Václav Krejčí
IT a bezpečnost bez starostí
Napsal uživatel vaclav.krejci dne So, 12.08.2023 - 19:54

Mikrotik - konfigurace VLAN mezi dvěma Mikrotiky

Výhodami Mikrotiku jsou jeho široké možnosti nastavení, množství funkcí a jednotný operační systém napříč celým portfoliem (myšleno RouterBoard a RouterOS). Jeho přednosti mohou být zároveň i jeho slabinou. Hlavně pro nezkušené uživatele, kteří často tápou ve všech těch možnostech a terminologii. Ve své praxi se setkávám nastaveními, které nejsou zcela správná nebo nefungují tak, jak si zákazníci myslí a také existují zajímavá nastavení, o kterých ani nevědí. Dnes se podíváme na konfiguraci VLAN mezi dvěma Mikrotiky s RouterOS.

Co nás čeká:

  • Konfigurace hlavního Mikrotiku, vytvoření dvou VLAN a DHCP serveru
  • Konfigurace druhého Mikrotiku a dvou VLAN, nastavení různých VLAN na jeho portech

V příkladech budu vždy uvažovat malý 5-portový Mikrotik s následujícím využitím portů. 

ether1   – uplink od ISP / servisní port
ether2-5 – LAN porty v bridge
wlan1    – Wi-Fi interface 2 Ghz
wlan2    – Wi-Fi interface 5 Ghz


Prerekvizity

Tento návod počítá s tím, že máte hotovou základní konfiguraci Mikrotiku. Tedy vytvořený bridge, zapojené porty, vytvořené DHCP, NAT maškarádu do internetu. Na prvním Mikrotiku bude port 5 jako trunk. Na druhém Mikrotiku bude port 2 jako trunk, port 3 bude access VLAN 10 a port 4 jako access VLAN20. Port 1 bude jako servisní port bez VLAN.

 
 

Hlavní Mikrotik

Vytvoříme interface bridge-trunk, do něho přidáme porty 2,3,4,5. Port 1 slouží jako uplink do internetu. 

Mikrotik vlan

Vytvoříme si VLAN 10 a VLAN20 a namapujeme je na interface ether 5 jako trunk port. Je lepší to mít na fyzickém portu, kterým Mikrotiky mezi sebou propojujeme. V případě, že připojujeme více Mikrotiků, tak se mi jako jediná funkční varianta osvědčilo přiřadit VLAN10 a VLAN20 pod bridge-trunk. Rozdíl je ve výkonu. Na fyzickém ether portu se packety při zapnutém Hardware Offload forwardují skrze switch čip, který k tomu slouží. Při forwardování skrze bridge, který je softwarovou funkcí, se packetu posílají do CPU, což je výkonově vždy horší.

Mikrotik vlan

Zda máte zapnutou funkci Hardware Offload si zkontrolujte u každého portu v bridgi.

Mikrotik vlan

Vytvoříme si IP pool pro VLAN10 a VLAN20, ze kterého bude přiřazovat DHCP server IP adresy. Vytvoříme sítě pro DHCP server, a nakonec samotný DHCP server. Jak je vidět na obrázcích, vytvářím vše pro VLAN 10 a VLAN20 a k tomu i na samotný bridge, což je komunikace bez VLAN, nebo také jako ve VLAN1. Je potřeba to nastavit, kdybyste si někde uřízli VLANu, aby tam byla možnost fungovat po staru. Na konci je možné to pak od konfigurovat nebo to zabezpečit jinak. Zkontrolujte pak ještě, že existují správné routy.

Mikrotik vlan

Mikrotik vlan 
 

Druhý Mikrotik

Používat jej budeme jako Wi-Fi AP a switch. Na Mikrotiku je potřeba vypnout DHCP a vytvořit bridge-trunk. Do bridge dejte požadované ether porty 2,3,4, a 5. Pohlídejte si, že porty mají zapnutý HW Offload, jak jsme si řekli na začátku.

Vytvoříme VLAN10 a VLAN20 a namapujeme je na fyzický trunk port, zde ether2.

Mikrotik vlan

Na VLAN interfacech si můžete rozběhnout DHCP clienta a nechat Mikrotik, aby si řekl o IP adresy. Slouží i pro testování funkčnosti. V příkladu je vidět, jak si krásně řekl o IP z obou VLAN a víme tak, že TRUNK mezi Mikrotiky je již funkční.

Mikrotik vlan

V levém menu vybereme konfiguraci switche, definujeme VLANy a přiřadíme je na porty, které s nimi budou nějak operovat. Zde třeba VLAN10 na trunk portu ether2 a access portu ether3. VLAN 20 na trunk portu ether2 a access portu ether4. Pokud jsou VLANy definovány na fyzickém ether portu, tak to takto stačí. Pokud byste VLANy dali pod bridge-trunk, je zde potřeba přidat ještě „port“ switch 1 cpu, protože bridge je softwarová funkce skrze CPU.

Mikrotik vlan

Dále nastavíme, jak se jednotlivé porty mají k VLANám chovat. Zde ether2 jako trunk ponecháme ve výchozím nastavení. Port ether3 jako access VLAN10 a ether 4 jako access VLAN20 nastavujeme na hodnoty "secure" a "always strip". To znamená, že provoz z těchto portů na koncové zařízení očistíme od VLAN tagu a dopravíme pdle příslušné VLAN a naopak netagovaný provoz od koncového zařízení zatagujeme do patřičné VLANy. Porty 1 a 5 necháváme, jak jsou bez VLAN.

Mikrotik vlan

Na konci pak nezapomeňte na FW nastavit případné restrikce, kdo se s kým má nebo nemá vidět

. Router totiž ve výchozím nastavení provádí vždy inter-vlan routing a tak propojuje všechny VLANy, které má na sobě zakončené. Pokud nechcete povolit komunikaci mezi VLAN10 a VLAN20, musíte ji aktivně zakázat.

Pokud se vše povedlo, zkuste se třeba s notebookem připojovat do různých portů a ověřte, že dostáváte IP adresu z očekávaného rozsahu. Na ukázku níže je vidět celkem tři klienty. Jedna IP ve VLAN20 a další dvě z VLAN10.

 Mikrotik vlan
 

>> Líbil se Vám článek? Ohodnoťte mě <<

Kategorie

Přidat komentář

Obsah tohoto pole je soukromý a nebude veřejně zobrazen.
O formátech textu
CAPTCHA

Ohodnoťte mě

Václav Krejčí - Počítačové a datové sítě, kamery a zabezpečovací systémy na Firmy.cz

Nabízené služby

Naučte se

Půjčení přívěsného vozíku

Využijte možnosti výhodného pronájmu přívěsného vozíku s nosností 460 kg.

2008-2023 © Václav Krejčí