Konfigurace VLAN na zařízeních Mikrotik a Cisco

Stručný průvodce, který krok za krokem ukazuje, jak konfigurovat VLAN na základě zařízení Mikrotik a Cisco . Jako náš hlavní router použijeme velmi efektivní jednotku Mikrotik RB4011IGS + RM , zatímco přepínač bude fungovat Cisco SF350-24 . Než začneme konfigurovat zařízení, je čas na nějakou teorii.

WAN | LAN | NAT

Naše domácí sítě jsou nejčastěji konfigurovány tak, že máme jednu lokální síť LAN a přístup k veřejné síti přes port WAN . Je zřejmé, že náš ISP nám umožňuje přístup k internetu přes port WAN. Náš domácí router používá mechanismus překladu adres a portů z naší sítě LAN do externí sítě (internet). A tato funkce se nazývá NAT (Network Address Translation) . K vytvoření takové sítě obecně stačí router se dvěma porty Ethernet a přepínačem s více porty.
Situace se dramaticky změní, když potřebujeme používat více sítí než jen LAN a WAN. Například pokud chceme rozdělit síť na našem pracovišti na několik oddělení, např. IT ODDĚLENÍ a ÚČETNICTVÍ, navíc máme v síti také WEBOVÝ SERVER a rádi bychom k němu získali přístup zvenčí.
LAN síťový diagram Kliknutím obrázek zvětšíte!
LAN síťový diagram
V této příručce předpokládáme podporu následujících sítí:
  • WAN - odkaz na přístup k internetu (veřejná adresa: 10.0.0.0/29)
  • DZIAL_IT (adresa: 192.168.10.0/24 VLAN tag: 10)
  • ÚČETNICTVÍ (adresa: 192.168.20.0/24 VLAN tag: 20)
  • DMZ_SERWER_WWW (adresa: 192.168.30.0/24 VLAN tag: 30)

Pro všechny podsítě náš router přidělí IP adresy pomocí DHCP_SERVER.
V této situaci může nastat velký problém, pokud má náš router například jen dva fyzické porty a my nejsme schopni rozdělit síť tak, jak předpokládáme. A v této situaci nám pomáhají VLAN (Virtual Local Area Network) .

Jak funguje VLAN?

Stručně řečeno, VLAN je mechanismus, který umožňuje logické rozdělení sítí (segmentaci) a agregaci různých sítí (vysílací domény) v rámci jednoho fyzického portu. V návaznosti na tento předpoklad můžeme nakonfigurovat spojení mezi routerem a switchem takovým způsobem, že na jednom fyzickém portu routeru a switche je k dispozici několik sítí (ACCOUNTING, DEPARTMENT_IT, DMZ). Princip fungování VLAN je také velmi jednoduchý. Každý ethernetový rámec přijímá jedinečný identifikátor, tzv VLAN TAG. Identifikátor informuje, do které podsítě daný paket patří. VLAN TAG je jednoduše číslo mezi 0 a 4096, které je přiřazeno správcem sítě. Na druhé straně musí přepínač odebrat identifikátor na portech, ke kterým jsou připojena koncová zařízení, jako jsou tiskárny, telefony, IP telefony atd. Tento port se nazývá PŘÍSTUP . Mechanismus VLAN má mnoho výhod:
  • Méně kabelů! Ušetřujeme množství fyzických portů na směrovačích a přepínačích
  • Rozdělení do podsítí usnadňuje následnou správu zásad brány firewall
  • S VPN můžete připojit více poboček společnosti, která má více LAN
  • Není třeba samostatný přepínač pro každou z podporovaných podsítí.

Konfigurace routeru MikroTik

Začněme s konfigurací. Nejprve nakonfigurujeme náš hlavní router Mikrotik RB4011IGS + RM .

1. MikroTik reset na výchozí konfiguraci
Výchozí konfigurace Kliknutím obrázek zvětšíte!
Výchozí konfigurace
2. Adresování portů WAN (ether1)
IP adresa: 10.0.0.2/24
Síť: 10.0.0.0/24
Brána: 10.0.0.1
IP adresy ether1 Kliknutím obrázek zvětšíte!
IP adresy ether1
3. Nastavení výchozí brány
výchozí brána Kliknutím obrázek zvětšíte!
výchozí brána
4. Konfigurace rozhraní VLAN na portu ether2 (pro každou podsíť)
Konfigurace VLAN Kliknutím obrázek zvětšíte!
Konfigurace VLAN
Kliknutím obrázek zvětšíte!
5. Adresování VLAN rozhraní (pro každou síť)
VLAN adresy Kliknutím obrázek zvětšíte!
VLAN adresy
Vlan addresses_2 Kliknutím obrázek zvětšíte!
Vlan addresses_2
6. DHCP server
Samozřejmě nakonfigurujeme server DHCP stejným způsobem pro každou síť: DEPARTMENT_IT, ACCOUNTING, DMZ_SERVER_WWW
server vlan dhcp Kliknutím obrázek zvětšíte!
server vlan dhcp
Vlan DHCP Pool Kliknutím obrázek zvětšíte!
Vlan DHCP Pool
7. Nastavili jsme SRCNAT pro všechny vytvořené sítě.
srcnat masquarade Kliknutím obrázek zvětšíte!
srcnat masquarade
VLAN maskovaná Kliknutím obrázek zvětšíte!
VLAN maskovaná
8. Konfigurace DSTNAT pro webový server
Také nesmíme zapomenout, že máme v síti webový server, ke kterému chceme přistupovat zvenčí.
Pro webový server jsme nastavili IP adresu 192.168.30.2
Webový server Vlan Kliknutím obrázek zvětšíte!
Webový server Vlan
DSTNAT serwe www Kliknutím obrázek zvětšíte!
DSTNAT serwe www

Konfigurace přepínače Cisco

Protože jsme již nakonfigurovali náš směrovač, nyní můžeme pokračovat v konfiguraci našeho přepínače. Konfigurace je založena na přepínači Cisco SF350-24 . 24 portů RJ45 se šířkou pásma 100 Mb / s, 2 gigabitové kombinované porty (RJ45 / SFP) a 2 optické porty SFP. SF350-24 je efektivní přepínač; 9,52 milionu paketů za sekundu (s 64bajtovými pakety) a účinnost přepínání 12,8 Gb / s . To stačí k tomu, aby to fungovalo v síti, kterou představujeme.
Zařízení Cisco jsou spolehlivá a neocenitelná! A je třeba připustit, že konfigurace sítě založené na VLAN na přepínačích Cisco je velmi jednoduchá. Níže v několika krocích představuji konfiguraci VLAN .

Konfigurace portu

Porty na našem přepínači konfigurujeme následovně:
  • Porty 1-5 - VLAN 10 - DIVISION_IT
  • Porty 10-15 - VLAN 20 - ÚČETNICTVÍ
  • Porty 20-22 - VLAN 30 - DMZ_SERWER_WWW
  • Port 24 - PŘEPRAVA

Přístup k CLI přes Putty

Chcete-li se k zařízení dostat, musíte použít port CONSOLE , příslušný kabel RS323-RJ45 (je součástí dodávky) a software Putty , který samozřejmě musí být správně nakonfigurován.
POZORNOST! U spravovaných přepínačů řady Cisco 300 a 500 musí být bitová rychlost nastavena na 115200 a port COM musí být vybrán odpovídajícím způsobem pro vaše připojení k počítači.
Tmel Kliknutím obrázek zvětšíte!
Tmel

Konfigurace přepínače - VLAN

Pokud jsme správně nakonfigurovali Putty, dostaneme se k přepínači . Přihlášení: cisco , heslo: cisco
cisco přihlášení Kliknutím obrázek zvětšíte!
cisco přihlášení
A pak nakonfigurujeme porty přepínače v souladu s předchozími předpoklady. Začneme portem TRUNK .
kufr portu cisco Kliknutím obrázek zvětšíte!
kufr portu cisco
A samozřejmě všechny VLAN : DZIAL_IT ( vlan 10 ); ÚČETNICTVÍ ( vlan 20 ); DMZ_SERWER_WWW ( vlan 30 ).
cisco vlan 10 Kliknutím obrázek zvětšíte!
cisco vlan 10
cisco vlan 20 Kliknutím obrázek zvětšíte!
cisco vlan 20
cisco vlan 30 Kliknutím obrázek zvětšíte!
cisco vlan 30

souhrn

A tak rychle jsme dokázali nakonfigurovat naši síť rozdělenou na VLAN . Celý proces konfigurace je opravdu velmi snadný. Směrovač i přepínač byly správně nakonfigurovány. Při konfiguraci takové sítě si samozřejmě musíte pamatovat několik důležitých předpokladů. Nejprve používáme velmi komplikovaná hesla na každém ze zařízení a deaktivujeme ty metody přihlášení , které nepoužíváme, např. Telnet. Rovněž stojí za to zavést omezení provozu protokolu IP / Neighbors. Obecně lze říci, že sítě založené na VLAN jsou velmi bezpečné a usnadňují správu celé struktury jakýmkoli správcem. K vybudování sítě založené na vlanech potřebujeme pouze přepínač vrstvy 2 ( vrstva 2 ). Doufám, že vám tento návod bude užitečný při navrhování sítí LAN založených na virtuálních sítích LAN (VLAN). Použitím několika základních pravidel při navrhování sítě dokážeme vybudovat velmi efektivní a bezpečnou síť LAN.

V rámci další diskuse na toto téma navštivte naše FÓRUM !!!

Autor:
Leszek Błaszczyk
Platnost relace vyprší za:
Sekundy
Po vypršení relace budete odhlášeni
Vyberte si jinou zemi nebo region a nakupujte v jazyce, který vám vyhovuje
Naše stránka používá cookies (tzv. "Cookies"). Další informace o těchto souborech a o tom, jak zpracováváme vaše osobní údaje, naleznete v našich zásadách ochrany osobních údajů.
Oblíbený
Jste na stránce pro zemi / region:
Český (CZ)
Vyberte prosím jinou zemi nebo region, abyste mohli nakupovat v jazyce, který vám vyhovuje.