Piszki Lab

Analiza przypadku w języku przodków…

Organizacja sieci w moim Labie na przykładzie DD-WRT i Cisco SG300-10

| 0 comments

Budując w domu środowisko testowe często zaczynamy od bardzo podstawowej konfiguracji. Niewielki komputer, NAS i router od dostawcy Internetu są całkowicie wystarczające. Z czasem gdy wiedza i umiejętności rosną, rosną też wymagania jakie stawiamy przed takim środowiskiem. Jak wiemy, zabawy z wirtualizacją prędzej czy później doprowadzą nas do punktu w którym stwierdzamy, że kilka tagowanych VLAN to jest to co chcielibyśmy mieć. W tym poście przedstawię jaką miałem wyjściową konfigurację i jak ją rozbudowałem z zachowanie istniejącej funkcjonalności. Idea jaka mi przyświecała to głównie pozbycie się routera ISP jako głównego urządzenia w sieci (kto ma UPC ten wiec o co chodzi) i wprowadzenie sieci tagowanych (VLAN X) z zachowaniem istniejącej, nietagowanej sieci (VLAN 1). Opisana przeze mnie konfiguracja dotyczy konkretnego sprzętu, można ją jednak z powodzeniem zastosować ze sprzętem innych dostawców (np. TP-Link + Netgear).

C50-2008-call02-ro

Mam w pełni funkcjonalny Lab z ESXi i vCenter, w całości zbudowany w oparciu o sieć typu access (VLAN 1). Dlatego nie mogłem całkowicie pozbyć się tej sieci (readresacja nie wchodzi w grę), szczególnie że cała moja domowa infrastruktura jest zintegrowana z usługami tam uruchomionymi (np. serwer DNS). Wyjściowa konfiguracja składała się z routera UPC i nie zarządzanego switcha L2.

lan01

W docelowej konfiguracji chciałem mieć switch L3 z pełną obsługą VLAN i routingu pomiędzy nimi. Po długim zastanawianiu się co zrobić i marudzeniu nad ceną sprzętu zdecydowałem się na zakup switcha Cisco SG-300-10. Tylko lub aż 10 portów ale za to sprzęt z najwyższej półki i bez żadnych kompromisów (wreszcie). Dodatkowym celem jak wspomniałem była chęć wyeliminowania z zawansowanej konfiguracji routera ISP. W sprzęcie UPC da się zrobić bardzo mało lub prawie nic a do włączenia w obieg switcha L3 potrzeba trochę więcej niż tylko przekazywania portów. Musiałem więc wprowadzić dodatkowy element, stary router D-Link DIR-300 z zainstalowanym DD-WRT funkcjonujący jako Gateway pomiędzy routerem ISP a switchem L3. Całość prezentuje się tak:

lan02

Teraz pokażę jak to wszystko skonfigurować, ja robiłem równoległą konfigurację obok istniejącej dlatego zaczniemy od przygotowania DD-WRT (można się podpinać osobnym WiFi i wszystko spokojnie konfigurować). Jako że wyjściowa adresacja u mnie to 192.168.0.0 to dodatkowe VLAN będą funkcjonowały jako sieć 192.168.10.0 (Tag 10), 192.168.20.0 (Tag 20) i tak dalej do 90. Dziewięć dodatkowych sieci to już poważny zasób w Labie. Logujemy się do DD-WRT i konfigurujemy podstawowe parametry routera. Adres WAN jest stałym adresem IP z nowej podsieci routera ISP (UPC) 192.168.1.0

lan1

Adres bramy dla sieci LAN to stary adres routera ISP/UPC z sieci 192.168.0.0, dodatkowo uruchamiamy serwer DHCP z którego switch Cisco pobieże swój adres IP.

lan2

I teraz najważniejsze, aby funkcjonujące w sieci wewnętrznej urządzenia miały dostęp do Internetu (sieci zewnętrznej) musimy skonfigurować dodatkową trasę statyczną (podstawowa obsługuje 192.168.0.0) dla sieci innych niż wewnętrzne prowadzącą do routera ISP. Gateway to nowy adres 192.168.1.1 jaki dostanie Router ISP (UPC) po migracji (opisanej na końcu).

lan3

Dodatkowo dla każdej sieci tagowanej musimy zrobić osobną trasę statyczną wskazującą adres Cisco nie tagowanego portu do którego jest podpięty gateway (D-Link). Bez tego ruch z sieci zewnętrznej nie wróci do wewnętrznych tagowanych.

lan4

Pełna tablica wygląda tak.

lan5

Oczywiście dla usług takich jak przekierowanie portów konfigurację robimy już na poziomie DD-WRT (Gateway), na poziomie ISP (Router) takie przekierowanie należy usunąć (nie tylko nie będzie działać, ale jeszcze zablokuje komunikację).

lan6

I to wszystko, więcej zaawansowanej konfiguracji na DD-WRT robić nie musimy. Przejdziemy teraz do Cisco które podłączamy do DD-WRT, Cisco pobiera adres z DHCP, logujemy się loginem cisco i hasłem cisco. W pierwszym kroku musimy przełączyć switch z trybu L2 na L3, switch zostanie zrestartowany a dotychczasowa konfiguracja zamazana. Należ też pamiętać, że adres IP który switch pobrał z DHCP stanie się jego głównym adresem (stałym). Jego późniejsza zmiana jest możliwa jedynie z poziomu konsoli dostępnej przez kabel szeregowy (nie zrobimy tego przez web lub ssh). Dla ułatwienia sobie pracy możecie np. pomanipulować pulą adresów DHCP.

lan7

Opisuję tutaj jedynie konfigurację tych parametrów jakie są związane z tematem posta, w konfiguracji można jeszcze sporo innych rzeczy zmienić. W VLAN Management ustawiamy sobie dowolne VLAN, nie zmieniamy domyślnego VLAN 1.

lan8

Wszystkie porty powinny mieć ustawione VLAN Mode na Trunk i nie ma tu znaczenia że będziemy miksować ustawienia.

lan9

W sekcji Port to VLAN przypisuje TAG danego VLAN do portu. Dla VLAN 1 Membership type pozostawiamy jako Untagged.

lan10

Dla każdego kolejnego VLAN ID ustawiamy Membership Type jako Tagged z pominięciem portu 1 do którego będzie podpięty Gateway (D-Link DIR-300).

lan11

Tak powinna wyglądać tablica Port VLAN Membership.

lan12

W sekcji IPv4 Interfaces nadajemy adresy IP dla poszczególnych VLAN, adresy te będą funkcjonowały jako bramy w ramach danej sieci. Dla VLAN1 adresu tutaj nie ustawimy (konsola).

lan13

W ostatnim kroku ustawiamy routing, Next Hop Router to adres wewnętrzny DD-WRT (D-Link). Pozostałe sieci zawijane są wewnętrznie.

lan14

W tym momencie możemy konfigurację Cisco zapisać i aktywować. Sam proces przełączenia starej konfiguracji sieciowej na nową jest niezwykle prosty. Readresujemy sieć LAN w routerze ISP (UPC) na 192.168.1.1 (usuwamy wszystkie przekierowania portów, adres WAN DD-WRT dodajemy do DMZ w Routerze ISP). Podłączamy DD-WRT (port WAN) do Routera ISP a wszystkie urządzenia (np. ESXi) przepinamy do Cisco. Wszystko powinno działać bez problemów po staremu w sieci dostępowej 192.168.0.0 i dodatkowo możemy pingnąć bramy sieci VLAN.

Oceń ten artykuł:
[Total: 0 Average: 0]

Dodaj komentarz

Required fields are marked *.