image_pdfimage_print

Mikrotik – wykorzystanie technologii VLAN bez switch chip

Celem laboratorium jest wykonanie podziału sieci komputerowej (fizycznej) na odrębne podsieci z separacją ruchu pomiędzy nimi. Wykorzystamy funkcjonalność 802.11Q (VLAN), które gwarantują możliwości komunikacji pomiędzy elementami sieci z jednoczesną separacją ruchu. Technologia VLAN pozwala na przekazywanie pakietów pomiędzy odbiorcami z wykorzystaniem przełączników sieciowych na portach klasy untagged (access port’y). Komunikacja pomiędzy przełącznikami (głównie na łączach uplink) odbywa się na portach tagged (trunk). VLAN często wykorzystywane są do zmniejszenia ruchu klasy broadcast w segmentach sieci.

 

1. Połącz się do routera R1 portem komputera 4 na port ETHER2 routera

2. Przejdź do okna Interface

3. W zakładce VLAN:
– utwórz VLAN10 z vlan ID 10
– utwórz VLAN20 z vlan ID 20
– przypnij oba vlan’y do interfejsu ETHER10.
Zobacz przykład dla VLAN20 poniżej.

4. Nadaj adresy IP dla nowych interfejsów vlan10 i vlan20 odpowiednio dla vlan10 adres 192.168.10.1/24, a dla vlan20 adres 192.168.20.1/24. Przykład poniżej dla vlan20.

5. Ustaw serwery DHCP dla obu interfejsów. Użyj „DHCP Setup” dla odpowiedniego interfejsu i pozostaw wszystkie parametry na proponowanych wartościach. Sprawdź jedynie czy adres DNS będzie zaproponowany jako 8.8.8.8. Jeżeli nie pamiętasz jak tworzyć serwer DHCP, zajrzyj do laborki z DHCP.

6. Połącz się do routera R2 portem komputera 3 na port ETHER2 routera. Będziemy teraz konfigurować R2.

7. Otwórz interfejsy i przejdź do zakładki VLAN

8. Podobnie jak dla routera R1 ustaw vlan10 i vlan20 przypisane do interfejsu Ether10.

9. W ramach definicji Bridge dodaj dwa nowe switch mostki o nazwach vlan10-bridge i vlan20-bridge. Będą one służyć za porty urządzenia switch, do którego będzie można podłączyć komputery w trybie „untagged” lub w terminologii Cisco „Access Port”.

10. Dodaj i zmień odpowiednie porty do definicji bridge:
– przypisz interface vlan10 do bridge vlan10-bridge,
– przypisz interface vlan20 do bridge vlan20-bridge,
– zmień przypisanie interfejsu ether5 do bridge vlan10-bridge,
– zmień przypisanie interfejsu ether6 do bridge vlan20-bridge.

11. Połącz R1 -> Ether10 z R2 -> Ether10 (przy pomocy krótkiego przewodu RJ45 – zielony 0,5m)

12. Uruchom VMware Workstation i wykonaj REVERT do stanu „Gotowa” na obu maszynach (Win1 i Win2).

13. Podłącz Win1 do Karta-Port1 a następnie do routera R2 do portu ether5, natomiast Win2 do Karta-Port2 i następnie do routera R2 do portu ether6.

14. Maszyny wirtualne powinny otrzymać od routera R1 adresy IP w swoich klasach IP zgodnie z podłączonymi vlan. Maszyna Win1 powinna dostać adres IP z klasy 192.168.10.0/24, a maszyna Win2 z klasy 192.168.20.0/24.

15. Sprawdź na każdej z maszyn czy ma właściwą konfigurację IP.

16. Wykonaj komendę ping z każdej z maszyn do adresu 8.8.8.8 a następnie do np. www.wp.pl. Jeśli adresy są osiągalne to konfiguracja jest poprawna.

17. Wyłącz na obu windowsach Firewall i sprawdź nawzajem czy z maszyny win-01 można spingować maszynę win-02 oraz czy z win-02 można spingować win-01.

17a. Czy maszyny Win1 i Win2 powinny móc komunikować się ze sobą? Maszyny znajdują się w 2 różnych VLAN-ach, więc nie powinny się komunikować (tak domyślnie działają VLAN-y na switchach, natomiast my korzystamy z routerów). Domyślnie Mikrotik R1 dodał routing do obu podsieci podczas definiowania adresów IP.

18. Musimy zablokować routing w Mikrotiku R1 wykorzystując do tego firewall na Mikrotiku R1. Dodaj dwie reguły blokujące routing pomiędzy klasami IP 192.168.10.0/24 i 192.168.20.0/24 w Mikrotiku R1.

i ruch w drugą stronę

19. Na mikrotiku R2 powiększ oba vlan’y o dodatkowe 2 porty dla każdego z nich podobnie jak dodane zostały porty do których podłączone są maszyny wirtualne Win1 i Win2

20. Na mikrotiku R1 uruchom narzędzie Tools / Torch. Wybierz interface vlan10, powiększ timeout do 10 sekund i wystartuj narzędzie. Ruch który zobaczysz jest generowany przez wbudowane mechanizmy Windows 11 (np. telemetrię). W maszynie która jest w vlan10 uruchom polecenie:
ping 1.1.1.1 -t
Sprawdź czy w narzędziu torch pojawi się wpis dotyczący protokołu icmp skierowany do adresu ip 1.1.1.1.
Następnie wewnątrz tej samej maszyny uruchom youtube.com, a w nim jakiś filmik i sprawdź czy jesteś w stanie znaleźć ten ruch w spisie połączeń.