Настройка VLAN на роутерах на базе irzOS

#irzOS #роутеры

Задача:

Обеспечить на роутере irzOS доступ к cегментам сети, организованной с использованием VLAN.

vlan1
Схема 1. Схема сети

Клиенты подключены к управляемому коммутатору и размещены в двух VLAN. Клиенты из подсети 192.168.4.0/24 находятся в VLAN 10, клиенты из подсети 192.168.5.0/24 – в VLAN 20.

Коммутатор связан с роутером магистральным каналом (trunk), port 4 на роутере R1 .

Необходимые для работы мосты и интерфейсы уже настроены, требуется настроить передачу тегированных пакетов через port 4.

Решение:

  1. В разделе /network → device нажмите Add.

  2. В поле Name введите имя нового устройства, например, vlan_10

  3. В поле Type выберите vlan.

vlan2

Описания полей:

Type – тип виртуального устройства (на данный момент доступен только vlan)

MTU – максимальный размер кадра, 1500 байт по умолчанию, не следует изменять без необходимости

TX Queue – максимальный размер очереди пакетов, не следует изменять без необходимости

Host Device – устройство, на базе которого будет создан виртуальный порт (субинтерфейс) vlan

VLAN ID – идентификатор тега VLAN, должен совпадать на протяжении всего VLAN домена. Часть идентификаторов нижнего диапазона зарезервирована для нужд роутера

vlan3

Для соединения с коммутатором используйте port 4, VLAN ID – 10.

Настройка устройства vlan_20 выполняется аналогично: port 4, VLAN ID – 20.

Настройка в CLI

/network device add name=vlan_10 type=vlan
    device port4
    disabled -
    mtu 1500
    tx-queue-len 1000
    vid 10

/network device apply

/network device add name=vlan_20 type=vlan
    device port4
    disabled -
    mtu 1500
    tx-queue-len 1000
    vid 20

/network device apply

Теперь port 4 может использоваться в качестве trunk порта для передачи VLAN трафика с тегами 10 и 20.

Подключение локальных клиентов роутера к VLAN сегментам сети

  1. В разделе /ip → interface отображается назначенная IP подсеть для бриджей, созданных на роутере.

  2. В разделе /network → bridge для данной посети добавьте интерфейс VLAN в соответствующий бридж.

Примеры

Диапазон 192.168.4.0/24 соответствует бриджу LAN10. В этом случае в разделе /network → bridge в бридж LAN10 нужно добавить порт VLAN_10.

Диапазон 192.168.4.0/24 соответствует бриджу LAN20. В этом случае в разделе /network → bridge в бридж LAN10 нужно добавить порт VLAN_20.

Настройка в CLI

/ip interface status
/network bridge LAN10 port vlan_10
/network bridge LAN10 apply
/network bridge LAN20 port vlan_20
/network bridge LAN20 apply
/system config commit

Маршрутизация изолированных VLAN на роутере (router-on-stick)

В этом варианте клиентские устройства подключены к коммутатору, а роутер осуществляет маршрутизацию трафика между отдельными VLAN-ами и соответствующих им подсетями.

  1. В /network → devices каждому маршрутизируемому VLAN создайте соответствующее устройство (субинтерфейс).

  2. В разделе /ip → interface создайте интерфейсы для каждого устройства и задайте соответствующие им IP адреса и субсети.

    IP адрес соответствующих интерфейсов VLAN должен быть задан в качестве шлюза на устройствах, подключенных к данным VLAN.

  1. Если роутер irzOS выступает в качестве DHCP сервера, в разделе /service → dhcp → server настройте выдачу адресов клиентам соответствующих подсетей.

Настройка в CLI

Пример для VLAN ID 10, VLAN ID 20, VLAN ID 30 c адресами роутера 192.168.4.1/24, 192.168.5.1/24, 192.168.6.1/24 соответственно. В качестве тегированного (trunk) порта используется port 4.

/network device add name=vlan_10 type=vlan
    device port4
    disabled -
    mtu 1500
    tx-queue-len 1000
    vid 10

/network device apply

/network device add name=vlan_20 type=vlan
    device port4
    disabled -
    mtu 1500
    tx-queue-len 1000
    vid 20

/network device apply

/network device add name=vlan_30 type=vlan
    device port4
    disabled -
    mtu 1500
    tx-queue-len 1000
    vid 30

/network device apply

/ip interface add device=vlan_10 type=static
    disabled -
    gateway -
    ip-address -
    ip-address 192.168.4.1/24
    metric 200
/ip interface apply

/ip interface add device=vlan_20 type=static
    disabled -
    gateway -
    ip-address -
    ip-address 192.168.5.1/24
    metric 200
/ip interface apply

/ip interface add device=vlan_30 type=static
    disabled -
    gateway -
    ip-address -
    ip-address 192.168.6.1/24
    metric 200
/ip interface apply

/system config commit
В данной конфигурации роутер будет обеспечивать полный доступ между всеми VLAN сетями, терминированными на роутере. При условии, что роутер по умолчанию является шлюзом для компьютеров в сегментах сети, разделенных VLAN, все они будут доступны друг для друга.

Если необходимо обеспечить ограничение доступа между VLAN сетями, настройте фильтрацию трафика между логическими интерфейсами в файрволле в разделе /firewall → filter!

IP интерфейсу (раздел /ip → interface), связанному с VLAN устройством, возможно настроить IP адрес только при условии, что физический порт, на который назначено VLAN устройство, имеет активный линк. В противном случае интерфейс, созданный в /ip → interface, будет находиться в состоянии ошибки пока в физическом порте не появится линк.

Настройка DHCP

Для подключенных к роутеру сегментов VLAN (пул адресов x.x.x.100 — x.x.x.200)

/service dhcp server add interface=vlan_10
    disabled -
    dns-server -
    flags -
    leasetime 12h
    mode server
    ntp-server -
    option -
    pool -
    pool 192.168.4.100-192.168.4.200
    router 192.168.4.1

/service dhcp server add interface=vlan_20
    disabled -
    dns-server -
    flags -
    leasetime 12h
    mode server
    ntp-server -
    option -
    pool -
    pool 192.168.5.100-192.168.5.200
    router 192.168.5.1

/service dhcp server add interface=vlan_30
    disabled -
    dns-server -
    flags -
    leasetime 12h
    mode server
    ntp-server -
    option -
    pool -
    pool 192.168.6.100-192.168.6.200
    router 192.168.6.1

/service dhcp server apply

/system config commit

Политика конфиденциальности