پیکربندی مسیریابی VLAN در میکروتیک

در این مطلب از سری آموزش‌های روتر میکروتیک قصد داریم در رابطه با پیکربندی مسیریابی VLAN  با شما صحبت کنیم.

شبکه VLAN چیست؟

VLAN یا شبکه VLAN مجازی به گروهی از رایانه‌ها، سرورها، چاپگرهای شبکه و سایر دستگاه‌های شبکه گفته می‌شود که عملکردشان به گونه ای است که گویی به یک شبکه متصل‌اند. در واقع VLAN یک توپولوژی منطقی است که می‌تواند یک دامنه پخش را به چندین دامنه پخش تقسیم کند.

از آنجایی که VLAN یک متد لایه 2 است پس بنابراین یک سوئیچ قابل مدیریت برای مدیریت VLAN و یک روتر برای مسیریابی و کنترل inter-VLAN در شبکه شما مورد نیاز است.

VLAN امنیت و عملکرد شبکه را افزایش می‌دهد. همچنین کارایی IT را بهبود می‌بخشد. با این حساب پیاده سازی VLAN در شبکه شما یک گزینه عالی خواهد بود. اگر شما نیز یک روتر MikroTik و سوئیچ قابل مدیریت دارید و یا مدیریت می‌کنید، پیاده سازی VLAN در شبکه شما کار چندان دشواری نیست. پس تا پایان این مطلب با ما همراه باشید تا نحوه پیکربندی آسان، مسیریابی بین VLAN با روتر MikroTik و سوئیچ قابل مدیریت را به شما عزیزان آموزش دهیم.

دستگاه های اصلی و اطلاعات IP

برای پیکربندی شبکه VLAN و مسیریابی بین VLAN، ما از یک سوئیچ قابل مدیریت MikroTik RouterBoard 1100 AHX2 (RouterOS v6.38.1) و سطح یک (GEP-2450) استفاده می‌کنیم.

اطلاعات IP که قرار است برای پیکربندی شبکه VLAN استفاده کنیم در زیر آورده شده است.

WAN IP 192.168.30.2/30 and Gateway IP 192.168.30.1
LAN networks: 10.10.20.0/24, 10.10.30.0/24 and 10.10.40.0/24
DNS IP: 8.8.8.8 and 8.8.4.4

این اطلاعات IP فقط برای هدف تحقیق و توسعه من است. این اطلاعات را با توجه به نیازهای شبکه خود تغییر دهید.

شرایط مهم VLAN

دو اصطلاح مهم VLAN وجود دارد که باید آنها را زیر نظر داشته باشید، در غیر این صورت ممکن است هنگام پیکربندی VLAN در سوئیچ مدیریت خود با مشکل مواجه شوید.

Access Link/Port: این نوع لینک تنها بخشی از یک VLAN است و به آن پورت محلی VLAN نیز می‌گویند.

هر دستگاهی که به دسترسی link/port متصل است از عضویت در VLAN بی‌خبر بوده و دستگاه فقط فرض می‌کند که بخشی از یک دامنه پخش است اما هیچ درکی از شبکه فیزیکی ندارد.

Trunk Link/Port: ترانک‌ها (Trunk) می‌توانند چندین VLAN را حمل کنند. Trunk یک پیوند نقطه به نقطه بین دو سوئیچ یا بین سوئیچ و روتر است.

اینها ترافیک چندین VLAN (از 1 تا 1005 در یک زمان) را حمل می‌کنند. ترانکینگ به شما این امکان را می‌دهد که یک پورت را به طور همزمان بخشی از چندین VLAN کنید.

نمودار شبکه

برای پیکربندی یک شبکه VLAN با روتر MikroTik و سوئیچ قابل مدیریت، ما یک نمودار شبکه مانند تصویر زیر را دنبال می‌کنم.

در این شبکه، رابط WAN (ether1) روتر میکروتیک به ISP با آدرس IP 192.168.30.2/30 و رابط ether2 که به یک سوئیچ قابل مدیریت متصل است، رابط LAN MikroTik است.

پیکربندی مسیریابی MikroTik Inter VLAN با سوئیچ قابل مدیریت

اکنون پیکربندی مسیریابی بین VLAN را آغاز خواهیم کرد. پیکربندی کامل VLAN را می‌توان به دو بخش تقسیم کرد.

پیکربندی مسیریابی Inter VLAN در روتر میکروتیک و پیکربندی VLAN در سوئیچ قابل مدیریت.

قسمت 1: پیکربندی مسیریابی Inter VLAN در روتر MikroTik

اگر چندین VLAN روی یک سوئیچ قابل مدیریت پیاده سازی شود، یک روتر برای برقراری ارتباط بین این VLAN‌ها مورد نیاز است. ما می‌دانیم که سوئیچ یک دستگاه لایه 2 ای است. بنابراین، سوئیچ فقط هدر اترنت را به جلو می‌برد و نمی‌توانید هدر IP را بررسی کنید. به همین دلیل باید از روتری استفاده کنیم که به عنوان دروازه برای هر VLAN عمل کند. بدون روتر، هاست قادر به برقراری ارتباط خارج از VLAN خود نیست. فرآیند مسیریابی بین VLAN‌ها به عنوان مسیریابی بین VLAN شناخته می‌شود.

برای پیکربندی مسیریابی بین VLAN، ما یک پیوند trunk بین روتر میکروتیک و سوئیچ مدیریت خود ایجاد خواهیم کرد که ترافیک را از سه VLAN (VLAN 20 و VLAN 30 و VLAN 40) حمل می‌کند. مراحل زیر نحوه پیکربندی مسیریابی بین VLAN و همچنین سایر تنظیمات اولیه را در روتر MikroTik ما نشان خواهد داد.

1. با استفاده از winbox به روتر خود وارد شوید.
2. روی آیتم منوی Interfaces کلیک کنید. پنجره فهرست Interface ظاهر می‌شود. روی تب VLAN کلیک کنید و سپس بر روی PLUS SIGN (+) کلیک کنید. پنجره Interface جدید ظاهر می‌شود.
3. نام رابط (Marketing VLAN 20) را در کادر ورودی Name قرار داده و VLAN ID (20) را در کادر ورودی VLAN ID قرار دهید. در ادامه رابط فیزیکی خود (ether2) را انتخاب کنید که به عنوان پیوند Trunk از منوی کشویی Interface استفاده می‌شود و سپس روی Apply و OK کلیک کنید. به طور مشابه رابط های VLAN 30 (Sales VLAN 30) و VLAN 40 (HR VLAN 40) ایجاد کنید. پنجره لیست رابط VLAN شما مانند تصویر زیر است.
4. به آیتم منوی IP > Addresses بروید و روی علامت PLUS (+) کلیک کنید.
5. در پنجره New Address آدرس IP WAN (192.168.30.2/30) را در قسمت Address input قرار داده و از منوی کشویی Interface واسط WAN (ether1) را انتخاب کنید و سپس روی دکمه Apply و OK کلیک کنید.
6. دوباره بر روی PLUS SIGN (+) کلیک کنید و IP دروازه شبکه VLAN 20 (10.10.20.1/24) را در کادر ورودی آدرس قرار دهید و از منوی کشویی Interface رابط VLAN 20 (Marketing VLAN 20) را انتخاب کنید و سپس روی دکمه Apply و OK کلیک کنید. به طور مشابه، IP دروازه VLAN 30 (10.10.30.1/24) را روی رابط Sales VLAN 30 و IP Gateway VLAN 40 (10.10.40.1/24) را در رابط HR VLAN 40 قرار دهید.
7. به مسیر IP > DNS رفته و DNS Server IP (8.8.8.8 یا 8.8.4.4) را در قسمت Servers input قرار دهید و روی دکمه Apply و OK کلیک کنید.
8. به IP > Firewall بروید و روی تب NAT بزنید و سپس بر روی PLUS SIGN (+) کلیک کنید. در زبانه عمومی، srcnat را از منوی کشویی Chain انتخاب کنید و روی تب Action کلیک کنید و سپس از منوی کشویی Action، maskarede را انتخاب کنید. روی دکمه Apply و OK کلیک کنید.
9. به IP > Routes بروید و روی علامت PLUS (+) کلیک کنید. در پنجره New Route بر روی قسمت ورودی Gateway کلیک کرده و آدرس WAN Gateway (192.168.30.1) را در قسمت ورودی Gateway قرار دهید و روی دکمه Apply و OK کلیک کنید.

لیست اینترفیس VLAN

مسیریابی Inter VLAN و سایر تنظیمات اولیه در روتر میکروتیک تکمیل شده است. اکنون روتر آماده مسیریابی VLAN 20، VLAN 30 و VLAN 40 است. در قسمت بعدی VLAN را در سوئیچ قابل مدیریت سطح یک خود پیکربندی خواهیم کرد.

بخش 2: پیکربندی VLAN در سوئیچ قابل مدیریت

در این قسمت، ما سه VLAN را (VLAN 20، VLAN 30 و VLAN 40) ایجاد می‌کنیم و پورت دسترسی و پورت Trunk را در سوئیچ مدیریتی خود پیکربندی می‌کنیم. برای این منظور می‌توان از هر سوئیچ قابل مدیریتی استفاده کرد. از آنجایی که سوئیچ سطح یک (GEP-2450) را در دسترس دارم، پیکربندی VLAN را در این سوئیچ مدیریتی انجام می‌دهم. اگر سوئیچ قابل مدیریت دیگری دارید، راهنمای نحوه پیکربندی VLAN در آن سوئیچ مدیریت خاص را در Google پیدا کنید.

سوئیچ سطح یک (GEP-2450) یک سوئیچ هوشمند و قابل مدیریت است. بنابراین، ما می‌توانیم این سوئیچ را با استفاده از رابط کاربری گرافیکی وب مدیریت کنیم. سوئیچ GEP-2450 دارای 24 پورت اترنت بوده. در این میان ما از 1-5 پورت به عنوان پورت دسترسی VLAN 20 برای بخش بازاریابی، 6-10 پورت به عنوان پورت دسترسی VLAN 30 برای بخش فروش، 11-15 پورت به عنوان پورت دسترسی VLAN 40 استفاده خواهیم کرد.

پورت 24 به عنوان پورت ترانک و سایر پورت‌ها به عنوان پورت دسترسی استفاده خواهد شد. مراحل زیر به شما نشان می‌دهد که چگونه VLAN را در سوئیچ سطح یک (GEP-2450) به درستی پیکربندی کنید. برای بخش منابع انسانی و پورت های 16-23 تحت VLAN 1 پیش فرض باقی می‌مانند. برای بخش منابع انسانی و پورت های 16-23 تحت VLAN 1 پیش فرض باقی می‌مانند.

پیکربندی VLAN در سوئیچ قابل مدیریت

1. پورت 24 را با درگاه ether2 روتر میکروتیک خود با کابل RJ45 وصل کنید. این پیوند به عنوان لینک Trunk استفاده خواهد شد.
2. کامپیوتر خود را وصل کرده و با کابل RJ45 سوئیچ کنید. برای این اتصال از پورت سوئیچ یکی از پورت های 16-23 استفاده کنید.
3. آدرس IP پیش‌فرض سوئیچ سطح اول (GEP-2450) 192.168.1.1/24 است. پس بنابراین یک آدرس IP از این بلوک را به رایانه شخصی خود اختصاص دهید و سپس https://192.168.1.1 را در مرورگر خود تایپ کنید.اکنون از شما می خواهد رمز عبور را ارائه کنید. رمز عبور پیش‌فرض برای سوئیچ سطح یک (GEP-2450) است بنابراین، این رمز عبور را قرار داده و  Enter را بزنید. اکنون رابط کاربری گرافیکی پیکربندی سوئیچ را پیدا خواهید کرد.
4. در گام بعدی به VLANs >> VLAN Mode رفته و مطمئن شوید که حالت VLAN بر اساس Tag  باشد.
5. اکنون به VLANs >> VLAN Group بروید. صفحه پیکربندی VLAN ، براساس Tag-based ظاهر می‌شود.
6. VLAN ID (20) را در کادر ورودی VLAN ID قرار داده و روی دکمه Add کلیک کنید. صفحه راه اندازی VLAN ظاهر می‌شود. پورت 1-5 و پورت 24 را انتخاب کنید و سپس روی دکمه Apply کلیک کنید. به طور مشابه، VLAN 30 و VLAN 40 را ایجاد کنید و پورت‌های 6-10 و 11-15 را به ترتیب وارد کرده و پورت 24 را برای هر دو VLANها انتخاب کنید. VLAN ایجاد شده خود را در ناحیه فهرست پیکربندی VLAN پیدا خواهید کرد.
7. VLAN ID 1 را انتخاب کرده و روی دکمه Modify کلیک کنید. صفحه راه اندازی VLAN برای VLAN 1 ظاهر می‌شود. پورت 1-15 را بردارید و روی دکمه Apply کلیک کنید.
8. اکنون روی گزینه Port Config و در قسمت VLAN Port Configuration کلیک کنید. صفحه پیکربندی VLAN Per Port ظاهر می‌شود. PVID 0 را به 20 از 1-5 پورت، 0 به 30 از 6-10 پورت و 0 به 40 را از 11-15 پورت تغییر دهید. نقش همه پورت‌ها Access خواهد بود به جز پورت 24. نقش Trunk را برای پورت 24 از منوی کشویی Role انتخاب کنید. روی دکمه Apply کلیک کنید.

پیکربندی VLAN در سوئیچ سطح یک (GEP-2450) تکمیل شده است. صفحه VLAN Group اکنون مانند تصویر زیر است.

چگونه ارتباط Inter VLAN را مسدود کنیم

گاهی اوقات ممکن است شما نیاز به مسدود کردن ارتباط بین VLAN داشته باشد. برای مثال، ممکن است بخواهید که بخش بازاریابی شما نتواند با بخش فروش ارتباط برقرار کند. در این مورد، باید قانون فایروال را برای مسدود کردن ارتباطات بین VLAN اعمال کنید، زیرا MikroTik به طور پیش فرض اجازه ارتباطات بین VLAN را می‌دهد. مراحل زیر نحوه ایجاد قانون فایروال برای مسدود کردن ارتباطات بین VLAN را نشان می‌دهد.

نحوه مسدود کردن Inter VLAN

1. وارد MikroTik Router شوید و به آیتم منوی IP > Firewall بروید و روی زبانه Filter Rules کلیک کنید و روی گزینه PLUS SIGN (+) بزنید. پنجره جدید قانون فایروال ظاهر می‌شود.
2. از منوی کشویی Chain گزینه Forward را انتخاب کنید.
3. در ادامه IP block بخش بازاریابی (10.10.20.0/24) را در Src قرار دهید.
4. فیلد ورودی Address و  IP block بخش فروش (10.10.30.0/24) را در کادر ورودی Dst Address قرار دهید.
5. tcp را از منوی کشویی Protocol انتخاب کنید.
6. روی تب Action کلیک کنید و از منوی کشویی Action گزینه drop را انتخاب کنید.
7. روی دکمه Apply و OK کلیک کنید.

این قانون فایروال تمام اتصالات TCP را که از کامپیوتر بازاریابی به کامپیوتر فروش می‌رسد مسدود می‌کند. به طور مشابه، می‌توانید با ایجاد firewall rule دیگر و تغییر address block منبع، بلوک آدرس مقصد و پروتکل، تمام اتصالات TCP یا اتصالات UDP را که از Sales PC به PC Marketing وارد می‌شوند، مسدود کنید.

اگر برای انجام صحیح مراحل بالا با مشکل مواجه شدید، آموزش ویدیویی زیر در مورد پیکربندی مسیریابی MikroTik VLAN با سوئیچ قابل مدیریت را نگاه کنید. امیدواریم این مقاله برای شما مفید بوده باشد.