Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
Konfiguracja MikroTik – Część 45: Wykorzystanie MikroTik do dynamicznej segmentacji sieci z VLAN i tagowaniem aplikacyjnym
Dynamiczna segmentacja sieci to podejście coraz częściej stosowane w nowoczesnych infrastrukturach IT, szczególnie tam, gdzie istnieje potrzeba separacji ruchu różnych aplikacji, użytkowników lub urządzeń. W tej części serii pokażemy, jak wykorzystać MikroTik RouterOS jako główny element segmentacji sieciowej, łącząc techniki tagowania VLAN z dynamicznym przydziałem reguł, routingiem i analizą ruchu.
🔍 Czym jest dynamiczna segmentacja?
Dynamiczna segmentacja sieci to koncepcja polegająca na automatycznym przypisywaniu urządzeń i użytkowników do określonych stref (segmentów sieciowych) na podstawie ich tożsamości, roli, typu urządzenia, aplikacji lub lokalizacji. W klasycznej infrastrukturze osiąga się to np. poprzez VLAN, ale w nowoczesnej wersji często łączy się z dynamicznymi politykami routingowymi, QoS, a także automatycznym firewallingiem.
🎯 Cele i korzyści segmentacji VLAN na MikroTik
- Izolacja ruchu aplikacji (np. VoIP, kamery, ERP, IoT)
- Ograniczenie ryzyka lateralnego ruchu malware
- Możliwość granularnych reguł firewall dla każdego segmentu
- Zwiększenie kontroli nad QoS i routowaniem
- Przypisywanie VLAN dynamicznie przez RADIUS (np. z FreeRADIUS lub NPS)
⚙️ Scenariusz sieciowy
Załóżmy, że mamy firmę, w której istnieją następujące typy urządzeń:
- Stacje robocze pracowników
- Telefony VoIP
- Kamery IP
- Serwery IoT/SCADA
- Goście WiFi
Każdy typ ma swój VLAN:
| Typ urządzenia | VLAN ID | Opis |
|---|---|---|
| Pracownicy | 10 | Sieć korporacyjna |
| VoIP | 20 | Telefonia IP |
| Kamery IP | 30 | Monitoring |
| IoT/SCADA | 40 | Izolowana strefa przemysłowa |
| Goście | 50 | Sieć WiFi gości |
🧱 Konfiguracja trunk i VLAN na MikroTik (RouterOS v7)
1. Definicje interfejsów VLAN i bridge
/interface bridge
add name=bridgeLAN vlan-filtering=yes
/interface vlan
add interface=bridgeLAN name=vlan10-employees vlan-id=10
add interface=bridgeLAN name=vlan20-voip vlan-id=20
add interface=bridgeLAN name=vlan30-cameras vlan-id=30
add interface=bridgeLAN name=vlan40-iot vlan-id=40
add interface=bridgeLAN name=vlan50-guests vlan-id=50
/interface bridge port
add bridge=bridgeLAN interface=ether2 pvid=10
add bridge=bridgeLAN interface=ether3 pvid=20
add bridge=bridgeLAN interface=ether4 pvid=30
add bridge=bridgeLAN interface=ether5 pvid=50
add bridge=bridgeLAN interface=sfp1 trunk=yes
2. Przypisanie adresacji IP
/ip address
add address=192.168.10.1/24 interface=vlan10-employees
add address=192.168.20.1/24 interface=vlan20-voip
add address=192.168.30.1/24 interface=vlan30-cameras
add address=192.168.40.1/24 interface=vlan40-iot
add address=192.168.50.1/24 interface=vlan50-guests
🧠 Dynamiczne przypisywanie VLAN z RADIUS (FreeRADIUS lub NPS)
Z MikroTik można połączyć się z serwerem RADIUS, który na podstawie tożsamości użytkownika (np. MAC lub 802.1X) przypisze dynamicznie VLAN:
MikroTik jako supplicant + RADIUS
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-eap eap-methods=passthrough radius-mac-authentication=yes radius-mac-accounting=yes
/radius
add service=wireless address=192.168.100.10 secret=radiussecret
/interface wireless
set wlan1 security-profile=default use-radius=yes
Na serwerze RADIUS dodaj odpowiednie Tunnel-Type, Tunnel-Medium-Type i Tunnel-Private-Group-ID.
🔐 Zabezpieczenie segmentów – Firewall i Isolation
Przykładowa polityka:
- VoIP może tylko do serwera SIP
- IoT nie ma dostępu do internetu
- Goście mają tylko HTTP/HTTPS
- Kamery mają dostęp tylko do rejestratora
Przykład reguł firewall:
/ip firewall filter
add chain=forward in-interface=vlan40-iot out-interface=ether1 action=drop
add chain=forward in-interface=vlan50-guests out-interface=!ether1 action=drop
add chain=forward in-interface=vlan20-voip dst-address=!192.168.100.100 action=drop
📈 Monitorowanie ruchu między VLAN
Zastosuj:
- NetFlow/sFlow do analizy ruchu między VLAN
- Script lub SNMP do monitorowania interfejsów
- Grafana + Telegraf do wizualizacji
🔄 Automatyzacja z Ansible lub API
Można tworzyć reguły VLAN z plików YAML i wypychać konfiguracje do MikroTik przez:
- REST API
- CLI via SSH
- Ansible z
routeros_commandlubrouteros_api
🧩 Połączenie z mikrosementacją aplikacyjną
Integrując MikroTik z systemami NAC (Cisco ISE, Aruba ClearPass) lub ZTNA (np. Tailscale, Zscaler), można dynamicznie przypisywać polityki na podstawie użytkownika, aplikacji lub typu ruchu.
✍️ Podsumowanie
Dynamiczna segmentacja sieci z wykorzystaniem MikroTik RouterOS to potężne rozwiązanie, które umożliwia pełną kontrolę nad ruchem w organizacji. Poprzez zastosowanie VLAN, RADIUS, firewall i automatyzacji można stworzyć sieć bezpieczną, modularną i gotową na wymagania nowoczesnych aplikacji. MikroTik – mimo że kosztowo dostępny – daje ogromne możliwości klasy enterprise.
Konfiguracja MikroTik — Część 81: MikroTik + VRRP — Wysoka dostępność i automatyczny failover Wprowadzenie W infrastrukturze krytycznej oraz w Czytaj dalej
Uwierzytelnianie wieloskładnikowe na Windows Server – Kompleksowy przewodnik Wstęp Bezpieczeństwo IT jest kluczowym elementem każdej organizacji, a w dzisiejszych czasach, Czytaj dalej
