Port based vlan configuratie met mikrotik swos
Port based vlan is één van de eenvoudigste en meest voorkomende vorm van vlan. Je kan door middel van port based vlan aan iedere poort op de Mikrotik SwOS switch een ander netwerk toewijzen. Anderzijds kan je meerdere poorten toewijzen aan dezelfde VLAN. Zodoende kan je door middel van één netwerkkabel meerdere netwerken doortrekken. VLAN's werken op de layer 2 laag, dit is de data link layer van het OSI model. Deze kunnen niet worden gerouteerd zonder router. Indien Port based vlan op de switchen worden geconfigureerd zijn deze volledig geïsoleerd van elkaar.
Wat is een trunk in een vlan netwerk?
Een trunk is vervolgens een toegewezen poort waardoor alle vlans worden getransporteerd. Een trunk poort maakt het dus mogelijk om verschillende netwerken door één netwerk te transporteren. Dit door middel van gebruik te maken van virtueel lan of anders gezegd VLAN. Trunks gebruiken ofwel tagging ofwel een encapsulatie van frames om verschillende VLANS over één fysieke connectie te transporteren. Om de vlans van elkaar te kunnen onderscheiden van elkaar maakt men gebruik van labels die als het ware aan de data pakketten worden geplakt. Aan de hand van die labels kan de switch weten welk pakket bij welke VLAN hoort. Tussen twee switchen of tussen een router en een switch gebruikt men gewoonlijk tagged vlan.
De vlan configuratie met een Mikrotik swos uiteen gezet
De groene lijn op de afbeelding is vervolgens de VLAN trunk met als vlan's 200, 300 en 400. Deze trunk wordt zodoende verbonden met de ether1 poort op de Mikrotik Swos switch. De inkomende pakketten op de Swos worden voorzien van een vlan label ook wel header genaamd. Voordat de pakketten de vlan poorten verlaten worden ze ontdaan van het vlan label. Als je de configuratie goed bestudeerd zie je waar de VLAN header wordt toegevoegd en waar deze terug wordt weggenomen. Het buitengaand verkeer wordt "egress" genaamd. Het inkomend verkeer noemt men "ingress".
-
KLik eerst en vooral op "VLAN" je ziet nog een onbewerkte configuratie.
Doch ik heb er al wat uitleg bijgeschreven ter verduidelijking.
De configuratie van de Mikrotik Swos switch
-
Bij "vlan receive" zet alles op "any" behalve de trunk poort zet je op "only tagged".
-
Bij "default vlan id" de vlan nummers in zoals in dit voorbeeld.
De trunk poort en de niet gebruikte poorten laat je ongemoeid.
-
Bij "force vlan" vink de vakjes aan bij de vlan poorten.
-
Bij "vlan header" selecteer bij de vlan poorten "always strip".
Daar worden de uitgaande pakketten van hun vlan tag ontdaan.
-
Klik op het tabblad "vlan's".
-
Klik vervolgens op "append".
-
Vul je vlan id in zoals hier als voorbeeld 200.
-
De trunk poort en de poort waar vlan-200 is geconfigureerd laat je op leave as staan.
-
De rest selecteer je "not a member". Dit wil zeggen dat de overige poorten niets te maken hebben met vlan200.
-
Klik terug op append.
-
Vul je vlan id in zoals hier als voorbeeld 300.
-
De trunk poort en de poort waar vlan-300 is geconfigureerd laat je op leave as staan.
-
De rest selecteer je "not a member".
-
Klik terug op append.
-
Vul je vlan id in zoals hier als voorbeeld 400.
-
De trunk poort laat je op leave as staan.
-
De poort waar vlan-400 is geconfigureerd laat die staan op "leave as".
-
De rest van de poorten selecteer je "not a member".
-
Klik op apply all om alles op te slaan.
Dit is wat betreft de configuratie van de SwOS switch
Aanmaken van de vlan op het RB3011
-
Klik in het hoofdvenster op "Interfaces".
-
Klik vervolgens op het blauwe pijltje
-
Selecteer vervolgens "VLAN".
-
Bij "name" geef de vlan een naam, in dit voorbeeld geef ik de naam "vlan1".
Deze zorgt ervoor dat je met je computer nog steeds kunt verbinden via de trunk poort.
-
Bij "VLAN-ID" geef deze het nummer "1".
-
Vervolgens kies je de trunk poort ether4-trunk-poort.
-
Klik verder op "ok". De eerste VLAN is aangemaakt.
-
Om de tweede VLAN aan te maken klik terug op het blauwe kruisje.
-
Selecteer vervolgens "VLAN".
-
Bij "name" geef de vlan de naam "vlan-200
-
Bij "VLAN-ID" geef deze het nummer "200".
-
Vervolgens kies je de trunk poort ether4-trunk-poort.
-
Klik verder op "ok". De tweede VLAN is aangemaakt.
-
Om de derde VLAN aan te maken klik terug op het blauwe kruisje, en vervolgens selecteer "VLAN".
-
Bij "name" geef de vlan de naam "vlan-300
-
Bij "VLAN-ID" geef deze het nummer "300".
-
Vervolgens kies je de trunk poort ether4-trunk-poort.
-
Klik verder op "ok". De derde VLAN is aangemaakt.
-
Om de vierde VLAN aan te maken klik terug op het blauwe kruisje, en vervolgens selecteer "VLAN".
-
Bij "name" geef de vlan de naam "vlan-400
-
Bij "VLAN-ID" geef deze het nummer "400".
-
Vervolgens kies je de trunk poort ether4-trunk-poort.
-
Klik verder op "ok". De vierde en laatste VLAN is aangemaakt.
-
Alle VLANS zitten als het ware aan "ether4-trunk-poort gekleeft.
De trunk poort zal dus alle VLANS transporteren over zijn interface.
De VLANS een IP-adres toekennen
-
Klik in het hoofdvenster op "IP".
-
Klik vervolgens op "addresses".
-
Klik op het blauwe kruisje.
-
Vervolgens selecteer de interface "vlan-200".
-
Bij "addresess" geef een IP-adres in, in dit voorbeeld kies ik voor 192.168.102.1/24.
-
Klik verder op "ok". De vlan-200 is voorzien van een IP-adres.
-
Klik terug op het blauwe kruisje.
-
Vervolgens selecteer de interface "vlan-300".
-
Bij "addresess" geef een IP-adres in, in dit voorbeeld kies ik voor 192.168.103.1/24.
-
Klik verder op "ok". De vlan-300 is voorzien van een IP-adres.
-
Klik eveneens terug op het blauwe kruisje.
-
Vervolgens selecteer de interface "vlan-400".
-
Bij "addresess" geef een IP-adres in, in dit voorbeeld kies ik voor 192.168.104.1/24.
-
Klik verder op "ok". De vlan-400 en tevens de laatste VLAN is voorzien van een IP-adres.
DHCP-server configureren op de VLAN interfaces
-
Klik in het hoofdvenster op "IP".
-
Vervolgens klik op "DHCP Server".
-
Klik op het tabblad "DHCP Setup".
-
Vervolgens selecteer de interface "vlan-200".
-
Klik op "next".
-
Klik verder op "next".
-
Klik verder op "next".
-
Klik verder op "next".
-
Geef twee door jou gekozen DNS-servers in.
-
Klik verder op "next".
-
De lease time is de tijd dat de DHCP-server een bepaald IP-adres reserveerd voor een cliënt. In dit voorbeeld staat die op 10 minuten.
-
Klik verder op "next".
-
Klik op "ok" om de DHCP-setup te beëindigen, doe deze procedure voor al de aangemaakte VLANS.
-
Indien de Mikrotik SwOS RB260GS nog niet is aangesloten komt deze DHCP-server in het rood te staan.
-
Dit is het resultaat dat je hebt als je alle DHCP-servers hebt geconfigureerd.
Ze staan nog even in het rood maar sluit nu de SwOS aan op de trunk poort.
-
Je ziet vervolgens dat de kleur rood verdwijnt, dit wil zeggen dat alles in orde is.
Het instellen van de firewall NAT
Het instellen van de NAT rules ga ik uitvoeren met behulp van de adres-list. Eens deze is ingesteld, is het een peulschil om een IP-range toe te voegen.
Je ziet eerst vervolgens de manier zonder en met de address list omdat deze namelijk een groot hulpmiddel is voor systeem beheerders.
-
Klik in het hoofdvenster op "IP".
-
Vervolgens klik je op "Firewall".
-
Klik op het tabblad "Address List".
-
Vervolgens klik je op het blauwe kruisje.
-
Selecteer eerst de lijst Firewall-nat-IP's.
-
Vul nu de IP-range in van vlan-200, namelijk 192.168.102.0/24.
-
Klik vervolgens op "ok".
-
Dubbelklik op de juist aangemakte NAT rule.
-
Klik nu op "Copy".
-
Geef de IP-range van de vlan-300 in, 192.168.103.0/24
-
Klik vervolgens op "ok".
-
Klik terug op "Copy".
-
Geef de IP-range van de vlan-400 in, 192.168.104.0/24
-
Klik vervolgens op "ok".
-
Dit is het einde van deze port based VLAN configuratie.
De laatste NAT configuratie is duidelijk gemakkelijker omdat je in de Mikrotik firewall address list juist de IP-range moet ingeven. Zie de blauwe streep op de screenshot.
Daarom toon ik deze manier ook omdat ik daar namelijk een groot voorstander van ben.