Настройка VLAN на MikroTik и коммутаторе L2 через Winbox

Данная статья расскажет, как выполняется настройка VLAN MikroTik, используя Winbox (фирменная графическая утилита). Для примера возьмем роутер MikroTik RB2011UiAS-2HnD и управляемый свитч HPE OfficeConnect 1820, который поддерживает функцию VLAN.

Сконфигурируем VLAN так, чтобы компьютеры, которые физически подсоединены к одному коммутатору, будут логически разделены на виртуальные локальные сети VLAN 1 и VLAN 10.

Схематически это выглядит так:

Что такое VLAN

VLAN – это виртуальная локальная сеть, работающая на втором уровне модели OSI, которая позволяет объединить хосты в домен рассылки широковещательных сообщений по какому-либо признаку, даже когда устройства расположены в разных локальных сетях (физически).

Проще говоря VLAN – это метка в кадре размером 12 бит, которая включает в себя установленное число для VLAN (VLAN ID) и передается по сети. Может принимать значения от 0 до 4095.

Можно выделить 3 основных достоинства применения VLAN:

  • Позволяет улучшить максимально возможную скорость обработки трафика ЛВС. Применяя VLAN, мы логически разделяем всю сеть на широковещательные домены, где информация передается между хостами, которые относятся к определенной VLAN, а не всем устройствам физической сети. Благодаря этому, уменьшается широковещательный трафик и улучшается максимально возможная скорость обработки трафика между логическими подсетями;
  • Защита передаваемой информации. Мы ограничиваем пользователя рамками определенной VLAN, что затрудняет сбор и анализ трафика других VLAN.
  • Упрощение сетевого администрирования. Если пользователь определенной VLAN переедет в другой кабинет, пусть даже на другой этаж здания, то нет необходимости на физическом уровне менять коммутацию сети. Системному администратору просто нужно настроить сетевое оборудование соответствующим образом, что значительно облегчит его труд.

Настройка VLAN MikroTik

Выполняться настройка VLAN на MikroTik будет по следующей пошаговой инструкции:

  1. Настройка портов на управляемом свитче HPE OfficeConnect 1820, где назначим порты для VLAN 10 и Trunk порт для соединения с MikroTik RB2011UiAS-2HnD;
  2. Добавим VLAN на физический интерфейс MikroTik и сконфигурируем его.

Текущая инструкция описывает общий принцип настройки VLAN на MikroTik, она подходит не только для конкретного устройства, но и для других коммутаторов, поддерживающих функцию VLAN.

Настройка VLAN на коммутаторе HPE OfficeConnect 1820

Начнем с того, что зайдем в настройки управляемого свитча HPE OfficeConnect 1820:

По умолчанию на коммутаторах все порты относятся к одной виртуальной сети (VLAN ID 1), следующим шагом нам необходимо создать новый VLAN и назначить ему произвольный ID из диапазона от 2 до 4093. Для этого перейдем:

  • VLAN => Configuration => Add;

Идентифицируем VLAN ID, присвоив ему значение «10»:

У нас получилось две виртуальные сети: VLAN1 (по умолчанию) и VLAN10:

Теперь присвоим созданную метку для портов, которые мы хотим выделить в отдельную виртуальную сеть:

  • VLAN => Port Membership;
  • Выбираем VLAN ID 10;
  • Отмечаем порты, нажимаем кнопку «Edit».
  • Исключим отмеченные порты из всех виртуальных сетей, присвоив им значение «Untagged»:

Давайте разберем подробнее этот момент. Порты коммутатора для каждой VLAN-сети могут обозначаться Tagged, Untagged или Excluded:

  • Если порту присвоен тег «Excluded«, то пакеты с этим идентификатором VLAN никогда не будут отправляться на этот порт;
  • Тег «Untagget» говорит о том, что свитч не будет добавлять идентификатор VLAN в заголовок пакетов, отправляемых через этот интерфейс, и будет удалять идентификаторы VLAN и идентификаторы VLAN в пакетах, пришедших через интерфейс с тегами;

Если порт помечен как «Untagged» в одной сети VLAN, он будет исключен из всех остальных сетей VLAN. Другими словами, немаркированный интерфейс может одновременно быть частью только одной VLAN.

  • Если порт имеет тег «Tagged» , коммутатор добавит идентификатор VLAN в заголовок всех пакетов, отправляемых через этот интерфейс. Пакеты с тегами понимаются только тем сетевым оборудованием, которое поддерживает VLAN.

Следующим шагом определим trunk port (Tagged), который будет принимать или отдавать трафик из всех VLAN:

Т.е роутер MikroTik будет соединен с коммутатором по 44 порту.

Сохраняем конфигурацию:

На этом конфигурирование коммутатора закончена, переходим к настройке MikroTik.

Настройка VLAN на MikroTik

Создание VLAN интерфейса

Чтобы настроить VLAN на MikroTik, откроем вкладку «Interfaces» и добавим виртуальный локальный интерфейс на любой свободный физический порт MikroTik (в нашем примере это будет «ether5«):

Произведем следующую настройку виртуального интерфейса:

Где:

  1. Указываем произвольное имя для виртуального интерфейса («ether5_vlan10«);
  2. Присваиваем идентификатор VLAN ID («10«);
  3. Назначаем физический порт MikroTik для этой VLAN (ether5).

В результате у нас должно получиться следующее:

Добавление порта в bridge

Для того чтобы управлять потоком данных приходящих на виртуальный интерфейс MikroTik, необходимо добавить VLAN в Bridge:

Задаем произвольное имя для нового Bridge-соединения.

  • Добавим в созданный bridge VLAN интерфейс. Перейдем на вкладку «Ports»:

На этом настройка VLAN MikroTik с коммутатором L2 (HPE OfficeConnect 1820) закончена. В результате мы получили два логических сегмента сети, где у каждого сегмента свой широковещательный домен.

Работа с VLAN на сетевом уровне OSI

На данном этапе настройки VLAN MikroTik и коммутатора взаимодействие в сети происходит на втором уровне модели OSI, где устройства оперируют MAC-адресами, по которым распознают каждое устройство в сети и передают данные нужному узлу.

Чтобы управлять устройствами на сетевом уровне, где используются IP-адреса и протоколы более высокого уровня, нужно присвоить IP-адрес MikroTik VLAN bridge. Откроем:

  • IP => Addresses => «+».

Где установим настройки для виртуального интерфейса, указав его IP-адрес и подсеть.

После этого, например, мы сможем на MikroTik настроить DHCP для VLAN-интерфейса или запретить прохождение трафика между подсетями на сетевом уровне, подробнее об этом можно узнать в статье MikroTik настройка Firewall: Правильная настройка безопасности роутера.

Заключение

В текущей заметке мы постарались детально рассказать о том, как выполняется настройка VLAN MikroTik и коммутатора L2 на примере сетевых устройств MikroTik RB2011UiAS-2HnD, HPE OfficeConnect 1820, а также объяснили, что такое виртуальные локальные сети, для чего их используют и перечислили их основные преимущества.

Оцените статью
Smartadm.ru
Добавить комментарий