Segmentando rede (VLANs) + DHCP por VLAN - CentOS

Publicado por Marcos Carraro em 20/06/2014

[ Hits: 22.922 ]

1 0

Denuncie Favoritos Indicar Impressora

Segmentando rede (VLANs) + DHCP por VLAN - CentOS

Um breve, tutorial descrevendo como separar duas redes utilizando VLAN, e cada rede tendo um range de IPs distribuídos pelo servidor DHCPD, que poderá interligar as duas redes, servindo como um router.

Tudo isso feito com CentOS 5.6+.

Para ler mais sobre VLANs:

Switch HP + Gerenciador Console + VLAN + DMZ + CentOS com VLAN [Artigo]

Objetivo

O objetivo aqui, é descrever como separar duas redes. Isso é de estrema importância quando se trata de segurança, ainda mais quando a rede separada é Wireless e somente deverá ter Internet e nada de mais.

Neste tutorial, não será tratado como compartilhar a Internet ou como criar rotas, ou como bloquear o acesso de uma rede a outra, ele tem o foco em apenas mostrar como segmentar e configurar para o funcionamento básico, as demais configurações do seu agrado não são tratadas neste texto.

Equipamentos e S.Os:

Switch HP 3com
Access Point Ubiquiti UNIFI AP/LR
Servidor Linux CentOS virtualizado com XenServer 6.2

Configurando o switch

No switch, vamos configurar a porta onde está conectado o AP, para usar a porta como tagged (trunk) com as VLANs:

1 (VLAN default da rede);
220 (VLAN para a rede visitantes).

Também não podemos esquecer de configurar a porta onde está conectado o servidor de DHCP e o roteador, para que eles possam enxergar esta rede, distribuir os IPs e fazer os roteamentos.

1. Criando a VLAN:

2. Configurando a porta onde está conectado o AP:

Selecione a VLAN desejada e coloque como tagged. Em outras palavras, é "trunk", as portas que participam da VLAN 220 ficaram em verde, caso alguma porta fosse dedicada a esta VLAN ficaria em AZUL:

Feito estas alterações, clique em Apply e depois no menu da esquerda: Device → Configuration

Na aba Save, clique no botão Save Currente Settings. Pronto, estamos com o switch configurado.

Vamos ao próximo passo: configurar a interface com a VLAN no Firewall.

Configurando interface no servidor

O arquivo de configuração deve ser criado em /etc/sysconfig/network-scripts/ (família Red Hat like), o nome fica:

→ ifcfg - (Placa de rede com o cabo conectado na switch).(ID da VLAN)

Exemplo: ifcfg-eth1.220

# cat /etc/sysconfig/network-scripts/ifcfg-eth1.220

VLAN=yes
DEVICE=eth1.220
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
IPADDR=192.168.10.1
NETMASK=255.255.255.0

Configurando DHCPD

Primeiro, deve-se indicar quais interfaces estarão distribuindo os IPs, para isso, altere o arquivo /etc/sysconfig/dhcpd:

# cat /etc/sysconfig/dhcpd

DHCPDARGS=eth1 eth1.220

Arquivo dhcpd.conf:

# cat /etc/dhcpd.conf

ddns-update-style none;
default-lease-time 259200;
max-lease-time 518400;
authoritative;
log-facility local7;

# REDE ADM
subnet 192.168.1.0 netmask 255.255.255.0 {
# --- default gateway
        option routers                  192.168.1.254;
        option subnet-mask              255.255.255.0;

        option domain-name-servers      192.168.1.253;
        option netbios-name-servers     192.168.1.253;
        option ntp-servers              192.168.1.253;
        option domain-name              "rede.interna";

        range 192.168.1.10 192.168.1.240;
        option broadcast-address 192.168.1.255;

ddns-update-style none;
default-lease-time 259200;
max-lease-time 518400;
authoritative;
log-facility local7;

#--------------------------------------------------------
# ips fixados
  host coletor1 {
hardware ethernet 00:23:68:E4:7F:78;
fixed-address 192.168.1.150;
   }
}

# REDE VISITANTES
subnet 192.168.10.0 netmask 255.255.255.0 {
# --- default gateway
        option routers                  192.168.10.1;
        option subnet-mask              255.255.255.0;

        option domain-name-servers      192.168.10.1;
        option domain-name              "rede.interna";

        range 192.168.10.10 192.168.10.90;
        option broadcast-address 192.168.10.255;
}

Configurando o AP UniFi

Para isso, tem que estar rodando o próprio programa da Ubiquiti. Então, acesse o seu IP no navegador na porta 8443:

Vá em Wireless networks, supondo que você já tenha uma rede criada, vamos configurar a VLAN:

Forte Abraço.
Marcos Carraro « Carraro DashBoard

Outras dicas deste autor

Apache autenticando primeira página "/"

Manipular imagens via linha de comando

Extensão bcompiler no PHP 5.3 - Habilitando com exemplos

Lixeira no Samba

Trocar senha do webmin via console

Leitura recomendada

Escolhendo sua cara (distribuição) metade!

Verificar triggers desabilitadas no PostgreSQL

Migração de sistema... Porque deu errado?

Entendento o comando chown

Instalação de impressoras Lexmark no Ubuntu/Kubuntu/Xubuntu

Comentários

[1] Comentário enviado por eliasopolski em 09/11/2015 - 23:40h

Boa Noite Marcos, estou montando basicamente o mesmo cenário porem a Vlan de visitante não funcionou a comunicação entre as vlans:
Switch HP V1905-24

1 (VLAN default da rede);
50 (VLAN para a rede visitantes);

Unifi conectado na porta 12 do switch.
Servidor DHCP na porta 25 do switch.
Roteador na porta 26 do switch.

Vlan 50
Untagged Member(s): Vazio
Tagged Member(s):Port12 ,Port25-26

Unifi
Criei um SSID "Visitante" e vinculei ao Vlan ID: 50

Roteador
Adicionei na LAN uma VLAN ID: 50

DHCP
Adicionei na LAN uma VLAN ID: 50

Desta forma teria que funcionar a comunicação entre o Unifi, Servidor DHCP e Roteador?

Elias Opolski
eliasopolski@gmail.com

0 0