IT a bezpečnost bez starostí

Mikrotik - nastavení VLAN a trunku

Routery od MikroTiku (dále jen MT) jsou zařízení, na která přesně platí "za málo peněz hodně muziky". Z praxe mám potvrzeno, že jsou to jedny z nejstabilnějších zařízení. Napříč všemi modely se RouterBOARDY konfigurují stejně a nabízejí řadu možností, které běžné "malé" routery nemají. 

Jsou to krabičky, které by chtěl mít doma každý, tedy každý, kdo si troufne je nakonfigurovat. A v tom je ta největší potíž. Málo kdo z běžných domácích uživatelů a správců malé sítě si na to troufne. A proto vznikl tento návod, který Vás nastavením provede.

Ukázkou bude konfigurace routeru Mikrotik RBD52G-5HacD2HnD-TC a switche Mikrotik Cloud Smart CSS326-24G-2S+RM. 

 

Upozornění: tento článek popisuje již nepoužívanou metodu bridge portů per VLAN. Tuto metodu nedoporučuji, ale nechávám jí tu jako zajímavost.

Přejděte tedy na článek UniFi/Mikrotik - více Wi-Fi sítí a rozdělení do VLAN, kde je v první části vysvětleno nastavení VLAN na Mikrotik routerboard a v poslední části i switche Mikrotik CSS.

 

Scénář zapojení

Menší kancelář: 5x PC, 4x IP kamery, tiskárna, Wi-Fi, konektivita od lokálního ISP, síť rozdělit na 3 subnety: PC, kamery a guest přístup.

Řešení je vidět na obrázku. Konektivitu do internetu bude řešit router MikroTik hAP. Na něm budou zakončeny i lokální sítě, které rozdělíme do jednotlivých VLAN a logicky je tak oddělíme. Pod ním bude switch, jehož porty budou podle účelu nakonfigurovány do konkrétní VLAN.

 

Návrh zapojení

 

Vytvoření VLAN

Jako první vytvoříme potřebné VLANy. Pod Interfaces - VLAN klikněte na modré PLUS. Vytvářet budeme:

  • VLAN10 - firemní PC
  • VLAN20 - IP kamery
  • VLAN30 - guest přístup

Interface VLAN

Pro přehlednost pojmenujte VLAN stejně jaké je její ID. Stejně udělejte ostatní VLAN, všechny přiřaďte pod ether2.

Interface VLAN 10

Vraťte se do záložky Interface, zde byste měli vidět všechny vytvořené VLAN pod intreface ether2.

Interface VLAN summary

 

Vytvoření Bridge

Přepněte se na Bridge a vytvořte 3 bridge. Opět pro každý segment.

Bridge

Přejděte na záložku Ports a klikem na modré PLUS přidejte porty do Bridge. Zde přidáváme VLAN10 do bridge-lan.

Interface do Bridge

Takto přiřaďte porty do správného Bridge. Naopak porty ether1 (internet) a ether2 (TRUNK do switche) nepřiřazujte do žádného Bridge.

  • Bridge LAN spojuje VLAN10, obě intranetové Wi-Fi (wlan1 a wlan2) a port 5 na routeru
  • Bridge KAMERY spojuje VLAN20 a port 3 na routeru
  • Bridge GUEST spojuje VLAN30 a Wi-Fi-guest

Porty do Bridge

 

IP adresace

Nyní každému Bridge nastavte IP adresu.

IP adresy pro Bridge

Zkontrolujte pod IP - Routes, že existují záznamy v routovací tabulce.

IP routes

 

Nastavení DHCP

Pokud budete v sítích chtít mít DHCP, bude potřeba jej nastavit. Pod IP - Pool nastavte pooly, tedy rozsahy IP adres, které bude DHCP server přidělovat.

DHCP pool

Přejděte na IP - DHCP Server na záložku Networks a vytvořte sítě pro než bude DHCP dostupné, nastavte parametry.

DHCP networks

Takhle může vypadat síť pro Firemní PC v bridge-lan, nastavte IP rozsah, bránu, DNS servery a NTP servery.

DHCP network

Nyní spustíme samotné DHCP servery. Přepněte na záložku DHCP.

DHCP servers

Ukázka nastavení pro firemní PC (DHCP-PC) a pro guest přístup (DHCP-guest). U Guest doporučuji malý Lease time, třeba 5 minut. Naopak u firemních PC dejte 8 hodin. Každému přidělte správný Bridge Interface a Adress Pool.

DHCP LAN  DHCP guest

Pokud je DHCP správně nastaveno a připojíte se do sítě, měli byste vidět přidělené adresy v záložce Leases. Vyzkoušejte si různé porty, podle tohoto návodu bude na ether3 rozsah pro IP kamery a na ether5 naopak rozsah pro firemní PC.

DHCP lease

 

Nastavení Firewallu

Jestli budete chtít, aby uživatelé Guest sítě neviděli do vaší firemní sítě, omezte je na firewallu. Zakážeme pro celou síť 10.0.30.0/24 (VLAN30-guest) přístup kamkoliv v rámci interní sítě 10.0.0.0/8, povolený bude pouze ping na bránu 10.0.30.1. Odcházet pak mohou pouze ven na internet. Pravidlo by vypadalo nějak takhle.

Firewall pravidlo

 

Nastavení Cloud Smart Switche

Předpokladem je základní oživení a adresování switche, to přeskočím pouze tímto jedním obrázkem. Switch má svůj hostname, IP adresu managementu, lze omezit z jakých portů nebo jaké VLANy bude dostupný management a určitě je nastaveno heslo administrátora.

Konfigurace switche

Doporučuji si rozvrhnout porty, jak je bude chtít použít. Já podle toho některé porty zcela disabluju, a ostatní si pojmenovávám. Lépe se pak hledá něco v síti hledá.

Konfigurace switche

Pod VLAN přiřaďte VLANy na porty, které budou jako Access v dané VLAN. Jde o porty, na kterých se bude přiřazovat netagovaný provoz z koncových stanic do definované VLAN. Např. data z PC na portu 1 se budou tagovat do VLAN10.

Konfigurace switche

Pod VLANs si vytvořte všechny 3 VLANy a přiřaďte je na porty. Pro TRUNK port vyberte všechny VLAN. Pro ACCESS porty vyberte VLAN, kterou na něm budete chtít odtagovat a dopravit tak netagovaný provoz z této VLAN na koncové zařízení. Např. provoz z VLAN10 projde pouze na zařízení připojené do portů 1-8.

Oproti třeba Cisco switchům, kde se nastavuje VLAN v jednom kroku jako "switchport access vlan 10", tak na MT se nastavuje ve dvou krocích. Tedy do jaké VLAN se provoz z PC bude tagovat a pak z jaké VLAN se bude provoz na daném portu odtagovávat.

Konfigurace switche

 

Nastavení Wi-Fi

V této sekci si nastavíme Wi-Fi pro firemní zařízení pro obě pásma 2,4 Ghz a 5 Ghz a k tomu Wi-Fi v pásmu 2,4 Ghz pro Guest přístup. Otevřete Wireless - Security Profiles.

Konfigurace WiFi

Vytvořte dva profily, povolte pouze WPA2 PSK a nastavte hesla (např. pro Intranet: Moje.heslo*123 a pro Guest: hesloguest).

Konfigurace WiFi

Přepněte se na záložku WiFi Interfaces.

Rozklikněte si postupně oba Wi-FI interface. Na kartě General si je můžete pojmenovat podle sebe. Poté klikněte na Advaced Mode.

Konfigurace WiFi

Zde upravte parametry každého Wi-Fi interface. Ponechte Mode: ap bridge. Band můžete nechat, já nastavuji režim G/N pro 2,4Ghz a N/AC pro 5 Ghz. Tedy nepovoluji staré standardy. Pro připojení běžných notebooků a telefonů je to lepší. Pokud se vám ale v síti objevují stará zařízení, prehistorické mobily, PLC a jiná technologická zařízení na Wi-Fi, ponechte jim B/G/N a A/N/AC, jinak se nepřipojí. Důležité je vybrat správný security profile. V něm je heslo, kterým se do Wi-Fi budete připojovat. Zkontrolujte, že síť není skrytá volbou Hide SSID. 

Případně nastavte i ostatní volby v modrých rámečkách podle obrázku.

Konfigurace WiFi

Pokud se k Wi-Fi nyní připojíte, měli byste připojené klienty vidět pod záložkou Registration.

Konfigurace WiFi

 

Nastavení Guest Wi-Fi

Tento krok předpokládá, že máte nastavenou firemní Wi-Fi z předchozího kroku. K tomu je vytvořena Guest síť včetně IP adress a DHCP.

Pod Wireless - WiFi Interfaces klikněte na modré PLUS a vyberte Virtual.

Konfigurace WiFi

Ve dvou krocích nastavte novou Wi-Fi. Na kartě General nastavte název Interface.

Na kartě Wireless nastavte mode ap bridge a název SSID (název vysílané sítě). Master Interface je název rádiového rozhraní, pod kterým bude tato Wi-Fi vysílat. Zde je zvoleno wlan1 na 2,4 Ghz. Pokud Guest síť budete chtít vysílat i v 5 Ghz pásmu, vytvořte ještě druhý Wi-Fi Virtual Interface a ten přiřaďte pod wlan2. 

Zkontrolujte, že není zaškrtnuto Hode SSID a uložte.

Konfigurace WiFi

Nezapomeňte nově vzniklou Wi-Fi přiřadit do Bridge Guest.

Přidání WiFi Guest do Bridge

Nyní byste měli vidět v okolí další Wi-Fi s názvem Wi-Fi-guest, připojte se do ní heslem nastaveným v Security Profile pro Guest. Pokud jste nastavili i Firewall, tak z této sítě budete mít přístup pouze na internet, nikoli však do firemní sítě.

 

Nastavení DHCP clienta

Ještě pro úplnost. Pokud nechcete řešit statické adresování portu směrem k ISP (poskytovateli konektivity), můžete si adresu nechat nastavit přes DHCP (pokud ISP DHCP poskytuje). V příkladu je IPS připojen přes ether1.

Přejděte do IP - DHCP Client a klikněte na modré PLUS.

Konfigurace DHCP clienta

Vyberte Interface ether1, nechte si případně poskytovat od ISP i DNS a NTP, nechte přidat defaultní routu.

Konfigurace DHCP clienta

Pokud vše zafunguje, tak na kartě Status uvidíte všechny parametry, které Váš router na portu ether1 obdržel z DHCP od ISP.

Konfigurace DHCP clienta

 

Závěr

Pokud se Vám vše povedlo, tak výsledkem bude následující:

  • router je připojen do internetu přes ether1 a má na něm nastaveno získávat IP z DHCP
  • na routeru port ether2 je nastaven TRUNK a připojen na něm switch
  • na routeru "svítí" Wi-Fi v pásmu 2,4 Ghz a 5 Ghz pro firemní PC s názvy WiFi-intranet a WiFi-intranet-5G
  • na routeru "svítí" Wi-Fi v pásmu 2,4 Ghz Wi-FI pro Guest přístup, jiné SSID a heslo, jiný IP rozsah než firemní PC, s názvem WIFI-guest
  • na portech switche 1-8 bude VLAN10 pro firemní PC, PC dostane IP adresu z rozsahu 10.0.10.10 - 10.0.10.100, pingne si na všechny tři brány, třeba na 10.0.30.1, má přístup na internet
  • na portu switche 9 bude VLAN30 pro Guest přístup, dostaneme IP adresu z rozsahu 10.0.30.10 - 10.0.30.30, pingne si pouze na bránu 10.0.30.1, má přístup na internet
  • na portech switche 15-22 bude VLAN20 pro IP kamery, dostane IP adresu z rozsahu 10.0.20.10 - 10.0.20.100, pingne si na všechny tři brány, třeba na 10.0.30.1, má přístup na internet - doporučuji ale kamerám přístup zablokovat, a naopak řešit přístup z internetu pouze na kamerový server
  • na portu switche 24 je nastaven TRUNK, kterým je switch připojen do routeru

 

 

Upozornění: tento článek popisuje již nepoužívanou metodu bridge portů per VLAN. Tuto metodu nedoporučuji, ale nechávám jí tu jako zajímavost.

Přejděte tedy na článek UniFi/Mikrotik - více Wi-Fi sítí a rozdělení do VLAN, kde je v první části vysvětleno nastavení VLAN na Mikrotik routerboard a v poslední části i switche Mikrotik CSS.
 

>> Líbil se Vám článek? Ohodnoťte mě <<

Kategorie

Komentáře

Dobrý den,

proč již toto je nepoužívaná metoda, já ji stále využívám.

Upozornění: tento článek popisuje již nepoužívanou metodu bridge portů per VLAN. Tuto metodu nedoporučuji, ale nechávám jí tu jako zajímavost.

Děkuji za vysvětlení budu velice rád.

Děkuji HS

 

Není to již doporučené z toho důvodu, že bridge je softwarová funkce, který vytěžuje CPU. Lepší je dělat VLANy na switch čipu. Ale je to metoda stále funkční a v malém prostředí bude asi fungovat bez potíží.