IT a bezpečnost bez starostí

UniFi/Mikrotik - více Wi-Fi sítí a rozdělení do VLAN

Na internetu je mnoho návodů, jak rozchodit UniFi controllérové řešení, tedy Wi-Fi AP ovládaná a konfigurovaná z centrálního bodu. Základní setup je celkem jednoduchý a pokud je UniFi controller na stejném L2 subnetu jako samotná AP (na stejném adresním prostoru), tak se vše bez problémů spojí zcela automaticky. To je fajn pro menší sítě, ale ve větších sítích nebo tam, kde chceme síť segmentovat, to znamená překážku, kterou jsem vysvětlil v článku UniFi - konfigurace Wi-Fi AP v jiném subnetu než je controller.

Dnes se zaměřím na rozdělení datového provozu do VLAN. VLANy jsou virtuální rozdělení sítě do podsítí, kdy se tyto sítě mezi sebou v rámci switche nevidí. Představte si to jako virtuální switche na hardwarovým switchi. Porty jsou pak access nebo trunk:

ACCESS
port pro koncové zařízení (PC, NB), pokud je ve vlan 10, tak se na port vybalí provoz z VLAN 10 a naopak provoz z koncového zařízení, který není tagován, se na vstupu na portu otaguje jako VLAN 10 a takto pak putuje sítí.

TRUNK
port pro další síťové zařízení, kterým prochází provoz různých VLAN. Standardně se tu provoz nevybaluje z VLAN (neodtagovává), naopak se určuje, které VLAN ID mohou projít a které ne.

Více o VLAN pak třeba na Wikipediiodkaz.

 

Popis LABu a příprava

Vše si projdeme na ukázkovém LABu, který můžete vidět na obrázku níže. V LABu je router Mikrotik RBD52G-5HacD2HnD-TC, za ním je na trunk portu switch Mikrotik CSS326-24G-2S+RM. Z něj vede 60 GHz bezdrátový spoj do druhého switche Mikrotik CSS326-24G-2S+RM. Na něm jsou pak zakončené accesové VLANy a dvě UniFi AP. Jedno indoor UAP-AC-LITE a pak venkovní UAP-AC-M-PRO.

Předpokladem je, že již máte nakonfigurovaný UniFi controller. Pokud ne, koukněte na nějaký z návodů na internetuodkaz.

UniFi, WLAN, VLAN

 

Jako první si připravím segmentační tabulku, kde si rozvrhnu ID VLAN, IP subnetů a popisky.

UniFi, WLAN, VLAN

 

Konfigurace Mikrotik routeru - IP, VLANy, bridge, DHCP

Na routeru si pod Bridge - Ports ověřím, že mám všechny LAN porty (eth2 - eth5) v jednom Bridgi. Tím se tyto 4 porty nyní chovají jako switch. Bridge budu nazývat bridge-LAN. Port eth1 je routovaný a slouží jako uplink do internetu.

UniFi, WLAN, VLAN

Pod Interfaces - VLAN si vytvořím požadované VLAN. Pro přehlednost je lepší je pojmenovávat jako vlanXX-nazev, kde XX je číslo shodné s VLAN ID. Všechny VLANy zařaďte pod bridge-LAN.

UniFi, WLAN, VLAN

 

UniFi, WLAN, VLAN

Pod Interfaces vidíte výsledný náhled na porty by měl vypadat takto.

UniFi, WLAN, VLAN

Pod IP- Addresses vytvořte každé VLAN její IP adresu. Ze zvyku dávám nějakou IP adresu i samotnému interface bridge-LAN. Kdyby někde něco nekomunikovalo a na konci ji odebírám. Je to vlastně IP adresa pro VLAN1, netagovaný provoz nebo provoz ze switchů bez managementu.

UniFi, WLAN, VLAN

Pod IP - DHCP Server - Networks pak definuji parametry sítí, které bude pak DHCP propagovat. Tedy subnet, maska, brána, případně NTP a domain.

UniFi, WLAN, VLAN

Zde opět náhled na všechny vytvořené DHCP servery

UniFi, WLAN, VLAN

Než si vytvořím DHCP server, musím si připravit IP pool, podle kterého bude DHCP server přidělovat IP adresy. Pod IP - Pool si je nadefinuji. Zvykem je, že se vždy vynechává nějaká část rozsahu. Určitě doporučuji vynechat prvních 10 IP adres pro případ, že budete chtít něco adresovat staticky nebo zde budou další síťové prvky na segmentu. A pak nechávám volné IP adresy na konci, opět na speciálnosti a statické IP pro tiskárny, servery, terminály apod. 

UniFi, WLAN, VLAN

Pod IP - DHCP Server - DHCP pak vytvořím již samotné DHCP servery. Každý pojmenujte podle názvu VLAN, vyberu správnou VLAN a IP Pool. Tím se zaručí, že když přijde požadavek na DHCP z dané VLAN, tak DHCP sáhne do definovaného IP poolu a přidělí z něj volnou IP adresu.

UniFi, WLAN, VLAN

 

UniFi, WLAN, VLAN

Trochu mimo VLAN zmíním ještě firewall. Pokud máte firewall nastavený opravdu pořádně, možná vám nepůjde komunikace mezi jednotlivými subnety. Pokud ji chcete povolit, můžete si vyrobit pravidlo s pomocí Address Lists. Na ukázku jak povolit komunikaci kompletně mezi subnety. V reálu si samozřejmě musíte pak pravidla poskládat. Tohle je jen pro testy a troubleshooting. Dám si všechny subnety do jednoho Address Listu pod IP - Firewall - Address Lists.

UniFi, WLAN, VLAN

A vytvořím si následující pravidlo, kdy na Forwardu pustím vše mezi daným Address Listem.

UniFi, WLAN, VLAN

Název LAN je vzatý právě z vytvořeného Address Listu.

UniFi, WLAN, VLAN

 

UniFi, WLAN, VLAN

Celá konfigurace Mikrotiku pak vypadá takto:

/interface bridge port
add bridge=bridge-LAN comment=LAN interface=ether2
add bridge=bridge-LAN comment=LAN interface=ether3
add bridge=bridge-LAN comment=LAN interface=ether4
add bridge=bridge-LAN comment=LAN interface=ether5
/interface vlan
add interface=bridge-LAN name=vlan10-intranet vlan-id=10
add interface=bridge-LAN name=vlan20-guest vlan-id=20
add interface=bridge-LAN name=vlan254-mgmt vlan-id=254
/ip address
add address=10.0.10.1/24 interface=vlan10-intranet network=10.0.10.0
add address=10.0.254.1/24 interface=vlan254-mgmt network=10.0.254.0
add address=10.0.20.1/24 interface=vlan20-guest network=10.0.20.0
/ip pool
add name=DHCP-INTRANET ranges=10.0.10.100-10.0.10.150
add name=DHCP-MGMT ranges=10.0.254.100-10.0.254.150
add name=DHCP-GUEST ranges=10.0.20.100-10.0.20.150
/ip dhcp-server network
add address=10.0.10.0/24 dns-server=10.0.10.1 domain=local gateway=10.0.10.1 tp-server=195.113.144.201
add address=10.0.20.0/24 dns-server=8.8.8.8 gateway=10.0.20.1
add address=10.0.254.0/24 dns-server=10.0.254.1 domain=local gateway=10.0.254.1
/ip dhcp-server
add address-pool=DHCP-GUEST disabled=no interface=vlan20-guest name=DHCP-GUEST
add address-pool=DHCP-INTRANET disabled=no interface=vlan10-intranet name=DHCP-INTRANET
add address-pool=DHCP-MGMT disabled=no interface=vlan254-mgmt name=DHCP-MGMT
/ip firewall address-list
add address=10.0.10.0/24 list=LAN
add address=10.0.20.0/24 list=LAN
add address=10.0.254.0/24 list=LAN

 

Konfigurace UniFi controlléru - networks, wireless

A přesouváme se na UniFi controller. Nejdříve si připravím Networks. Zde definuji název sítě podle účelu a jeho VLAN ID, do které bude provoz tagován. Vypnu DHCP, protože to mám již na Mikrotiku.

UniFi, WLAN, VLAN

Takto vyrobím všechny potřebné subnety.

UniFi, WLAN, VLAN

Pak si připravím jednotlivé SSID - název, typ zabezpečení a klíč. V SSID pak přiřadím připravený subnet, ve kterém jsem si definoval správnou VLAN. Zde třeba Network: Intranet.

UniFi, WLAN, VLAN

Takto vypadá vytvoření dvou Wi-Fi sítí.

UniFi, WLAN, VLAN

Pokud budu mít více AP a budu je chtít rozdělit do skupin a každé skupině přidělit jiná SSID, tak to lze udělat pouze zde. V příkladu edituji SSID "INTRANET", to povolím jen na AP GROUP "Jedna" a do této skupiny přiřadím vybrané AP.

UniFi, WLAN, VLAN

 

Konfigurace na switchi - VLAN, trunk a access

Na Mikrotik switchi pak musím nastavit porty tak, aby se dostaly správné VLANy tam kam mají. Začnu na záložce VLANs. Zde je potřeba nadefinovat všechny VLANy, které má switch umět zpracovat. V příkladu je na prvním obrázku switch na kterém jsou připojená AP. Port 24 je jako trunk, takže na něj pustím všechny porty, které chci, aby switchem mohly projít. Port 1 je access, pustím na něj jen VLAN10 pro připojení firemního PC. Porty 2 a 6 mám pro AP, které bude na trunk portu, protože samo provoz už taguje. Povolím na něj opět všechny potřebné VLAN. Port 5 mám pro admin PC do management sítě a pustím na něj tedy jen VLAN254.

UniFi, WLAN, VLAN

Na dalším obrázku je distribuční switch, nadřazený. Zde mám porty 23 (downlink) a 24 (uplink) jako trunk, zbytek portů je ve VLAN 10 jako access pro firemní PC.

UniFi, WLAN, VLAN

A takto vypadá konfigurace na switchi s AP z druhé strany. Pod záložkou VLAN se nastavuje, do jakých VLAN ID se má provoz tagovat, aby mohl dál správně putovat sítí. Na příkladu je port1 tagován do VLAN10 jako provoz z firemního PC. Porty 2 a 6 jsou trunk, ale pokud sem nepřijde již otagovaný provoz, bude otagován do námi nastavené default VLAN, jinak se jí říká nativní VLAN. Zde použijeme VLAN 254 pro management. Port 5 tagujeme do VLAN 254, ale tento port je access (protože z druhé strany na něj odtagováváme jen VLAN 254).

UniFi, WLAN, VLAN

Výsledkem celého LABu jsou 2 SSID na jednom AP. Tedy AP vysílá dvě sítě s názvy INTRANET a GUEST. Pokud se připojím na INTRANET a zadám správně heslo1, připojím se do sítě 10.0.10.0/24. Pokud se připojím na GUEST a zadám správně heslo2, připojím se do sítě 10.0.20.0/24. Pak je už na pravidlech na routeru nebo firewallu, kam jednotlivé subnety "uvidí". Myšlenkou je, že INTRANET se dostane na firemní server a další firemní zdroje. Naopak GUEST nebude mít přístup do firemní sítě a bude moct pouze do internetu.

 

A takto vypadá LAB v reálu

UniFi, WLAN, VLAN

 

>> Líbil se Vám článek? Ohodnoťte mě <<

 

Kategorie

Komentáře

Na TRUNK portu se nic netaguje, to je jen trubka, kterou prolézá vše. Na TRUNK portu se dá pouze omezovat, pokud bych tam nechtěl nějakou VLAN propouštět, tzv. ALLOWED VLAN. 

Pouze na access portu se taguje provoz do VLAN směrem od klientského zařízení do portu aktivního prvku a odtagovává se směrem od portu na zařízení.

Dobrý deň, prosím, ako by ste vlany nastavili v CRS326? Snažím sa dve siete dostať po jednom kábli do Unifi AP, no v tiku sa mi nedarí vytvoriť správnu konfiguráciu.
Ďakujem,
m

Nastavení VLAN pro switch CR326 je podle toho, co je na něm za systém. Pokud SwOS, tak je to tady popsáno v posledním odstavci "Konfigurace na switchi - VLAN, trunk a access" včetně obrázků. Pokud je tam nabootovaný RouterOS, tak je potřeba vycházet z odstavce "Konfigurace Mikrotik routeru - IP, VLANy, bridge, DHCP". Ale s RouterOS to bude složitější a bylo by nutné znát konkrétní zapojení a konfiguraci. To bohužel nepůjde takhle od stolu vymyslet. Je možných několik kombinací nastavení VLAN v RouterOS. Osvědčilo se mi udělat Bridge Interface VLAN, do kterýho jsem namapoval VLAN a fyzické porty. Výkonostně to ale na takovém router switchi možná bude škoda přes bridge.

Ďakujem za reakciu a nakopnutie. V mikrotiku mám RouterOS, používam ho ako router. Vlastne to nakoniec bolo veľmi jednoduché, len mi dlho trvalo, kým som prišiel na to, kde som robil chybu. Funguje mi to tak, že som pod každý bridge šupol po jeden vlan, koré majú jeden spoločný port pre trunk. Tomu som ešte pridelil adresný rozsah aký má Unifi a frčí to jedna radosť.

Dobrý den, pane Krejčí, děkuji za pěkný článek, bude mi to pro konfiguraci výše uvedenou stačit L2 switch ? Zvažuji základní PoE od Ubiquiti.

Děkuji