Notas de mi quehacer diario con las técnologias.

VLAN en Mikrotik.

2017-07-12 por David Guillermo

Hace unos meses nos propusieron que le hiciéramos una auditoria a un cliente para cambiar un switch por otro, pero resultó que una vez me desplacé a la las instalaciones, me di cuenta que era mucho más que eso. Tres plantas, paredes de 1m de ancho y descontrol, una vez volví a la oficina empecé a procesar todos los datos que había recabado en esa delegación en la que había estado y empecé a sacar concluciones las cuales traspasé al cliente,junto con la nueva estructura de red, protocolos de actuación, gestión de usuarios, almacenamientos.

En lo que más incapié me hicieron,era en que querían dividir la red, así que una vez en este punto me decidí por Mikrotik. Me dieron presupuestos varios sobre DLINK y alguna otra marca pero al tener que incorporar Puntos de Acceso decidí usar la unión Mikrotik y Ubiquiti Netowrks que había leído que se usaba para Ciudades Wireless y demás.

El planteamiento final quedó el siguiente 3 Switch Mikrotik con VLAN basada en puertos. 3 AP Ubiquiti Long Range
  1. Puerto 1 Internet
  2. Puerto 2 Trunk
  3. Puerto 6 Aula con la VLAN_ID 100
  4. Puerto 7 Cameras con la VLAN_ID 200
  5. Puerto 8 Wireless con la VLAN_ID 300
    1. DHCP
  6. Puerto 9 al Puerto 16 Privada con la VLAN_ID 400
  7. Puerto 17al Puerto 24 Pública con la VLAN_ID 500
Con esto tenemos la red dividida, bien ahora quedaría hacer el bridge en el puerto 2 (que será quien nos comunique con el siguiente switch) y meter las vlans y sus puertos correspondientes. Siguiente paso será marcar el tráfico para cada VLAN, hacer el masquerade y después, según nececidad, se le añadirá filtro para permitir, denegar accesos y ser más fácil localizar problemas a la hora de necesitar realizar un analizis de la misma.

Para llevar acabo los filtrados de una manera más fácil, realicé varias "Address Lists" con los rangos de ips, incluso unas para ips de administración y después usar con L7 Protocls usando las Filter Rules. 
		/interface bridge
		add name=bridge_nombre
		/interface vlan
		add interface=ether2 name=vlan_nombre vlan-id=100
		/interface bridge port
		add bridge=bridge_nombre interface=ether6
		/ip firewall address-list
		add address=192.168.20.0/24 list=abierta
		add address=192.168.90.0/24 list=admins
		/ip firewall filter
		add action=drop chain=forward dst-address=192.168.20.0/24 src-address=192.168.200.0/24
		/ip firewall mangle
		add action=mark-routing chain=prerouting comment="marcar el trafico según vlan" new-routing-mark=abierta passthrough=yes src-address=192.168.20.0/24
		add action=mark-routing chain=prerouting new-routing-mark=abierta passthrough=yes src-address=192.168.30.0/24
		/ip route
		add comment="Gateway Default" distance=1 gateway=192.168.0.233
		/system clock
		set time-zone-name=Europe/Madrid
		/system identity
		set name=MySwitch

Con este código tendríamos una configuración de VLAN por puertos y con las redes marcaras para su posterior uso. Haré un post único para L7 Protocols y de marcado de tráfico.

Un saludo
Regresar a la página anterior
X

Utilizamos, con carácter general, cookies propias necesarias para la navegación del usuario web y el registrado (por ejemplo de sesión), de terceros (como Google), analíticas tratadas de forma disociada o anonimizadas (para medición y conocer el uso), por lo tanto para continuar navegando deberás aceptar nuestra política de cookies (en el caso que no estés de acuerdo, te rogamos abandones el sitio web). + Info [Política de Cookiess].

Aceptar y Seguir navegando