Настройка VLAN на роутерах на базе irzOS
Задача
Обеспечить на роутере irzOS доступ к cегментам сети, организованной с использованием VLAN.
Клиенты подключены к управляемому коммутатору и размещены в двух VLAN. Клиенты из подсети 192.168.4.0/24 находятся в VLAN 10, клиенты из подсети 192.168.5.0/24 – в VLAN 20.
Коммутатор связан с роутером магистральным каналом (trunk), port 4 на роутере R1 .
Необходимые для работы мосты и интерфейсы уже настроены, требуется настроить передачу тегированных пакетов через port 4.
Создание VLAN-ов на R1
В разделе /network → device нажмите Add.
В поле Name введите имя нового устройства, например, vlan_10 и в поле Type выберите vlan.
Описание полей:
Type – тип виртуального устройства (на данный момент доступен только vlan)
MTU – максимальный размер кадра, 1500 байт по умолчанию, не следует изменять без необходимости
TX Queue – максимальный размер очереди пакетов, не следует изменять без необходимости
Host Device – устройство, на базе которого будет создан виртуальный порт (субинтерфейс) vlan
VLAN ID – идентификатор тега VLAN, должен совпадать на протяжении всего VLAN домена. Часть идентификаторов нижнего диапазона зарезервирована для нужд роутера
Для соединения с коммутатором используем порт 4, VLAN ID устанавливаем в 10.
Настройка устройства vlan_20 выполняется аналогично, порт 4 VLAN ID 20.
Настройка в CLI
/network device add name=vlan_10 type=vlan
device port4
disabled -
mtu 1500
tx-queue-len 1000
vid 10
/network device apply
/network device add name=vlan_20 type=vlan
device port4
disabled -
mtu 1500
tx-queue-len 1000
vid 20
/network device applyТеперь порт 4 может использоваться в качестве trunk порта для передачи VLAN трафика с тегами 10 и 20.
Подключение локальных клиентов роутера к VLAN сегментам сети
В данном случае необходимо сделать следующее:
В разделе /ip → interface выяснить, какая IP подсеть назначена созданным на роутере бриджам, после чего добавить соответствующий данной посети интерфейс VLAN в соответствующий бридж в разделе /network bridge.
Пример:
Допустим, на роутере R1 диапазон 192.168.4.0/24 соответствует бриджу LAN10. В этом случае в разделе /network → bridge в бридж LAN10 нужно добавить порт VLAN_10.
Диапазон 192.168.4.0/24 соответствует бриджу LAN20. В этом случае в разделе /network → bridge в бридж LAN10 нужно добавить порт VLAN_20.
Настройка в CLI
/ip interface status
/network bridge LAN10 port vlan_10
/network bridge LAN10 apply
/network bridge LAN20 port vlan_20
/network bridge LAN20 apply
/system config commitМаршрутизация изолированных VLAN на роутере (router-on-stick)
В данном варианте клиентские устройства подключены к коммутатору, а роутер осуществляет маршрутизацию трафика между отдельными VLAN-ами и соответствующим им подсетям.
В этом случае необходимо каждому маршрутизируемому VLAN создать соответствующее устройство (субинтерфейс) в /network → devices.
Далее в разделе /ip → interface необходимо создать интерфейсы для каждого устройства и задать соответствующие им IP адреса и субсети.
IP адрес соответствующих интерфейсов VLAN должен быть задан в качестве шлюза на устройствах, подключенных к данным VLAN.
Если роутер irzOS выступает в качестве DHCP сервера, необходимо так же в разделе /service → dhcp → server настроить выдачу адресов клиентам соответствующих подсетей.
Настройка в CLI (пример для VLAN ID 10, VLAN 20, VLAN 30 c адресами роутера 192.168.4.1/24, 192.168.5.1/24, 192.168.6.1/24 соответственно, в качестве тегированного (trunk) порта используется порт №4)
/network device add name=vlan_10 type=vlan
device port4
disabled -
mtu 1500
tx-queue-len 1000
vid 10
/network device apply
/network device add name=vlan_20 type=vlan
device port4
disabled -
mtu 1500
tx-queue-len 1000
vid 20
/network device apply
/network device add name=vlan_30 type=vlan
device port4
disabled -
mtu 1500
tx-queue-len 1000
vid 30
/network device apply
/ip interface add device=vlan_10 type=static
disabled -
gateway -
ip-address -
ip-address 192.168.4.1/24
metric 200
/ip interface apply
/ip interface add device=vlan_20 type=static
disabled -
gateway -
ip-address -
ip-address 192.168.5.1/24
metric 200
/ip interface apply
/ip interface add device=vlan_30 type=static
disabled -
gateway -
ip-address -
ip-address 192.168.6.1/24
metric 200
/ip interface apply
/system config commit| В данной конфигурации роутер будет обеспечивать полный доступ между всеми VLAN сетями, терминированными на роутере. При условии, что роутер является шлюзом по умолчанию для компьютеров в сегментах сети, разделенных VLAN, все они будут доступны друг для друга. |
В случае необходимости обеспечить ограничение доступа между VLAN сетями, требуется настроить фильтрацию трафика между логическими интерфейсами в файрволле в разделе /firewall → filter !
| IP интерфейсу (раздел /ip → interface), связанному с VLAN устройством, возможно настроить IP адрес только при условии, что физический порт, на который назначено VLAN устройство, имеет активный линк. В противном случае интерфейс, созданный в /ip → interface, будет находиться в состоянии ошибки пока в физическом порте не появится линк. |
Настройка DHCP для подключенных к роутеру сегментов VLAN (пул адресов x.x.x.100 — x.x.x.200)
/service dhcp server add interface=vlan_10
disabled -
dns-server -
flags -
leasetime 12h
mode server
ntp-server -
option -
pool -
pool 192.168.4.100-192.168.4.200
router 192.168.4.1
/service dhcp server add interface=vlan_20
disabled -
dns-server -
flags -
leasetime 12h
mode server
ntp-server -
option -
pool -
pool 192.168.5.100-192.168.5.200
router 192.168.5.1
/service dhcp server add interface=vlan_30
disabled -
dns-server -
flags -
leasetime 12h
mode server
ntp-server -
option -
pool -
pool 192.168.6.100-192.168.6.200
router 192.168.6.1
/service dhcp server apply
/system config commit