Buenas, en esta ocasión, traigo una pequeña guía, como realizar vlans en equipos WDS (es practicamente lo mismo para todos los equipos), con esto se consigue, aislar las redes en capa 2 (dominios de broadcast), gestionar los segmentos de red de una forma eficiente, entre otras ventajas. Sin mas, comencemos.
Trabajando sobre Mikrotik(https://i.imgur.com/4u6fFBd.png)
Vemos que en las interfaces del Router, solo tenemos 2 Vlans creadas, por tanto, procedemos a realizar toda la configuración para tener otra Vlan.
(https://i.imgur.com/lj6EV5j.png)
Seguimos los pasos:
- Hacer clic en el boton (+) de interfaces
- Hacer clic en el boton Vlan (permite crear una nueva vlan)
(https://i.imgur.com/WHC0ryd.png)
- Asignamos un nombre a la vlan
- Seleccionamos el modo ARP que trabajará la interfaz (en este caso PROXY-ARP ya que poseo recursos compartidos)
- Asignamos un ID a la vlan (númerico)
- Elegimos la interfaz física donde estará la VLAN
(https://i.imgur.com/TMdjahy.png)
Ahora debemos asignar una direccion de red a la interfaz virtual.
- Hacer clic en IP
- Hacer clic en Addresses
- Hacer clic en el boton (+). Permite agregar nuevas direcciones a las interfaces.
- Asignar una direccion IP la cual será la que identifique a la interfaz (utilizo la 192.168.40.254/24)
- Setear el segmento de red.
- Asignar la interfaz a la que pertenecerá la dirección IP que estamos asignando
(https://i.imgur.com/HIOs0Lx.png)
Como las direcciones IP a todo el pool, será asignado de manera dinámica, continuamos con la configuración.
Fe de erratas: En la imagen, el item 3 (DHCP CONFIG) es (DHCP SETUP)
- Ir a IP
- Elegir DHCP SERVER
- Hacer clic en DHCP SETUP
- Indicar la interfaz sobre la cual el servidor dhcp, brindará las direcciones ip.
- Indicar el espacio de direcciones IP (es el segmento de red)
- Indicar la dirección IP del gateway (definida en IP->ADDRESSES)
- Lease time: establece el tiempo durante el cual la dirección IP será asignada antes de solicitar una nueva dirección.
- Addresses to give out: Rango de direcciones ip a brindar.
- Ir a el nuevo pool de direcciones IP creado.
- Elegir el modo autoritativo del DCHP SERVER.
Hasta aquí, hemos creado una VLAN, asignado una direccion IP, creado un POOL para el dhcp server,.
Configurando Switch HPUna de las partes mas cruciales, setear correctamente los parametros en el dispositivo capa 2; ya que, si él mismo no esta bien configurado, no será capaz de transmitir los ID de vlans correctamente.
Aclaración: La configuración depende totalmente de cada dispositivo.(https://i.imgur.com/UuPr0Bd.png)
- Ir a NETWORKS
- Hacer clic en VLANS
- Hacer clic en CREATE.
- Insertar el ID de vlan creado en el router mikrotik. Para el presente ejemplo, vlan 30.
- Hacer clic en el boton CREATE
Hasta el momento, solo tenemos creado el ID de la vlan.
Procedemos a crear la INTERFAZ para la vlan.
(https://i.imgur.com/7wqh42F.png)
- Ir a NETWORK
- Ir a VLAN Interfaces - Create (del menú - Summary - Create - Modify - Remove)
- Ingresar el ID de la vlan la cual vamos a setear la dirección IP (interfaz). Para el ejemplo, es ID=30
- IPV4 Address: Ingresar la dirección IP la cual tendrá la interfaz en el dispositivo capa 2. Esto permite acceder para cofigurar el dispositivo.
- Mask Length: Longitud de la mascara de subred. Para el ejemplo es 24 bits lo cual indica que la mascara es 255.255.255.0
- Para concluir, hacer clic en el botón APPLY.
Como tenemos un servidor DHCP superior (en el router) debemos configurar en el Switch que sea un dhcp-relay.
(https://i.imgur.com/jGvItAO.png)
- Ir a NETWORK
- DHCP
- Si el Dhcp service esta "Enable" tildar "Disable"
- Debajo del grupo "Service Group" hacer clic en el botón "ADD".
Luego del último paso indicado, anteriormente, continuamos.
(https://i.imgur.com/tAZ1sxD.png)
Los primeros dos pasos, no son necesarios si vienen siguiendo la guia.
- Networks
- Dhcp
- Server Group ID: debemos asignar un numero aleatorio, preferentemente debe ser correlativo a los ya establecidos.
- IP address: Debe ir la dirección IP del servidor DHCP que pertenece al Default Gateway. Esto hemos establecido en el Mikrotik cuando seteamos Address.
Continuando la configuración, recordamos la imagen donde desactivamos el "DHCP SERVICE" en el dispositivo capa2.
En esa misma imagen, para este paso, debemos hacer clic en el boton "Operation" de la "vlan-interface" creada dentro del grupo "Interface Config".
De venir siguiendo la guía, omitir los primeros dos pasos.
(https://i.imgur.com/2FAV4tW.png)
- Network
- DHCP
- DHCP RELAY: Debe habilitar. Esto permite que el equipo, trabaje con un forwarder dhcp.
- Address Match Check: Desabilitar la opcion.
- Server Group ID: Debemos setear el mismo ID creado en el paso anterior. Para el ejemplo, se utilizó el 4.
Haciendo clic en el botón "APPLY" el equipo estará configurado para disparar solicitudes del servidor DHCP sin interferir en el proceso.
Como toda VLAN, debemos asignar que puertos pertenecerán a la VLAN y el correspondiente modo de trabajo.
(https://i.imgur.com/O4zDCCb.png)
- Ir a NETWORK
- VLAN
- Hacer clic en "Modify Port". Aquí cambiaremos el modo de trabajo de los puertos.
- Hacer clic en el puerto del Switch el cual modificará su funcionamiento. Para el caso practico, el puerto elegido es el 6.
- En "Select membership type" debemos elegir "TAGGED".
- En "Enter Vlan ID" debemos setear los números de VLANS que serán asignadas al puerto. Aquí se estableció los ID: 20,30
- Hacer clic en el botón "APPLY"
- Luego, aparecerá un pop-up que indica que el puerto pasara a trabajar en modo "Híbrido"
Aclaración: En terminos generales la configuración anterior, es practimante igual en todos los equipos administrables capa 2, excepto por el PVID.
Explicación de modos de trabajo de puertos:
- UNTAGGED. Permite conectar equipos finales/DTE. Traducido, significa que se utiliza para conectar: AP, PC, etc.
- TAGGED. Por lo general, se utiliza para transmitir más de una VLAN-ID. Indicando los Tags que debe hacer caso.
- NOT A MEMBER. Permite quitar la correspondencia de miembro de una vlan.
- LINK TYPE. Tiene tres opciones: TRUNK (modo troncal), ACCESS (modo acceso), HYBRID (modo hibrido de auto-detección).
- PVID. Permite establecer el ID de vlan principal al puerto.
Luego de la configuración anteriormente establecida, debe quedar como indica la siguiente imagen.
(https://i.imgur.com/G53cDeD.png)
- Ir a NETWORK
- VLAN
- Elegir PORT DETAIL
- Indicar el puerto a conocer el detalle. El ejemplo se basa en el puerto 6.
- Muestra la configuración final del puerto, con los ID de vlans, TAGS que dispara, tipo de trabajo del puerto y PVID principal del puerto.
Hasta aquí, hemos finalizado la configuración del equipo capa 2, que ahora será capaz de, identificar las VLANS en el puerto 6, hacer de agente relay-dhcp.
Configuración equipo WDS - TpLink.Como paso casi, final, debemos configurar en el concentrador WDS los ID de VLANS que se han creado con anterioridad en el Router e indicado en el Equipo capa 2, para el correcto funcionamiento.
Al acceder al administrador WDS, debe buscar la configuración SSID para establecer parámetros (varia en base al fabricante).
(https://i.imgur.com/AaMuIv8.png)
(https://i.imgur.com/o5exk2w.png)
- Establecer el SSID a gusto del cliente.
- Indicar el ID de la VLAN a la cual corresponde.
- Hacer clic en el botón APPLY
Luego de setear en el administrador WDS, los equipos volveran a adoptar la configuración y estarán en condiciones de segmentar las redes en las VLANS configuradas.
Hay concentradores WDS que permiten establecer mas de un SSID.
Comentarios finales.En el Mikrotik, sección Firewall, esta establecido en modo restrictivo (hay que indicar que es lo que sale de la red), para que las vlans indicadas puedan navegar, hay que agregar a la lista blanca y aceptar la salida de los equipos.
(https://i.imgur.com/6i5LLeG.png)
- Ir a IP -> Firewall
- Address Lists
- Hacer clic en el boton (+).
- Agregar el segmento de red a la white-list.
Tambien, debe permitir que la lista recien añadida, tenga la capacidad de poder conectarse a redes externar, realizar consultas DNS, entre otros.
(https://i.imgur.com/2GrKlnm.png)
- Ir a IP
- Filter Rules
- Agregar nuevas reglas en las cadenas "INPUT y FORWARD" para que las conexiones sean aceptadas.
Espero sea útil y gracias por tomarse el tiempo en leer la extensa guía.