Configuração de VLANs em dispositivos Mikrotik e Cisco

Um pequeno tutorial mostrando passo a passo como configurar VLANs baseadas em dispositivos Mikrotik e Cisco. Como nosso roteador principal, vamos utilizar uma unidade Mikrotik RB4011IGS RM muito eficiente, enquanto a função do switch será realizada pela Cisco SF350-24. Antes de prosseguirmos com a configuração dos dispositivos, é hora de alguma teoria.

WAN | LAN | NAT

Nossas redes domésticas são normalmente configuradas de tal forma que temos uma LAN local e acesso a uma rede pública através de uma porta WAN. É óbvio que através da porta WAN o nosso ISP dá-nos acesso à Internet. Nosso roteador doméstico utiliza o mecanismo de tradução de endereço e porta de nossa LAN, para a rede externa (a Internet). E esta funcionalidade é chamada NAT (Network Address Translation). Geralmente, para fazer tal rede é suficiente utilizar um router equipado com duas portas Ethernet e um switch multi-portas.
A situação muda drasticamente quando precisamos usar mais redes do que apenas LAN e WAN. Por exemplo, se quisermos dividir a rede no nosso local de trabalho em vários departamentos, por exemplo, REAL ESTATE e ACCOUNTING, e adicionalmente temos também o servidor WWW na rede e gostaríamos de ter acesso a ele a partir do exterior.

Neste tutorial, nós assumimos o suporte para as seguintes redes:

• WAN - Ligação de acesso à Internet (endereço público: 10.0.0.0/29)
• DZIAL_IT (endereçamento: 192.168.10.0/24 VLAN tag: 10)
• CHECK (endereçamento: 192.168.20.0/24 VLAN tag: 20)
• DMZ_SERWER_WWWW (Endereço: 192.168.30.0/24 VLAN tag: 30)

Para todas as sub-redes, nosso roteador irá atribuir endereços IP usando DHCP_SERVER.
Nesta situação, pode surgir um grande problema, quando o nosso router tem, por exemplo, apenas duas portas físicas e não somos capazes de dividir a rede de acordo com as nossas suposições. E nesta situação as VLANs (Virtual Local Area Network) vêm em nosso auxílio.

Em resumo, VLAN é um mecanismo que permite a divisão lógica da rede (segmentação) e a agregação de diferentes redes (domínios de transmissão) dentro de uma única porta física. De acordo com esta idéia, podemos configurar a conexão entre um roteador e um switch de tal forma que várias redes (ACCOUNTING, DO_IT, DMZ) estejam disponíveis em uma única porta física do roteador e do switch. O princípio das VLANs também é muito simples. Cada frame Ethernet recebe um identificador único, o chamado VLAN TAG. O identificador informa a que sub-rede pertence um determinado pacote. O VLAN TAG é simplesmente um número de 0 a 4096 que é atribuído pelo administrador da rede. O interruptor, por outro lado, deve remover o identificador nas portas às quais os dispositivos finais estão ligados, por exemplo, impressoras, telefones, telefones IP, etc. Tal porto é chamado ACCESS. O uso do mecanismo VLAN tem muitas vantagens:

• Menos cabos! Guardamos o número de portas físicas em routers e switches.
• A divisão em sub-redes facilita a gestão subsequente da política de firewall
• VPN pode ser usado para conectar muitas filiais de uma empresa que tem várias LANs
• Não há necessidade de um interruptor separado para cada uma das sub-redes suportadas.

Vamos começar com a configuração. Primeiro vamos configurar nosso roteador principal Mikrotik RB4011IGS RM.

Redefinindo o MikroTik para a configuração padrão

Endereço da porta WAN (ether1)
Endereço IP: 10.0.0.2/24
Rede: 10.0.0.0.0/24
Porta de entrada: 10.0.0.1

6. servidor DHCP
Claro que configuramos o servidor DHCP analogamente a cada rede: ACTIVITY_IT, ACCOUNTING, DMZ_SERVER_WWWW

8. configuração DSTNAT para servidor web
Também não podemos esquecer que temos um servidor web na nossa rede que queremos aceder a partir do exterior.
Para o servidor web, definimos o endereço IP 192.168.30.2

Uma vez configurado o nosso router, podemos agora proceder à configuração do nosso switch. A configuração é baseada no interruptor Cisco SF350-24. 24 portas RJ45 com 100Mbps de débito, 2 portas Combo Gigabit (RJ45/SFP) e 2 portas de fibra SFP. O SF350-24 é um switch de alto desempenho; 9,52 milhões de pacotes por segundo (com pacotes de 64 bytes) e uma capacidade de comutação de 12,8Gbps. Isso é mais do que suficiente para que funcione bem na rede que estamos a apresentar.
Os dispositivos Cisco não têm preço! E tenho de admitir que a configuração de uma rede baseada em VLANs em switches Cisco é trivialmente fácil. A seguir, apresento a configuração das VLANs em alguns passos.

Configuração das portas

As portas do nosso interruptor podem ser configuradas da seguinte forma:

Portos
• 1-5 - VLAN 10
-
• DZIAL_ITPorts
• 10-15
-
• VLAN 20
-
• KSIEGOWOSCPorts
• 20-22
- VLAN
• 30
-
• DMZ_SERWER_WWPort
• 24 - TRUNK

Acesso ao CLI via Putty

Para aceder ao dispositivo, utilize a porta CONSOLE, o cabo RS323-RJ45 apropriado (incluído) e o software Putty, que, claro, deve estar devidamente configurado.
NOTA: Para os comutadores geridos Cisco série 300 e 500, a taxa de bits deve ser definida para 115200, e a porta COM


deve ser seleccionada de acordo com a sua ligação ao computador.

Configuração do interruptor - VLAN

Se tivermos configurado o Putty correctamente, então vamos entrar no interruptor. Login: cisco, senha: cisco

E depois configuramos as portas do switch de acordo com as suposições anteriores. Vamos começar com o porto TRUNK.

E, claro, todas as VLANs: DZIAL_IT(vlan 10); KSIEGOWOSC(vlan 20); DMZ_SERWER_WWWW(vlan 30).

E de uma forma tão rápida conseguimos configurar a nossa rede com a divisão em VLANs. Todo o processo de configuração é realmente muito fácil. Tanto o roteador quanto o switch foram configurados corretamente. Claro que, ao configurar tal rede, temos de nos lembrar de alguns pressupostos importantes. Primeiro de tudo, usamos senhas muito complicadas em cada um dos dispositivos e desativamos os métodos de registro que não usamos, por exemplo, Telnet. Também vale a pena introduzir limitações para o protocolo IP/Vizinhos. Generalizando, as redes baseadas em VLANs são muito seguras e facilitam a gestão de toda a estrutura para cada administrador. Para construir uma rede baseada em vlans, só precisamos de um switch Layer2. Bem, espero que este tutorial seja útil para desenhar uma LAN baseada em LANs virtuais (VLANs). Usando alguns princípios básicos ao projetar a rede, podemos construir uma LAN muito eficiente e segura.

Para mais discussões sobre o tema, por favor visite o nosso