پیکربندی مسیریابی VLAN در میکروتیک با سوئیچ قابل مدیریت

در این مطلب از سری آموزش‌های روتر میکروتیک قصد داریم در رابطه با پیکربندی مسیریابی VLAN با شما صحبت کنیم.

شبکه VLAN چیست؟

VLAN یا شبکه VLAN مجازی به گروهی از رایانه‌ها، سرورها، چاپگرهای شبکه و سایر دستگاه‌های شبکه گفته می‌شود که عملکردشان به گونه ای است که گویی به یک شبکه متصل‌اند. در واقع VLAN یک توپولوژی منطقی است که می‌تواند یک دامنه پخش را به چندین دامنه پخش تقسیم کند.

از آنجایی که VLAN یک متد لایه 2 است پس بنابراین یک سوئیچ قابل مدیریت برای مدیریت VLAN و یک روتر برای مسیریابی و کنترل inter-VLAN در شبکه شما مورد نیاز است.

VLAN امنیت و عملکرد شبکه را افزایش می‌دهد. همچنین کارایی IT را بهبود می‌بخشد. با این حساب پیاده سازی VLAN در شبکه شما یک گزینه عالی خواهد بود. اگر شما نیز یک روتر MikroTik و سوئیچ قابل مدیریت دارید و یا مدیریت می‌کنید، پیاده سازی VLAN در شبکه شما کار چندان دشواری نیست. پس تا پایان این مطلب با ما همراه باشید تا نحوه پیکربندی آسان، مسیریابی بین VLAN با روتر MikroTik و سوئیچ قابل مدیریت را به شما عزیزان آموزش دهیم.

دستگاه های اصلی و اطلاعات IP

برای پیکربندی شبکه VLAN و مسیریابی بین VLAN، ما از یک سوئیچ قابل مدیریت MikroTik RouterBoard 1100 AHX2 (RouterOS v6.38.1) و سطح یک (GEP-2450) استفاده می‌کنیم. اطلاعات IP که قرار است برای پیکربندی شبکه VLAN استفاده کنیم در زیر آورده شده است.

این اطلاعات IP فقط برای هدف تحقیق و توسعه من است. این اطلاعات را با توجه به نیازهای شبکه خود تغییر دهید.

WAN IP 192.168.30.2/30 and Gateway IP 192.168.30.1
LAN networks: 10.10.20.0/24, 10.10.30.0/24 and 10.10.40.0/24
DNS IP: 8.8.8.8 and 8.8.4.4

شرایط مهم VLAN

دو اصطلاح مهم VLAN وجود دارد که باید آنها را زیر نظر داشته باشید، در غیر این صورت ممکن است هنگام پیکربندی VLAN در سوئیچ مدیریت خود با مشکل مواجه شوید.

Access Link/Port: این نوع لینک تنها بخشی از یک VLAN است و به آن پورت محلی VLAN نیز می‌گویند. هر دستگاهی که به دسترسی link/port متصل است از عضویت در VLAN بی‌خبر بوده و دستگاه فقط فرض می‌کند که بخشی از یک دامنه پخش است اما هیچ درکی از شبکه فیزیکی ندارد.

Trunk Link/Port: ترانک‌ها (Trunk) می‌توانند چندین VLAN را حمل کنند. Trunk یک پیوند نقطه به نقطه بین دو سوئیچ یا بین سوئیچ و روتر است. اینها ترافیک چندین VLAN (از 1 تا 1005 در یک زمان) را حمل می‌کنند.

ترانکینگ به شما این امکان را می‌دهد که یک پورت را به طور همزمان بخشی از چندین VLAN کنید.

نمودار شبکه

برای پیکربندی یک شبکه VLAN با روتر MikroTik و سوئیچ قابل مدیریت، ما یک نمودار شبکه مانند تصویر زیر را دنبال می‌کنم.

در این شبکه، رابط WAN (ether1) روتر میکروتیک به ISP با آدرس IP 192.168.30.2/30 و رابط ether2 که به یک سوئیچ قابل مدیریت متصل است، رابط LAN MikroTik است.

پیکربندی مسیریابی MikroTik Inter VLAN با سوئیچ قابل مدیریت

اکنون پیکربندی مسیریابی بین VLAN را آغاز خواهیم کرد. پیکربندی کامل VLAN را می‌توان به دو بخش تقسیم کرد.

پیکربندی مسیریابی Inter VLAN در روتر میکروتیک
پیکربندی VLAN در سوئیچ قابل مدیریت

شبکه دیده‌بان وارد کننده و ارائه کننده انواع تجهیزات شبکه به خصوص برند میکروتیک می‌باشد. تمامی تجهیزات شبکه دیده‌بان دارای 12 ماه گارانتی هستند.

جهت پیکربندی ، نصب و راه اندازی تجهیزات شبکه با شماره 02191002120 تماس بگیرید.

شبکه دیده‌بان وارد کننده و ارائه کننده انواع تجهیزات شبکه به خصوص برند میکروتیک می‌باشد. تمامی تجهیزات شبکه دیده‌بان دارای 12 ماه گارانتی هستند.

جهت پیکربندی ، نصب و راه اندازی تجهیزات شبکه با شماره 02191002120 تماس بگیرید.

قسمت 1: پیکربندی مسیریابی Inter VLAN در روتر MikroTik

اگر چندین VLAN روی یک سوئیچ قابل مدیریت پیاده سازی شود، یک روتر برای برقراری ارتباط بین این VLAN‌ها مورد نیاز است. ما می‌دانیم که سوئیچ یک دستگاه 2 لایه‌ای است. بنابراین، سوئیچ فقط هدر اترنت را به جلو می‌برد و نمی‌توانید هدر IP را بررسی کنید. به همین دلیل باید از روتری استفاده کنیم که به عنوان دروازه برای هر VLAN عمل کند. بدون روتر، هاست قادر به برقراری ارتباط خارج از VLAN خود نیست. فرآیند مسیریابی بین VLAN‌ها به عنوان مسیریابی بین VLAN شناخته می‌شود. برای پیکربندی مسیریابی بین VLAN، ما یک پیوند trunk بین روتر میکروتیک و سوئیچ مدیریت خود ایجاد خواهیم کرد. که ترافیک را از سه VLAN حمل می‌کند.

VLAN 20
VLAN 30
VLAN 40

نحوه راه اندازی مسیریابی Inter VLAN

مراحل زیر نحوه پیکربندی مسیریابی بین VLAN و همچنین سایر تنظیمات اولیه را در روتر MikroTik ما نشان خواهد داد. با استفاده از winbox به روتر خود وارد شوید.

روی آیتم منوی Interfaces کلیک کنید. پنجره فهرست Interface ظاهر می‌شود. روی تب VLAN کلیک کنید و سپس بر روی (PLUS SIGN) + کلیک کنید. پنجره Interface جدید ظاهر می‌شود.
نام رابط (Marketing VLAN 20) را در کادر ورودی Name قرار داده و VLAN ID (20) را در کادر ورودی VLAN ID قرار دهید. در ادامه رابط فیزیکی خود (ether2) را انتخاب کنید.
به طور مشابه رابط‌های VLAN 30 (Sales VLAN 30) هم انجام می‌دهیم.
سپس همینطور هم VLAN 40 (HR VLAN 40) ایجاد کنید.

رابط فیزیکی که به عنوان پیوند Trunk از منوی کشویی Interface استفاده می‌شود.

روی Apply و OK کلیک کنید

تبریک می‌گم: شما موفق شدید که تمام کارهای فوق را به درستی انجام دهید. و در آخر می‌توانید در پنجره لیست رابط VLAN آیتم‌های که ساخته‌اید را ببینید.

به آیتم منوی IP > Addresses بروید و روی علامت PLUS (+) کلیک کنید.
در پنجره New Address آدرس IP WAN (192.168.30.2/30) را در قسمت Address input قرار داده و از منوی کشویی Interface واسط WAN (ether1) را انتخاب کنید. و سپس روی دکمه Apply و OK کلیک کنید.
دوباره بر روی PLUS SIGN (+) کلیک کنید. و IP دروازه شبکه VLAN 20 (10.10.20.1/24) را در کادر ورودی آدرس قرار دهید. و از منوی کشویی Interface رابط VLAN 20 (Marketing VLAN 20) را انتخاب کنید. و سپس روی دکمه Apply و OK کلیک کنید.
به طور مشابه، IP دروازه VLAN 30 (10.10.30.1/24) را روی رابط Sales VLAN 30 قرار دهید.
IP دروازه IP Gateway VLAN 40 (10.10.40.1/24) را در رابط HR VLAN 40 قرار دهید.

به مسیر IP > DNS بروید.
سپس DNS Server IP (8.8.8.8 یا 8.8.4.4) را در قسمت Servers input قرار دهید. و روی دکمه Apply و OK کلیک کنید.

روی Apply و OK کلیک کنید.

به IP > Firewall بروید و روی تب NAT بزنید. و سپس بر روی PLUS SIGN (+) کلیک کنید. در زبانه عمومی، srcnat را از منوی کشویی Chain انتخاب کنید. و روی تب Action کلیک کنید و سپس از منوی کشویی Action، maskarede را انتخاب کنید. روی دکمه Apply و OK کلیک کنید.

به IP > Routes بروید و روی علامت PLUS (+) کلیک کنید. در پنجره New Route بر روی قسمت ورودی Gateway کلیک کرده. و آدرس WAN Gateway (192.168.30.1) را در قسمت ورودی Gateway قرار دهید. و روی دکمه Apply و OK کلیک کنید.

در این مرحله می‌توانیم کارهای که انجام داده‌ایم را ببنیم. فقط لازم است:

وارد New Terminal شویم.
پینگ گوگل را بگیرم. (آدرس رو به رو)

آدرس: ping google.com

لیست اینترفیس VLAN

اکنون روتر آماده مسیریابی VLAN 20، VLAN 30 و VLAN 40 است. در قسمت بعدی VLAN را در سوئیچ قابل مدیریت سطح یک خود پیکربندی خواهیم کرد.

تبریک میگم: مسیریابی Inter VLAN و سایر تنظیمات اولیه در روتر میکروتیک تکمیل شده است.

بخش 2: پیکربندی VLAN در سوئیچ قابل مدیریت

در این قسمت، ما سه VLAN را ایجاد می‌کنیم:

VLAN 20
VLAN 30
VLAN 40

بیشتر بدانید:

و در نهایت پورت دسترسی و پورت Trunk را در سوئیچ مدیریتی خود پیکربندی می‌کنیم. برای این منظور می‌توان از هر سوئیچ قابل مدیریتی استفاده کرد. از آنجایی که سوئیچ سطح یک (GEP-2450) را در دسترس دارم، پیکربندی VLAN را در این سوئیچ مدیریتی انجام می‌دهم. اگر سوئیچ قابل مدیریت دیگری دارید، راهنمای نحوه پیکربندی VLAN در آن سوئیچ مدیریت خاص را در Google پیدا کنید.

سوئیچ سطح یک (GEP-2450) یک سوئیچ هوشمند و قابل مدیریت است. بنابراین، ما می‌توانیم این سوئیچ را با استفاده از رابط کاربری گرافیکی وب مدیریت کنیم. سوئیچ GEP-2450 دارای 24 پورت اترنت است. که در این میان ما از پورت‌ها به عنوان‌های زیر استفاده خواهیم کرد.

پورت 1-5: به عنوان پورت دسترسی با نقش VLAN 20 برای بخش بازاریابی
پورت 6-10: به عنوان پورت دسترسی با نقش VLAN 30 برای بخش فروش
پورت11-15: پورت به عنوان پورت دسترسی با نقش VLAN 40

مراحل زیر به شما نشان می‌دهد که چگونه VLAN را در سوئیچ سطح یک (GEP-2450) به درستی پیکربندی کنید.

پورت 24 به عنوان پورت ترانک و سایر پورت‌ها به عنوان پورت دسترسی استفاده خواهد شد.

برای بخش منابع انسانی و پورت‌های 16-23 تحت VLAN 1 پیش فرض باقی می‌مانند.

پیکربندی VLAN در سوئیچ قابل مدیریت

پورت 24 را با درگاه ether2 روتر میکروتیک خود با کابل RJ45 وصل کنید. این پیوند به عنوان لینک Trunk استفاده خواهد شد. کامپیوتر خود را وصل کرده و با کابل RJ45 سوئیچ کنید. برای این اتصال از پورت سوئیچ یکی از پورت‌های 16-23 استفاده کنید. پس بنابراین یک آدرس IP از این بلوک را به رایانه شخصی خود اختصاص دهید.

آدرس: آدرس IP پیش‌فرض سوئیچ سطح اول (GEP-2450) 192.168.1.1/24 است.

زمانی که وارد آدرس شدیم. کافی است روی ....Loval Area Connection کلیک کنیم.
پنجره‌ی به نام Loval Area Connection Prooerties باز می‌شود.روی دکمه Prooerties کلیک کنیم.
روی گزینه Internet Protocol Version دو بار کلیک میکنیم.
در پنجره Interface بعد از تیک Use آپی آدرس خود را وارد میکنیم. سپس ذخیره می‌کنیم.

آدرس: All Control Panel Items---Network and Sharing Center

و سپس https://192.168.1.1 را در مرورگر خود تایپ کنید.
اکنون از شما می‌خواهد رمز عبور را وارد کنید. و سپس Apply را بزنید.

رمز عبور پیش‌فرض برای سوئیچ سطح یک (GEP-2450) admin است.

تبریک میگم: اکنون رابط کاربری گرافیکی پیکربندی سوئیچ را مشاهده می‌کنید.

در گام بعدی کافی است که:

از تب VLANs به گزینه VLAN Mode بروید.
مطمئن شوید که حالت VLAN بر روی Tag-based باشد.

از دست ندهید:

اکنون به VLANs >> VLAN Group بروید.
VLAN ID (20) را در کادر ورودی VLAN ID قرار داده و روی دکمه Add کلیک کنید. صفحه راه اندازی VLAN ظاهر می‌شود.
پورت 1-5 و پورت 24 را انتخاب کنید و سپس روی دکمه Apply کلیک کنید.

به طور مشابه، VLAN 30 را همینگونه ایجادمی‌کنیم. و تیک پورت‌های 6 تا 10 و پورت 24 را به ترتیب وارد کنید.

به طور مشابه، VLAN 40 را همینگونه ایجادمی‌کنیم. و تیک پورت‌های 11 تا 15 و پورت 24 را به ترتیب بزنید.

توجه کنید: VLAN ID 1 را انتخاب کرده و روی دکمه Modify کلیک کنید. صفحه راه اندازی VLAN برای VLAN 1 ظاهر می‌شود. تیک پورت‌های 1-15 را بردارید و روی دکمه Apply کلیک کنید.

VLAN ایجاد شده خود را در ناحیه فهرست پیکربندی VLAN مشاهده می‌کنید.

اکنون روی گزینه Port Config که در تصویر فوق است، کلیک کنید. و در قسمت VLAN Port Configuration کلیک کنید. صفحه پیکربندی VLAN Per Port ظاهر می‌شود.

PVID 0 را به 20 از 1-5 پورت
0 به 30 از 6-10 پورت
0 به 40 را از 11-15 پورت

تغییر دهید. نقش همه پورت‌ها Access خواهد بود.

به جز پورت 24، نقش Trunk را برای پورت 24 از منوی کشویی Role انتخاب کنید. روی دکمه Apply کلیک کنید.

پیکربندی VLAN در سوئیچ سطح یک (GEP-2450) تکمیل شده است. صفحه VLAN Group اکنون مانند تصویر زیر است.

چگونه ارتباط Inter VLAN را مسدود کنیم.

گاهی اوقات ممکن است شما نیاز به مسدود کردن ارتباط بین VLAN داشته باشد. برای مثال، ممکن است بخواهید که بخش بازاریابی شما نتواند با بخش فروش ارتباط برقرار کند. در این مورد، باید قانون فایروال را برای مسدود کردن ارتباطات بین VLAN اعمال کنید، زیرا MikroTik به طور پیش فرض اجازه ارتباطات بین VLAN را می‌دهد. مراحل زیر نحوه ایجاد قانون فایروال برای مسدود کردن ارتباطات بین VLAN را نشان می‌دهد.

نحوه مسدود کردن Inter VLAN

وارد MikroTik Router شوید و به آیتم منوی IP > Firewall بروید و روی زبانه Filter Rules کلیک کنید و روی گزینه PLUS SIGN (+) بزنید. پنجره جدید قانون فایروال ظاهر می‌شود.
از منوی کشویی Chain گزینه Forward را انتخاب کنید.
در ادامه IP block بخش بازاریابی (10.10.20.0/24) را در Src قرار دهید.
فیلد ورودی Address و IP block بخش فروش (10.10.30.0/24) را در کادر ورودی Dst Address قرار دهید.
tcp را از منوی کشویی Protocol انتخاب کنید.
روی تب Action کلیک کنید و از منوی کشویی Action گزینه drop را انتخاب کنید.
روی دکمه Apply و OK کلیک کنید.

این قانون فایروال تمام اتصالات TCP را که از کامپیوتر بازاریابی به کامپیوتر فروش می‌رسد مسدود می‌کند. به طور مشابه، می‌توانید با ایجاد firewall rule دیگر و تغییر address block منبع، بلوک آدرس مقصد و پروتکل، تمام اتصالات TCP یا اتصالات UDP را که از Sales PC به PC Marketing وارد می‌شوند، مسدود کنید.

اگر برای انجام صحیح مراحل بالا با مشکل مواجه شدید، آموزش ویدیویی زیر در مورد پیکربندی مسیریابی MikroTik VLAN با سوئیچ قابل مدیریت را نگاه کنید. امیدواریم این مقاله برای شما مفید بوده باشد.