¬аш вопрос св€зан с хэштэгами # орпоративные сети, #Mikrotik? —просите в Telegram!

 орпоративные сетиMikrotik

Ќастройка VLAN в Mikrotik

Ўироковещательные домены

ћерион Ќетворкс

”мение настраивать VLAN (Virtual Local Area Network) или виртуальные локальные сети - одно из самых базовых умений, которым должен обладать системный администратор. —егментирование сети с помощью VLAN-ов строго необходимо дл€ PCI, HIPAA и прочих стандартов безопасности, и, кроме того, это помогает сохран€ть УчистотуФ и пор€док в больших сет€х. Ќастройка VLAN-ов на маршрутизаторах MikroTik не €вл€етс€ сложной задачей, подробнее о шагах настройки вы можете прочесть ниже.


ƒизайн VLAN в организации

ѕервым шагом в сегментировании сети должен быть не настройка маршрутизатора, а понимание будущей схемы в целом - предпочтительно нарисовать схему на листе бумаги, использовать ѕќ наподобие Microsoft Visio и т.д.   тому же, если ваша сеть должна соответствовать стандартам безопасности, которые были перечислены выше, то практически не нужно ничего придумывать - в описании стандартов есть подробные инструкции что и как должно быть сегментировано. ќднако, чаще всего, сегментирование происходит дл€ общей оптимизации сети - и тут необходимо будет что-то придумать самому. Ќа наш взгл€д, проще всего отразить структуру организации в схеме VLAN-ов.  аждый департамент должен находитс€ в собственном VLAN-е, т.к каждый департамент обладает своими собственными уникальными функци€ми, и, скорее всего, различными правами доступа. “акже в отдельные VLAN-ы необходимо поместить сервера и дисковые хранилища.

ƒл€ серверов и хранилищ рекомендуетс€ использовать отдельные коммутаторы, но, дл€ маленьких компаний это часто невозможно из-за лимитированного бюджета.

  тому же, с помощью таких инструментов как Torch или NetFlow можно будет контролировать и мониторить трафик каждого департамента. √остева€ сеть также должна быть помещена в отдельный VLAN, который будет полностью изолирован от внутренней сети. Ѕеспроводные сети также должны находитс€ в своем VLAN, таким образом весь трафик мессенджеров, обновлений мобильных приложений и т.д будет полностью отделен от основной сети.


“ранковые протоколы VLAN

¬ нашем сценарии у нас есть только один роутер, и создадим VLAN-ы дл€ HR (192.168.105.0/24), бухгалтерии (192.168.155.0/24) и гостевую сеть (192.168.1.175.0/24). ≈сли у вас получитс€ создать три VLAN-а, то, очевидно, получитс€ создать и сто - в нашем примере мы описываем создание только трех VLAN-ов дл€ простоты и прозрачности примера. IP-адреса дл€ каждого VLAN-а также были выбраны случайным образом - дл€ вашей организации, скорее всего, адресаци€ будет иной. ¬ нашем случае, маршрутизатор подключен к коммутатору по интерфейсу ether2, с 802.1q транком между ними - эта схема также известна под именем Уроутер на палкеФ (router on a stick). ћы не будем углубл€тьс€ в детали касаемо свитча - это может быть Cisco, HP и т.д - потому что 802.1q транки одинаковы практически на всех платформах - если у вас какой-нибудь необычный свитч, то вам стоит просто обратитьс€ к документации и прочесть, как выполн€етс€ конфигураци€ транкового порта. Ќаш маршрутизатор также обладает подключением к WAN на порту ether1 - все пользователи в VLAN-ах будут использовать его дл€ доступа к интернету.


—оздание VLAN-ов на MikroTik

—перва необходимо создать VLAN-ы на маршрутизаторе и назначить их на интерфейс ether2. ѕосле этого, интерфейс ether2 будет автоматически настроен как 802.1q транк и не будет доступен дл€ трафика без тэгов, что означает, что до конца настройки этот линк будет УлежатьФ - поэтому строго рекомендуетс€ выполн€ть эти действи€ во в нерабочее врем€.

/interface vlan
add comment="HR" interface=ether2 name="VLAN 105 - HR" vlan-id=105
add comment="Accounting" interface=ether2 name="VLAN 155 - Accounting" vlan-id=155
add comment="Guests" interface=ether2 name="VLAN 180 - Guests" vlan-id=180

 райне рекомендуетс€ всегда давать пон€тные имена интерфейсам и писать комментарии - в дальнейшем это может сильно облегчить администрирование сети и обучение новых системных администраторов.  ак мы упом€нули выше, создание VLAN-ов и назначение их на физический порт ether2 автоматически изменит тип инкапсул€ции на 802.1q, но вы нигде этого не увидите - даже если выведете всю информацию об интерфейсе.


Ќазначаем IP-адреса

ƒалее, необходимо назначить сетевые адреса, чтобы VLAN интерфейсы могли работать как шлюзы:

/ip address
add address=192.168.105.1/24 comment="HR Gateway" interface="VLAN 105 - HR"
add address=192.168.155.1/24 comment="Accounting Gateway" interface="VLAN 155 - Accounting"
add address=192.168.180.1/24 comment="Guests Gateway" interface="VLAN 180 - Guests"

Ќа вс€кий случай, еще раз обращу ваше внимание на то, как важно комментировать интерфейсы дл€ удобства в дальнейшем. Ќа данном моменте у нас уже настроены VLAN-ы и у них назначены сетевые адреса. ≈сли у вас не используетс€ DHCP, а используетс€ статическа€ адресаци€ - на этом настройка VLAN в общем-то закончена. —ледующим шагом (этот шаг, соответственно, опционален) €вл€етс€ настройка DHCP на VLAN интерфейсах, дл€ того чтобы клиенты внутри каждого VLAN могли автоматически получить динамический IP-адрес.


DHCP дл€ VLAN

ƒл€ начала, необходимо установить адресные пулы дл€ каждого из VLAN-ов:

/ip pool
add name=HR ranges=192.168.105.2-192.168.105.254
add name=Accounting ranges=192.168.155.2-192.168.155.254
add name=Guests ranges=192.168.180.2-192.168.180.254

ƒалее, настраиваем DHCP с опци€ми дл€ DNS и шлюзов:

/ip dhcp-server network
add address=192.168.105.0/24 comment="HR Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.105.1
add address=192.168.155.0/24 comment="Accounting Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.155.1
add address=192.168.180.0/24 comment="Guest Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.180.1

¬ данном случае мы используем DNS сервис от Google. ƒалее, добавл€ем ранее настроенные пулы на VLAN интерфейсы:

/ip dhcp-server
add address-pool=HR disabled=no interface="VLAN 105 - HR" name=HR
add address-pool=Accounting disabled=no interface="VLAN 155 - Accounting" name=Accounting
add address-pool=Guests disabled=no interface="VLAN 180 - Guests" name=Guests

јдресные пулы соответствуют настроенным сет€м, и именно такие DHCP опции как шлюз и DNS присваиваютс€ конкретной DHCP инстанции. —мысл присвоени€ DHCP дл€ каждого VLAN в том, чтобы у вас была возможность контролировать сроки выдачи адреса (lease times), опции и т.д дл€ каждого сегмента сети, что дает большой простор дл€ оптимизации и контрол€ DHCP в вашей организации.


Ќастройка VLAN на коммутаторе

Ќа данном этапе настройки вам необходимо будет назначить порты доступа на ваших свитчах на конкретные VLAN-ы, и клиенты, которые будут подключены к этим портам будут находитс€ в их VLAN и получать соответствующие IP-адреса по DHCP. “еперь уже вам решать, какие VLAN будут полностью изолированы друг от друга, а какие смогут Уобщатьс€Ф - осталось только настроить соответствующие правила на фаерволле.  ак правило, мы разрешаем доступ только абсолютно необходимого трафика в VLAN - если разрешить весь трафик, тогда тер€етс€ смысл сегментировани€.


ѕолезна ли ¬ам эта стать€?

–аз в неделю мы отправл€ем дайджест с самыми интересными стать€ми.

P.S. ≈сли укажите свою дату рождени€, то мы об€зательно ¬ас поздравим и подарим небольшой подарок :)

Ќажима€ на кнопку "ѕодписатьс€", вы даете согласие на обработку своих персональных данных