Segmentando rede (VLANs) + DHCP por VLAN - CentOS

Publicado por Marcos Carraro em 20/06/2014

[ Hits: 23.380 ]

1 0

Denuncie Favoritos Indicar Impressora

Segmentando rede (VLANs) + DHCP por VLAN - CentOS

Um breve, tutorial descrevendo como separar duas redes utilizando VLAN, e cada rede tendo um range de IPs distribuídos pelo servidor DHCPD, que poderá interligar as duas redes, servindo como um router.

Tudo isso feito com CentOS 5.6+.

Para ler mais sobre VLANs:

Switch HP + Gerenciador Console + VLAN + DMZ + CentOS com VLAN [Artigo]

Objetivo

O objetivo aqui, é descrever como separar duas redes. Isso é de estrema importância quando se trata de segurança, ainda mais quando a rede separada é Wireless e somente deverá ter Internet e nada de mais.

Neste tutorial, não será tratado como compartilhar a Internet ou como criar rotas, ou como bloquear o acesso de uma rede a outra, ele tem o foco em apenas mostrar como segmentar e configurar para o funcionamento básico, as demais configurações do seu agrado não são tratadas neste texto.

Equipamentos e S.Os:

Switch HP 3com
Access Point Ubiquiti UNIFI AP/LR
Servidor Linux CentOS virtualizado com XenServer 6.2

Configurando o switch

No switch, vamos configurar a porta onde está conectado o AP, para usar a porta como tagged (trunk) com as VLANs:

1 (VLAN default da rede);
220 (VLAN para a rede visitantes).

Também não podemos esquecer de configurar a porta onde está conectado o servidor de DHCP e o roteador, para que eles possam enxergar esta rede, distribuir os IPs e fazer os roteamentos.

1. Criando a VLAN:

2. Configurando a porta onde está conectado o AP:

Selecione a VLAN desejada e coloque como tagged. Em outras palavras, é "trunk", as portas que participam da VLAN 220 ficaram em verde, caso alguma porta fosse dedicada a esta VLAN ficaria em AZUL:

Feito estas alterações, clique em Apply e depois no menu da esquerda: Device → Configuration

Na aba Save, clique no botão Save Currente Settings. Pronto, estamos com o switch configurado.

Vamos ao próximo passo: configurar a interface com a VLAN no Firewall.

Configurando interface no servidor

O arquivo de configuração deve ser criado em /etc/sysconfig/network-scripts/ (família Red Hat like), o nome fica:

→ ifcfg - (Placa de rede com o cabo conectado na switch).(ID da VLAN)

Exemplo: ifcfg-eth1.220

# cat /etc/sysconfig/network-scripts/ifcfg-eth1.220

VLAN=yes
DEVICE=eth1.220
BOOTPROTO=static
ONBOOT=yes
TYPE=Ethernet
IPADDR=192.168.10.1
NETMASK=255.255.255.0

Configurando DHCPD

Primeiro, deve-se indicar quais interfaces estarão distribuindo os IPs, para isso, altere o arquivo /etc/sysconfig/dhcpd:

# cat /etc/sysconfig/dhcpd

DHCPDARGS=eth1 eth1.220

Arquivo dhcpd.conf:

# cat /etc/dhcpd.conf

ddns-update-style none;
default-lease-time 259200;
max-lease-time 518400;
authoritative;
log-facility local7;

# REDE ADM
subnet 192.168.1.0 netmask 255.255.255.0 {
# --- default gateway
        option routers                  192.168.1.254;
        option subnet-mask              255.255.255.0;

        option domain-name-servers      192.168.1.253;
        option netbios-name-servers     192.168.1.253;
        option ntp-servers              192.168.1.253;
        option domain-name              "rede.interna";

        range 192.168.1.10 192.168.1.240;
        option broadcast-address 192.168.1.255;

ddns-update-style none;
default-lease-time 259200;
max-lease-time 518400;
authoritative;
log-facility local7;

#--------------------------------------------------------
# ips fixados
  host coletor1 {
hardware ethernet 00:23:68:E4:7F:78;
fixed-address 192.168.1.150;
   }
}

# REDE VISITANTES
subnet 192.168.10.0 netmask 255.255.255.0 {
# --- default gateway
        option routers                  192.168.10.1;
        option subnet-mask              255.255.255.0;

        option domain-name-servers      192.168.10.1;
        option domain-name              "rede.interna";

        range 192.168.10.10 192.168.10.90;
        option broadcast-address 192.168.10.255;
}

Configurando o AP UniFi

Para isso, tem que estar rodando o próprio programa da Ubiquiti. Então, acesse o seu IP no navegador na porta 8443:

Vá em Wireless networks, supondo que você já tenha uma rede criada, vamos configurar a VLAN:

Forte Abraço.
Marcos Carraro « Carraro DashBoard

Outras dicas deste autor

Pagina de erro personalizada do Squid - Com direito a MySQL

Extensão bcompiler no PHP 5.3 - Habilitando com exemplos

Instalando Virtualbox 4 no fedora 15 e resolvendo problemas

Lixeira no Samba

Trocar senha do webmin via console

Leitura recomendada

Livro digital sobre GNU/Linux Debian Etch

Yaala - Yet Another Advanced Log Analyzer

Transferência de arquivos de forma segura de Windows para Linux

Bloqueando anúncios do Spotify Free no Linux

Introdução ao Slackware Linux 13 - Instalação

Comentários

[1] Comentário enviado por eliasopolski em 09/11/2015 - 23:40h

Boa Noite Marcos, estou montando basicamente o mesmo cenário porem a Vlan de visitante não funcionou a comunicação entre as vlans:
Switch HP V1905-24

1 (VLAN default da rede);
50 (VLAN para a rede visitantes);

Unifi conectado na porta 12 do switch.
Servidor DHCP na porta 25 do switch.
Roteador na porta 26 do switch.

Vlan 50
Untagged Member(s): Vazio
Tagged Member(s):Port12 ,Port25-26

Unifi
Criei um SSID "Visitante" e vinculei ao Vlan ID: 50

Roteador
Adicionei na LAN uma VLAN ID: 50

DHCP
Adicionei na LAN uma VLAN ID: 50

Desta forma teria que funcionar a comunicação entre o Unifi, Servidor DHCP e Roteador?

Elias Opolski
eliasopolski@gmail.com

0 0