星期六, 11月 01, 2014

RouterOS如何設定Vlan並和EdgeCore Es4308連接

當初NGN擴大內需配發一台Edgecore Es4308 POE8 埠交換器,近來各校都陸續改成MikroTik的RouterOS當作防火牆,有部學校是使用Rb450G或是利用一般的PC自己架設,但是有時會遇到內部網路或無線網路需要切割網段,但是又買不起Layer3的交換器,因此就測試如何利用RouterOS的某一埠,利用Vlan切割成不同的網段,再將這一埠的下層接到ES4308交換器,這樣就可以利用這台剩下的7埠作不同的網段運用。
本次環境以RouterOS的第10埠作為範例,使用者可以套用到RouterOS其他埠。
RouterOS:第10埠=>ether10,切成3個vlan,名稱分別為vlan111,vlan222,vlan333。

  • vlan111規畫為192.168.1.0/24的網段,VLAN ID為111,interface ip為192.168.1.1,此當作這個.1.0網段的gateway。
  • vlan222規畫為192.168.2.0/24的網段,VLAN ID為222,interface ip為192.168.2.1,此當作這個.2.0網段的gateway。
  • vlan333規畫為192.168.3.0/24的網段,VLAN ID為333,interface ip為192.168.3.1,此當作這個.3.0網段的gateway。
我們規畫的網路類似以下這樣:



步驟一:新增ROS的vlan界面


  • 進入Ros->Interfaces->VLAN,我們新增一個VLAN,Name為vlan111,VLAN ID為111,Interface為ether10。
  • VLAN ID只能設數字,這是定義你的封包通過這個VLAN時,封包的表頭會加入一個VLAN ID為111的資料,讓交換器判斷這是屬於哪個VLAN的封包,所以ID可以自行設定不一定設111,但只能設定數字,通常設定的值範圍為1-4096,而一般VLAN ID:1是保留為交換器初始預設的VLAN,所以最好不能再設1。
  • Name是VLAN的名稱,這是給自己看的,所以VLAN ID為111,Name不一定要設vlan111,你也可以設v111,v01…等,只要自己看得懂就好。
  • Interface:因為是利用ROS的第10埠來做,所以設ether10,如果你是用第5埠則要選ether5。




第二個VLAN ID我是設222,名稱設vlan222,Interface因為是與vlan111共用同一實體埠(ether10),所以一樣選ether10。接著VLAN 333,名稱:vlan333,interface選ether10。


到這個步驟為此我們已將實體的第10埠切成3個vlan的虛擬埠。




步驟二:設定vlan界面的IP
點選IP->Address->【+】,新增Interface:vlan111,vlan222,vlan333的address及Network,設定值如下:

Address:192.168.1.1/24
Network:192.168.1.0
Interface:vlan111

Address:192.168.2.1/24
Network:192.168.2.0
Interface:vlan222

Address:192.168.3.1/24
Network:192.168.3.0
Interface:vlan333



步驟三:配置DHCP(此步驟為假設動態分配IP是由ROS來分配)
(1)點選ip->pool->【+】,這邊我們要規畫三組DHCP Server可以分配的IP範圍,到時根據不同的VLAN給予不同的IP區段。vlan111預設由dhcp分配192.168.1.10-192.168.1.200,vlan222預設由dhcp分配192.168.2.10-192.168.2.200,vlan333預設由dhcp分配192.168.3.10-192.168.3.200。這邊的Name請自取,我是設定vlan1_pool~vlan3_pool。



(2)設定DHCP Server:我們設定
  1. vlan1_pool的IP區段分配給Interface vlan111。
  2. vlan2_pool的IP區段分配給Interface vlan222。
  3. vlan3_pool的IP區段分配給Interface vlan333。
點選IP->DHCP Server->【+】,Name自訂,我們這邊以vlan1_dhcp為示範,Ingterface選vlan111,Address Pool選vlan1_pool(這是我們之前自行定義的ip分配區段),其他的設定選項如:Lease Time、Authoritative等先照預設,再點按【Apply】。
vlan2_dhcp和vlan3_dhcp,則依此設定方式進行設定。


(3)接著要設定DHCP Server分配的IP要帶哪些資料
點選IP->DHCP Server->Networks->【+】,分別加入192.168.1.0/24,192.168.2.0/24,192.168.3.0/24,及這三段分配IP的gateway,netmask,dns等。

步驟四:設定路由

再來要設定3個vlan 界面的路由,讓3個網段能彼此互通:
點按IP->Routes->Routes->【+】,增加3條路由
第1條路由:
Dst. Address:192.168.1.0/24,gateway:vlan111
第2條路由:
Dst. Address:192.168.2.0/24,gateway:vlan222
第3條路由:
Dst. Address:192.168.3.0/24,gateway:vlan333



步驟五:設定NAT對外連線

新增3條NAT規則,讓這3個網段能對外連線
語法如下:

/ip firewall nat
add action=src-nat chain=srcnat comment=vlan111 out-interface=依自身設定而定 \
    src-address=192.168.1.0/24 to-addresses=163.23.XXX.YY1
add action=src-nat chain=srcnat comment=vlan222 out-interface=依自身設定而定 \
    src-address=192.168.2.0/24 to-addresses=163.23.XXX.YY2
add action=src-nat chain=srcnat comment=vlan333 out-interface=依自身設定而定 \
    src-address=192.168.3.0/24 to-addresses=163.23.XXX.YY3
#############################################################################
以上為RouterOS新增3個VLAN並由ROS本身的DHCP Server提供的動態分配IP、路由及NAT的設定範例。

以下將示範EdgeCore ES4308的VLAN設定範例,
我們假設ES4308的port2和前述ROS的port10(ether10)對接,Es4308的port3要設為vlan111,下面接行政電腦,port4要設vlan222,下接電腦教室電腦,port5要設vlan333,下接教學區電腦。
首先要連進Es4308,根據原廠手冊說明(Edge-core Es4308 POE 使用手冊),該設備預設的IP為192.168.2.10,密碼為admin,但請注意,這個192.168.2.10雖然看起來和我們vlan222是同一網段,但不代表這個網段就可以連得進去,因為他們的vlan是不一樣的,所以你必須要找一台電腦先設與ES4308同一網段,再對接,這裡我們將電腦A與ES4308的port1對接再連入設備中進行以下的相關設定。

為了方便觀察設定是否生效,建議再找另一台電腦B接到es4308的port4,以觀察是否能順利取得vlan222所配的IP,及是否能正常連線。

電腦A連進ES4308的設定畫面後,點按VLANS->VLAN Membership,一般而言所有網管交換器都會至少有一個Vlan ID=1的設定,所以這台交換器的IP是vlan id=1的網段,因此和vlan id=222的網段是不同的,所以電腦B是連不進來這台的。
我們加入新的VLAN ID:222(這裡的ID:222和ROS vlan222的id:222是相同的,也就是封包都是帶vlan tag 222,也因此才能互通),以下所稱的vlan id:222會簡稱為VID:222


加入VID:222後,要再設定哪些埠是屬於VID:222,我們設定port2和port4,因為port2上面接ROS(這裡因為上面要接ROS或網管型的設備的埠,所以之後要設VID:222,tagged only),port4下面接電腦教室(這個port我們會設定VID:222 untagged,所以只能接電腦或無網管交換器),設定完後,點按【APPLY】


如果設定完後,還要再修改VID:222加入其他埠時,則點按VLAN Membership->222->Modify,就可再修改不同的埠號。


點按VLAN Port Config,這個設定是關鍵,PORT2的PacketType要選Tagged Only,PVID要選None,這樣Es4308的port2和ROS的port10的所有帶VID:222的封包才會互通,但其他VID的呢?因為我們剛剛在VLAN Membership只有設VLAN 222,當然目前只有這個vlan的會通,你可以如同前的步驟在port2加上VID 111和VID 333。
Port4因為要接電腦或無網交換器,所以Packet Type選All,然後PVID選222,如果設定無誤的話,接這個port的電腦B將會拿到ROS vlan 222所設定的IP區段的Ip。這時ROS->DHCP Server的Leases看是否有釋出192.168.2.0這個網段的Ip。



如果Port3所接的電腦要拿到ROS所配的192.168.1.0的網段,ES4308的VLAN Membership要再加上VLAN ID:111,群組的port要選擇port2和port3。
因為port我們已經在vlan port config設定Packet Type為Tagged Only,PVID為None。所以這裡我們只要設Port3的Packet Type為All,PVID為111,這樣Port3的電腦就會拿到ROS配的192.168.1.0的網段IP。

#################################################################################

前面提到這台交換器預設的IP為192.168.2.10,我們進入SYSTEM->LAN Settings,Management VLAN為1,所以它不屬於VLAN ID:111或222或333,因此一定要有一台電腦A接到PVID為1的埠才能管理。


但這樣如果上機架或機櫃時無法達到遠端管理,所以我們要修改這台交換器的Management VLAN 讓它可以加入到我們環境運作的VLAN中,因為原有IP是192.168.2.10,剛好和我們VLAN 222是同一網段,因此我們就修改為如下:

Switch IP Address:192.168.2.10
Subnet Mask 255.255.255.0
Gateway IP Address:192.168.1.1
Management VLAN:222




因為我們已經設定VLAN 111,VLAN222,VLAN 333這三個LAN的網段可以互相路由,所以不管我們在192.168.1.0或192.168.2.0或192.168.3.0的網段,都可以打開瀏覽器連到192.168.2.10這個交換器進行管理或修改設定。

如下圖,我將交換器IP設為192.168.1.10,gateway:192.168.1.1,Management VLAN:111,我們電腦是接Es4308的Port4,也就是PVID設定為222,所以是屬於192.168.2.0的網段,經測試是可以直接連到192.168.1.10的交換器進行管理。

#################################################################################

根據前面的網路規畫圖,192.168.2.10這台交換器VLAN設定會是如下:

192.168.2.10的PORT8所接的192.168.2.11這台交換器的VLAN 設定會是如下:

#############################################################################