پیکربندی مسیریابی VLAN در میکروتیک با سوئیچ قابل مدیریت
در این مطلب از سری آموزشهای روتر میکروتیک قصد داریم در رابطه با پیکربندی مسیریابی VLAN با شما صحبت کنیم.
شبکه VLAN چیست؟
VLAN یا شبکه VLAN مجازی به گروهی از رایانهها، سرورها، چاپگرهای شبکه و سایر دستگاههای شبکه گفته میشود که عملکردشان به گونه ای است که گویی به یک شبکه متصلاند. در واقع VLAN یک توپولوژی منطقی است که میتواند یک دامنه پخش را به چندین دامنه پخش تقسیم کند.
از آنجایی که VLAN یک متد لایه 2 است پس بنابراین یک سوئیچ قابل مدیریت برای مدیریت VLAN و یک روتر برای مسیریابی و کنترل inter-VLAN در شبکه شما مورد نیاز است.
VLAN امنیت و عملکرد شبکه را افزایش میدهد. همچنین کارایی IT را بهبود میبخشد. با این حساب پیاده سازی VLAN در شبکه شما یک گزینه عالی خواهد بود. اگر شما نیز یک روتر MikroTik و سوئیچ قابل مدیریت دارید و یا مدیریت میکنید، پیاده سازی VLAN در شبکه شما کار چندان دشواری نیست. پس تا پایان این مطلب با ما همراه باشید تا نحوه پیکربندی آسان، مسیریابی بین VLAN با روتر MikroTik و سوئیچ قابل مدیریت را به شما عزیزان آموزش دهیم.
دستگاه های اصلی و اطلاعات IP
برای پیکربندی شبکه VLAN و مسیریابی بین VLAN، ما از یک سوئیچ قابل مدیریت MikroTik RouterBoard 1100 AHX2 (RouterOS v6.38.1) و سطح یک (GEP-2450) استفاده میکنیم. اطلاعات IP که قرار است برای پیکربندی شبکه VLAN استفاده کنیم در زیر آورده شده است.
WAN IP 192.168.30.2/30 and Gateway IP 192.168.30.1
LAN networks: 10.10.20.0/24, 10.10.30.0/24 and 10.10.40.0/24
DNS IP: 8.8.8.8 and 8.8.4.4
شرایط مهم VLAN
دو اصطلاح مهم VLAN وجود دارد که باید آنها را زیر نظر داشته باشید، در غیر این صورت ممکن است هنگام پیکربندی VLAN در سوئیچ مدیریت خود با مشکل مواجه شوید.
Access Link/Port: این نوع لینک تنها بخشی از یک VLAN است و به آن پورت محلی VLAN نیز میگویند. هر دستگاهی که به دسترسی link/port متصل است از عضویت در VLAN بیخبر بوده و دستگاه فقط فرض میکند که بخشی از یک دامنه پخش است اما هیچ درکی از شبکه فیزیکی ندارد.
Trunk Link/Port: ترانکها (Trunk) میتوانند چندین VLAN را حمل کنند. Trunk یک پیوند نقطه به نقطه بین دو سوئیچ یا بین سوئیچ و روتر است. اینها ترافیک چندین VLAN (از 1 تا 1005 در یک زمان) را حمل میکنند.
نمودار شبکه
برای پیکربندی یک شبکه VLAN با روتر MikroTik و سوئیچ قابل مدیریت، ما یک نمودار شبکه مانند تصویر زیر را دنبال میکنم.
در این شبکه، رابط WAN (ether1) روتر میکروتیک به ISP با آدرس IP 192.168.30.2/30 و رابط ether2 که به یک سوئیچ قابل مدیریت متصل است، رابط LAN MikroTik است.
پیکربندی مسیریابی MikroTik Inter VLAN با سوئیچ قابل مدیریت
اکنون پیکربندی مسیریابی بین VLAN را آغاز خواهیم کرد. پیکربندی کامل VLAN را میتوان به دو بخش تقسیم کرد.
- پیکربندی مسیریابی Inter VLAN در روتر میکروتیک
- پیکربندی VLAN در سوئیچ قابل مدیریت
قسمت 1: پیکربندی مسیریابی Inter VLAN در روتر MikroTik
اگر چندین VLAN روی یک سوئیچ قابل مدیریت پیاده سازی شود، یک روتر برای برقراری ارتباط بین این VLANها مورد نیاز است. ما میدانیم که سوئیچ یک دستگاه 2 لایهای است. بنابراین، سوئیچ فقط هدر اترنت را به جلو میبرد و نمیتوانید هدر IP را بررسی کنید. به همین دلیل باید از روتری استفاده کنیم که به عنوان دروازه برای هر VLAN عمل کند. بدون روتر، هاست قادر به برقراری ارتباط خارج از VLAN خود نیست. فرآیند مسیریابی بین VLANها به عنوان مسیریابی بین VLAN شناخته میشود. برای پیکربندی مسیریابی بین VLAN، ما یک پیوند trunk بین روتر میکروتیک و سوئیچ مدیریت خود ایجاد خواهیم کرد. که ترافیک را از سه VLAN حمل میکند.
- VLAN 20
- VLAN 30
- VLAN 40
نحوه راه اندازی مسیریابی Inter VLAN
مراحل زیر نحوه پیکربندی مسیریابی بین VLAN و همچنین سایر تنظیمات اولیه را در روتر MikroTik ما نشان خواهد داد. با استفاده از winbox به روتر خود وارد شوید.
- روی آیتم منوی Interfaces کلیک کنید. پنجره فهرست Interface ظاهر میشود. روی تب VLAN کلیک کنید و سپس بر روی (PLUS SIGN) + کلیک کنید. پنجره Interface جدید ظاهر میشود.
- نام رابط (Marketing VLAN 20) را در کادر ورودی Name قرار داده و VLAN ID (20) را در کادر ورودی VLAN ID قرار دهید. در ادامه رابط فیزیکی خود (ether2) را انتخاب کنید.
- به طور مشابه رابطهای VLAN 30 (Sales VLAN 30) هم انجام میدهیم.
- سپس همینطور هم VLAN 40 (HR VLAN 40) ایجاد کنید.
- به آیتم منوی IP > Addresses بروید و روی علامت PLUS (+) کلیک کنید.
- در پنجره New Address آدرس IP WAN (192.168.30.2/30) را در قسمت Address input قرار داده و از منوی کشویی Interface واسط WAN (ether1) را انتخاب کنید. و سپس روی دکمه Apply و OK کلیک کنید.
- دوباره بر روی PLUS SIGN (+) کلیک کنید. و IP دروازه شبکه VLAN 20 (10.10.20.1/24) را در کادر ورودی آدرس قرار دهید. و از منوی کشویی Interface رابط VLAN 20 (Marketing VLAN 20) را انتخاب کنید. و سپس روی دکمه Apply و OK کلیک کنید.
- به طور مشابه، IP دروازه VLAN 30 (10.10.30.1/24) را روی رابط Sales VLAN 30 قرار دهید.
- IP دروازه IP Gateway VLAN 40 (10.10.40.1/24) را در رابط HR VLAN 40 قرار دهید.
- به مسیر IP > DNS بروید.
- سپس DNS Server IP (8.8.8.8 یا 8.8.4.4) را در قسمت Servers input قرار دهید. و روی دکمه Apply و OK کلیک کنید.
- به IP > Firewall بروید و روی تب NAT بزنید. و سپس بر روی PLUS SIGN (+) کلیک کنید. در زبانه عمومی، srcnat را از منوی کشویی Chain انتخاب کنید. و روی تب Action کلیک کنید و سپس از منوی کشویی Action، maskarede را انتخاب کنید. روی دکمه Apply و OK کلیک کنید.
- به IP > Routes بروید و روی علامت PLUS (+) کلیک کنید. در پنجره New Route بر روی قسمت ورودی Gateway کلیک کرده. و آدرس WAN Gateway (192.168.30.1) را در قسمت ورودی Gateway قرار دهید. و روی دکمه Apply و OK کلیک کنید.
در این مرحله میتوانیم کارهای که انجام دادهایم را ببنیم. فقط لازم است:
- وارد New Terminal شویم.
- پینگ گوگل را بگیرم. (آدرس رو به رو)
لیست اینترفیس VLAN
اکنون روتر آماده مسیریابی VLAN 20، VLAN 30 و VLAN 40 است. در قسمت بعدی VLAN را در سوئیچ قابل مدیریت سطح یک خود پیکربندی خواهیم کرد.
بخش 2: پیکربندی VLAN در سوئیچ قابل مدیریت
در این قسمت، ما سه VLAN را ایجاد میکنیم:
- VLAN 20
- VLAN 30
- VLAN 40
و در نهایت پورت دسترسی و پورت Trunk را در سوئیچ مدیریتی خود پیکربندی میکنیم. برای این منظور میتوان از هر سوئیچ قابل مدیریتی استفاده کرد. از آنجایی که سوئیچ سطح یک (GEP-2450) را در دسترس دارم، پیکربندی VLAN را در این سوئیچ مدیریتی انجام میدهم. اگر سوئیچ قابل مدیریت دیگری دارید، راهنمای نحوه پیکربندی VLAN در آن سوئیچ مدیریت خاص را در Google پیدا کنید.
سوئیچ سطح یک (GEP-2450) یک سوئیچ هوشمند و قابل مدیریت است. بنابراین، ما میتوانیم این سوئیچ را با استفاده از رابط کاربری گرافیکی وب مدیریت کنیم. سوئیچ GEP-2450 دارای 24 پورت اترنت است. که در این میان ما از پورتها به عنوانهای زیر استفاده خواهیم کرد.
- پورت 1-5: به عنوان پورت دسترسی با نقش VLAN 20 برای بخش بازاریابی
- پورت 6-10: به عنوان پورت دسترسی با نقش VLAN 30 برای بخش فروش
- پورت11-15: پورت به عنوان پورت دسترسی با نقش VLAN 40
مراحل زیر به شما نشان میدهد که چگونه VLAN را در سوئیچ سطح یک (GEP-2450) به درستی پیکربندی کنید.
پیکربندی VLAN در سوئیچ قابل مدیریت
پورت 24 را با درگاه ether2 روتر میکروتیک خود با کابل RJ45 وصل کنید. این پیوند به عنوان لینک Trunk استفاده خواهد شد. کامپیوتر خود را وصل کرده و با کابل RJ45 سوئیچ کنید. برای این اتصال از پورت سوئیچ یکی از پورتهای 16-23 استفاده کنید. پس بنابراین یک آدرس IP از این بلوک را به رایانه شخصی خود اختصاص دهید.
- زمانی که وارد آدرس شدیم. کافی است روی ....Loval Area Connection کلیک کنیم.
- پنجرهی به نام Loval Area Connection Prooerties باز میشود.روی دکمه Prooerties کلیک کنیم.
- روی گزینه Internet Protocol Version دو بار کلیک میکنیم.
- در پنجره Interface بعد از تیک Use آپی آدرس خود را وارد میکنیم. سپس ذخیره میکنیم.
- و سپس https://192.168.1.1 را در مرورگر خود تایپ کنید.
- اکنون از شما میخواهد رمز عبور را وارد کنید. و سپس Apply را بزنید.
در گام بعدی کافی است که:
- از تب VLANs به گزینه VLAN Mode بروید.
- مطمئن شوید که حالت VLAN بر روی Tag-based باشد.
- اکنون به VLANs >> VLAN Group بروید.
- VLAN ID (20) را در کادر ورودی VLAN ID قرار داده و روی دکمه Add کلیک کنید. صفحه راه اندازی VLAN ظاهر میشود.
- پورت 1-5 و پورت 24 را انتخاب کنید و سپس روی دکمه Apply کلیک کنید.
اکنون روی گزینه Port Config که در تصویر فوق است، کلیک کنید. و در قسمت VLAN Port Configuration کلیک کنید. صفحه پیکربندی VLAN Per Port ظاهر میشود.
- PVID 0 را به 20 از 1-5 پورت
- 0 به 30 از 6-10 پورت
- 0 به 40 را از 11-15 پورت
تغییر دهید. نقش همه پورتها Access خواهد بود.
- به جز پورت 24، نقش Trunk را برای پورت 24 از منوی کشویی Role انتخاب کنید. روی دکمه Apply کلیک کنید.
پیکربندی VLAN در سوئیچ سطح یک (GEP-2450) تکمیل شده است. صفحه VLAN Group اکنون مانند تصویر زیر است.
چگونه ارتباط Inter VLAN را مسدود کنیم.
گاهی اوقات ممکن است شما نیاز به مسدود کردن ارتباط بین VLAN داشته باشد. برای مثال، ممکن است بخواهید که بخش بازاریابی شما نتواند با بخش فروش ارتباط برقرار کند. در این مورد، باید قانون فایروال را برای مسدود کردن ارتباطات بین VLAN اعمال کنید، زیرا MikroTik به طور پیش فرض اجازه ارتباطات بین VLAN را میدهد. مراحل زیر نحوه ایجاد قانون فایروال برای مسدود کردن ارتباطات بین VLAN را نشان میدهد.
نحوه مسدود کردن Inter VLAN
- وارد MikroTik Router شوید و به آیتم منوی IP > Firewall بروید و روی زبانه Filter Rules کلیک کنید و روی گزینه PLUS SIGN (+) بزنید. پنجره جدید قانون فایروال ظاهر میشود.
- از منوی کشویی Chain گزینه Forward را انتخاب کنید.
- در ادامه IP block بخش بازاریابی (10.10.20.0/24) را در Src قرار دهید.
- فیلد ورودی Address و IP block بخش فروش (10.10.30.0/24) را در کادر ورودی Dst Address قرار دهید.
- tcp را از منوی کشویی Protocol انتخاب کنید.
- روی تب Action کلیک کنید و از منوی کشویی Action گزینه drop را انتخاب کنید.
- روی دکمه Apply و OK کلیک کنید.
این قانون فایروال تمام اتصالات TCP را که از کامپیوتر بازاریابی به کامپیوتر فروش میرسد مسدود میکند. به طور مشابه، میتوانید با ایجاد firewall rule دیگر و تغییر address block منبع، بلوک آدرس مقصد و پروتکل، تمام اتصالات TCP یا اتصالات UDP را که از Sales PC به PC Marketing وارد میشوند، مسدود کنید.
اگر برای انجام صحیح مراحل بالا با مشکل مواجه شدید، آموزش ویدیویی زیر در مورد پیکربندی مسیریابی MikroTik VLAN با سوئیچ قابل مدیریت را نگاه کنید. امیدواریم این مقاله برای شما مفید بوده باشد.