądź Apply
  • Interface: wskazujemy docelowy vlan
Mikrotik nadanie adresu IP dla vlanu
Mikrotik Lista skonfigurowanych adresów IP

Konfiguracja serwerów DHCP

Wszystkie vlany, oprócz vlanów zarządzającego mają adresacje przypisywać automatycznie. Do tego celu stworzymy oddzielne serwery dhcp dla każdego z vlanów. Podobnie jak w poprzedniej części skorzystamy z wbudowanego kreatora. Jeżeli nie do końca rozumiesz jak działa kreator to zapraszam do wcześniejsze lekcji. Z bocznego menu wybieramy IP->DHCP Server, a następnie klikamy w DHCP Setup.

Mikrotik konfiguracja serwera DHCP

Konfiguracja Bridge

Vlany w RouterOS, możemy skonfigurować na kilka sposobów w zależności od posiadanego sprzętu. W przypadku modelu CRS, vlan pracują z wykorzystaniem switch chip’a, i tam konfigurujemy vlany. W Mikrotik od Zera wykorzystujemy Hap AC Lite bądź Hap AC2, dlatego vlany skonfigurujemy za pomocą bridge’a i vlan filtering. Zaczynamy od utworzenia nowego bridge. Następnie przechodzimy na zakładkę VLAN i tworzymy vlany jak na schemacie powyżej.

Mikrotik konfiguracja Bridge

Znakiem plusa dodajemy nowy vlan.

  • Bridge: wskazujemy nazwę bridge’a który będzie obsługiwał vlany
  • VLAN IDs: podajemy numer vlanu. Jeżeli mam vlany, które będą przypisane do tych samych portów, możemy je wszystkie dodać w jednym wpisie
  • Tagged / Untagged: w zależności od rodzaju vlanu, wskazujemy odpowiedni port. W przypadku vlanu tagowanego, zawsze musimy wskazać bridge i docelowy port.
Mikrotik konfiguracja VLAN w Bridge

Klikamy w zakładkę Ports i dodajemy porty do Bridge. Konfiguracja przebiega podobnie jak w przypadku zwykłej konfiguracji, z tą małą różnicą, iż musimy uzupełnić pole PVID w zakładce VLAN. Numer PVID jest numerem vlanu nietagowanego, który chcemy przypisać do portu.

Mikrotik konfiguracja VLAN w Bridge PVID

Bardzo ważne jest, aby przed włączeniem opcji Bridge VLAN Filtering przygotować vlan managmentowy, czyli dedykowany do zarządzania urządzeniami.

Mikrotik włączenie VLAN Filtering

W sposób analogiczny konfigurujemy drugi router. Pamiętając, że w przypadku drugiego routera interfejsem Trunkowym jest ether1.

Polecany sprzęt

Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.

Do domu i małej firmy(SOHO): Hap AC Lite , hAP AC, RB4011, RB260GS, RB2011

LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit

Extender/Repeater: mAP lite, mAP

POE: hEX PoE

LAB: hEX lite

Średnia/Duża firma: CCR1036-12G-4S

Materiał Video

Tags:, , , , , , , , ,

Related Posts

About Author

grzegorz

18 komentarzy
  1. Mariusz

    W jaki sposób, przy takiej konfiguracji można przekazać pakiet z jednego VLAN’a do drugiego? Na w jednym chciałbym mieć serwery a w drugim pracowników itp.

    Odpowiedz
    • Grzegorz Kowalik

      Domyślnie routing intervlanowy jest włączony, także przy poprawnej adresacji IP, powinno wszystko działać.

      Odpowiedz
  2. Ariel

    Robie to juz drugi raz i nie dostaje adresow na zadnym porcie MT gdzie mam vlany accessowe ani nie moge ich odebrac na switchu.

    Odpowiedz
  3. Wojciech

    A jeżeli mam mikrotika wraz ze switchem np RB2011. I chciałbym aby porty 2-5 były odseparowane od 6-9 poprzez vlan-y. To wtedy potrzebuje „tranka” na porcie WAN aby obie podsieci miały dostęp do Internetu?

    Odpowiedz
    • Grzegorz Kowalik

      Jeżeli ma iść kilka vlanów, to musi być trunk, i wtedy port WAN będzie trunkiem.

      Odpowiedz
  4. Tomasz

    Witam, chciałbym na swoim RB4011 skonfigurować dodawanie urządzeń do VLAN po adresie MAC. Czy jest to możliwe?

    Odpowiedz
    • Grzegorz Kowalik

      Obawiam się, że na RB4011 tego nie da się zrobić. Standardowo vlany po mac-addressie przypisujemy w opcji switch.

      Odpowiedz
  5. Rad

    Witam, Mam pytanie odnośnie routera-1 dlaczego po konfiguracji na nim vlanow i przypieciu ich do bridgea’a nie włączono bridge vlan filtering?
    Dlaczego Bridge vlan filtering został włączony tylko na routerze2?

    Odpowiedz
    • Grzegorz Kowalik

      VLAN Filtering najlepiej włączyć na routerze, który odbiera vlany. W tym przypadku takim routerem jest właśnie router-2

      Odpowiedz
  6. Rad

    Dziękuję za odpowiedź 🙂 w końcu zaczynam rozumieć ten bridge vlan filtering i jest to super rozwiązanie jak się chce mieć router on the stick + dodatkowe porty access na mikrotiku 🙂

    Czasem widzę też, że ludzie nadają adres IP na bridge’a, w którym są vlany i nie wiem czemu to ma służyć.

    Teraz czekam z niecierpliwością na film z konfiguracją CAPsMAN z VLAN firmie. Fajnie jak by był podział VLANów na management, goście, firma itp. Zastanawiam się czy do takiego CAPa musi iść managament vlan tagowany czy nie.

    Odpowiedz
  7. Rad

    PS
    Jednak na routerze-1 bridge filter jest włączony (ale nie jest to 'powiedziane’ w filmie)
    Przeklikałem taką samą konfigurację i bez włączenia brifge filterning na routerze-1 PC nie dostaje adresu IP z odpowiedniego VLANu na portach ether3, ether4

    Odpowiedz
  8. Paweł

    Jak chciałbym do kolejnego portu podpiąć tolinka ap 901n ze skonfigurowanymi vlanami id10 id20 id30 to jak ustawić port dla niego?

    Odpowiedz
  9. Janusz

    Dzień dobry.Niestety nadal coś robię źle. Mikrotik odrzuca możliwość utworzenia tych ustawień twierdząc, że interfejs jest slave, a ja nie potrafię usunąć interfejsu z bridge. Niby raz się to udało za pomocą usunięcia interfejsu na interface list, ale po kilku chwilach on tam się znowu pojawia i uniemożliwia uruchomienie DHCP dla VLANów.
    Będę wdzięczny za pomoc.

    Odpowiedz
  10. Krzysztof lipiński

    Dzień dobry.
    Posiadam model hAP lite (ale bez AC) i próbuję stworzyć konfiguracje z VLAN.
    Interfaces -> VLAN tworzę – jest OK
    IP -> Addresses osobna adresacja dla każdego VLANA – OK
    IP -> DHCP Server – zawsze na czerwono z informacją I (Invalid)
    Próbowałem wiele razy więc wykluczam głupi błąd. W czym rzecz? Stary RouterOS (6.48)? Zbyt prosty model routera? Bardzo proszę o podpowiedź. W razie zainteresowania przekażę dokładniejsze informacje.

    Odpowiedz
  11. Krzysztof lipiński

    Dziękuję za tak szybką reakcję. Jako interface wskazuję utworzone VLAN-y.
    To jest tak w ogóle zadanie z egzaminu. Na routerze należy stworzyć 3 VLAN-y na porcie ether2 o ID 10, 20, 30 przypisać każdemu osobną adresację a dla VLAN-a 30 dodatkowo uruchomić DHCP Server. No i właśnie tu zaczyna się problem.

    Odpowiedz

Add a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *