Configurazione VLAN su dispositivi Mikrotik e Cisco

Una breve guida passo-passo che mostra come configurare le reti VLAN basate su dispositivi Mikrotik e Cisco. Come nostro router principale, useremo un'unità molto potente Mikrotik RB4011IGS+RM, mentre la funzione di commutazione sarà eseguita da Cisco SF350-24. Prima di iniziare a configurare i dispositivi, è il momento di fare un po' di teoria.

WAN | LAN | NAT

Le nostre reti domestiche sono solitamente configurate in modo da avere una rete locale LAN e l'accesso alla rete pubblica attraverso la porta WAN. E' ovvio che attraverso la porta WAN il nostro ISP ci dà accesso a Internet. La nostra casa router utilizza un meccanismo per la traduzione di indirizzi e porte dalla nostra LAN a una rete esterna (Internet). E questa funzionalità si chiama NAT (Network Address Translation). Generalmente, per realizzare una rete di questo tipo, è sufficiente un router dotato di due porte Ethernet e diverse porte switch.

Sì. La situazione cambia drasticamente quando abbiamo bisogno di utilizzare più reti di quelle LAN e WAN. Ad esempio, se vogliamo dividere la rete sul nostro posto di lavoro in diverse sezioni, ad esempio DIVISION_IT e BOOKING, abbiamo anche un server WWW nella rete e vorremmo accedervi dall'esterno.

In questa guida si assumono le seguenti reti:

• WAN - Link di accesso a Internet (indirizzo pubblico: 10.0.0.0.0/29)
• DZIAL_IT (indirizzo: 192).168.10.0.0.0/24 VLAN tag: 10)
• KSIEGOWOSC (indirizzo: 192.168.20.0/24 VLAN tag: 20)
• DMZ_SERWER_WWWW (indirizzo: 192.168.30.0/24 VLAN tag: 30)

. Per tutte le sottoreti il nostro router assegnerà gli indirizzi IP utilizzando DHCP_SERVERVERVER.

Sì. In questa situazione, può esserci un grosso problema se il nostro router ha per esempio solo due porte fisiche e non siamo in grado di dividere la rete secondo le nostre ipotesi. E in questa situazione siamo aiutati da VLAN (Virtual Local Area Network).

In breve, VLAN è un meccanismo che permette la divisione logica delle reti (segmentazione) e l'aggregazione di reti diverse (domini broadcast) all'interno di una porta fisica. Secondo questo presupposto, possiamo configurare la connessione tra il router e lo switch in modo tale che diverse reti (BOOK, ACTION_IT, DMZ) siano disponibili su una porta fisica del router e dello switch. Anche il principio delle VLAN è molto semplice. Ogni frame Ethernet riceve un identificatore univoco chiamato VLAN TAG. L'identificatore indica a quale sottorete appartiene il pacchetto. VLAN TAG è semplicemente un numero da 0 a 4096, che viene assegnato dall'amministratore di rete. Lo switch deve rimuovere l'identificatore sulle porte a cui sono collegati i dispositivi terminali come stampanti, telefoni, telefoni IP, ecc. Tale porta si chiama ACCESS. L'utilizzo del meccanismo VLAN ha molti vantaggi:

• Meno cavi! Salviamo il numero di porte fisiche sui router e
• switch. La divisione in sottoreti rende più facile la gestione della politica del firewall
• Con la VPN è possibile collegare più filiali di un'azienda che ha più LAN
• Non è necessario utilizzare uno switch separato per ciascuna delle sottoreti supportate.

Bene, cominciamo a preparare. Per prima cosa configureremo il nostro router principale Mikrotik RB4011IGS+RM.


1. microTics ripristinato alla configurazione predefinita
.

2. Indirizzo della porta WAN (etere1)

Rete: 10.0.0.0.0/24
Gateway: 10.0.0.1

6. Server DHCP

Server DHCP Naturalmente, configuriamo il Server DHCP come per qualsiasi rete: DIVISION_IT, BOOKING, DMZ_SERVER_WWWW.