Netasq
1. Konfiguracja interfejsu do obsługi
sieci VLAN
Na interfejsie wewnętrznym in dodajemy VLAN.
Wybieramy
pojedynczy interfejs VLAN i klikamy Następny.
VLAN ustawiamy na interfejsie wewnętrznym sieci "in".
VLAN Tag określa id vlanu nadanego w
switchu.
W urządzeniu switch id jest grupą portów switcha.
Konfiguracja sieciowa interfejsu
vlan_wifi musi być różna niż konfiguracja interfejsu głównego
in.
W utworzonym interfejsie vlan_wifi wybieramy
zakładkę zaawansowane i ustawiamy MTU: 1500.
możemy ustawić zakres adresów przyznawanych przez serwer dhcp dla sieci wifi
Konfiguracja sieci → serwer DHCP → Zakres adresów → Dodaj → obiekt
Po wypełnieniu klikamy zastosuj i
wybieramy bramę dla nowego zakresu adresów czyli
dla zakresu dhcp_range_wifi →
Firewall_vlan_wifi
O ile druga regułka NAT określa ruch
interfejsu głównego to 1 regułka NAT przekierowuje ruch pochodzący
z sieci Network_vlan_wifi do internetu.
Możemy rónież zastosować filtrowanie MAC adresów bez tworzenia zakresów adresów przez serwer DHCP jak powyżej.
- tworzymy dowolny host pracujący w sieci VLAN w obiektach nadając mu adres zgodny z interfejsem podsieci VLAN np. 192.168.1.xxx i przypisujemy mu odpowiadający adres MAC, obiekt zapisujemy
- następnie ustawiamy statyczny adres w serwerze dhcp zwracając uwagę aby adres był przydzielany przez określoną bramę (Firewall_ksiegowosc) odpowiadającą interfejsowi z VLAN:
W ten sposób jak powyżej tworzymy wiele VLAN'ów. Zasada interfejs z niepowtarzalnym adresem IP oraz do tego interfejsu serwer DHCP.
Aby stworzone sieci (porty ) VLAN nie widziały się , należy w ustawieniach firewall'a dodawać następujące reguły blokowania ruchu z jednej sieci network_VLAN1 do drugiej i odwortnie jak niżej:
Możemy rónież zastosować filtrowanie MAC adresów bez tworzenia zakresów adresów przez serwer DHCP jak powyżej.
- tworzymy dowolny host pracujący w sieci VLAN w obiektach nadając mu adres zgodny z interfejsem podsieci VLAN np. 192.168.1.xxx i przypisujemy mu odpowiadający adres MAC, obiekt zapisujemy
- następnie ustawiamy statyczny adres w serwerze dhcp zwracając uwagę aby adres był przydzielany przez określoną bramę (Firewall_ksiegowosc) odpowiadającą interfejsowi z VLAN:
W ten sposób jak powyżej tworzymy wiele VLAN'ów. Zasada interfejs z niepowtarzalnym adresem IP oraz do tego interfejsu serwer DHCP.
Aby stworzone sieci (porty ) VLAN nie widziały się , należy w ustawieniach firewall'a dodawać następujące reguły blokowania ruchu z jednej sieci network_VLAN1 do drugiej i odwortnie jak niżej:
2. Konfiguracja SWITCH'a
Dodajemy nr_id VLAN static: Switching -> VLAN -> Basic
Dla VLAN ID 1 (domyślnego VLAN) wszystko zostawiamy bez zmian czyli wszystkie porty literka U.
Zaznaczyć odpowiedni Port PVID Configuration -> e(XX) tutaj g1 i wpisujemy w kolumnę Configured PVID (1 to 4093) : 4 i zapisujemy.
Dodajemy nr_id VLAN static: Switching -> VLAN -> Basic
ADVANCED -> VLAN Membership -> VLAN nr_id -> Untag (U) - wyznaczenie portu na którym będzie VLAN
ADVANCED -> VLAN Membership -> VLAN nr_id -> TAG (T) - wyznaczenie portu połączenia z routerem
Dla VLAN ID 4 port 1 jako U (VLAN dla księgowości) i port 48 jako router T.
3. Konfiguracja Switch'a D-LINK DES-1252
Logujemy się do panelu administracyjnego przez przeglądarkę www.
Domyślny (fabryczny) adres IP : 192.168.0.1 hasło: admin
Uruchomiany wizard. Wybieram exit.
Wybieramy opcję: Configuration->802.1Q VLAN Asymmetric (Enabled) i wybieramy przycisk Add VID, który pozwoli na zdefiniowanie nowej sieci VLAN.
Ustawiamy id sieci VLAN tutaj 5 na pierwszym porcie. VLAN Name służy do opisania sieci. Tak samo dla potrzeb ćwiczenia tworzymy sieć VLAN 6 opartą o 3 port.
Uzyskujemy na dwóch portach dwie wyodrębnione sieci VLAN. Na porcie 1 VLAN_id = 5 (sala 205A) oraz na porcie 3 VLAN_id = 6 (sala 207A). Następnie klikamy na przycisk PVID settings.
Na rysunku powyżej przypisujemy do poszczególnych portów id VLAN.
Ustawienie protokołu STP (blokowanie pętli na switch'u)
Wybieramy opcję: Configuration->802.1D Spanning Tree->Enabled
Podłączone okablowanie do switch'a jest widoczne na obrazku w kolumnie State jako Forward. Niepodłączone porty switch'a są oznaczone jako Disabled.
W switchu dokonujemy zwarcia portu 7 i 8.
Następuje blokowanie jednego z portów w tym wypadku 8. Dzięki blokadzie nie ma pętli a użytkownik podłączony do portu 8 nie ma komunikacji w sieci.
==================================================
Przykład:
Połączenie dwóch switch'y Netgear 48 portowy i 24 portowy, zdefiniowanie 1 VLAN dla dyrekcji opratego o dwa oprty na każdym switch'u.
Rysunek poglądowy
1. Konfiguracja routera.
Na porcie 5 urządzenia UTM konfigurujemy wewnętrzny interfejs o nazwie vlan i jednocześnie o adresie 192.168.41.1. Pod ww. interfejs definiujemy podsieć (interfejs) do obsługi VLAN - dyrekcja o adresie 192.168.42.1 i tagu ID 5.
Tworzymy dwa interfejsy ponieważ chcemy aby na jednym był VLAN a na drugim inna sieć, która nie ma dostępu do dyrekcji.
Dla obu interfejsów tworzymy dwa osobne zakresy adresów dhcp, tak aby przy przełączaniu komputerów z odpowiednich portów switch'a widzieć czy jesteśmy w VLAN czy w adresacji poza VLAN.
Dla sieci VLAN tworzymy zakres : 192.168.42.2 - 192.168.42.10 oraz przypisujemy interfejs przez który będzie przekazywany adres z puli w tym wypadku Firewall_vlan (192.168.42.1).
Dla sieci z poza VLAN tworzymy zakres adresów od 192.168.41.11 - 192.168.41.15, tutaj definiujemy jak wyżej bramę interfejsu : firewall_dyrekcja.
W ten sposób stworzyliśmy dwa interfejsy i dwa zakresy adresów dla sieci VLAN i reszty świata spoza.
2. Konfiguracja Switcha 48 portów.
Podpinamy laptop pod dowolny port i ustalamy dla tego switcha adres np. 192.168.0.10
Wybieramy zakładkę switches i ustalamy VLAN dyrekcja z ID 5.
W ustawienia Advanced
dla VLAN - domyślnie (poza VLAN):
dla VLAN z id 5
Przy czym port 48 łączy się z portem nr 5 router'a (rys poglądowy) natomiast port 44 stanowi połączenie ze switchem 24 portowym. Na porcie 3 i 4 jest zdefiniowany VLAN dyrekcja.
Po zdefiniowaniu VLAN, chcąc połączyć się ze switchem podpinamy laptop w dowolny port (oprócz zdefiniowanych jako VLAN tu 3 i 4) i nadajemy ręcznie ustawienia karty sieciowej.
Żeby sprawdzić poprawność działania VLAN ustawiamy TCP/IP karty sieciowej na dhcp. Jeśli podepniemy się pod porty 3 lub 4 to otrzymamy zakres sieci z VLAN (192.168.42.xxx), jeśli podepniemy się pod inne porty otrzymamy zakres spoza VLAN (192.168.41.xxx).
3. Konfiguracja Switcha 24 porty.
Jak wyżej logujemy się i ustalamy adres switcha na 192.168.0.20. Definiujemy porty 3 i 4 jako VLAN.
Na zakończenie wybieramy port 3,4 i dopisujemy w kolumnie Configured PVID liczbę identyfikującvą VLAN czyli 5
