~Leszek Błaszczyk, Batna24

Krótki poradnik pokazujący krok po kroku jak skonfigurować sieci VLAN w oparciu o urządzenia Mikrotik oraz Cisco. Jako nasz główny router, użyjemy bardzo wydajnej jednostki  Mikrotik RB4011IGS+RM, natomiast funkcję przełącznika będzie pełnił Cisco SF350-24. Zanim przystąpimy do konfiguracji urządzeń, czas na trochę teorii.

WAN | LAN | NAT

Nasze domowe sieci, najczęściej są konfigurowane w taki sposób, że mamy jedną sieć lokalną LAN oraz dostęp do sieci publicznej poprzez port WAN. Oczywistym jest, że poprzez port WAN nasz dostawca ISP, umożliwia nam dostęp do sieci Internet. Nasz domowy router wykorzystuje mechanizm translacji adresów i portów z naszej sieci LAN, do zewnętrznej sieci (Internet). I właśnie ta funkcjonalność nosi nazwę NAT (Network Address Translation). Generalnie do wykonania takiej sieci wystarczy router wyposażony w dwa porty ethernet oraz kilku portowy przełącznik.  
Sytuacja diametralnie się zmienia, gdy potrzebujemy skorzystać z większej ilości sieci niż tylko LAN i WAN. Przykładowo, jeśli chcielibyśmy podzielić sieć w naszym miejscu pracy na kilka działów np. DZIAŁ_IT i KSIĘGOWOŚĆ, a dodatkowo mamy również w sieci SERWER WWW i chcielibyśmy uzyskać do niego dostęp z zewnątrz. 

W niniejszym poradniku zakładamy obsługę następujących sieci: 

  • WAN – łącze dostępowe Internet (adresacja publiczna: 10.0.0.0/29) 
  • DZIAL_IT (adresacja: 192.168.10.0/24 VLAN tag: 10)
  • KSIEGOWOSC (adresacja: 192.168.20.0/24 VLAN tag: 20) 
  • DMZ_SERWER_WWW (adresacja: 192.168.30.0/24 VLAN tag: 30)

Dla wszystkich podsieci nasz router będzie przydzielał adresy IP za pomocą DHCP_SERVER. 
W tej sytuacji, może się pojawić duży problem, w przypadku, gdy nasz router posiada np. tylko dwa porty fizyczne i nie jesteśmy w stanie podzielić sieci zgodnie z naszymi założeniami. I w tej sytuacji przychodzą nam z pomocą właśnie VLAN`y (Virtual Local Area Network)

Jak działa VLAN ?

Krótko mówiąc, VLAN to mechanizm, który umożliwia logiczny podział sieci (segmentacja) oraz agregację różnych sieci (domen rozgłoszeniowych) w ramach jednego portu fizycznego. Zgodnie z tym założeniem, możemy skonfigurować połączenie pomiędzy routerem i przełącznikiem w taki sposób, aby kilka sieci (KSIĘGOWOŚĆ, DZIAŁ_IT, DMZ) było dostępnych na jednym, fizycznym porcie routera i przełącznika. Zasada działania VLANów jest również bardzo prosta. Każda ramka ethernetowa otrzymuje unikalny identyfikator tzw. VLAN TAG. Identyfikator informuje do której podsieci należy dany pakiet. VLAN TAG to po prostu numer z zakresu od 0 do 4096, który jest nadawany przez administratora sieci. Natomiast przełącznik musi zdjąć identyfikator na portach, do których podłączone są urządzenia końcowe np. drukarki, telefony, telefony IP itd. Taki port nosi nazwę ACCESS. Korzystanie z mechanizmu VLAN ma wiele zalet: 

  • Mniej kabli! Oszczędzamy ilość fizycznych portów na routerach i przełącznikach 
  • Podział na podsieci ułatwia późniejsze zarządzanie polityką firewall
  • Za pomocą VPN można łączyć wiele oddziałów firmy, która posiada wiele sieci LAN
  • Nie ma potrzeby stosowania osobnego przełącznika do każdej z obsługiwanych podsieci.


Czytaj także:
Podwyżka cen kabli