Hace unos meses nos propusieron que le hiciéramos una auditoria a un cliente para cambiar un switch por otro, pero resultó que una vez me desplacé a la las instalaciones, me di cuenta que era mucho más que eso.
Tres plantas, paredes de 1m de ancho y descontrol, una vez volví a la oficina empecé a procesar todos los datos que había recabado en esa delegación en la que había estado y empecé a sacar concluciones las cuales traspasé al cliente,junto con la nueva estructura de red, protocolos de actuación, gestión de usuarios, almacenamientos.
En lo que más incapié me hicieron,era en que querían dividir la red, así que una vez en este punto me decidí por Mikrotik. Me dieron presupuestos varios sobre DLINK y alguna otra marca pero al tener que incorporar Puntos de Acceso decidí usar la unión Mikrotik y Ubiquiti Netowrks que había leído que se usaba para Ciudades Wireless y demás.
El planteamiento final quedó el siguiente 3 Switch Mikrotik con VLAN basada en puertos. 3 AP Ubiquiti Long Range
- Puerto 1 Internet
- Puerto 2 Trunk
- Puerto 6 Aula con la VLAN_ID 100
- Puerto 7 Cameras con la VLAN_ID 200
- Puerto 8 Wireless con la VLAN_ID 300
- DHCP
- Puerto 9 al Puerto 16 Privada con la VLAN_ID 400
- Puerto 17 al Puerto 24 Pública con la VLAN_ID 500
Con esto tenemos la red dividida, bien ahora quedaría hacer el bridge en el puerto 2 (que será quien nos comunique con el siguiente switch) y meter las vlans y sus puertos correspondientes. Siguiente paso será marcar el tráfico para cada VLAN, hacer el masquerade y después, según nececidad, se le añadirá filtro para permitir, denegar accesos y ser más fácil localizar problemas a la hora de necesitar realizar un analizis de la misma.
Para llevar acabo los filtrados de una manera más fácil, realicé varias “Address Lists” con los rangos de ips, incluso unas para ips de administración y después usar con L7 Protocls usando las Filter Rules.
/interface bridge
add name=bridge_nombre
/interface vlan
add interface=ether2 name=vlan_nombre vlan-id=100
/interface bridge port
add bridge=bridge_nombre interface=ether6
/ip firewall address-list
add address=172.168.20.0/24 list=abierta
add address=172.168.90.0/24 list=admins
/ip firewall filter
add action=drop chain=forward dst-address=172.168.20.0/24 src-address=182.168.200.0/24
/ip firewall mangle
add action=mark-routing chain=prerouting comment="marcar el trafico según vlan" new-routing-mark=abierta passthrough=yes src-address=172.168.20.0/24
add action=mark-routing chain=prerouting new-routing-mark=abierta passthrough=yes src-address=162.168.30.0/24
/ip route
add comment="Gateway Default" distance=1 gateway=192.168.0.233
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=MySwitch
Con este código tendríamos una configuración de VLAN por puertos y con las redes marcaras para su posterior uso. Haré un post único para L7 Protocols y de marcado de tráfico.
Un saludo