VLANs Mikrotik - Basada en Puertos. Tenemos dos routers Mikrotik (RouterOS).
Internet
El router Mikrotik esta conectado desde el puerto ehter1 (WAN_ether1) a uno de los puertos ethernet del router ISP, usando DHCP Client.
[admin@R1] /ip dhcp-client> print Flags: X - disabled, I - invalid, D - dynamic # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 ether1 yes yes bound 192.168.88.12/24
Todos los puertos de un switch por defecto pertenecen a la la vlan 1. El switch necesita de un router para mover (forwarding) el tráfico entre las vlan. Eso permite la comunicacion entre diferentes VLAN.
Las VLAN ID solo aparecen en Switch administrables y funcionan en capa 2. La segmentación se produce en el Switch.
El Switch tiene una base de datos llamada tabla CAM donde realiza un seguimiento de cada computadora conectada:
- MAC Address - Numero de Puerto - VLAN ID - Solo en Switches Administrables
Las VLANs se utilizan se utilizan para segmentar una red, lo que permite mejorar la seguridad, el rendimiento y la gestion de la red. Los dispositivos de una VLAN pueden ser configurados y administrados de forma separada.
Los dispositivos CRS (tienen capacidad de capa 3) se pueden utilizar como enrutador y conmutador al mismo tiempo, útil para redes que se centran en el rendimiento de la red interna.
VLAN - Laboratorio de pruebas
Ambos routers estan en blanco - System - Reset Configuration - No Default Configuration - Reset Configuration.
Tenemos un router 1 (R1) donde se crean las VLAN, vlan10 con vlan-id=10 y vlan20 con vlan-id=20 en la interfaz Ether3, cada una con su direccionamineto IP y un DHCP Server. Esas VLAN se envían Tagged (Trunk en Cisco) a través de Ether3 y se reciben Tagged en el router 2 (R2) en el puerto Ether1. Luego se entregan como Untagged (Access Port) en los puertos Ether3 y Ether4.
Configuración vía comandos del Router 1.
Nota: La dirección IP del dns-server correspnde al servidor DNS de mi red interna. Puede utilizar DNS públicos si no tiene un servidor DNS local, por ejemplo, 1.1.1.1 o los del propio router Mikrotik, por defecto 192.168.88.1.
/interface add interface=ether2 name=vlan10 vlan-id=10 add interface=ether2 name=vlan20 vlan-id=20 /ip pool add name=dhcp_pool0 ranges=10.10.10.200-10.10.10.254 add name=dhcp_pool1 ranges=172.24.1.200-172.24.1.254 /ip dhcp-server add address-pool=dhcp_pool0 disable=no interface=vlan10 name=dhcp1 add address-pool=dhcp_pool1 disable=no interface=vlan20 name=dhcp2 /ip address add address=10.10.10.1/24 interface=vlan10 network=10.10.10.0 add address=172.24.1.1/24 interface=vlan20 network=172.24.1.0 /ip dhcp-server network add address=10.10.10.0/24 dns-server=192.168.88.200 gateway=10.10.10.1 add address=172.24.1.0/24 dns-server=192.168.88.200 gateway=172.24.1.1
En el Router R2 se crean las VLAN en el puerto Ether1 que es donde recibimos las VLAN con el nombre y vlan-id correspondiente, vlan10 vlan-id=10 y vlan20 vlan-id=20. Teniendo en cuenta que para que las VLAN se comuniquen entre dispositivos el id debe ser el mismo. Tambien hay que crear un bridge por cada VLAN Bridge_VLAN10 y Bridge_VLAN20. En la pestaña Bridge - Bridge - Ports, agregar dos interfaces: la propia VLAN y el puerto físico donde quiero entregarla como acceso (Access Port). En el caso de la VLAN vlan10 los puertos son: la propia VLAN vlan10 y el puerto Ether3. En la VLAN vlan20 los puertos son: la propia VLAN vlan20 y el puerto Ether4. Evidentemente, si quiero entregar la misma VLAN en más puertos este último paso se repite para todos los puertos involucrados.
Configurar IP de Administración R1
/ip address add address=10.0.0.1/30 interface=ether2
Configuracion vía comandos Router 2 (R2)
/interface vlan add interface=ether1 name=vlan10 vlan-id=10 add interface=ether1 name=vlan20 vlan-id=20 /interface bridge add name=Bridge_VLAN10 add name=Bridge_VLAN20 /interface Bridge port add bridge=Bridge_VLAN10 interface=vlan10 add bridge=Bridge_VLAN10 interface=ether3 add bridge=Bridge_VLAN20 interface=vlan20 add bridge=Bridge_VLAN20 interface=ether4
Configurar IP de Administración R2
/ip address add address=10.0.0.2/30 interface=ether1
IP Route R1
[admin@R1] /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 192.168.88.1 1 1 ADC 10.0.0.0/30 10.0.0.1 Bridge_vlan10 0 2 ADC 10.10.10.0/24 10.10.10.1 vlan10 0 3 ADC 172.24.1.0/24 172.24.1.1 vlan20 0 4 ADC 192.168.88.0/24 192.168.88.12 ether1 0
Conecto un PC a Ether3 del router R2 y recibe una IP del DHCP-Server configurado en R1
[admin@R1] /ip dhcp-server lease print Flags: X - disabled, R - radius, D - dynamic, B - blocked # ADDRESS MAC-ADDRESS H SE.. R STATUS LAST-SEEN 0 D 10.10.10.251 E4:B9:7A:6B:96:CD s dh.. bound 4m6s
Regla firewall para permitir trafico de VLAN10 - VLAN20
/ip firewall filter add chain=forward src-address=10.10.10.0/24 dst-address=172.24.1.0/24 \ connection-state=new,established action=accept comment="Permitir VLAN10 \ a VLAN20"
Cómo Permitir tráficoo de VLAN20 - VLAN10
/ip firewall filter add chain=forward src-address=172.24.1.0/24 dst-address=10.10.10.0/24 \ connection-state=new,established action=accept comment="Permitir VLAN20 \ a VLAN10"
Ubicación de las reglas:
Antes de cualquier regla que bloquee tráfico (ej. action=drop). Usa el menú Drag & Drop en Winbox para ordenarlas.
Explicacion:
Las opciones connection-state=new,established permiten: new: Conexiones iniciadas desde el origen. established: Respuestas al tráfico iniciado.
# Permitir acceso administrativo sólo desde la red de gestión (10.0.0.0/30)
add chain=input src-address=10.0.0.0/30 protocol=tcp dst-port=22,8291,8728,8729 \ action=accept comment="Acceso administrativo (Winbox/SSH/API)"FreeBSD es genial!.
No hay comentarios:
Publicar un comentario